backdoor.win32.Delf.rnno の駆除の仕方PART2

えー、これについて掲示二回目なんですが＾＾；、
私は今このウイルスにかかっています。
この掲示板で駆除の仕方についておしえていただいたので、しかしなにぶん教えていただく前にかなりいじってたせいか、やり方がわるいのか、まだ感染しています。
（Nortnをつかったらプロセス、フォルダにSHELLSYTEMは見当たらなくなりました）

Notrn（体験版）のオートプロテクトをきどうすると「Ｃ￥WINDOWS\TEMP\tmp○○.tmp（○○のところは英数がはいり不定期にかわります）でウイルスが検出されます。
（普通の検索ではひっかかりません）
何回も永遠にでるので不思議におもってみたら、それらのファイルがどんどんふえていきます＾＾；

なのでこれが元凶かとおもい強制削除ソフトをつかって
、どんどん名前がかわるので苦労したのですが、なんとかスベテ削除しました。
しかしやった（●＾o＾●）とおもったその数秒後また復活しました((((＿ ＿|||))))
これはどうすればよいのでしょうか？(　┰_┰)
復活を防ぐソフトをつかってもなおらないのでおてあげです。
レシズトリも正常だとおもいます。
そしてかかる前まで３０Ｇあった容量が２０Ｍから
１００Ｍの間をうろうろしてます。そして重いです＾＾；
どうかよろしくおねがいします(ノ_・、)

No.1 ベストアンサー 回答者： noname#40123 回答日時： 2005/03/02 12:18

InternetExplorerを使っているか他のブラウザを使っているかわかりませんが、次の事をしてください。

IEの場合、ツール→インターネットオプションを起動
全般タブの「cookie削除」と「全般の削除」をクリックして古いデーターを削除
他のブラウザでも、同様のことを実行してください。

そして、「システムの復元」を無効にしてRestoreファイルの削除を実行してください。

他には、レジストリの改修も必要かと考えます。

以下の説明のアドレスをもう一度よく見て駆除してください。

あとは、Winnyを使っているのであればやめるべきでしょう。
通称「苺キンタマウィルス」は、Winnyを媒介して感染するとされているウィルスです。
それから手を引かないと、再び感染する可能性は大きいです。

TROJ_UPCHAN.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

なお、上記アドレスページの下部の方に「検出時の注意」という項目がありますので、
それもじっくりと読んでください。

それをしていないと、このウィルス感染の堂々巡りです。

それでも解決できない場合には、最後はリカバリしてクリーンアップインストールした方がよいでしょう。

No.2 回答者： mid_kazwo 回答日時： 2005/03/02 13:48

shellsystem.exe がもう存在しないなら、Trojan.Upchan の亜種のような気もします。

既知の亜種ファイル名は sugoimonoss.com の様です。

http://foffo-gunkanmaki.hp.infoseek.co.jp/mini/2 …

しかし、自己増殖？してディスクを圧迫するという症状は、トレンドマイクロにもシマンテックにも載っていないので、未知の亜種なんですかね…。
＃ Trojan.Upchan に感染したことは無いので、本当にディスクを圧迫しないのかどうかは知りません

それから、シマンテックによれば、2個のプロセスが相互監視しているみたいで、厄介ですね。
＃ トレンドマイクロの方にはそんなことは載ってませんでしたが

http://www.symantec.co.jp/region/jp/avcenter/ven …
・テクニカルノート
5.このトロイの木馬は常に、互いを監視しあう 2 つの同一プロセスを実行しています。1 つのプロセスが停止すると、もう 1 つのプロセスが新規プロセスを開始するため、このトロイの木馬を停止するのは困難です。

参考URL：http://www.symantec.co.jp/region/jp/avcenter/ven …