TROJ_DELF.AXEの駆除方法

Question

使用環境
windows xp Home Edition Version2002 sp2
ウィルスバスター2006
今朝ウィルス検索したところ、「TROJ_DELF.AXE」というトロイの木馬がいくつか見つかりました。感染したファイルの内、いくつかのファイルはウィルス隔離で削除できたのですが、[smss.exe][csrss.exe]というWindowsのOS及び付随するメディアプレーヤ等のMicrosoft社製品のプロセスに感染したものだけ削除出来ません。ウィルスバスターのサイトによればタスクマネージャでプロセスを停止させ削除とあるのですが、「重要なシステム　プロセス」と表示され消せません。調べてみるとウィンドウズに必要なプロセスの様で消すべきでない様なのですが・・・。プロセスを終了せずにCドライブから上記のexeを削除しようとしましたが「smssを削除出来ません。アクセスできません。ディスクがいっぱいでないか、書込み禁止になってないか、またはファイルが使用中でないか確認してください。」の表記が出て削除も出来ません（プロセスが終了してない「使用中」からかも、でもそれが出来ないのです）。昨今情報流出の話題が尽きず私も誰か外部の人に不正にアクセスされているのか心配で仕方がありません。
もしかしたら他人にPCの中身を見られている可能性があるのでしょうか・・・一応知りたいです、でも怖いです・・・。とにかく的確な駆除法を教えて下さい。お願いします。

Xing · Accepted Answer

とりあえず、ウイルスバスターにもう一度そのウイルスを検出させて、発見されたウイルスの正確な場所を調べてみてはどうですか？
ウイルスの話をするときは、ファイル名だけでなくそのファイルがある場所（フルパス）も非常に重要です。
特に今回みたいなシステムファイルに偽装したようなタイプの場合は。

ちなみに smss.exe も csrss.exe も Windows が稼動する上で超重要なファイル・プロセスですから、
これがウイルスによるファイルで置き換えられていることは絶対にありません。
両方とも、C:\WINDOWS\system32 フォルダには No.4 さんがおっしゃるような本物が必ずあると思います。

それ以外で、同じファイル名やちょっと違うファイル名 (ssms.exe とか cssrs.exe とか) がある場合はまず間違いなくウイルスです。
もう一回、この辺をきちんと確認してみるべきだと思います。

doki2 · Answer

★csrss.exe

csrss - csrss.exe - Process Information
http://www.processlibrary.com/directory/files/csrss/index.php

通常は、Windows正規のプログラムですが、有害なファイルに上書きされて、ウィルスメールを乱発するのに使われるようです。

独自のSMTPエンジンを使って、メールを発信するので、感染者が送信記録を調べることができません。

即、インターネットから切断して、修復できるまで、どうしても必要なとき以外接続しないようにしてください。

どちらかといえば、リカバリをして、被害の拡大を防ぐべきだと思います。

★smss.exe

smss - smss.exe - Process Information
http://www.liutilities.com/products/wintaskspro/processlibrary/smss/

通常は、Windows正規のプロセスとして、メモリーに常駐しますが、スパイウエアによって有害なファイルを上書きインストールされることがあります。

ユーザーのパソコンに忍び込んでユーザーの個人情報やパスワードを盗みとることがありますので、早急な対策が必要と思います。

☆感染状況の調査

これらのファイル名を使うスパイウエアはいくつかあり、感染状況も異なります。

TROJ_DELF.AXE - 詳　細 - 
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDELF%2EAXE&VSect=T

これだけの情報ではなぜ、タスクマネージャで停止できないのかがわかりません。

「重要なシステム　プロセス」と表示されるのであれば、本当に正規のプログラムを削除しようとしているのかもわかりません。

エキスプローラで下記ファイルを選択して右クリック、メニューのプロパティーを選択してファイル情報をしらべ、Windows正規のファイルでないかどうかを確認してください。

☆C:\WINDOWS\system32\csrss.exe
　サイズ：6.00 KB (6,144 バイト)
　ファイルバージョン：5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
　会社名：Microsoft Corporation

☆C:\WINDOWS\system32\smss.exe
　サイズ：49.5 KB (50,688 バイト)
　ファイルバージョン：5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
　会社名：Microsoft Corporation

会社名やファイルバージョンが空白であったり、サイズが違う場合は有害なファイルと断定できると思います。

★有害なファイルの場合、

C:\WINDOWS\WIN.INIをメモ帳で開き下記記述が無いか調べてください。

　[windows]
　load=C:\WINDOWS\ystem32\Csrss.exe
　load=C:\WINDOWS\ystem32\smss.exe
　run=C:\WINDOWS\ystem32\Csrss.exe
　run=C:\WINDOWS\ystem32\smss.exe
　
C:\WINDOWS\SYSTEM.INIをメモ帳で開き下記記述が無いか調べてください。

　[boot]
　shell=Explorer.exe C:\WINDOWS\ystem32\Csrss.exe
　shell=Explorer.exe C:\WINDOWS\ystem32\smss.exe

lonewolf · Answer

Trendmicroのデータベースでは詳細がわかりませんが、プロキシサーバーとして機能してハッカーの命令を待ち受けるとありますから外部から不正にアクセスされている可能性があります。
そうなりますと何が仕込まれているかわからないのでリカバリをおすすめします。
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDELF%2EAXE

ewido · Answer

こんにちは。

＞とにかく的確な駆除法を教えて下さい。

おそらくセーフモードで起動させても駆除するのは不可能だと思います。
やっぱりＯＳを入れ直した方が早いと思います。
トロイが複数見つかったわけですしその方が安心してパソコンが使えると思います。

＞他人にPCの中身を見られている可能性があるのでしょうか

ないでしょう。　たぶん。
そう思っていた方が精神上いいと思います。

yoshi-thk · Answer

完全に接続できないような状態にして、セーブモードで起動して該当するファイルを削除できないか試してみてください。

それでも駆除できないのであれば、データを別の媒体に移動してリカバリをした方がよいです。

TROJ_DELF.AXEの駆除方法

とりあえず、ウイルスバスターにもう一度そのウイルスを検出させて、発見されたウイルスの正確な場所を調べてみてはどうですか？

★csrss.exe

Trendmicroのデータベースでは詳細がわかりませんが、プロキシサーバーとして機能してハッカーの命令を待ち受けるとありますから外部から不正にアクセスされている可能性があります。

こんにちは。

完全に接続できないような状態にして、セーブモードで起動して該当するファイルを削除できないか試してみてください。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング