W32/Sdbot.worm!が駆除できない

http://www.mcafee.com/japan/security/virS.asp?v= …
このウィルスにかかってしまいました。
説明文にあるとおり、駆除できそうなソフトを強制終了させてしまうので駆除できません。
リカバリ以外で駆除する方法は無いのでしょうか？

レジストリを一つ一つ消していっても意味が無いのでしょうか？

No.1 ベストアンサー 回答者： ryu-fiz 回答日時： 2006/09/04 18:15

>レジストリを一つ一つ消していっても意味が無いのでしょうか？

http://www.mcafee.com/japan/security/virS.asp?v= …
を見た感じ、先にレジストリキーを全て消したあとでシステムを再起動し、その後でスキャンを行って検出されたものを全て削除、というのが良いように思うのですが。

regeditは情報を見る限り起動出来ない可能性が高いですが、regedit.exeをコピーし、同じ場所に貼り付けた後で"reged"を含まない名前にリネーム出来れば起動は可能だと思います。

ただし…亜種として検出された結果、削除すべきレジストリキーとして書かれたのと同じ項目が見当たらない可能性があり、その場合は作業出来ないので非常に厳しいと思います。

この回答への補足

お騒がせしてごめんなさい。名前を変えたら普通に開きました。
今から削除に取り掛かります。

補足日時：2006/09/04 18:46

この回答へのお礼

回答ありがとうございます。
困りました。
この質問を書いた時はregeditが立ち上がったのに、今やってみたら一瞬立ち上がって消えてしまいます。

同じ場所に貼り付けた後リネームというのはどうやるのでしょうか？具体的に同じ場所というのがどちらだか示してもらえると助かります。

お礼日時：2006/09/04 18:29

No.12 回答者： ryu-fiz 回答日時： 2006/09/17 20:55

『お礼』読ませていただきました。

まず…そちらのパソコンは重度の感染のため非常に危険な状態にあります。パソコンの調子が悪い、ということに加え、ネットに接続することにより悪意のある第三者に悪用される危険性を多分にはらむ状態にあります。そのようなパソコンをネットに接続して何かしようとすべきではありません。

それではこの種の重度の感染にあった他の方はどのようにして掲示板に書き込んでいるかというと…感染した以外のパソコンを使っておられるのです。

もし、複数のパソコンを所有しておられる場合には感染のない方が使えます。そうでない場合には…ご自宅以外の環境からアクセスすることになります。当然、インターネットカフェなどの有料の環境を使わねばならない可能性もありますが…これは致し方のないことでしょう。

もし、経済的にそうした自由が利かないということになると、残念ですが今すぐに何らかの手を打つ、というのは難しいだろうと思われます。

加えてそちらの環境の現状では、テキストファイルのコピーや貼り付けにも支障があるようなので、例えばHijackThisという解析ツールを実行した記録＝ログを何らかの媒体にコピーして持ち出し、インターネットカフェからhigaitaisaku.comの質問掲示板にアクセスする際に提出する、といった感じのことはまず行えないだろうと思います。

このように様々な点から考えて、有償での対処が出来るような金銭面での余裕が出来ない以上、現状で出来ることは最早ないと言えるのではないか、と思われます。

問題のパソコンはこれ以上ネットに繋ぐことのないようにしてください。辛いことですが、例えばインターネットカフェから継続してhigaitaisaku.comで質問を行うために必要十分な金銭的余裕が出来るとか、有償で業者（出来れば前回とは別の業者を探し、具体的な対応の方針や見積もりをとってから決定されるのが望ましい）に見てもらうことが可能なまでに金銭的な余裕が出来るとかでない以上は、現実的な対処は難しいだろうとは思います。

少なくとも、ここにアクセスしても有効な対処が今後新たに提案されることはまずない、と思っていただいて間違いないと思います。

私としても非常に心苦しいのですが…待っていただいても新たに何の解決法もご提案出来ないのが現実です。ここに書き込むこともこれで最後にしたいと思います。

お役に立てず、本当に申し訳ありません。

この回答へのお礼

ずっとお付き合い下さいまして本当にありがとうございました。
感謝しても感謝してもし足りません。
無償でここまで面倒見てくれる方なんて滅多にいません。
そのお気持ちが本当に嬉しかったです。

あとパソコンの知識も去ることながら、文章がまた素晴らしいです。私にはこんな理路整然とした長文は書けません。理系も文系も強いなんて…。私にその才能を少し分けて欲しいくらいです。それから私は気が短いので、その気の長さも分けて欲しいです。

