restoreフォルダ

WORM.AGOBOT～が検出され、システムの復元を無効にしrestoreフォルダを削除してみてはと教えていただいたのき復元は無効にしたのですが、restoreフォルダはwindowsフォルダのsystem32フォルダにあるものがそうなのでしょうか？
また、このフォルダに3つ程ファイル？「rstrui」「srdiag」「srframe」とかいうものがありますがこれも一緒にフォルダごと普通に削除すればよろしいのでしょうか？


それと、WORM.AGOBOTですが、WORM.AGOBOT.PRAというものを検出し、検出されたのは、C（Windowsが入っているドライブです）：Documents　and　Settings\All　Uses\Documents\Srv325.exeでした。
一番最後のSrv325.exeがウィルス名です。

OSはXPで、ウィルスバスター2005を使っています。
よろしくお願いします。

No.2 ベストアンサー 回答者： hamahamachan 回答日時： 2005/02/26 00:28

システムの復元を無効にした時点で、それまで作られていた復元ポイントはなくなるはずです。

ご自身で手動でどうこうする必要はありません。

WORM.AGOBOT.PRAですが、
http://www.trendmicro.com/vinfo/virusencyclo/def …

Ctrl+Alt+Delでタスクマネージャを起動し、プロセスタブでSrv325.exeを探し、プロセスを終了します。もし、それで終了できないなら、パソコンをセーフモードで起動します（PCの電源を入れなおし、メーカーのロゴ画面が出たらF8を連打、そのあとは、画面の指示に従ってください。不安なら、調べてから作業してください）。

そのあと、レジストリを操作します。レジストリの操作は難しいです。間違うとパソコンが起動しなくなることもあります。慎重に。

スタート、ファイル名を指定して実行、「regedit」入力し、「OK」をクリックします。
レジストリエディタが起動したら、左側の画面で、次のものの左にあるプラス印をクリックして展開します。その下位からその次のものを探して展開、と繰り返してRUNまで行ってください。
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
Runまでいったら、そこを一回クリック。今度は右側の画面を見て、「名前」のところに「Srv325」、「データ」のところに「Srv325.exe」がある行を探します。あるのであれば、まずはバックアップをとります。左の画面で「Run」が青くなっていることを確認してから、レジストリエディタの上部にあるメニューの「ファイル」から「エクスポート」を選び、デスクトップなどにわかりやすい名前で保存します。
バックアップ後、また右側の画面で、名前欄の「Srv325」のところで右クリック、削除を選び、削除します。

同様に、
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices
を開き、そこでも「名前」のところに「Srv325」、「データ」のところに「Srv325.exe」がある行を探し、あればバックアップを取ってから削除。

削除後、レジストリエディタは終了し、パソコン再起動です。

再起動後、ファイルやフォルダの検索で、Windowsフォルダ内で「HOSTS」を検索。メモ帳などのテキストエディタで開きます。以下のエントリを削除します。
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 kaspersky.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
削除したら、メモ帳を閉じます。

終わったらウイルスバスターで再度検索し、ファイルを隔離か削除させます。

このウイルスは、ウインドウズの脆弱性を狙ったものなので、必ずWindows Updateをしておいてください。

・・・・ということが、上記のページに書いてあります。ご自身でもお読みになってから、ご自身の責任でやってみてください。

この回答への補足

ご回答ありがとうございます。
ウィルスを検知した時の、ウィルスバスターの処理ですが「隔離（安全です）」となっていました。

Ctrl+Alt+Delでタスクマネージャを起動し、プロセスタブでSrv325.exeを探したのですが、無かったのでこれは大丈夫だったとみるべきなのでしょうか？

また、windows　updateは現状では更新事項はありませんでした。ただ、未だサービスパック2でないのが問題なのでしょうか?

補足日時：2005/02/26 00:41

No.5 回答者： hamahamachan 回答日時： 2005/02/26 07:52

このウイルスが狙っているセキュリティホールをふさぐ修正プログラムは、MS03-026（823980）とMS04-011（835732）です。

Windows Updateの画面の左側に、「更新の履歴の表示」というメニューがあります。そこをクリックすると、今まで更新してきたものがわかります。心配だったら、そこを表示して、上記のもの（　）内の数字を確認してみてください。

ウイルスが隔離されていたということですので、よかったですね。多分、上記のプログラムが適用済みでセキュリティホールがふさがってたために、入ってきても感染しておらず、隔離が可能だったのでしょう。

No.4 回答者： A1200hd40 回答日時： 2005/02/26 01:11

隔離されているならば、全く問題はないと思いますが、何らかの症状が確認できますか？

常駐監視していて、ファイルを特定して隔離できている場合は、感染していないと思いますが？
（「拾っただけ」の状態と言うことになります。）

ウィンドウズアップデートは、月１回になっています。
今月分が終わっていれば、問題はないでしょう。
（と、言うか、他に手がありません。）
ＸＰの場合、自動アップデート機能が有効になっているならば、最新のセキュリティパッチは当っていると思います。

No.3 回答者： noname#10679 回答日時： 2005/02/26 00:42

先ほど書き込み忘れた内容で

C:\windows\system32\restore
は正常なシステムフォルダーですので
「rstrui.exe」「srdiag.exe」「srframe.mmf」の
各ファイルを削除するとシステム復元機能が
壊れますので削除は禁止です

No.1 回答者： noname#10679 回答日時： 2005/02/26 00:08

C:\System Volume Information\_restore

ここに有るのがシステム復元用の" _restore "です
" System Volume Information "は隠しファイルです

☆Windows Me/XP の「_restore」フォルダ
http://www.trendmicro.co.jp/esolution/solutionDe …

マイコンピーターからローカルドライブCを開いて
C:\Documents and Settings\All Users
この中のフォルダーには通常Documentsのフォルダーは
有りません??

【WORM_AGOBOT.PRA】
http://www.trendmicro.com/vinfo/virusencyclo/def …

・OSのUpdateが必要です
・レジストリーの修正
・HOSTSファイルの内容修正
・_restore のシステム復元の無効

【レジストリエディタ（regedit）の使い方】
http://www.higaitaisaku.com/regedit.html
【hostsファイル】
http://www.higaitaisaku.com/search.html

参考URL：http://www.trendmicro.co.jp/esolution/solutionDe …