昨日、何がきっかけで感染したのかは分かりませんが、使用してるNOD32が警告を出してきました。
ファイル
C:autorun.inf
ウイルス
Win32/AutoRun.Agent.BE ワーム
コメント
アプリケーションの新規ファイル作成時にイベントが発生しました C:\WINDOWS\system32\spoolsv.exe. ファイルは隔離されました。
このような処理が延々と繰り返されます。
spoolsv.exeをプロセスから終了して削除したりもしたのですが再起動するとこの症状が再度現れます。
またCドライブだけではなく外付けのHDDのFドライブも感染していると警告が出ます。
autorun.infを隠しファイルの表示や保護されたオペレーティングシステムファイルを表示させて探して見たのですが見当たりません。
詳細な検査をしても引っかかりません。
このウイルスの除去方法を検索してみたのですが、解決方法が載ってるサイトなどを見つけることができませんでした。
システムの復元も効果はありませんでした。
自分の力だけでは解決することができません、どなたか解決方法等分かる方がいれば教えてください。
No.1ベストアンサー
- 回答日時:
ども。
初級初級シスアド、システム管理実務です。
このウイルス系はNOD32サイトで情報提供されています。
http://canon-its.jp/product/nd/virusinfo/vr_inf_ …
他にもたくさん情報がありますが、削除は容易ではないようです。
システムの復元で元に戻らないようなら、クリーンインストールされた方が現状維持してウイルスの駆除をするよりも、時間的にもシステム的にも確実な復旧になると思います。
ご参考までに。
貼っていただいたリンクですが定義名称にINF/Autorunと書いてありますがWin32/AutoRun.Agent.BE ワームと同じウイルスなのでしょうか?
もしもクリーンインストールする場合には、バックアップしておきたいデータなどもあるのですがそれはまずいでしょうか。
回答ありがとうございました。
No.5
- 回答日時:
早急にこの質問を締め切った上で、hitaitaisaku.comの質問掲示板への移動が妥当でしょう。
http://www.higaitaisaku.com/
autorun.infを介しての感染の場合、ハードディスクやリムーバルメディアなど、あらゆる媒体に感染が波及する可能性が非常に高くなります。PC内の全データを諦めることが出来ればリカバリによる初期化でも構わないですが…バックアップしたいデータが幾ばくかでもあるのであれば、可能な限り感染を除去するのがベターです。
ですが、現時点ではNOD32で検出出来ない感染が存在している確率が非常に高い。その大本となる感染を除去出来ない限りは、問題は解決を見ません。
悪質なプロセスがルートキットによって隠蔽されている可能性も高いので、higaitaisaku.comで複数の解析ツールを利用して状況を把握した上での綿密な対処のレクチャを受けるのがベストと考えます。
>C:\WINDOWS\system32\spoolsv.exe
このファイルは正常なWindowsOSにも存在するので、NOD32の誤検出という可能性もゼロではありません。しかしながら、Cドライブにautorun.infが作成されるという現象は普通は起きないものなので、何らかの感染に遭っているのは間違いないでしょう。
>spoolsv.exeをプロセスから終了して削除したりもしたのですが再起動するとこの症状が再度現れます。
spoolsv.exeはシステムファイルです。また、正規のspoolsv.exeではない場合であってもシステムファイル属性として扱われている場合は、通常モードで起動した状態のままで削除を行っても、Windowsのシステムファイル保護機能によって復活することは不思議ではないと思います。
>またCドライブだけではなく外付けのHDDのFドライブも感染していると警告が出ます。
>パーティションで区切ってあるDドライブからは何の警告もありません。
autorun.infを介する感染の場合、該当ドライブにアクセスが行われた時点で転移することが多いようです。エクスプローラ上などからDドライブを開かないようにしていれば、感染が波及しないケースも十分にあり得ます。逆に今後Dドライブにアクセスを試みることで、Dドライブからもautorun.infが検出される可能性は十分にあります。
>autorun.infを隠しファイルの表示や保護されたオペレーティングシステムファイルを表示させて探して見たのですが見当たりません。
隔離後だからいくら探しても見つからない、という可能性はないでしょうか?そうでないとしたら、何らかの手法で隠蔽されている可能性もあります。
以前別の質問で、特定のファイルが見つからない状態になっていたという事例が紹介されていたと思います。その場合、コマンドプロンプトから直接ファイルを操作することが出来るようですし、Grape File Searchなどのフリーウェアを使うことで見つけて削除などが出来る可能性もあるようです。参考URLを。
http://questionbox.jp.msn.com/qa4290515.html
あと、次のようなツールも公開されています。
CDブートで利用できる無償のマルウェア検査・駆除ソフト
http://internet.watch.impress.co.jp/cda/news/200 …
Windows上からの対処が難しい感染も、こうしたツール上からなら上手く対処出来るケースもあるようです。
正規のspoolsv.exeが悪意のあるファイルに置き換えられている場合、正常化のためには正規のspoolsv.exeを抽出して置き換える必要があるかと思われます。
http://homepage2.nifty.com/winfaq/wxp/hints.html …
http://homepage2.nifty.com/winfaq/c/hints.html#356
『セーフモードとコマンドプロンプト』で再起動後にexpandコマンドを使うことでspoolsv.exeの復元が可能かも知れません。
以上、思いつくままに書きました。乱文にて失礼。
色々なサイトを紹介してくださり有難うございます。
参考になりました、ウイルスソフトでスキャンしたら症状は現れなくなりました。
これから先は気をつけながらインターネットを利用したいと思います。
有難うございました。
No.4
- 回答日時:
ども。
No.1です。
■バックアップしたファイルの安全性
その時点に限りますが、完全に独立してウイルス検索されていれば、安全です。
■C、D、Fドライブの安全性
ウイルス検索を実行した時点に限り大抵安全といえますが、未知なるトロイ系ウイルスが潜伏している可能性は否定できません。
時間など特定の条件が満たされたとき活動するのでその時点になるまでわからないというのが実際だと思います。
またいくらウイルス検索を実行しても先の説明にもありますが、autorun.inf自体はウイルスではなく検索にも検出されません。
あくまでautorun.infはウイルスを発動する引き金にすぎません。以前はメールに添付されたウイルスファイルを実行することで感染していたのが、autorun.infによる自動実行に置き換わっただけです。
ですから書き換えられたautorun.infを元に戻すか、削除するか、ウイルス本体を削除するかをしないと再び感染する可能性は高いです。
またウイルス検索でローカルのパソコンにウイルス本体が無くなっても、autorun.infで導かれネット経由でウイルス本体をダウンロードする可能性も否定できません。
厄介なウイルスです。
単に今お使いのパソコンにウイルスが存在しなくても、引き金が残っている限りネット経由で感染し続けるな可能性があるということです。
ご参考までに。
お礼が遅れ申し訳ありませんでした。
やはりウイルスの完全削除というのは難しそうなので、できるだけバックアップしてパソコンをリカバリしようと思います。
バックアップにウイルスが入っていたらもう諦めてそのデータも捨てて初期化します。
多くの事を教えて頂いて本当に参考になりました。
有難うございました。
No.3
- 回答日時:
ども。
No.1です。
>Win32/AutoRun.Agent.BE ワームと同じウイルスなのでしょうか?
断定はできません。
この手の感染手段は多数あるので、ワーム系に限らずあらゆるウイルスに感染している可能性があると見た方が良いでしょう。
リムーバブルメディアのautorun.infを書き換え、そこに記述されているウイルスを無作為に実行するので、それがワーム系なのかトロイ系なのか全てはautorun.infによります。
とすれば疑わしきリムーバブルメディアのautorun.infに記述されている実行ファイルを一つずつウイルス検索してどのウイルスに感染しているか調べれば駆除できるのですが…。
そんなことをしている間に破壊をするウイルスに感染していたら解析をしている場合ではありません。また非常に時間がかかります。
なのでクリーンインストールが最良の手段になります。
またバックアップしたいデータはNo.2さんが言われるとおり、「感染された可能性があるデータ」であることを覚悟しなければなりません。jpgなどのわかりやすいデータでウイルス検索を実行すればほとんどのウイルスは検索、駆除できると思います。
ですがやはりさまざまなデータや、未知なるウイルス、トロイ系は見つけにくい、見つけられないケースがあり完全駆除はできないと思います。
また再発を防止するため、リムーバブルメディアの自動起動の機能を停止した方が良いと思います。
ご参考までに。
完全除去は難しいということなので、一部バックアップしてクリーンインストールをしたいと思います。
バックアップしたファイルがウイルス感染していた場合、クリーンインストールして再び侵されたら話しにならないので、バックアップしたいファイルは1個毎にNOD32のスキャンをかけウイルス検出又はウイルスである可能性として判断されなければそのファイルは「安全」と言えるでしょうか?
また今回Cドライブ(C:autorun.inf)とFドライブ(F:autorun.inf)でのウイルス検出がされましたが、パーティションで区切ってあるDドライブからは何の警告もありません。これはDドライブだけ安全ということでいいのでしょうか。
No.2
- 回答日時:
>NOD32が警告
アップデートしましたか?
警告だけで、駆除はしませんか?
参考URLの、(関連する)「5、駆除」をご覧ください。
最初にログオンユーザ名で動いている「svchost.exe」を終了させます・・・
autorun.infは正常なものも多いので一概にウィルスとは言えません。区別がつかないので、NO1の方のとおり、リカバリ(クリーンインストール)が簡単です。
データをバックアップする場合、特定のメディア(CD/DVD-R)に保存し「感染された可能性があるデータ」であることを記載しておきます。(なるべくそのデータは使用しない)
外部HDDなど大容量のメディアに保存するのは危険です。
セーフモードで削除、「システムの復元」を「無効」にして削除、
レジストリキーの削除、などがありますが、レジストリ操作の場合は、Win32/AutoRun.Agent.**の「亜種」を参考に。(リカバリの方が危険でなく簡単)
http://www.avira.com/jp/threats/section/fulldeta …
参考URL:http://www.geocities.jp/dkstr_hamar/yamada_repor …
NOD32は最新のバージョン(3656 20081202)となっています。
警告ウィンドウが表示されても、隔離されましたと書かれているだけで「駆除」「削除」はクリックができません。
この処理が繰り返されます。
svchostにログオンユーザ名で動いてるものはなかったのですが、何故でしょうか。
データをバックアップしたとしてもそのデータが感染されている可能性があるとしたらまるでバックアップした意味がないですね・・・。
全てをとっておきたいという訳ではなく、一部でいいので安全にバックアップする方法はないでしょうか。
セーフモードで起動し「駆除」をかけてみましたが Win32/AutoRun.Agent.BE ワーム というウイルスは検出されませんでした。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- マルウェア・コンピュータウイルス FlashPlayerの削除とマルウェア感染について 5 2023/02/23 20:52
- Windows 95・98 再質問 5 2022/11/29 08:58
- Wi-Fi・無線LAN PCWi-Fiの設定方法がわからなくて困っています。 4 2022/12/28 18:30
- マルウェア・コンピュータウイルス トロイの木馬が検出されました。 1 2022/06/12 22:09
- マルウェア・コンピュータウイルス biosにウイルスが感染していたらどうしようと気になっています。 4 2022/04/05 21:45
- Visual Basic(VBA) エクセルのマクロについて教えてください。 7 2023/07/04 09:18
- Visual Basic(VBA) vba メモリ節約 3 2022/09/16 21:45
- 法人税 電子帳簿保存法について 1 2022/04/07 11:17
- Google Drive 【Googleドライブ】ドライブ上内でのフォルダ移行について 4 2022/11/30 12:50
- UNIX・Linux VirtualBox ゲストOSにPC内蔵HDDのパーティションをマウントする方法は? 2 2023/05/06 22:52
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
まじで助けてください 凄い恥ず...
-
iPhoneでアダルトサイトを見て...
-
トロイの木馬はWi-Fiルータを通...
-
デジカメとトロイの木馬
-
SDカードのウイルススキャン
-
iPhoneで、Googleドライブの「...
-
FlashPlayerの削除とマルウェア...
-
winnyやshareが共有するファイ...
-
VPNでエロサイトばっかり見てる...
-
インターネットウイルスについ...
-
まじで助けてください 凄い恥ず...
-
至急お願いします。 僕はノート...
-
mcafeeを有効に??
-
至急!! Androidのハーウェイ...
-
Webサイトを、ページごと保存す...
-
パソコンから勝手に知らない音...
-
パソコンのプロセスの重複起動...
-
Trojan:Script/Wacatac.H!ml っ...
-
マカフィーで必要なファイルが...
-
私のPCが覗かれているか調べる方法
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
まじで助けてください 凄い恥ず...
-
iPhoneでアダルトサイトを見て...
-
PCをネットに繋がないで使用危...
-
トロイの木馬はWi-Fiルータを通...
-
インターネットウイルスについ...
-
SDカードのウイルススキャン
-
至急お願いします。 僕はノート...
-
まじで助けてください 凄い恥ず...
-
携帯に「リンクを確認できませ...
-
GIF画像を開いてしまいました。
-
VPNでエロサイトばっかり見てる...
-
FlashPlayerの削除とマルウェア...
-
画像の危険性
-
エロサイトをブックマーク(お...
-
デジカメとトロイの木馬
-
展開していないrarからHackTool...
-
パソコン以外にもウイルスは感...
-
BIOSのウイルス感染について教...
-
OS再インストールしてもまたす...
-
ブートセクタ型ウイルスについて
おすすめ情報