遅くなりましたが結論を申しますとパソコンは正常に起動するようになりました。
なんと、これだけてこずったにも関わらず、ウィンドウズアップデイトをしましたら何事もなかったかのように普通に使用することができました。ウィルスのせいでアップデイトができないのだと思っていましたが、どうやら別のところに原因があったらしくサポートに電話ところ時間はかかりましたがアップデイトを完了させることができました。

今回のことで無知というのがどれだけ愚かなのか思い知らされました。
いつまでも初心者初心者と言っていないで私も少し知識を身に付けたいと思います。

お礼日時：2006/09/19 21:22

No.11 回答者： ryu-fiz 回答日時： 2006/09/13 23:23

補足いただきありがとうございます。

取り敢えずやってみていただきたいこととしてはまず、ウイルスバスターなどのソフトをセーフモードで使ってみて欲しいということです。通常の起動でうまく行かないものでもセーフモードでならうまくいく可能性があります。

しかしながら…やはり感染の底の部分までは見えてこない状態ですので状況としては厳しいです。ここでやりとりしながら完治に持っていくのはほぼ不可能ではないかと思われました。

>なんと業者がファイヤーウォールとウィンドウズアップデイトをやってくれていなかったことが判明しました。

とありますが…ウイルスバスターがインストールされていればそれにファイアウォール機能は含まれていますので、基本的にはそれでネット越しの感染などは防ぐことが出来ます。ただし、先述した通り、標準設定では共有に必要なポートが開放されてしまっておりWindowsUpdateが未適用だったことと相まって再感染した可能性が高いと思われます。この辺は今から言っても始まらないとは思いますが…。

ともあれ、現状では感染の全容は分かりません。Systemフォルダ周りでWORM.RBOT.GENが一旦は見つかったもののまた検出されなくなっていること、しかも常駐保護によって直接見つけられたのではなく、不審な現象があってから全体スキャンを行った結果の発見であったことからすると…ウイルスバスターが検出出来ていない感染がやはり存在すると考えられます。感染の存在を隠すrootkitが存在している疑いもやはりあります。

結局のところ、本当の意味での感染対策のプロでもない限り確実な対処を行うことが難しい状況にあることは間違いないようです。少なくとも、私ごときがここで延々と質疑応答を繰り返すだけでは問題の解決は望めないだろうと思います。

理想としては、
http://www.trendmicro.com/jp/products/service/on …
で紹介されているような、よりしっかりとした業者に個々までの状況を詳しく説明して対応を依頼するべきだろうとは思いますが…金銭的にも厳しいとのことですので、こちらからは何とも言えません。

次善の策として、現状で可能な対応策のレクチャをもらえるところとしては、やはりhigaitaisaku.comの質問掲示板しかないだろうと思われます。
hijackThisなどのツールによる解析結果を分析してもらうことで、そちらのパソコンの現状がより詳しく分かり、より適切な対処法が伝授されるかも知れません。

質問に必要な様式を作成するための質問作成ウィザードのURLなどは、既にANo.7で説明済みですのでそちらをご覧ください。
あちらで質問される場合には事前にこちらの質問は締め切ってからにしてください。

この回答へのお礼

今までで一番困っています。
ウィルスの影響でMSNすら閉じてしまうのです。ここまで来るのにものすごく苦労しました。
いろいろ書きたいですが現状を報告して終わりにします。
本当はたくさん書いたのですが、書き込むところまでいくのに閉じてしまって、コピー貼り付けも効かないのです。
とりあえず放置しているわけではないことをお伝えしたくて。
こんな状態なので、他で質問もできません。

お礼日時：2006/09/17 19:10

No.10 回答者： ryu-fiz 回答日時： 2006/09/12 22:46

参りましたね。

。

まず次の点について補足をお願いします。本来もっと早い段階でお聞きすべきだったのですが…ご利用になっているパソコンの環境についてです。（本来ならこちらが要求しなくても、明示しておかれるべき性質のものです）

・Windowsのバージョン。もっとも以前建てられた別スレも一応確認はしていたので…Windows2000をお使いなのだろうことは分かりましたが、サービスパックのバージョンについても補足をお願いします。

・お使いのウイルス対策ソフトの製品名。質問中のリンクがマカフィーのものだったので、てっきりマカフィーをお使いかと思いきやそうであるようなないような…。
最新の『お礼』ではウイルスバスターとお書きになってますが、それでよろしいのでしょうか？

