ウィルスの削除

WindowsME/IE5.5/OutlookExpressです。
アンチウィルスソフトを入れているのですが、更新しなかったせいか、ウィルスをもらってしまいました。IEP2の更新もしたし、怪しいメールも見ないで削除したのですが、

Synmantecのホームページでチェックしたら、

c:\My Documents\New_Napster_Site.MP3.pif は 次のウィルスに感染しています： W32.Badtrans.B@mm

と出てきたのです。

削除しようと思い、MyDocumentsのNapsterとあるアイコンを触れたところ、突然消えてしまいました。
検索で探しましたが、見つかりません。
対処の仕方を教えて下さい。
また、New_Napster_Site.MP3.pif とは何ですか？

No.1 回答者： jun95 回答日時： 2001/12/02 04:13

New_Napster_Site.MP3.pif は、ウイルスが入っているファイルらしいです。

名前は、相手から送られてくるときに、適当な名前が付けられて送られてきますから、特に意味はないです。
すでに、過去の質問に回答がありますが、シマンテックから、駆除するプログラムがでています。
参考になりますでしょうか。
あと、ネットワークセキュリティのカテゴリーに、この件に関する質問がたくさん載っています。

参考URL：http://www.symantec.co.jp/region/jp/sarcj/data/w …

この回答への補足

＞シマンテックから、駆除するプログラムがでています。
自己解凍したのですが、よく判りません。

　任意のフォルダーにコピーし、"FIX_BADT.EXE"をダブルクリックしてください。

の意味さえも判りません。

補足日時：2001/12/02 05:11

No.2 回答者： noname#3479 回答日時： 2001/12/02 04:16

W32.Badtrans.B@mmという本体のウィルス

で、そちらが感染してできた名前が
New_Napster_Site.MP3.pifという
ウィルスです、
MP3.pif 拡張子が2つついてますので

削除の方法は Synmantecやマイクロソフトの
ページに詳しく書かれてます
今一番出回ってウィルスですかね、
改良版多いらしいので早めにチェックしてください。

この回答への補足

c:\_RESTORE\TEMP\A0063222.CPY は 次のウィルスに感染しています： W32.Badtrans.B@mm
c:\_RESTORE\TEMP\A0063223.CPY は 次のウィルスに感染しています： W32.Badtrans.B@mm
c:\_RESTORE\TEMP\A0063250.CPY は 次のウィルスに感染しています： W32.Badtrans.B@mm


Creating [KERNEL32.EXE]. Already existing.
System Inoculation failed!

とあるので、まだ駄目なんですね。

補足日時：2001/12/02 05:17

No.3 回答者： starflora 回答日時： 2001/12/02 05:36

　

　　すでに、No.1 No.2 の方の回答で、十分ですので、補足を述べます。
　
　　これは、W32.Badtrans.B@mm というトロイの木馬型ウィルスで、Badtrans.A というウィルスの改良版です（より、悪質になったので、改悪版というべきかも知れません）。「ＯＥのプレビュー画面で見ただけ」で感染するので、ニムダ・ウィルスと同様に、危険です（添付文書を開かなくとも、メールを開かなくても、プレビューだけで感染するウィルスです）。
　
　　ファイルは、ウィルス本体ファイルが２９キロですが、メール全体だと４１キロあるようです。
　
　　New_Napster_Site.MP3.pif
　　は、ウィルスの本体ファイルの名前です。これは、幾つかの候補のなかからランダムに造られます。
　　ファイル名は、「ファイル名＋拡張子１＋拡張子２」という形をしていて、最初のファイル名には、十数個の名前から任意のものを選びます。「New_Napster_Site」は、その名前の一つです。拡張子１は、「．ＤＯＣ」「．ＺＩＰ」「．ＭＰ３」の三つのどれかを選び、拡張子２は、「．ｓｒｃ」「．ｐｉｆ」の二つのどちらかになります。貴方の場合は、「．ＭＰ３．ｐｉｆ」になったのです。
　　なお、以下のトレンドマイクロにも、ウィルス・ワクチンがあります。シマンテックと同じものだと思います。
　
　　このウィルス・ワクチンを実行すると、FIX_BADT.LOG という報告ファイルができますが、なかが英語です。以下はそのサンプルです（わたしも、何か危ないので、念のため、ウィルス・ワクチンを実行してみたのですが、別に感染していなかったので、以下の結果です。一昨日から昨日にかけて、四通もウィルスが送られて来たので、全部処理しましたが、念のためワクチンを実行したのです。……なお、ＯＥのメールの「プレビュー」だけで感染するウィルスが増える可能性があり、「プレビューなし」にＯＥの設定を変えた方がよいです。ＯＥの「表示」→「レイアウト」で、プレビューなしにできます）。

