hosts ファイルが、アプリケーションを起動するたびに消えてしまいます。

C:\WINDOWS\System32\drivers\etc 内のhosts ファイルが、アプリケーションを起動するたびに消えてしまいます。
社内のパソコンで Windows XP Pro SP2 を使用しています。支社から本社にあるサーバへの接続のため、C:\WINDOWS\System32\drivers\etc 内の hosts ファイルに本社のサーバーの名前を登録して名前解決していましたが、ある日突然、ホスト名でのアクセスができなくなりました。そこで、C:\WINDOWS\System32\drivers\etc 内をのぞいてみたところ、hosts ファイルがなくなっていたので、新規に作成してホスト名でのアクセスを試みましたが、それでもアクセスできません。そこで再度フォルダ内を見てみたところ、hosts ファイルが消えていました。さらに色々と確かめた結果、C:\WINDOWS\System32\drivers\etc 内の hosts ファイルがあらゆるアプリケーション（まさに全てのアプリケーション。メモ帳でも電卓でもです。）を起動するたびに消えてしまうのです。フォルダを開いて様子を見てますと、アプリケーションを起動するたびにまさに目の前で hosts ファイルだけが消えてしまいます。フォルダ内の他のファイルは、全く問題ありません。C:\WINDOWS\System32\drivers\etc\hosts ファイルがピンポイントで消えてしまいます。スパイウェア等の悪質なプログラムの存在を疑い、ウィルスバスター2007、スパイボット、カスペルスキーアンチウイルス6.0 でスキャンしてみましたが、気になるものは検出されませんでした。全く摩訶不思議で不可解な現象なので、途方にくれています。尚、今現在、２台（それぞれ別の支社）のパソコンで同じ現象が発生しています。どなたか、アドバイス、情報の方をよろしくお願い致します。

No.2 ベストアンサー 回答者： mamutti 回答日時： 2007/08/23 17:43

SWORDFISH8さんと同様の現象が私の会社のパソコンでも起きました。

うちの場合はクライアント800台中、3台で発生しています。
発生したのは一週間くらい前です。

私もウィルスやスパイウェアを疑い「Adaware」「Spyware Doctor」
「スパイボット」「McAfee Managed Total Protection」で
検索したのですが検出されませんでした。

環境の違うSWORDFISH8さんと同じ現象が出ているとなると
新種のウィルスか何かなのかも知れませんね。

こちらでも「filemon」でログをとって見ましたので載せます。
状況としては「Word」を新規で立ち上げて「hosts」
が消えるまでのログになります。

14117:32:36explorer.exe:1592WRITE C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Microsoft Word.lnkSUCCESSOffset: 0 Length: 2425
14217:32:36explorer.exe:1592DIRECTORYC:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick LaunchNOTIFY ENUM DIRChange Notify
14317:32:36explorer.exe:1592CLOSEC:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Microsoft Word.lnkSUCCESS
14417:32:36explorer.exe:1592DIRECTORYC:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick LaunchChange Notify
14517:32:36explorer.exe:1592QUERY INFORMATIONC:\Documents and Settings\AdministratorSUCCESSAttributes: D
14617:32:36explorer.exe:1592OPENC:\WINDOWS\system32\drivers\etc\HostsSUCCESSOptions: Open Access: 00010080
14717:32:36explorer.exe:1592QUERY INFORMATIONC:\WINDOWS\system32\drivers\etc\HostsSUCCESSFileAttributeTagInformation
14817:32:36explorer.exe:1592DELETE C:\WINDOWS\system32\drivers\etc\HostsSUCCESS
14917:32:36explorer.exe:1592CLOSEC:\WINDOWS\system32\drivers\etc\HostsSUCCESS
15017:32:36explorer.exe:1592DIRECTORYC:\WINDOWS\system32\drivers\etcChange Notify
15117:32:36svchost.exe:1112DIRECTORYC:\WINDOWS\system32\drivers\etcChange Notify

この回答へのお礼

mamutti さん、情報の方、ありがとうございます。
まさに同じ現象ですね。
私もあれから色々と試してみましたが、以下のサイトを参考に処理したらあっさりと復旧してしまいました。
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …
やはり、新種の悪質なプログラムだったようです。

お礼日時：2007/08/24 13:38

No.1 回答者： pakuti 回答日時： 2007/08/23 00:48

詳細は調べるのが面倒なので割愛

レジストリで、32ビットプログラムを動かす際に
決められた動作を行う　と言う項目があったはずです。
以前、ウイルスでその部分を書き換えてしまうものがいました。

ウイルス対策ソフトは既知のものしか検知しません。
filemonで何が起こっているのかを追ってみてはいかがでしょう？

追加で、セーフモードでも同じ現象が発生しますか？

この回答への補足

情報の方、ありがとうございます。filemon を試してみようと思います。
セーフモードで起動しても、全く同じ現象が起こります。

補足日時：2007/08/23 09:44