・ルーターはお使いになってますか？お使いでない場合、ウイルス対策ソフトにファイアウォール機能はついてますか？

・システム初期化後、きちんとファイアウォールが有効な状態でWindows Updateを受けられましたか？これも先述した通り、今回そちらで感染したと見られるRandexは最新のWindowsの脆弱性を利用して感染します。ファイアウォールなしの状態でWindows Update完了前にネットにある程度の時間接続したとすれば、再感染の危険性は高くなります。

・購入時にリカバリディスクは付属していましたでしょうか？
Windows2000機の時代にはまだハードディスクリカバリは一般的ではなかったと思うので、まず付属していたとは思うのですが…今のところこちらには確証がありません。ちなみに、最近のメーカー製パソコンの多くはハードディスクリカバリを採用していると思われます。
先述した通り、ハードディスクリカバリであったなら、初期化のためのデータそのものが汚染されている可能性が高いので、それを考慮した対応が必要になります。

・業者さんにOSの再インストールを依頼された、とのことですが…その際ハードディスクを物理フォーマット（ローレベルフォーマット）されましたか？これも先述した通り、通常のリカバリや再インストールでも感染が除去出来ない場合に取るべき手段がハードディスクの物理フォーマットであると考えられます。

・システム初期化後に検出されたワームの検出名、および検出場所はお分かりになりませんか？一旦は検出されたとすればその記録がログとして残されており、再確認することは可能だと思うのですが。

…もしかすると他に私自身が確認すべき点を見落としているかも知れませんが、取り敢えず以上のことについて補足をお願いします。

では、今分かっている情報から考えうることを少しだけ書いておきます。

もし、業者さんに依頼してシステムを初期化された後に導入されたウイルス対策ソフトがウイルスバスターであるとすれば、あるいは設定を工夫しないと再度同様な感染に遭ってしまう可能性が否定出来ないと思われます。次のページをご覧ください。
http://www.trendmicro.co.jp/esolution/solutionDe …

このページにも書かれてあるのですが…ウイルスバスターの初期設定では、NetBIOSを利用したファイル共有を行うために必要なポートが開放された状態になっています。これが原因と思われますが、ウイルスバスターが導入されていたにも関わらず、WindowsUpdate中にウイルスに感染した、という報告が以前ありました。

もし複数のパソコンをLANで接続してファイル共有などを行っていない場合には、上記のページの内容に従い、標準設定で開いているポートを閉じるようにすべきです。そうしないと、ある種のネットワークウィルスに感染したり、第三者による不正侵入を受けた結果、トロイの木馬やボット、rootkitといった悪質なプログラムを埋め込まれる可能性が出てきます。

少々調べたのですが…USENの光マンションタイプの場合、グローバルIPが固定で与えられている可能性が高いようで、その場合お使いになるパソコンのIPアドレスは常に一定となります。一度不正にアタックを仕掛けて成功した第三者にとっては、再度仕掛けることが出来る相手が確実にそのIPアドレスに存在することが分かっているので、意図的に狙い打たれる危険性が高くなるというふうに考えられます。

冒頭で補足をお願いしたことから分かっていただけるかと思いますが、そちらの利用環境に不明な点が多いため、システム初期化後のファイアウォールの設定などに問題があって再度感染を許してしまったのか、それとも一連の初期化作業を行ってもなおそれ以前の感染が除去できなかったのか、それを現時点で判断することは難しいです。

でも、もしウイルスバスターのファイアウォールに存在した空きポートが原因で再感染したということであれば、そうしたポートを塞ぐ設定を行うか、もしくはブロードバンドルーターを設置された後でWindowsUpdateを受けるようにすれば再感染を防げる可能性は高いと思いますし、業者さんが行ったシステム初期化の過程にハードディスクの物理フォーマットが含まれていなかった場合には、物理フォーマットを適切に行うことで依然あった感染を除去出来る可能性は高いと見ます。

もしも、物理フォーマットを行った上でのシステム初期化後に、ファイアウォールが適切に設定された状態でWindowsUpdateを行ったのに、それでも同様な感染が起こる、という場合は…完全に私の理解を超えてしまってますので何とも言えません。

この回答への補足

続き

何かの動作をすると、起動後に設定ロード→設定保存を延々と繰り返すようになり、何も認識されなくなって業者に持っていくしかなくなります。
またこの症状が出ました。前回正常起動時の設定で起動するやつでなんとかこうして使えていますが、怖いです。
当初はレジストリをいじったせいだと思っていましたが、昨日は起動してからレジストリをいじっていないのに再起動した際にこの症状が出たので、原因がわからなくてとても不安です。
これもウィルスの仕業なのでしょうか？
またこの症状が出たら、もう業者に行って直してもらっていろんな設定をしてもらうしかありません。
しかしパソコンが使えるうちは自分の力でなんとかしたいのです。
あまり感じのいい対応では無いし重いものを持って動く気力とお金がもうありません。

