深刻なシステムエラー。ウィルス？

Question

友人の写真データをもらおうと、自分のUSBメモリを友人に渡し、友人が写真を入れたものを先日受け取りました。渡す前のメモリに異常はありませんでした。
今日、その写真データを見ようとUSBメモリを差し込んだところ、その中のデータフォルダを開くごとにウィルスソフトがウィルスを検知し、「隔離しました」とのデータが出るようになりました。

隔離されたから安全かとも思い、そのままデータを閉じたり開いたりの作業を繰り返していると、突然パソコン画面が真っ黒になり、一瞬中央に青地に白文字で英語が書かれている長方形画面が出た後に落ちてしまいました。

自動でまた起動して、不安に見つめていたところ、windowsのエラー報告画面が出て、「システムは深刻なエラーから回復しました」との文字。
そしてブラウザが自動で開かれ(シャットダウン時にも開いていたから?)Microsoft Windows Error Reportingのページになりました。
そこに書かれていることは、「Problem caused by antivirus software」


Although we have not determined the specific cause of this problem, we know the problem was caused by antivirus software.

Recommendation

To try to solve this problem, follow these steps. One step might solve the problem, but if it doesn't, then go on to the next step.

   1. Update your antivirus software
   2.  Check for multiple antivirus programs running on your computer
   3.Contact the antivirus manufacturer

      If you've completed the previous steps, we recommend you contact the antivirus manufacturer directly for additional support.

To see a list of Microsoft and third-party solutions for spyware, adware, and antivirus software, go to the following website online.

Security software: Downloads and trials 

だとすれば、ウィルス対策ソフトのせいでシステムエラーが起こったということでしょうか。アップデートなど対策状況に問題はないはずなんですが。
友人から返ってきたUSBメモリには何ら問題はないのでしょうか。
今はUSBメモリは外していますが、プリントなど作業が残っており、また接続したいのですが問題ないのでしょうか。


ウィルス対策ソフトはNTT西日本のセキュリティ対策ツール（トレンドマイクロ社と提携）検知されたウィルス名はpytdfse0.dllとierdfgh.exeです。
エラー署名なども記録してあるので、必要な場合補足いたします。

今髪を染めているところで、そろそろお風呂に入らないと髪色が大変なことになりそうです。できるだけ早くお風呂から上がって補足・お返事します。
よろしくお願いします。

megatoron · Accepted Answer

ierdfgh.exeですか
今流行のusbメモリウィルスですね
一昔前の、CD-Rウィルス(主に違法なソフト交換会で流行ったのですが）と仕組みが同じでパソコンのオートラン機能を悪用したものなのですが・・・
青い画面は、ブルースクリーンといってOSが深刻なダメージ（windowsの使用するファイルやレジストリデータの破損および欠如等）を受けた場合にそれ以上OSへのダメージが広がらないようにするために表示します。
さてさて、問題のierdfgh.exeの駆除の仕方ですが
以下のステップで作業を行ってください
STEP1
　システムの復元を無効にする
STEP2
　システム構成ユーティリティ（msconfig）を開きスタートアップの　場所でierdfgh.exeのチェックをはずす。
STEP3
　PCをセーフティーモードで再起動。
　そしてレジストリキー操作（regedit）で不可視属性ファイルを見　えるようにする。
STEP4
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
　\Explorer\

　Advanced\Folder\Hidden\SHOWALL\"CheckedValue"

　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion
　\Explorer\

　Advanced\"Hidden"

　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion
　\Explorer\

　Advanced\"ShowSuperHidden"
　の値をすべて1にする
STEP5
　スタートボタンを右クリックしエクスプローラを立ち上
　げ、system32内のierdfgh.exeとマイコンピュータ内autorun.infを　削除。
STEP6
  通常起動しシステムの復元を有効にする

以上です。
分からないことがあれ補足で聞いていただければ、できる限り早急にお答えします。

siba_rocky · Answer

回答番号No.8です。
私への返答を含め、あなたの返答状況を見ていると、正直なところ、こういった質問掲示板での満足のいく解決は無理だと思います。
お金を払ってプロに来てもらって直してもらうか、リカバリ（いわゆる初期化・再インストール）をするしかないでしょう。
もうリカバリする方向でお考えのようですが、ネット接続設定だとかバックアップだとかは大丈夫でしょうか？
リカバリはよく気軽に「やれ」と言われますが、元の環境を取り戻すのはかなり大変ですよ。
まぁ今回のは痛い勉強だと思うしかないのでしょう。
とりあえず、先の回答にもあった「USBメモリチェッカー」を作っておくのは割と有効です。
私も作りましたが、実際のデータをコピーする前に、そのパソコンが感染してないかどうかがすぐにわかります。用心されるなら作っておいたほうがいいですよ。

