改変されたレジストリを修復したい

常日頃、Security対策を行っていたつもりなのですが、
主人が会社でウィルスに感染し、気になったついでにシマンテックのオンラインスキャンを行ったところ、
気付かぬうちにウィルス(山田ウイルス?)に感染しており、svchost.exeファイルが常時実行され、
隠しフォルダやファイルを表示できないようにレジストリの改変をされていました。

OS:WindowsXP Professional Sp2
IE:Version7.0
Security対策ソフト:NTT西日本セキュリティ対策ツール

<<試みた事>>
・svchost.exeファイルの停止および関連レジストリ、実行ファイル削除
・Explorerにおいて「フォルダオプション」の
　「すべてのファイルとフォルダを表示する」にチェックを入れし、
　適用、OKと行う。
・ WINDOWS/system32/drivers/etc内のhostsファイルも修正。

<<結果>>
・svchost.exeファイルの実行は停止完了。
・ファイル表示に関しては、「隠しフォルダと隠しファイルを表示しない」にチェックが戻る。

色々と検索してみると、レジストリを直接修正するように促しているサイトを見るのですが、
肝心の方法が見当たりません。
そこで隠しファイルの表示非表示の変更をさせないように書き換えられたレジストリを、修正する方法を教えて頂けないでしょうか。

また、今回の対応は、これだけで十分でしょうか?
その点もご指導頂けると助かります。

どうぞよろしくお願いいたします。

No.7 ベストアンサー 回答者： HDKYZK1978 回答日時： 2007/07/15 12:50

これを試してみてはいかがでしょうか。

「Windows Live OneCare PC セーフティ」でレジストリを最適化
http://gigazine.net/index.php?/news/comments/200 …

この回答へのお礼

何度も、ありがとうございます。

WEB上では、スクリプトエラーが表示され、実行できませんでしたが、
DLして実施致しました。

スクリプトエラー：
ライン 2　文字 1　エラー 文字が正しくありません コード0　URL about:blank
ライン 38　文字 1　エラー オブジェクトを選択してください コード0　URL about:blank


しかし、結果は変わらずで、他サイトを検索していて実施した下記内容も悪化し、
どうにもこうにもクリーンインストールしか無いように思えてきました。

ウィルス対策ソフトやルータも導入し、
Winnyなどのファイル共有ソフト等も一切使っていないのに、
こんな状態になってしまうなんて・・・悲しすぎます。

本当にありがとうございました。

【元症状】
外付けドライヴがダブルクリックで中身が展開するのではなく、
ファイルを開くプログラムの選択が出てしまう。
右クリックを確認したところ、auto設定が追加されていた。

【対応】
フォルダオプションのファイルの表示で、ドライヴの詳細に「find」と「JSファイル検索ツールで検索」しかなかったため、
追加で「open(対応アプリ:iexplore.exe)」を追加してみた。

【結果】
外付けドライヴが(ダブルクリックで)開かないばかりか、
他の内蔵ドライヴもダブルクリックで開けなくなり、
追加した「open」も削除できない状態に陥ってしまった。
※explorerの「フォルダ」を選択し、左画面にフォルダを展開した状態からでは、ドライヴの中身も確認すること、操作することは可能です。

お礼日時：2007/07/16 11:52

No.9 回答者： HDKYZK1978 回答日時： 2007/07/16 20:55

参考になるかは分かりかねますが

Symantec のサイトに以下のツールが公開されています。

shell\open\command レジストリキーのリセットツール
http://www.symantec.com/region/jp/sarcj/data/t/t …

注意事項をよくお読みになってください。
全ての操作は自己責任でお願いします。
それではご参考まで

この回答へのお礼

度重なるご回答頂き、ありがとうございます。

夕方からOSのインストールを行い、何とか復旧しました。

が、まだ何となく後味が悪いというか、いい気持ちがしないので
折を見て、RESTOREするつもりでいます(>_<)

ウィルススキャンでも何も検知しないのですが、何だか気味が悪くて。

悲しい事に、OSインストール後はネットにも繋げなくなってしまい、
踏んだりけったりです。

フレッツ光プレミアムなんですが、無線は繋げても有線がだめなんですよ。
変ですよねぇ。これはそのうち時間を見てチェック致します。

本当にご尽力頂き、ありがとうございました。

お礼日時：2007/07/16 23:03

No.8 回答者： HDKYZK1978 回答日時： 2007/07/16 13:07

＞Security対策ソフト:NTT西日本セキュリティ対策ツール

ちょっと調べたところ これはウイルスバスターですね。

＞どうにもこうにもクリーンインストールしか無いように思えてきました。
もう焦心しきってお悩みになられていることお察しいたします。

＞C:\WINDOWS\SVCHOST.EXE は　W32.Nomvar に感染しています
ウイルス名がわかるのなら対策もできるのではと思います。
以下の URL は Symantec のサイトにある W32.Nomvar の駆除方法です。

W32.Nomvar -駆除方法
http://www.symantec.com/ja/jp/enterprise/securit …

当方の以前の回答とかぶる部分があります。
全ての操作は自己責任でお願いします。
また何かありましたら補足等してください。
ご健闘をお祈りしています。

No.6 回答者： HDKYZK1978 回答日時： 2007/07/14 22:56

念のためレジストリ ファイルのバックアップをとってください。

1. [スタート] - [ファイル名を指定して実行] をクリックする。
2. [名前] 欄に regedit と入力して [OK] ボタンをクリックする。
3. [レジストリ] - [レジストリファイルの書き出し] をクリックする。
※ Windows XP の場合は、[ファイル] - [エクスポート] をクリックしてください。
4. [保存する場所] を [デスクトップ] にする。
5. [書き出し範囲] 項目で、ラジオボタンの [すべて] をクリックする。
※ Windows XP の場合は [エクスポート範囲] 項目で、ラジオボタンの [すべて] をクリックしてください。
6. [ファイル名]ファイル名に regback と入力して [保存] をクリックする。
7. レジストリエディタを閉じる。

