VBS_REDLOF.Aについて

こんにちは！
実はウィルスに感染したみたいなんですけどどうしたらよいのか分らないのでおしえてください！
WindowsXPを使っています。
そしてファイルの検索で「REGEDIT」って入力までしたのですがそれからどうしたらよいのかわかりません。
あと「kernel」と検索をしたら「KERNEL32」「KERNEL32.dll」「KERNEL32.class」というファイルがみつかりました。
これは削除した方がよいのでしょうか？

なんか「Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリ値を削除。
場所： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値：Kernel32="＜Windowsシステムディレクトリ＞\Kernel.dll"」
とかかいてあるのですがやり方がわかりません。
どなたか教えてください。
よろしくお願いいたします。

No.7 回答者： noname#2586 回答日時： 2002/11/15 23:42

お詫びと訂正です。

No.4の私の下段の記述は、OSがWindowsXPですから、以下のように訂正いたします。

上記の操作を行ったあとで、
C:\Windows\system32\kernel.dll
が存在するとすれば、不審です。

上記の操作を行ったあとで、
C:\Windows\system32\kernel32.dll
が存在しているのは、正常です。

大変申し訳ありませんでした。

-----

No.6にて
> 「folder.htt」は「駆除」作業によって「削除」される恐れもある

とご指摘いただきました件ですが、ご紹介された過去ログ、TREND MICRO社のページ、および、Symantec社のページを、注意深く拝見いたしましたが、誠に申し訳ございませんが、事実確認がとれませんでした。また、

> ウイルス名だけを検索対象にしてヒットしたファイルを削除し、あとはレジストリの記述だけでウィルスの活動を殺せる

といった情報も、残念ながら、得ることができませんでした。

No.6 回答者： Hageoyadi 回答日時： 2002/11/15 21:37

#1のhageoyadiです。

私の説明不足でした。
#5のかたの
>「駆除」してください。
>という記述を誤解されているのだと思われます。
ご指摘ありがとうございます。誤解はしてないつもりだったんです。今回のウィルスは既存の「Kernel32.dll」を上書きするほか、システムファイルの「folder.htt」を改変（とは言わないかな？）しますよね？で、ご質問者がご覧になったページでの説明を読む限り、「folder.htt」は「駆除」作業によって「削除」される恐れもあるようです。削除されるとフォルダのweb表示ができないそうなので、それを避けるためにも、ウイルス名だけを検索対象にしてヒットしたファイルを削除し、あとはレジストリの記述だけでウィルスの活動を殺せる、と踏んだからなのですが・・・。
ソースは
http://www.iosnet.ne.jp/~anti-virus/cgi-bin/tree …
の過去ログです。よろしかったら探してみてください。

No.5 回答者： noname#2586 回答日時： 2002/11/15 15:56

回答No.1の４．の対処が誤っています。

おそらく、
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …
の
「３）再起動後、ウイルス検索を行って「VBS_REDLOF.A」で検知したファイルを全て「駆除」してください。」
という記述を誤解されているのだと思われます。

上の記述は、「ウイルス駆除ソフトを用いて、VBS_REDLOF.Aを検出してください。検出されたら、その場で駆除してください。」という意味です。

参考URL：http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

No.4 回答者： noname#2586 回答日時： 2002/11/15 15:11

>ウィルスバスターオンラインスキャンで無料ウィルス駆除ツールってところで2個のウィルスが見つかりましたってでてきたのでそこで削除した

ウィルスバスターオンラインスキャンによって確実に感染ファイルが削除されたものいたしますと、以降の手順を推奨いたします。

1. レジストリのバックアップを行う
Hageoyadiさんの推奨する「scanregw」を使う方法を私は存じませんが、「scanreg」を使う方法は、Windows98でのみ可能です。私は、通常の方法をおすすめいたします。下記の手順1を行ってください。
http://service1.symantec.com/SUPPORT/INTER/tsgen …

2. ウイルスによって改変されたレジストリを修復する
下記「ウイルスによってレジストリに行われた変更を元に戻すには：」をご覧いただき、慎重に操作を行ってください。
http://www.symantec.com/region/jp/sarcj/data/h/h …

3. 残存感染ファイルをチェックする
下記「感染していた場合の対処：（３）」の操作を行ってください。
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

4. ウイルスによって破壊されたファイルを修復する
不幸にもウイルスに感染したため、削除したファイルを、ウイルス感染していないバックアップからコピーし、復元します。バックアップがない場合は、残念ながら、復旧できません。

5. ウイルス感染対策を施す
ウイルス感染対策ソフトを導入してください。

----------

>ファイルを探すところで「kernel」と入力すると「kernel32」とかが４個でてきました。
>これは・・・どっかおかしいのでしょうか

上記の操作を行ったあとで、
C:\WINNT\system32\kernel.dll
が存在するとすれば、不審です。

上記の操作を行ったあとで、
C:\WINNT\system32\kernel32.dll
が存在しているのは、正常です。

いずれにせよ、現段階で「kernel」と検索しても、あまり意味はないと思います。

------

※上記はすべて、OSが、WindowsXPであることを前提としており、かつ、alice-kさんの現状をもとに、私がおすすめする方法です。ほかのかたは、下記参考URLをご覧になり、参考にしてください。

参考URL：http://www.symantec.com/region/jp/sarcj/data/h/h …

No.3 回答者： Hageoyadi 回答日時： 2002/11/15 06:57

>何も見つかりませんってでてきました

>「regedit」と検索すると
いやいや、「検索（F)」ではなく、「ファイル名を指定して実行（R)」です。

大丈夫、きっとできます。

No.2 回答者： noname#2586 回答日時： 2002/11/14 23:03

あわてて、むやみにシステムファイルの削除をしたり、レジストリの変更をしたりせず、落ち着いて状況を把握しましょう。

>実はウィルスに感染したみたい
1. あやふやなので、まず、本当に感染したのか、確認します。ウイルス駆除ソフトのパターン定義を最新版にして、システム全体をスキャンしてください。何も検出されなければ、大丈夫ですので、ここで終了です。本当にウイルスがいたら、駆除してください。

2. ウイルスが行った破壊活動を修復します。レジストリという、OSにとってきわめて重要なデータを操作するので、必ずレジストリのバックアップを行ってください。方法は下記をご覧ください。
http://service1.symantec.com/SUPPORT/INTER/tsgen …

3. ウイルス感染により削除したシステムファイル、および、ウイルスによって変更されたレジストリを元に戻します。方法は下記をご覧ください。
http://www.symantec.com/region/jp/sarcj/data/h/h …

※なお、文中のHTML.Redlof.Aは、VBS_REDLOF.Aのことです（別名です）。同じ物を指します。
※くれぐれも、操作は慎重に行ってください。

参考URL：http://www.symantec.com/region/jp/sarcj/data/h/h …

この回答への補足

丁寧にありがとうございます。
１なのですがウィルスバスターオンラインスキャンで無料ウィルス駆除ツールってところで2個のウィルスが見つかりましたってでてきたのでそこで削除したのですが友達がいうには削除はできても駆除はできないということなので駆除したいと思いいろいろとやってみたのですがファイル名を指定して実行ってところで「scanregw」って入力しても見つかりませんとでてきます。
その代わりファイルを探すところで「kernel」と入力すると「kernel32」とかが４個でてきました。
これは・・・どっかおかしいのでしょうか（泣）

補足日時：2002/11/14 23:32

No.1 回答者： Hageoyadi 回答日時： 2002/11/14 22:20

えーと

http://www.trendmicro.co.jp/vinfo/virusencyclo/d …
をご覧になったのですよね？

レジストリのバックアップを念の為。
１.Windowsのスタートボタン　→　「ファイル名を指定して実行」
　　入力欄に「scanregw」と入力し、ＯＫを押す。
　　「バックアップデータを作りますか？」と尋ねるダイアログが表示されれば、「はい」を押す。
　　これでバックアップ完了です。
２．レジストリエディタの起動。
　　ウイルスを削除するために起動します。
　　起動方法は、Windowsのスタートボタン　→　「ファイル名を指定して実行」
　　入力欄に「regedit」と入力し、ＯＫを押す。
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Runと順に進み、
　　（ちょうどWindowsのエクスプローラのような構造になってます）
　　右のウィンドウの「kernel32」を選択し、右クリック。
　　削除を選択し、削除完了。
３．再起動。
４．Windowsのスタートメニュー　→　検索　→　ファイルやフォルダ。
　　入力欄に「VBS_REDLOF.A」と入力。
　　ファイルを検索。
　　私の場合は検索されなかったので、何もせず終了。
　　ここでこのファイルが見つかった場合は、全て削除が必要なようです。
５．自分のパソコンに保存しているＨＴＭＬデータを修正。
　　感染しているＨＴＭＬを表示すると、また感染するので、メモ帳を起動し、その後ＨＴＭＬを表示。
　　１つ１つ全てのＨＴＭＬファイルからウイルスのしわざの変なＨＴＭＬを削除しました。
　　こいつはものすごい根気を要します。イヤならクリーンインストールのほうが手っ取り早いかも。
　　全てが終わるまで感染したＨＴＭＬは表示しないようにしましょう。
６．駆除完了。


こんな流れですが、よろしいでしょうか？

この回答への補足

丁寧にありがとうございます。
それでですね、１の操作をして「scanregw」と入力すると何も見つかりませんってでてきました。
その後、「regedit」と検索するとHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Runとはでてこないで灰色のファイルのような形で「.dll」って英語でかかれた拡張子のようなものがたくさんでてきます。
これは・・・どうしたらよいのでしょうか（泣）

補足日時：2002/11/14 23:27