===========================================================　
II. Terminating Worm/Virus processes.
　　　　　　*** Infected processes were NOT found. ***
　
III. Cleaning System Registry.
　　　　　　WORM_BADTRANS.B not found in the SYSTEM REGISTRY
　
V. Removing drop files.
　　　　　　File "C:\WINDOWS\SYSTEM\kernel32.exe" not found
　　　　　　File "C:\WINDOWS\SYSTEM\kdll.dll" not found
　　　　　　File "C:\WINDOWS\SYSTEM\cp_25389.nls" not found
　
VI. Inoculating the system.
　　　　　　Creating [KERNEL32.EXE]. Folder created.
　　　　　　System Inoculated
===========================================================　
　
　　わたしの場合は、感染していないので、NOT found になっていますが、感染されている場合は、別のメッセージになります（FOUND となるでしょう）。
　
　　重要なのは、最後のＶＩのところで、
　　これは、
　　「システムを免疫化しました」というメッセージで、KERNEL32.EXE という免疫フォルダを造ったので、このウィルスについては、今後は、この免疫フォルダルが対抗するので、以降は安全です、という意味です。
　

参考URL：http://www.trendmicro.co.jp/esolution/solutionDe …

この回答への補足

このウィルスワクチンをどうすればいいのでしょうか？
実行するだけで、

c:\_RESTORE\TEMP\A0063222.CPY は 次のウィルスに感染しています： W32.Badtrans.B@mm
c:\_RESTORE\TEMP\A0063223.CPY は 次のウィルスに感染しています： W32.Badtrans.B@mm
c:\_RESTORE\TEMP\A0063250.CPY は 次のウィルスに感染しています： W32.Badtrans.B@mm

これらを削除しなくていいのですか？

補足日時：2001/12/02 05:53

No.4 回答者： jun95 回答日時： 2001/12/02 06:20

No.1の回答の参考ＵＲＬに書いたページにあるFixBadtr.exeのURL

(１．FixBadtr.exeファイルを下記の場所からダウンロードします。のところです)
をクリックすると、FixBadtr.exeがダウンロードされると思います。とこから起動するかですが、汚染されていないところからした方がいいので、フロッピーディスクに保存を勧めているわけです。これは、そのままで実行ファイルですから、二回カチカチとマウスをクリックしてやると、そのプログラムが起動します。スタートをクリックすると、自動的にスキャンがはじまり、排除されることになります。

参考URL：http://www.symantec.co.jp/region/jp/sarcj/data/w …

この回答への補足

実行（黒い画面で～その後再起動）しましたが、
これだけでよいのでしょうか？
３つのファイルは削除していいものなのですか？（restore)
黒い画面で実行したあと、スキャンしたら、その３個のファイルがウィルスとして表示されたのですが。

補足日時：2001/12/02 06:35

No.5 回答者： starflora 回答日時： 2001/12/02 07:33

　

＞c:\_RESTORE\TEMP\A0063222.CPY は 次のウィルスに感染しています： W32.Badtrans.B@mm
＞c:\_RESTORE\TEMP\A0063223.CPY は 次のウィルスに感染しています： W32.Badtrans.B@mm
＞c:\_RESTORE\TEMP\A0063250.CPY は 次のウィルスに感染しています： W32.Badtrans.B@mm
　
　　これらは、テンポラル・ファイル・フォルダーに保存された、ウィルス・ファイル本体です。コピーを取りたいなら、フロッピにでも取ればよいでしょうが、扱いを慎重に（ダブルクリックしないよう）、すぐ削除し、ゴミ箱からもすぐ削除します。削除で、これらのファイルの処理は終わりです。念のため、もう一度、ワクチンを実行してみてください。NO found になればＯＫです。
　

この回答への補足

c:\_RESTORE\TEMP\A0063222を削除しようとしたら、

「削除できませんでした。アクセスできません。送り側が～」と出てきて削除できません。28.3KBです。

c:\_RESTORE\TEMP\A0063223.CPY は、5.5KBです。
c:\_RESTORE\TEMP\A0063250.CPY は、28.3KBです。

補足日時：2001/12/02 12:56

この回答へのお礼

c:\_RESTORE\TEMP\A0063222.CPY の場所を教えて下さい。検索しても出てきません。機能検索したときは出てきたのですが。
隠しファイルはオフにしました。

お礼日時：2001/12/03 02:53

No.6 回答者： jun95 回答日時： 2001/12/02 07:41

わたしのＰＣには、ウイルスはないのですが、試しにやってみました。

すると黒い画面にはならないのです。そして、結果は、自動的に生成されたFixBadtr.logというログファイルに記録されます。そのログを開くと、私の場合だと、そういうウイルスはなかったと書かれています。
このプログラムは、自動的にウイルスを削除して修復するものだと書かれていますから、これを実行しても、なお、ウイルスがいるというのは、うまくいかなかった可能性があります。
これ以上のことは、わたしには分かりません。もう少し、セキュリティーに詳しい方の回答をまってください。

No.7 回答者： starflora 回答日時： 2001/12/02 07:41

　