megatoron · Answer

No.8のkentan384さんがpytdfse0.dllについて述べられていますが、.dllという拡張子のファイルはダイナミックライブラリといってプログラムを拡張するためのパーツのようなものです。
なので単体では何もできないので放置しても大丈夫なのですが・・・
しかしながら再インストールは私もおすすめします。
時間はかかりますが、確実かつ簡単な方法です。
それとこれが一番言いたいことなのですが、次回からはオートランを無効にしてこの手のウィルスに対策をとりましょう。

kentan384 · Answer

何か勘違いされているようなので、・・・・具体的な駆除や対処法は、先輩諸氏が提言されていますから私は、何も申しません。

検索してというのは、ｗｅｂ検索を根気よくして、対処、削除法を探してくださいという意味です。

アンチウイルスソフトの無効化とは、ウイルス検出能力の無効化であって
見た目は、有効に見えるでしょう。
つまり、感染していても検出されないということです。必ずしも無効化しているとは言いませんが、その可能性はわずかながらでもあるということです。

pytdfse0.dllですが、どなたからもご指摘がないようですね。
検出されたということは、誤検出なのかもしれませんが、このファイルに
寄生している可能性が多分にあり、またそのものズバリ、ウイルスだったりします。。おそらくトロイでしょう。
PWS-Gamania.gen.gというトロイの亜種がpytdfse0.dllの名前を騙ります。
がしかし、これだという確証は、私にはありません。ｗｅｂ検索してください。

go to the following website online.
次の支持者ｗｅｂサイトのオンラインへ
Security software: Downloads and trials
セキュリティソフトウェア、ダウンロードして試せ。

方向性を示しています。
つまり、オンラインスキャンを試してください。ということですね。
これは、簡単に見つかります。しかも無料で利用することができます。
物によっては、広告がうるさかったり、悪質なものは、スパイウエアを仕込んでいるものがありますから気をつけてください。
メジャーなものならまず心配はありません。検出力でいくとカスペルスキーオンラインですが、駆除はできません。
ここで、検出されたものを控え、駆除ができるオンラインスキャンもお試し、
また、ｗｅｂ検索で自力で駆除、対処してみるのも努力です。

対処できたら、やはり近いうちにＯＳの再インストールをお勧めしておきます。
ウイルス禍を払拭するには、一番の方法ですよ。レジストリの最適化もしっかりなされますよ。

siba_rocky · Answer

駆除は相当難しいです。
セキュリティ対策ツールででも駆除できるかどうかです。
起動するための実体ファイルは、検出されたものとはまた別にありますので、これだけ削除してもまた復活します。

XPですよね？
とりあえずスタートメニュー→ファイルの検索。
「ファイルとフォルダすべて」で詳細設定オプションから
・システムフォルダの検索
・隠しファイルとフォルダの検索
・サブフォルダの検索
を全てチェックを入れます。
その上で、「ファイル名の全てまたは一部」に
autorun.inf
と入力。
「c:\autorun.inf」があったなら、それを右クリックして「プログラムから開く」で「notepad」を選び「OK」。
かなりぐちゃぐちゃの内容かと思われますが、編集メニューの「検索」から「open」を入力して検索。
たとえば、「open=uvg.com」とかいった文字があれば、それが感染実行用プログラムの名前ですので、その名前を控えておいてください。
まだ感染してると思いますので、USBメモリも接続した上で、また先ほどの、スタートメニューからファイルの検索。
今度は検索場所をUSBメモリに。
たとえば、控えておいたのが「uvg.com」だったなら、「ファイル名の全てまたは一部」に
autorun.inf,uvg.com
と入れて検索。
出てきたファイルは全て削除。
さらに検索場所を「ローカルハードドライブ」にして再検索。
出てきたファイルは全て削除。
これでウイルスは復活しないはずなので、USBメモリを抜き、
「システム構成ユーティリティ（msconfig）を開きスタートアップの　場所でierdfgh.exeのチェックをはずす。」
をもう一度確認して、他に「mmvo.exe」もあるならチェックをはずして再起動です。

再起動したら、真っ先にスタートメニューからファイルの検索。
autorun.inf,uvg.com,ierdfgh.exe,pytdfse0.dll,mmvo.exe
を検索して、出てきたファイルを全て削除。
これでとりあえず動きはとめられているはずです。
再起動して、もう一度同じファイルの検索をしてみて、何も出なければウイルスの感染活動は止まるはずです。

あとは、
http://orbit.cocolog-nifty.com/supportdiary/2009/03/usb-0118.html
こちらの記事を参考に、感染チェッカーを作って、パソコンが感染活動を止めているかを確認しましょう。
要は「書込み禁止状態のUSBメモリ」ですので、これでなにもしていないのに「書き込みできません」エラーが出るなら、感染しています。出なければ大丈夫です。

