autorun.inf ウイルスに感染しました。解決できません。

Question

昨日、何がきっかけで感染したのかは分かりませんが、使用してるNOD32が警告を出してきました。

ファイル
C:autorun.inf
ウイルス
Win32/AutoRun.Agent.BE ワーム
コメント
アプリケーションの新規ファイル作成時にイベントが発生しました C:\WINDOWS\system32\spoolsv.exe. ファイルは隔離されました。

このような処理が延々と繰り返されます。
spoolsv.exeをプロセスから終了して削除したりもしたのですが再起動するとこの症状が再度現れます。

またCドライブだけではなく外付けのHDDのFドライブも感染していると警告が出ます。
autorun.infを隠しファイルの表示や保護されたオペレーティングシステムファイルを表示させて探して見たのですが見当たりません。

詳細な検査をしても引っかかりません。
このウイルスの除去方法を検索してみたのですが、解決方法が載ってるサイトなどを見つけることができませんでした。
システムの復元も効果はありませんでした。

自分の力だけでは解決することができません、どなたか解決方法等分かる方がいれば教えてください。

AmuroRay · Accepted Answer

ども。
初級初級シスアド、システム管理実務です。

このウイルス系はNOD32サイトで情報提供されています。
http://canon-its.jp/product/nd/virusinfo/vr_inf_autorun.html

他にもたくさん情報がありますが、削除は容易ではないようです。
システムの復元で元に戻らないようなら、クリーンインストールされた方が現状維持してウイルスの駆除をするよりも、時間的にもシステム的にも確実な復旧になると思います。

ご参考までに。

akki0715 · Answer

とりあえず複数のオンラインスキャンをかけてみる。
それでだめならリカバリしたほうが早いです。
対策としてはあらかじめ各ドライブに空のautorun.infを作っておくことで感染を防ぐことができます。

wamos101 · Answer

こんにちは。

私はクラッカーサイト巡りや対策ソフトの性能テストなどをしております。

あれこれ試すよりリカバリしたほうが早い。

ryu-fiz · Answer

早急にこの質問を締め切った上で、hitaitaisaku.comの質問掲示板への移動が妥当でしょう。

http://www.higaitaisaku.com/

autorun.infを介しての感染の場合、ハードディスクやリムーバルメディアなど、あらゆる媒体に感染が波及する可能性が非常に高くなります。PC内の全データを諦めることが出来ればリカバリによる初期化でも構わないですが…バックアップしたいデータが幾ばくかでもあるのであれば、可能な限り感染を除去するのがベターです。

ですが、現時点ではNOD32で検出出来ない感染が存在している確率が非常に高い。その大本となる感染を除去出来ない限りは、問題は解決を見ません。

悪質なプロセスがルートキットによって隠蔽されている可能性も高いので、higaitaisaku.comで複数の解析ツールを利用して状況を把握した上での綿密な対処のレクチャを受けるのがベストと考えます。

>C:\WINDOWS\system32\spoolsv.exe

このファイルは正常なWindowsOSにも存在するので、NOD32の誤検出という可能性もゼロではありません。しかしながら、Cドライブにautorun.infが作成されるという現象は普通は起きないものなので、何らかの感染に遭っているのは間違いないでしょう。

>spoolsv.exeをプロセスから終了して削除したりもしたのですが再起動するとこの症状が再度現れます。

spoolsv.exeはシステムファイルです。また、正規のspoolsv.exeではない場合であってもシステムファイル属性として扱われている場合は、通常モードで起動した状態のままで削除を行っても、Windowsのシステムファイル保護機能によって復活することは不思議ではないと思います。

>またCドライブだけではなく外付けのHDDのFドライブも感染していると警告が出ます。

>パーティションで区切ってあるDドライブからは何の警告もありません。

autorun.infを介する感染の場合、該当ドライブにアクセスが行われた時点で転移することが多いようです。エクスプローラ上などからDドライブを開かないようにしていれば、感染が波及しないケースも十分にあり得ます。逆に今後Dドライブにアクセスを試みることで、Dドライブからもautorun.infが検出される可能性は十分にあります。

>autorun.infを隠しファイルの表示や保護されたオペレーティングシステムファイルを表示させて探して見たのですが見当たりません。

隔離後だからいくら探しても見つからない、という可能性はないでしょうか？そうでないとしたら、何らかの手法で隠蔽されている可能性もあります。

以前別の質問で、特定のファイルが見つからない状態になっていたという事例が紹介されていたと思います。その場合、コマンドプロンプトから直接ファイルを操作することが出来るようですし、Grape File Searchなどのフリーウェアを使うことで見つけて削除などが出来る可能性もあるようです。参考URLを。

http://questionbox.jp.msn.com/qa4290515.html

あと、次のようなツールも公開されています。

CDブートで利用できる無償のマルウェア検査・駆除ソフト
http://internet.watch.impress.co.jp/cda/news/2008/11/26/21647.html