補足日時：2006/09/13 15:18

この回答へのお礼

回答ありがとうございます。いつもいつも本当にすみません。
なんと業者がファイヤーウォールとウィンドウズアップデイトをやってくれていなかったことが判明しました。
こちらはもうやってもらってあるとばかり思い込んでいました。言わないとやってもらえないのですね。勉強になりました。おそらくこのせいです。
またパソコンを持って行ってお金を払わなきゃいけないようですが非常にパソコンが重く遠いのでもう行きたくありません。

使っているのはwin2000、ウィルスバスター2006です。
マカフィーはエラーメッセージで検索したときに一致したので載せました。異変に気づいた時にはウィルスバスターを使っていなかったので。

どうやってインストールしたかはわかりませんが、業者のところでは3回確認しましたが、何も出ないので駆除できているんだと思います。
リカバリディスクは付いておりました。しかし、リカバリしようとしてもエラーが出てリカバリできませんでした。

感染した直後にウィルスバスターで検索したところWORM.RBOT.GENというのがC\WINNT\System32\windows－spywareから見つかりましたがエラーになってしまいそこから何度やっても検索が止まってしまいます。

タスクマネージャーから怪しいやつをいくつか止めてspaywareのファイルを削除し、レジストリを消したところ今までのように起動直後のエラーメッセージが出ることはなくなりました。今のところレジストリは復活していません。いくつか起動できるようになったソフトもありますが、肝心のウィルス駆除系のソフトはどれを使ってもエラーになってしまうのでまだワームは残っているようです。

ウィルスバスターで手動検索を試みたところ、そこからは正常に検索が終了しましたが、何も検出されませんでした。教えていただいたAスクエアドフリーもクッキーしか出てきませんでした。

文字数で引っかかったので続きは補足に書きます。

お礼日時：2006/09/13 15:18

No.9 回答者： ryu-fiz 回答日時： 2006/09/08 15:30

No.1です。

>申し訳ありませんがもう少しお付き合いしていただけないでしょうか？

残念ながら、既に私の力量でどうこう出来るレベルではなくなっているように思われます。

>リカバリすると買った状態に戻ると聞いていましたが、後からダウンロードしたソフト等が残っています。ちなみに残っていて欲しかった画像や音楽等は消えています。
>これはリカバリできていないということなのでしょうか？

元あったデータを温存する意味合いでシステムを上書きするという選択肢が取れる場合もありますが、通常各種感染からの回復のために行うリカバリ＝初期化では、システムと同じドライブのデータは全て削除される筈です。後から入れたソフトウェアがそのまま残り、画像や音楽は消えるということは通常では考えられないことです。

もしかすると、お使いのパソコンのリカバリは『ハードディスクリカバリ』でしょうか？最近の機種の多くはリカバリディスクが付属しておらず、ハードディスク内の特定の領域に格納された初期状態のOSのデータを使って出荷時の状態に戻すような形になっています。

考えられるケースとしては…この初期化に使われる領域内のデータそのものに改ざんが加えられた、という可能性があります。悪意のあるプロセスを隠蔽するrootkit、第三者が自由にパソコン内部に侵入することが可能になる裏口を開けるバックドアなどが存在している可能性が高いため、特に常時接続であるならば相当手の込んだ改ざんがなされている可能性もあります。

リカバリ中も感染の影響を受け、リカバリ後の動作も思わしくないとのことですが…感染の状態によってはリカバリを行っても感染が消えないというケースも実はない訳ではないんです。具体的には、ハードディスク内のブートセクタと呼ばれる領域にマルウェアが潜伏している、というもの。ハードディスクにアクセスした際にブートセクタの内容がメモリに読み込まれ、その時点で活動を開始するようになっているようで、非常に厄介なものです。

また、rootkitのなかには実行されたWindowsOS上からはどうやっても不可視の状態で活動するものもあります。こういったものに感染してしまった場合には他のパソコンから間接的に検査するしか見つける方法はないかも知れません。

ここまで説明した件はほぼ最悪の事態を想定しています。しかしそちらのパソコンがそれに近い状態になっている可能性はかなり高いように思われます。

具体的な回復方法についてですが…通常とは違った方法でハードディスクの初期化を行います。通常リカバリ前の初期化としてハードディスクのフォーマットを行いますが、これは『論理フォーマット』と呼ばれるもので、これを行ってもブートセクタはそのままの状態になります。ブートセクタも含めてより完全にハードディスクを初期化するためには『物理フォーマット』という方法を用います。一応、実際にどうやるのか解説したページをリンクしておきます。
http://shattered04.myftp.org/pc_33.html
http://shattered04.myftp.org/pc_27.html

ただし、この種の作業になれていない人がいきなり行える作業ではないと思われます。それに質問者さんのケースですと、リカバリに利用する領域に改ざんが加えられた可能性もありますから、その場合にはここの部分を工場出荷時の状態、もしくはそれに準じたクリーンな状態にしなくてはなりません。

つまるところ、もう個人レベルでどうこう出来ることではない、というのが私の結論です。ハードディスクリカバリ機であるなら、まずはメーカーのサポートに相談してください。初期化のために必要な領域を元通りにするのはメーカーしか出来ません。もし、メーカーサポートが使えず、連絡しても対応してもらうのが無理な場合は、前回の回答に書いたようなPCトラブルの専門業者にご相談ください。

ハードディスクの物理フォーマットについても、パソコンの扱いになれていない人が安易に行うことはお勧め出来ません。とにかく業者に相談されるべきだと思います。

この回答へのお礼

まだ見てくれているとよいのですが…。

結局あれからパソコンが起動しなくなってしまったので、業者のところに持っていき再インストールしてもらいました。

しかし、それでもやはり駆除できません。

具体的に言うと、お店では何も検出されず正常に動きます。
しかし家に持って帰って接続すると何も触ってない起動を待っている状態の段階でウィルスとおぼしき変な音がしてその後ウィルスバスターをかけるとやはりワームが検出されます。
それを駆除することも隔離することもできないままエラーになり再起動しろというメッセージが出ます。
再起動以降何回検索してもエラーで途中で検索が終わってしまいます。ワームは検出されませんが、確実に存在していて、インターネットを使用する系の駆除ソフトは全滅です。

レジストリをいじっているうちにまた起動できなくなり、今日もまた業者に頼んだのですが、やはりお店では何の問題もなく動きます。しかし家に持ってきたとたんにワームが入ります。

業者に頼んでも業者のところではワームが出ないので面倒見切れないそうです。
業者さんに言われたことは、うちはusenの光のマンションタイプなので誰かが感染すると皆感染する可能性があるということです。
駆除しても駆除しても沸いてくるのはやはりこのせいでしょうかね？

肝心のusenは対応がものすごく悪く電話しても全く繋がらない上安さに釣られて年間契約してあるので止めるわけにもいかず大変困っています。

愚痴ばかりでごめんなさい。
そろそろ締め切って、今の状況でまた新しく質問をしてみたいと思います。もし今の状況で何かわかることがあったら教えていただけると助かります。
いつも本当にお世話になっていてすみません。

お礼日時：2006/09/12 14:05

No.8 回答者： t140 回答日時： 2006/09/08 14:16

＃６です。

タスクマネージャーから起動プロセスを見て、
以下のもの以外をリストアップしてみてはどうでしょうか？
----------------------基本的な起動プロセス
Csrss.exe
Explorer.exe
Lsass.exe
Internat.exe
Mstask.exe
Smss.exe
Spoolsv.exe
Svchost.exe
Services.exe
Taskmgr.exe
Winlogon.exe
Winmgmt.exe
-----------------------------------------


AVGの検索ができないようなのでAVG 7.1 for Windows (トライアル版)ページへのリンクを以下に張ります。

それから、ウィルス名にはcC_cyber.exeやasus.exeなども
あったことを思い出しました。

参考URL：http://www.grisoft.com/doc/Programs/lng/jp/tpl/t …

この回答への補足

自分で一つ一つ検索してみたのですが、特に悪いものは入っていないようでした。

回答をいただいた直後はお教えいただいたURLに飛んでもすぐに閉じてしまう状態だったのですが、昨日は試してみることができました。
しかし私の能力不足のせいか英語でしか開けなかったのでわけがわからず、それを触っているうちに再起動がかかってしまい、その後このワームにかかってから出るようになったウィンドウズが起動できなくなる状態になってしまいました。なんとかF8の前回正常起動時の設定で起して首の皮一枚で繋がったのですが、やはり怖いのであまり使いたくないというのが正直な気持ちです。

t140さんの場合はタスクマネージャーから悪いものを止めただけで駆除できるようになったのでしょうか？
レジストリ等は全く触っていませんか？

私の場合、タスクマネージャーから怪しいものを消して、レジストリのrunやrunサービスからも怪しいものを消してもまだ駆除ソフトが正常に実行できない状態なので本当に困っています。

補足日時：2006/09/13 16:58

この回答へのお礼

返事が遅くなって大変すみませんでした。
パソコンが起動できなくなり業者に直してもらいました。

でもまた入ってしまいました。

ウィルス名がわからなくてとても困っています。
それらしいものをタスクマネージャーから2つ削除しましたが、やはりまだ残っているようで駆除系のソフトが使えません。

右も左もわからなかったので、基本的なものを書き出してもらえてとても嬉しいです。

とりあえずそれ以外のものをここに載せておきます。
imejpmgr.exe
mspmspsv.exe
pccguide.exe(ウィルスバスター)
PcCtlCom.exe
regsvc.exe
system
system idle process
tmntsrv.exe
tmpfw.exe
tmproxy.exe

この中に悪いものがあるんでしょうか？
毎回毎回作成されるたびに名前が変わるので苦労します。

お礼日時：2006/09/13 15:36

No.7 回答者： ryu-fiz 回答日時： 2006/09/07 09:40

…いや、助けることは出来ていません。

それどころか、事態は長引くばかりで次々問題噴出。中途半端な情報を提供し続けたことがかえって災いしたと思ってます。

rootkitが出てしまったか…効果があると思われるツールはあるのですが、
http://www.higaitaisaku.com/blacklight.html
上記ページの解説にもあるとおり、rootkitの働きによって善玉ファイルも隠蔽されている可能性が高いので、検出されたファイル全てを安易に処理するとWindowsが起動しなくなる可能性が高いです。

はっきり言ってそちらのパソコンは『ゾンビ』状態に陥っており、ありとあらゆるものが入り込んでしまっている可能性もあります。ということでリカバリが推奨なのですが…どうしても、という場合にはこちらでの質問を終了し、higaitaisaku.comの質問掲示板に移られることを強くお勧めします。

http://bbs.higaitaisaku.com/wizard/wizard.cgi
質問作成ウィザードから必要な様式を作成されて質問に移られると良いと思います。確実に状況としてはひどいので…あちらでもリカバリを推奨されるかも分かりませんが。ここまで私が五月雨式に出してきた情報を頼りにちょっとづつ新たな感染が発覚するのではなく、HijackThisなどの解析ツールでより総合的な診断が受けられると思うので、改善可能であれば比較的早く決着が付くでしょう。

状況によっては、バックアップも上手く出来ないということになるかも知れませんが…その場合はしかたがありません。購入されたショップに持ち込まれるか、PCトラブルの専門業者をタウンページなどでお探しになり、有償での対応を依頼するべきでしょう。

複数のパソコンをお持ちなら、問題のほうのパソコンのハードディスクを取り外し、別のパソコンに内部配線から接続して認識させてデータを取り出す、という方法がないではないですが…この手順を誰にでも分かるように紹介しているページなどはないようです。ご自分でパソコンを組み立てた経験のある方ならやり方が分かるかと思いますが。

この回答への補足

先ほど書いたお礼が間違っていました。
その後よく探したところ、音楽や画像ファイルは違うところに残っていました。
デスクトップやお気に入りの登録は消えていました。

レジストリのやつは見るところが違っていただけでちゃんと残っていました。

この状況はリカバリできたと言えるのでしょうか？
音楽や画像が残っているのでやはりリカバリできていない状態なのでしょうか？
エラーで引っかかって何度もやり直ししたので、コンピューターがあきらめて前の情報を出してきたのでしょうか？
基本的にリカバリの仕方が間違っているのでしょうか？

質問だらけですみません。
夜中まで用があって出かけるので返信はそれ以降になります。つき合わせてごめんなさい。

補足日時：2006/09/08 15:25

この回答へのお礼

非常に困っています。
一昨日からパソコンを起動しても設定ロード→設定保存
設定ロード→設定保存を延々と繰り返していてどのキーを押しても受け付けなくなりました。
もう壊れたと思ってあきらめかけていたところ、昨日やっとなんとか動くようになりました。
さすがにこんな症状が出たので、思い切ってリカバリしましたが、リカバリしてもまだウィルスが残っているのです。
さらにリカバリ中もウィルスの影響で頻繁にエラーが出るので何度もやり直しさせられました。

初めてリカバリしたのですが、リカバリ後の画面がセーフモードの大きさになってしまって色もセーフモードみたいな色になっています。
それからリカバリすると買った状態に戻ると聞いていましたが、後からダウンロードしたソフト等が残っています。ちなみに残っていて欲しかった画像や音楽等は消えています。
これはリカバリできていないということなのでしょうか？

とりあえずウィルス駆除を試みようとregeditを探しましたが、ウィルスの影響で「ファイル名を指定して実行」のところから開くことができません。
以前もその状態でマイコンピューターのregeditのアイコンから名前を変えて起動したのですが、今はそのアイコンが消えていてどうすることもできません。

タスクマネージャーのプロセスには起動時は、ウィルスっぽい名前は出ませんでしたが、インターネットに繋いだ途端に出てくるようになりました。

事態がどんどん悪化しているようで、今までは見ることができていた教えてgooでさえも閉じてしまうことが多々あります。ここまでくるのに何回もやり直しました。

画面がセーフモードの大きさしかないので余計に不便です。

申し訳ありませんがもう少しお付き合いしていただけないでしょうか？

お礼日時：2006/09/08 13:23

No.6 回答者： t140 回答日時： 2006/09/06 12:07

わたしも恐らく同じものに感染しました。

感染直後はソフトの起動や駆除ソフトの実行ファイルのある
フォルダも開くことができない状態になりました。
そのままではプロセスの強制終了ができない状態だったので
OS再起動した直後だとそれらしいプロセスを終了させることができました。
（javanet.exe,msijavaup32.exe,msjava.exeなど）

その後、駆除ソフト等の起動ができるようになりました。
avastの場合、タスクトレイ表示のレジストリも削除されて
いたので手動でaspDisp.exeを実行させて表示されるように
なりました。
フリーの駆除ソフトだと恐らくAVGが少しだけ対応できてる
ようです。

この回答へのお礼

回答ありがとうございます。
私の場合、プロセスの中にjavaと書いてあるものが見つからないので本当に困っています。多分違う名前になっているのだと思いますが、それがどれだかわからないのでどうしようもありません。

AVGというものがわからなかったので検索してみたのですが、AVGと入れてエンターを押すとウィルスの影響で窓が閉じてしまうのでこちらを使用することもできないんです。

お礼日時：2006/09/07 02:05

No.5 回答者： ryu-fiz 回答日時： 2006/09/05 18:51

あと少し、心当たりを調べてみました。

分かったことをお知らせします。

まず、そちらで発生している殆どの実行プログラムが動かない現象については、先述したシマンテックの情報ページから次のツールのページがリンクされています。
http://www.symantec.com/region/jp/sarcj/data/t/t …

このツールの実行で、こうした現象は改善する可能性があります。

さて…一般的なウイルス対策ソフトではカバーし切れない悪意のあるソフトウェア＝マルウェアに対抗するためのツールというのも幾つか出ています。こうしたものの中に日本語表記で使えるa-squaredというのがあります。
http://www.emsisoft.jp/jp/software/free/

フリー版を上記サイトから入手し、使ってみると良いかも知れません。日本語表示の選択は2000/XPのみ利用可能です。98/Meでは英語表記でお使いください。

http://www.emsisoft.jp/jp/support/malware/
より最新のマルウェアリストを入手して調べた結果、シマンテックやトレンドマイクロの検出名である"Randex"を含む名称のものが数種類含まれていることが分かりました。このツールによって感染したものを検出、削除出来る可能性は高いと思います。

>セーフモードの時は回線が繋がらなくなってしまってインターネットができませんでした。

セーフモードでは正常な現象です。2000/XP環境下ではネットワークが利用可能なモードも選択できる筈。

この感染は最新のWindowsの弱点＝脆弱性を利用して行われます。
http://www.microsoft.com/japan/technet/security/ …

ですから、きちんとWindowsUpdateを受けていれば感染する可能性は非常に低くなります。また、WindowsUpdateなどから問題を修正するパッチを入手、適用していない場合でもファイアウォールが使われていれば感染の危険性は非常に少なくなる筈です。

きちんとWindowsUpdateを受けてください。サポートの終了した98/Meをお使いであればしかたがありませんが…その場合は外部からの不正な通信を遮断するファイアウォールの利用が必須と考えてください。

最近のブロードバンドルーターの殆どにはファイアウォールの機能がついています。もしそうしたものがない場合には、必ずファイアウォール機能がついたウィルス対策ソフトを使うようにしてください。そうしないと、再び感染することは避けられません。

この回答へのお礼

いつも丁寧にありがとうございます。
お教えいただいたa-squaredのフリー版を使ってみたところ、TROJ_ROOTKIT.Eというやっかいなウィルスが見つかりました。今困っているW32/Sdbot.worm!の方は出てきませんでした。
そのウィルスを駆除しようと思ってRDRIV.SYSを削除したところ、スタートアップから消えていたW32/Sdbot.worm!が復活してしまいました。そしてTROJ_ROOTKIT.Eも残ったままです。
W32/Sdbot.worm!をとりあえずスタートアップから消そうと以前のようにタスクバーから怪しいものを止めてレジストリをいじってみましたがW32/Sdbot.worm!が消えなくなってしまいました。

面倒なことに巻き込んでしまって本当にすみません。
ryu-fiz様は本当に一般人なのでしょうか？
とてもそうは見えません。すごく助けてもらっています。

お礼日時：2006/09/07 02:00

No.4 回答者： ryu-fiz 回答日時： 2006/09/05 00:39

>タスクマネージャーの方とコントロールパネルの方から見てみたのですが、

>それらしいファイルが無いんです。
>何か他の名前になっているのでょうか？
>見分け方はありますか？

こうなると…『それらしい怪しい名前のファイルを』という感じのお答えしか出来ませんね。。

このウイルス（ウイルスじゃなくてワームだ！という人もいるでしょうが）、バックドアという『裏口』を作ることで様々な悪意のあるものが侵入する可能性があります。これそのものの性質としても、感染したパソコンを自由に操ることが可能な『ボット』としての性格を多分に持っていると思いますし、非常に危険なものであると。

…というか、そもそもマカフィーのページにある名称で検出された際に、ファイル名は記されてなかったのでしょうか？検出時の記録は一般にログと呼ばれるものに記録され、ウイルス対策ソフトの画面上やテキストエディタなどを使って閲覧することが可能な筈です。停止されるべきファイル名はこの時検出されたファイルの名称と同じになると思うのですが。

ログをどうやって参照するのかについては、お使いの対策ソフトのヘルプやマニュアルに書かれている筈なので調べてみてください。

取り敢えず、W32/Sdbot!MS06-040について現状としてネット上で知り得る情報については前々回の回答で出ていると思います。それと全く情報が符合しない亜種だとしたら…やはり相当な熟練者でないと手が出ないかもしれません。

例えば、複数のオンラインスキャンなどで更にスキャンを進めると、別な感染が見つかる可能性も高いと見ます。既知のものでここまでてこずるとしたら、やはりリカバリが妥当なのかも知れません。

この回答への補足

現状をお知らせします。
ずっと調べていたらいくつか怪しいものがわかったので、それらをタスクマネージャーから停止しましたが、それをやってもウィルス駆除ソフトは途中で閉じてしまいました。
そこでレジストリを消してみたところ、以前は消しても消しても復活していたのにそうなることなくすんなり消えました。
この作業をしたところスタートアップからはMS　java　windows　NTの名前は消えました。

しかし、まだ完全に消え去っていないようでウィルス対策ソフトを何度起動しても途中で消えてしまいます。
セーフモードで起動できていたスパイポッドは通常時でも起動できるようになりました。

セーフモードでインターネットに繋がらなかったのは、「セーフモード」を選んでいたからで「セーフモードとネットワーク」を選ぶようにしたら繋がるようになりました。そこでウィルス駆除ソフトを試してみましたがやはり途中で閉じてしまいました。

もう諦めてリカバリしようと思い、音楽や映像のファイルをCD等に焼こうとしたのですが、そちらもエラーになってしまって焼くことができないので本当に困っています。

補足日時：2006/09/05 13:43

この回答へのお礼

回答ありがとうございました。

このウィルスは何かで検出されたわけではなく、ある時使っていたソフトが何もしていないのに閉じてしまって、その後何回クリックしても開かなかったのでおかしいなと思い再起動したらエラーメッセージみたいなものが出たのでそれで検索してみたらこのページに行き当たりました。
エラーメッセージが全く一緒で症状も同じなのでこれだと思ったのですが、実際は違うのかもしれませんね。

それからセーフモードを試してみたのですが、通常時に開かなかったいくつかのソフトが開くようになったので駆除できるかも…と期待していたのですが、セーフモードの時は回線が繋がらなくなってしまってインターネットができませんでした。メールも同様。何度やっても同じでした。
通常時には開かなかったスパイポッドが開いたので、試してみましたがいつも見かけるものばかりで特別なものは検出されませんでした。

なるべくリカバリしたくないので、これで何かわかると良いのですが…。
何度も申し訳ありません。

お礼日時：2006/09/05 01:44