USBメモリ内のウイルスは…先ほどの駆除操作で消えているはずですが、Linuxなどの、このウィルスに感染しないパソコンでないと、本当にautorunファイルが消えたかどうかはわかりません。
一応、このタイプのウイルスは、他のファイル、たとえば画像ファイルなどには感染しませんので大丈夫です。
ただ、先ほどのチェッカーなどで感染活動が止まっているかどうか確認できていないならば、CD-Rなどで他へファイルを送るのは避けたほうが賢明です。

一応、ご参考まで。
これで解決できればラッキーなのですが。

megatoron · Answer

No.4です
検索するだけではなく、自力でも探し出してください。
どこかにあるはずです。
外国サイトでは以下のディレクトリのファイルがierdfgh.exeのものであると記載しています。
%System%\ierdfgh.exe
%Temp%\a81lkgv.com
c:\3yseow89.exe
c:\a81lkgv.com
c:\fmg83i.exe
c:\ixw.exe
c:\las99dn3.com
c:
.exe
c:
t.com
c:\vb8jc.exe

こいつはどうやらトロイの木馬のようです。
USBを介して感染するタイプのトロイなのでわりと新しいものです。
早急に削除してしまいましょう。
それとどうやらこのトロイ中国産のようです。
しかもわりとまだマイナーなものだと思われます。(一応クラッカーコミュニティーでそれらしきものはみつけましたが・・・）

violet430 · Answer

>OSの再インストールは何としても避けたいところなんですが

一度感染したら不安にはならないですか？
ウイルスの駆除が終わったら、落ち着いてバックアップを取り、再インストールした方が良いですよ。

noname#83348 · Answer

ANo2です。

＞私のパソコンはこれからもトラブルなく使えますでしょうか？
ANo2の回答の通りです。
ウイルスの名前からも分かるとおりWindowsにしか感染しません。
Windows以外の環境で作業すればウイルスは動けません。

kentan384 · Answer

ierdfgh.exeは、ＵＳＢから感染するウイルスです。
レジストリの改変もあります。

pytdfse0.dllは、少し調べましたが、どうも感染したファイルのようで
特定できませんでした。トロイのようですが、こちらもレジストリを改変しているようです。

ＵＳＢフラッシュメモリですか。お使いにならないほうがいいと思いますがね。ダブルクリックするだけで感染しますよ。

＞Problem caused by antivirus software

問題のアンチウイルスソフトが原因で発生。とでも訳せばいいのでしょうか。
ウイルスがいると知りつつ使い続けたためアンチウイルスソフトが異常でも起こしたのでしょうかね。
ウイルスによっては、アンチウイルスソフトを攻撃するものもあるようです。
つまり、保身のためアンチウイルスソフトの無効化。
よって、アンチウイルスソフトをアップデートしろなんてことを言っているのでしょうか。

駆除、対策がわからなければ、何もかも捨てて、ＯＳの再インストール。
それができないようなら、根気に検索して（なるべくなら他のＰＣで・・・感染拡大防止）駆除法、対策を見つけてください。

それと、これからはＵＳＢフラッシュメモリの貸し借りは、やめましょうね。
今、蔓延していますから。とにかく、改善できたとしてもリカバリをお勧めしておきます。もちろんデータを戻すときは、しっかりセキュリティチェックしてください。もし、寄生していたらあきらめましょう。

noname#83348 · Answer

＞ウィルス対策ソフトのせいでシステムエラーが起こったということでしょうか
どうでしょうか。
ウイルスの方が1枚上手だった感じです。

＞友人から返ってきたUSBメモリには何ら問題はないのでしょうか。
危険ですね。

＞プリントなど作業が残っており、また接続したいのですが問題ないのでしょうか。
スタンドアロンで作業してください。
被害はそのパソコンだけでとどまります。

ウイルスの名前からも分かるとおりWindowsにしか感染しません。
Windows以外の環境で作業すればウイルスは動けません。



対応事例
http://orbit.cocolog-nifty.com/supportdiary/2009/02/usbierdfghexe-m.html
うぁメンドー臭い。

深刻なシステムエラー。ウィルス？

ierdfgh.exeですか

回答番号No.8です。

No.8のkentan384さんがpytdfse0.dllについて述べられていますが、.dllという拡張子のファイルはダイナミックライブラリといってプログラムを拡張するためのパーツのようなものです。

何か勘違いされているようなので、・・・・具体的な駆除や対処法は、先輩諸氏が提言されていますから私は、何も申しません。

駆除は相当難しいです。

No.4です

>OSの再インストールは何としても避けたいところなんですが

ANo2です。

ierdfgh.exeは、ＵＳＢから感染するウイルスです。

＞ウィルス対策ソフトのせいでシステムエラーが起こったということでしょうか

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング