ノートンのメッセージには「ウィルスは削除されました」と出ているのに実際には削除されてなかったのですが・・・

つい先日ネットサーフィン中にノートンアンチウィルスが反応して


高危険度　コンピュータ上でウィルスを検出して削除しました
オブジェクト名：C:\WINDOWS\system32
ウィルス名：cgywin32.exe
適用した処理：ファイルは自動的に削除されました。


と出て
「あー削除してくれたんだ、よかったよかった」
と安心していたのですが
やはり気になって実際にC:\WINDOWS\system32フォルダまで行って本当に削除されているかどうか確認した所なんとまだ
「cgywin32.exe」
のファイルが存在してました・・・
なぜでしょうか？ノートンが削除してくれたのでは・・？
幸いあれからPC自体に不具合らしきことは起こってはないのですが。
このような場合はexeファイルを手動で削除した方がいいのでしょうか？

あとこの「cgywin32.exe」というのはあのフリーソフトの「cygwin」と何か関係があるのでしょうか？（綴りが一文字違うだけですが）
それともただユーザを混乱させる為にこのようなファイル名にしただけのことでしょうか？
（ちなみにフリーソフトの「cygwin」はDLした覚えはありません）

どなたか分かる方いれば回答お願いします。

No.6 ベストアンサー 回答者： hoihence 回答日時： 2005/09/08 13:29

#4です。

>↑の三つのディレクトリ自体が存在しなかったのですが、これは別に無かったら無かったで無視していればよいのでしょうか？

無かったら、エントリが無いということなのでいいです。

念のため、以下の手順で最終確認しましょう。

レジストリエディタの「検索」で「cgywin32.exe」がヒットするか確かめる。もしヒットしたら削除。ヒットしなければOK。

検索は、「編集」→「検索」

「手動削除手順」の7の修正も忘れずに。

この回答への補足

ちなみにレジストリの値を削除する前のことだったんですが、あれからまた二回ほど

高危険度　コンピュータ上でウィルスを検出して削除しました
オブジェクト名：C:\WINDOWS\system32
ウィルス名：cgywin32.exe
適用した処理：ファイルは自動的に削除されました。

というメッセージが出たのですが、これはもしかしてまだ完全に削除しきれてなくてどこかに潜んでいたと言うことなのでしょうか？？（始めから数えて計四回このメッセージが出ました）
cgywin32.exeのファイルも削除されましたし、ウィルススキャンもかけましたが発見されませんでした。

ちなみにレジストリを削除してからはまだこのメッセージは出てませんが。

補足日時：2005/09/09 23:21

この回答へのお礼

お返事ありがとうございます。

＞無かったら、エントリが無いということなのでいいです。
わかりました。

ちなみに
＞「手動削除手順」の7の修正も忘れずに。
これはHKEY_LOCAL_MACHINE\Software\Microsoft\OLEの所にある値の修正のことですが、HKEY_LOCAL_MACHINE\Software\Microsoft\OLEのディレクトリが存在しない為確認できませんでした。

ちなみに参考URLの通りレジストリを確認した後、念の為レジストリエディタの「検索」をかけたら「cgywin32.exe」がヒットしてしまいました・・・（もちろん削除しました）
参考URL以外の箇所も変更されることもあるんですね。

お礼日時：2005/09/09 21:37

No.8 回答者： hoihence 回答日時： 2005/09/14 13:19

#4です。

>現にインストールしようとしても「SP2に対応してません」とかエラーが出て
上記の二つともインストールできなかったのですが・


MS-03-026、MS04-011の修正パッチはSP2に含まれてます。(確認しました)

この回答へのお礼

お返事どうもありがとうございます。

MS-03-026、MS04-011の修正パッチはSP2に含まれてたんですね、それを聞いて安心しました。
しかしパッチを最新にしていても今回のように感染してしまうものなんですね・・・

今回は色々お世話になりました。そしてそれと同時にウィルスに対する知識も身に付き色々と勉強になりました。

ありがとうございました。

お礼日時：2005/09/15 21:19

No.7 回答者： hoihence 回答日時： 2005/09/10 16:39

#4です。

スキャンで検出されなければ大丈夫だと思います。

なお、DCOMの修正については以下を参照してください。

http://support.microsoft.com/default.aspx?scid=k …

dcomcnfg.exeの記述のところを読んでやってください。

この回答へのお礼

返事遅れてすいません。

ちなみにDCOMの修正についてはレジストリのディレクトリを確認してみた所発見できました。前回はなぜか見落としていたみたいです・・・

ちなみにあれからノートンの警告メッセージは出てません。

あと最後に質問なのですが参照URL（トレンドマイクロ）の所の

「以下のセキュリティホールを修正してください：

MS03-026：RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980)
MS04-011：LSASSの脆弱性(CAN-2003-0533)Microsoft Windows のセキュリティ修正プログラム (835732) 」

とあった所の修正プログラムというのはWindowsUpdateを常に最新にしておけばインストール必要はないということなのでしょうか？？
それともそれとは別に改めてインストールする必要があるものなのでしょうか？？
（現にインストールしようとしても「SP2に対応してません」とかエラーが出て上記の二つともインストールできなかったのですが・・・）

お礼日時：2005/09/13 20:50

No.5 回答者： hoihence 回答日時： 2005/09/06 16:59

#4です。

>No.1の方が紹介してくれたURLの方法に従ってやればいいのでしょうか？

そうです。手順に従ってやれば問題ないです。

>これはXPやMEの機能にある「復元ポイント」のことですよね？これは感染後の復元ポイントを全て破棄しろという意味でしょうか？それとも過去の復元ポイントは全て破棄した方が良いということでしょうか？

これは、ウイルスがこの機能を逆手にとって復活する場合があるので、念のためにやっておいたほうが無難なんです。

http://support.microsoft.com/kb/263455/ja

>これはWindowsUpdaeのHPで確認する、という意味ですよね？

そうです。漏れがないかどうかを確認しておけば無難です。

この回答へのお礼

お返事ありがとうございます。

あれからレジストリの確認をしてみた所

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro
↑の四つのディレクトリは確認できたのですが、


HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
↑の三つのディレクトリ自体が存在しなかったのですが、これは別に無かったら無かったで無視していればよいのでしょうか？
（HKEY_CURRENT_USER\Software\Microsoft\OLEの場合、HKEY_CURRENT_USER\Software\Microsoftまではあるのですが、OLEが存在しません。以下二つも似たような感じです）

ちなみに言い忘れましたがXPのHomeEditionです。

お礼日時：2005/09/08 02:30

No.4 回答者： hoihence 回答日時： 2005/09/04 21:01

#2です。

本体が削除されたのであれば、レジストリの修復も完了させて下さい。

あと、復元ポイントを破棄しといたほうがいいと思います。

また、OSの修正パッチの確認も必要だと思います。

この回答へのお礼

お返事ありがとうございます。

＞レジストリの修復も完了させて下さい。
すいませんが、これはどのようにやったらいいのでしょうか・・？レジストリなんて全くいじったことが無いの何をどうしたらよいのか見当が付かないのですが・・（間違ったりするとやばいと言いますし）
No.1の方が紹介してくれたURLの方法に従ってやればいいのでしょうか？

＞復元ポイントを破棄しといたほうがいいと思います。
これはXPやMEの機能にある「復元ポイント」のことですよね？これは感染後の復元ポイントを全て破棄しろという意味でしょうか？それとも過去の復元ポイントは全て破棄した方が良いということでしょうか？

＞OSの修正パッチの確認も必要だと思います。
これはWindowsUpdaeのHPで確認する、という意味ですよね？

何だか色々質問してしまってすいません・・なんせ感染したのは今回が初めてなもので・・

お礼日時：2005/09/06 02:51

No.3 回答者： mr_rengel 回答日時： 2005/09/04 17:09

完全に安心できるかと言われると完全スキャンでウイルスがないことを確認してからではないでしょうか？

インターネットのキャッシュや一時フォルダに潜伏しているかもしれませんので時間はかかりますが全てのファイルのスキャンを実行したほうが良いと思います。

あとNO.2の方が回答してくださったアクセス拒否ですが、ウイルスだろうがプログラムだろうが実行中には削除できません。
削除しようとしても使用中ですとかの理由でアクセスが拒否されてしまうことをおっしゃってるんです。
その場合、当該プログラムをタスクマネージャーで停止させてから削除するようにとのアドバイスです。

ウイルスについて詳しく確認していませんが、潜伏していて復活するものもありますからスキャン＆駆除は確実に実行されたほうが良いと思います。

この回答へのお礼

お返事ありがとうございます。

＞アクセス拒否ですが、ウイルスだろうがプログラムだろうが実行中には削除できません。

なるほど、そういうことだったんですね、わかりました。


＞全てのファイルのスキャンを実行したほうが良いと思います。

これはノートンの「ウィルススキャン」の「コンピュータをスキャン」の所を実行すると全てのファイルのスキャンしたことになるんですよね？

お礼日時：2005/09/06 02:39

No.2 回答者： hoihence 回答日時： 2005/09/03 18:08

こんにちは。

OSの「穴埋め」をちゃんとやってないと、そういうことになっちゃいます。

「バッファオーバーフロー」って一番狙われやすいんだよ。

名前を似せてあるのは明らかにだましです。

アクセスが拒否されたら、タスクマネージャで終了させてから作業しましょう。

この回答へのお礼

お返事ありがとうございます。

＞OSの「穴埋め」をちゃんとやってないと
これはWindowsUpdateやノートンのウィルス定義ファイルの更新のことですよね？それなら常に最新のものに更新してましたが・・・

＞アクセスが拒否されたら、タスクマネージャで終了させてから作業しましょう。
すいませんが、これってどういう意味なんでしょうか？アクセスが拒否とはどういう意味なんでしょうか？

お礼日時：2005/09/04 16:30

No.1 回答者： mr_rengel 回答日時： 2005/09/03 17:34

ネットワーク感染型のワームです。

Torendmicroのページですが対処方法が出ているので参考にしてみて下さい。

http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

参考URL：http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

この回答へのお礼

お返事ありがとうございます。
ちなみにあれからまた

高危険度　コンピュータ上でウィルスを検出して削除しました
オブジェクト名：C:\WINDOWS\system32
ウィルス名：cgywin32.exe
適用した処理：ファイルは自動的に削除されました。

と同じ画面が出たので確認してみた所、今回はなぜかcgywin32.exeファイルが削除されてました。

cgywin32.exeファイルが削除されていたということはもうこれで大丈夫と判断してもよいのでしょうか？

お礼日時：2005/09/04 16:27