＞c:\_RESTORE\TEMP\A0063222.CPY は 次のウィルスに感染しています： W32.Badtrans.B@mm
＞c:\_RESTORE\TEMP\A0063223.CPY は 次のウィルスに感染しています： W32.Badtrans.B@mm
＞c:\_RESTORE\TEMP\A0063250.CPY は 次のウィルスに感染しています： W32.Badtrans.B@mm
　
　　これらのファイルは２９キロかどうか確認してください。２９キロならウィルスのコピーです。
　　不安なら、フロッピにファイルのコピーを取って、削除することです。ＴＥＭＰフォルダーにあるのは、削除しても問題ないはずなのですが。
　

この回答への補足

３つとも、
削除しようとしても、
出来ませんでした。

補足日時：2001/12/02 12:50

No.8 回答者： starflora 回答日時： 2001/12/02 08:06

　

　　VI. Inoculating the system.
　　　　　　Creating [KERNEL32.EXE]. Already existing.
　　　　　　System Inoculation failed!
　
　　これは、すでに免疫フォルダーは存在しているので、その作成に失敗したというメッセージです（すでに、免疫ワクチンを使った場合、正常な表示です）。黒い画面というのは、ワクチンが働くＤＯＳ画面でしょう。（わたしも、二度目のワクチン実行の後は、こういう表示です）。
　
　　ウィルスに感染したファイルがあっても、それは自己削除すればよいものでしょう。レジストリーが正常で、メモリー上にないのであれば、問題はないのです。また、中心となる、三つの構成ウィルス・ファイルがないならば。ＴＥＭＰフォルダーにあるウィルスは、あるいは、この三つの構成ウィルス・ファイルのコピーなのかも知れません。
　
　　三つのウィルス構成ファイルとは：
　
＞　　　　　　File "C:\WINDOWS\SYSTEM\kernel32.exe" not found
＞　　　　　　File "C:\WINDOWS\SYSTEM\kdll.dll" not found
＞　　　　　　File "C:\WINDOWS\SYSTEM\cp_25389.nls" not found
　
　　ここで、出てくる、三つのファイルです。
　

この回答への補足

c:\_RESTORE\TEMP\A0063222を削除しようとしたら、

「削除できませんでした。アクセスできません。送り側が～」と出てきて削除できません。28.3KBです。

c:\_RESTORE\TEMP\A0063223.CPY は、5.5KBです。
c:\_RESTORE\TEMP\A0063250.CPY は、28.3KBです。

補足日時：2001/12/02 13:21

No.9 回答者： sekiya-h 回答日時： 2001/12/02 13:32

◆ 削除できない原因

Windous Me の「システムの復元」機能により、感染した状態がバックアップされている為。

下記ＵＲＬを参考にして下さい。

WindowsMe の「_restore」フォルダからウイルス発見した場合
　　↓
http://www.trendmicro.co.jp/esolution/solutionDe …

参考URL：http://www.trendmicro.co.jp/esolution/solutionDe …

この回答への補足

おしえていただいたURLの指示通りにやってみました。
→システムバックアップの停止
そして今もう一度自己解凍ツールで、作業しました。
→私のやり方が正しいのかどうか判りませんが。
そして今補足を書きながら、ウィルススキャンを実行している最中です。
こうやってネットしているあいだも当方の情報（ネットバンキングのパスワード等）が漏れているのかと思うと、怖いですね。
これでいいのでしょうか？

ウィルスススキャンが終わったら、またこのページを見てみます。

補足日時：2001/12/02 13:58

No.10 回答者： sekiya-h 回答日時： 2001/12/02 15:02

駆除されて入りのであれば問題ありませんが、念のため、ウィルススキャンが終わり、駆除が確認できるまでは、そのＰＣはインターネットに接続しない方が良いですよ。

ＩＥ５.５ＳＰ２/ＩＥ６ にもセキュリティホールはあります。
再度感染しないように、下記サイトより使用している環境に合った「セキュリティの修正プログラム」をダウンロードし、適用して下さい。

ホームユーザー向け セキュリティ対策 早わかりガイド
　　↓
http://www.microsoft.com/japan/enable/products/s …

参考URL：http://www.microsoft.com/japan/enable/products/s …

この回答への補足

ウィルススキャンは97パーセントの所くらいで、毎回フリーズするようになって強制終了しか方法がなくなります。

IEはＩＥ５.５ＳＰ２にアップしているので、こんなことはないと思っていたのですが、

この後の対処の方法がわかりません。

駆除されているのかどうかもわかりません。

補足日時：2001/12/02 15:16

この回答へのお礼

スキャンをはじめると、「～問題～終了します」となって、強制終了しなくてはなりません。

いったい如何したらいいのでしょうか？

10回くらいこうなってしまいます。
もうウィルスチェックも出来ないのでしょうか？

お礼日時：2001/12/02 16:25