上記操作により regback.reg という名前のファイルがデスクトップ上に作成されます。
レジストリの編集を誤った場合、コンピュータを再起動する前にこのファイルをダブルクリックしてください。
レジストリが編集前の状態に復元されます。

＞種類が違うのは問題ないでしょうか?
これが正常な種類だと思います。

レジストリエディタの以下のキーを展開

HKEY_USERS\S-1-5-21-583907252-1417001333-725345543-1003\
Software\Microsoft\Windows\ShellNoRoam\MUICache

右画面に

名前 　　　　　　　　種類　　　データ
[@shell32.dll,-30500] - [REG_GZ] - すべてのファイルとフォルダを表示する
[@shell32.dll,-30501] - [REG_GZ] - 隠しファイルおよび隠しフォルダを表示しない

の2つがありますか？

この回答へのお礼

ありがとうございます。
早速、ご指示通り行ってみたところ、
結論としては、二つのファイルはあります。

ただ、ご指摘いただいたレジストリのキーの内容が異なりますが、
その点は大丈夫でしょうか? お尻の1003はあっていました。
HKEY_USERS\S-1-5-21-xxxxxxxxx-xxxxxxxxx-xxxxxxxxx-1003
また、同じフォルダ内の種類はほぼ全てREG_SZです。

お手数をおかけして申し訳ございません。
どうぞよろしくお願いいたします。

お礼日時：2007/07/15 00:50

No.5 回答者： HDKYZK1978 回答日時： 2007/07/14 21:52

以下のレジストリキーを展開してください。

HKEY_LOCAL_MACHINESOFTWARE\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN

展開したキーの右欄に以下の DWORD 値 と文字列がありますか？

　　名前　　　　　　　　種類　　　　　　データ　
[CheckedValue] = [REG_DWORD] = 2
[DefaultValue] = [REG_DWORD] = 2
[ValueName]　 = [REG_GZ]　　= Hidden

なければ右欄についかするかデータを修正してみてください。
全ての操作は自己責任でお願いします。

この回答へのお礼

ありがとうございます。

[ValueName]　 = [REG_GZ]　　= Hidden
　　　　　　　 [REG_SZ]
種類が違うのは問題ないでしょうか?
どちらにしても、データは同じ数値なんですよ。
と言うことは、レジストリでもないのでしょうか。

クリーンインストールをしている時間が足らないので、
どうにかしたいのですが、きびしそうですね。

ありがとうございました（*^_^*)

お礼日時：2007/07/14 22:26

No.4 回答者： HDKYZK1978 回答日時： 2007/07/14 17:54

＞差しあたって、隠しファイルの表示非表示の変更はご存じないでしょうか?

http://www.sharp.co.jp/support/mebius/tips/tips- …

この回答へのお礼

ありがとうございます。

ただ、ご指摘の内容はすでに実行しておりまして、
この変更ができないようにレジストリを書き換えられているようなのです。

レジストリの修正方法を伺えれると助かるのですが。

お礼日時：2007/07/14 17:57

No.3 回答者： Ace1 回答日時： 2007/07/14 17:12

クリーンインストールをお奨め致します。

手動では完全には削除出来ないと思います。
暴露ウイルスですので、ＰＣ内のものは総て外ｈｗ持って行かれておりますので、重要なものを入れていたならば、総て変更される事をお奨め致します。

この回答へのお礼

ご返信ありがとうございます。

新しいマシンが月末に届くのですが、それまではこのマシンのみしか利用ができず、
それ以降、クリーンインストールする予定でおります。

仕事のデータがたくさん入っているのですが、やはり危険ですよね・・・。

ルーターを介していたのですが、それでも持っていかれている可能性は高いのですよね。

hostsファイルの変更日付を見る限りでは、3か月程経過しており、途方に暮れています。

差しあたって、隠しファイルの表示非表示の変更はご存じないでしょうか?

お礼日時：2007/07/14 17:41

No.2 回答者： yoshi-thk 回答日時： 2007/07/14 16:41

＞シマンテックのオンラインスキャンを行ったところ、

＞気付かぬうちにウィルス(山田ウイルス?)に感染しており、

山田ウイルスであれば、どのメーカーのウイルス対策ソフトでも対応してますが。
シマンテックでチャックした結果、ウイルスが検出されたのであれば、ウイルスの名前を補足してください。
きちんとしたウイルスの名前が分かれば、ウイルス情報や対処方法が、シマンテックの場合出ています。

この回答への補足

遅くなりました。

「C:\WINDOWS\SVCHOST.EXE は　W32.Nomvar に感染しています。」と
表示されます。

補足日時：2007/07/14 18:11

この回答へのお礼

ご返信、ありがとうございます。
ウィルスの名前を控えていたのですが・・・消してしまったので、
再度チェックし直して掲示したいと思います。

対処方法を実施も済ませているのですが、
隠しファイルが表示できない事が困っていまして、ご相談させていただきました。

後ほど、また補足を記入させていただきます。

お礼日時：2007/07/14 17:49

No.1 回答者： HDKYZK1978 回答日時： 2007/07/14 16:14

山田ウィルスとは？ -駆除方法あり

http://www2.atwiki.jp/kawaisosu/pages/208.html#n …

この回答へのお礼

ありがとうございます。
一通り、確認はして、ウィルスが動いていない様子なのですが。

仕事上隠しファイルを表示できなくて困っているのです。

お礼日時：2007/07/14 17:37