Windows上からの対処が難しい感染も、こうしたツール上からなら上手く対処出来るケースもあるようです。

正規のspoolsv.exeが悪意のあるファイルに置き換えられている場合、正常化のためには正規のspoolsv.exeを抽出して置き換える必要があるかと思われます。

http://homepage2.nifty.com/winfaq/wxp/hints.html#1466
http://homepage2.nifty.com/winfaq/c/hints.html#356

『セーフモードとコマンドプロンプト』で再起動後にexpandコマンドを使うことでspoolsv.exeの復元が可能かも知れません。

以上、思いつくままに書きました。乱文にて失礼。

AmuroRay · Answer

ども。
No.1です。

■バックアップしたファイルの安全性
その時点に限りますが、完全に独立してウイルス検索されていれば、安全です。

■C、D、Fドライブの安全性
ウイルス検索を実行した時点に限り大抵安全といえますが、未知なるトロイ系ウイルスが潜伏している可能性は否定できません。
時間など特定の条件が満たされたとき活動するのでその時点になるまでわからないというのが実際だと思います。
またいくらウイルス検索を実行しても先の説明にもありますが、autorun.inf自体はウイルスではなく検索にも検出されません。
あくまでautorun.infはウイルスを発動する引き金にすぎません。以前はメールに添付されたウイルスファイルを実行することで感染していたのが、autorun.infによる自動実行に置き換わっただけです。
ですから書き換えられたautorun.infを元に戻すか、削除するか、ウイルス本体を削除するかをしないと再び感染する可能性は高いです。
またウイルス検索でローカルのパソコンにウイルス本体が無くなっても、autorun.infで導かれネット経由でウイルス本体をダウンロードする可能性も否定できません。

厄介なウイルスです。
単に今お使いのパソコンにウイルスが存在しなくても、引き金が残っている限りネット経由で感染し続けるな可能性があるということです。

ご参考までに。

AmuroRay · Answer

ども。
No.1です。

>Win32/AutoRun.Agent.BE ワームと同じウイルスなのでしょうか？
断定はできません。
この手の感染手段は多数あるので、ワーム系に限らずあらゆるウイルスに感染している可能性があると見た方が良いでしょう。

リムーバブルメディアのautorun.infを書き換え、そこに記述されているウイルスを無作為に実行するので、それがワーム系なのかトロイ系なのか全てはautorun.infによります。
とすれば疑わしきリムーバブルメディアのautorun.infに記述されている実行ファイルを一つずつウイルス検索してどのウイルスに感染しているか調べれば駆除できるのですが…。
そんなことをしている間に破壊をするウイルスに感染していたら解析をしている場合ではありません。また非常に時間がかかります。

なのでクリーンインストールが最良の手段になります。

またバックアップしたいデータはNo.2さんが言われるとおり、「感染された可能性があるデータ」であることを覚悟しなければなりません。jpgなどのわかりやすいデータでウイルス検索を実行すればほとんどのウイルスは検索、駆除できると思います。
ですがやはりさまざまなデータや、未知なるウイルス、トロイ系は見つけにくい、見つけられないケースがあり完全駆除はできないと思います。

また再発を防止するため、リムーバブルメディアの自動起動の機能を停止した方が良いと思います。

ご参考までに。

goold-man · Answer

＞NOD32が警告

アップデートしましたか？
警告だけで、駆除はしませんか？

参考URLの、（関連する）「5、駆除」をご覧ください。
最初にログオンユーザ名で動いている「svchost.exe」を終了させます・・・


autorun.infは正常なものも多いので一概にウィルスとは言えません。区別がつかないので、NO1の方のとおり、リカバリ（クリーンインストール）が簡単です。

データをバックアップする場合、特定のメディア（CD/DVD-R)に保存し「感染された可能性があるデータ」であることを記載しておきます。（なるべくそのデータは使用しない）
外部HDDなど大容量のメディアに保存するのは危険です。

セーフモードで削除、「システムの復元」を「無効」にして削除、
レジストリキーの削除、などがありますが、レジストリ操作の場合は、Win32/AutoRun.Agent.**の「亜種」を参考に。（リカバリの方が危険でなく簡単）
http://www.avira.com/jp/threats/section/fulldetails/id_vir/4375/tr_dldr.ibill.bf.html

参考URL：http://www.geocities.jp/dkstr_hamar/yamada_report.html#5

autorun.inf ウイルスに感染しました。解決できません。

ども。

とりあえず複数のオンラインスキャンをかけてみる。

こんにちは。

早急にこの質問を締め切った上で、hitaitaisaku.comの質問掲示板への移動が妥当でしょう。

ども。

ども。

＞NOD32が警告

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング