Trojan.Win32.VB.ffとTrojan,Spy.Win32.VB.mnの対処方法を知りたい。

Question

Win Xp (SP2)のPCでカスペルスキーオンラインスキャンをしたところ、
下記の２つのウィルスに感染していました。PCにこれと言った症状はないのですが、何とか駆除したいと思っています。自分のPCのウィルス対策ソフトで通常とセーフモードで完全な検査をしても検出されない。Spy対策は、Spybot S&D,Ad-Aware SE,Spyware Blaster.a-
squared Personalを最新の定義で使用しています。Windows Updateも最新です。
対処法がわからなかったので、質問をさせていただきました。よろしくご教授ください。
　　　　　　　　　　　　　　　記
1)Trojan.Win32.VB.ff
C:\System Volume Infomation\_restore {FD64B58C-0818-4F8A-912E-
BOD6BF103B22}\RP42\A0023568.exe
2)Trojan,Spy.Win32.VB.mn
C:Documents and Settinngs\(ユーザ名）\Local Settinngs\Temp
\ln6fzlx6.exe

yoshi-thk · Accepted Answer

１のウイルスに関しては、システムの復元を無効にしてください。
そして再起動してみてください。
２については、IE等のプラウザのCookieの削除と一時ファイルの削除を実行してみてください。

それでウイルスが、削除されます。

１については、Restoreファイルという「システムの復元」で使うデータを保存している部分にウイルスが残っていて
そのシステムの復元を無効にすることで、
restoreファイルが無効になり削除できるようになります。
そのファイルごと削除した方が安全性は高くはなります。

２については、tempファイルですから、一時的に保存している部分に残っているウイルスですので、
一時ファイルを無くすることで、削除できる可能性があるので、試してみてください。

ryu-fiz · Answer

ウイルス発見時の定石的対処法の教科書みたいな質問ですね。

カスペルスキーは検出能力については世界最高峰と言われています。お使いのウイルス対策ソフトが検出出来ないものを検出出来ても不思議はないと思います。カスペルスキーにしても誤検出の疑いがゼロ、という訳ではありませんが、今回の２件については発見された場所からすると、正常な検出と判断して問題ないと思われます。削除で構いません。

検出されたそのものに対する対応は、No.2さんの回答通りで大丈夫です。１の方はシステムの復元用バックアップに隠れたファイルですのでシステムの復元を一旦無効にし、再スキャン後に元に戻すのが定石です。２についてはTemp、つまり一時ファイルにあるファイルですから、エクスプローラなどでアクセスし、直接ファイル自体が削除出来ればOKです。

もし直接削除が出来ない場合は、OSをセーフモードで起動後に削除を行うとできる場合があります。

あとは…レジストリ関係も見ておいたほうが良さそうです。
基本的にウィルス関係が常駐するのに使うレジストリキーは次のようなものが殆どです。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

これらのキーに怪しいものが登録されていないかどうか確認し、あれば削除すると良いです。レジストリエディタ上からも行えますが、次のソフトを使うとより楽に出来るかと思われます。
http://www.h3.dion.ne.jp/~hanagex/dev/systemtool/vwacsx/index.html

ウイルス本体が起動してしまっていて削除できない場合も、このツール上から終了させて、OS起動時に常駐させるためのレジストリキーの削除まで出来ます。

更に、サービスの方にも怪しいものがないかどうか確認するといいかも知れません。上記のツール上からも確認できますが…WindowXPだったらスタートメニューの『ファイル名を指定して実行』から
msconfig
を実行して『サービス』タブからも確認出来たと思います。大方ファイル名と同じになってると思いますが…『説明』の項目も空白になってるような変なサービス名がないか確認してみてください。

もし変なサービス名があったら…ちょっと対処が難しくなります。レジストリエディタから関連キーを捜して削除しようとしても出来ません。regedt32というツールを使うと可能なんですが…ちょっとややこしい。

そういう時は、次のフリーウェアを使ってみてください。
http://www.vector.co.jp/soft/win95/util/se294685.html

次のように使ってみてください。
１）適当なフォルダを作って（"c:\program files"内がいいでしょう）圧縮ファイルを解凍し、sha.exeを起動します。タスクトレイにアイコンが出るので、右クリックして"Open"を選択します。
２）右下にいくつかある項目の中の『ReportMode』にチェックを入れます。すぐに画面左側の表示が変わる筈です。
３）先程見つけた怪しい項目名と同じものがないか探します。項目数が膨大ですが頑張ってください。見つかったら項目を右クリックすると『キーの強制削除』という項目が出ますので選択すれば該当するキーが消えます。くれぐれも消すキーを間違わないようにしてください。事前にレジストリのバックアップを取っておいたほうがいいかも。

もし、上記ソフトの本来の使い方に興味があったらヘルプを参照してください。どちらかというとある程度の知識がある中級者向けだと思いますが。

今回の検出への対処はは、同種の検出全般に応用が可能だと思います。全てこの通りに上手く行くとも限りませんが…覚えておいて損はないでしょう。

goold-man · Answer

2)についてはtempファイル（一時ファイル）なので\Temp（フォルダ）内を削除することで問題ないのでは？

1）についての対処は韓国サイトにあるようですが、見ていません。

Trojan.Win32.VB.ffとTrojan,Spy.Win32.VB.mnの対処方法を知りたい。

１のウイルスに関しては、システムの復元を無効にしてください。

ウイルス発見時の定石的対処法の教科書みたいな質問ですね。

2)についてはtempファイル（一時ファイル）なので\Temp（フォルダ）内を削除することで問題ないのでは？

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング