ウイルス感染しました。ファイルサルベージの方法を教えて。

質問です。大変困っています。どうか助けて下さい。
winXPマシンがウイルスに感染しました。
あるファイルを実行すると、なにかおかしなことが起こって、そのあと、フォルダ見ると、そのフォルダのファイルの拡張子がみんなpngに変わっていました。
どうやらパソコン起動中にどんどん、ファイルをpng変換していっているようです。
しばらく調べて怪しいと思って電源を切ったのですが、いくつかのファイルはやられてると思います（中をよく見てないので分かりませんが）
あとでわかったことですが、このウイルスは対策ソフトでは検知出来ないウイルスだそうです。

ただ、無事なファイルもいくつかあると思います。
それら無事なファイルを新しいHDDにサルベージしようと思います。
で、やり方なのですが・・・

●感染していない別のHDDをマスターで、感染しているHDDをスレイブにして起動。感染してないマスターHDDで、感染しているHDDを見て、無事なファイルを抜き出す。

というのを考えています。これでいけるでしょうか。心配なのは感染HDDをスレイブで起動しているにもかかわらず、やっぱりウイルスが動作して
png増殖が発動することです。
感染したHDDをスレイブにしていても、ウイルスって発動するものでしょうか？
（knoppixというヤツで起動し、ファイル移動すればより安心という情報も得たのですが、knoppixだと、動画を再生できない、テキストファイルの日本語が読めない、などで作業になりそうにありません。ですので上記の方法でできるだけやりたいです。）

No.1 ベストアンサー 回答者： wildcat-yp 回答日時： 2009/10/10 23:16

そもそも、対策ソフトで検知できないウイルスって？

現時点のパターンではということですか？
それを待ってから作業するべきでしょうね。

スレーブに接続してもウイルスが発動する可能性はありますよ。
結局はウイルスそれぞれの対応になりますので、一概には言えません。

基本的には、スレーブに接続しても全くアクセスしなければ感染の可能性はかなり低くなりますが、ファイルを移動したり、OSが自動的に巡回したりする際にそのウイルスのコードをメモリに読み込みますので、それだけで感染する可能性があります。

普通はウイルスに感染したPCは一度フォーマットし、データをすべて削除してからOS再インストールします。

スレーブでどうしても接続したい場合は、そのマスター側のOSに最新のウイルス対策ソフトを入れ、確実にそのウイルスを検出できるようにしたうえで、そのスレーブのHDDを全検索し、問題のウイルスを駆除してからファイルを取り出してください。

その後、やはりスレーブ側のHDDはフォーマットした方が安全です。
圧縮ファイルの中等、うまく対策ソフトで検出できない場所にウイルスがある可能性もありますので。

ちなみに、作業中はLANケーブルは抜いて作業してください。
ネットワーク経由で外部に影響が出た場合、最悪、訴えられますので・・・

この回答へのお礼

回答ありがとうございます。助かります。

＞それを待ってから作業するべきでしょうね。

私の調べた限り、最初にネットでそのウイルスの報告があったのは今年の6/12。
しかし、いまだに全てのアンチウイルスソフトが未対応という謎の状態。
この調子だと対応される可能性は低そうです・・・。
よって、ウイルス対策ソフトには頼れそうにありません。


＞スレーブに接続してもウイルスが発動する可能性はありますよ。

そうですか・・・そうなると、もうお手上げですね・・・。
どうにか、方法はないものでしょうか・・・。

お礼日時：2009/10/10 23:45

No.2 回答者： wildcat-yp 回答日時： 2009/10/11 00:58

さすがに６月から全く対応なしというのはないと思うのですが・・・

後は、先ほどは書き忘れたのですが、お持ちの対策ソフトのサポートに聞くのが一番確実だと思います。

きちんと対処方法も教えてくれると思います。

数年前ですが、知人のPCが感染したときにトレンドマイクロで対応してもらったことがありました。その時は詳しい対策方法をFAXしてもらっていました。

この回答へのお礼

＞さすがに６月から全く対応なしというのはないと思うのですが・・・

いや、それがいまだに対応がないようなのです。調べた範囲で
検知出来るソフトはまだないようです。

＞お持ちの対策ソフトのサポートに聞くのが一番確実だと思います。

そうですね。休み明けに電話してみます。


ありがとうございました。

お礼日時：2009/10/11 23:51

No.3 回答者： ajasuco 回答日時： 2009/10/11 10:19

もしかして感染源はP2Pダウンロードものですか？

これと同じだと思います。
http://ameblo.jp/edo-finance/entry-10318362761.h …

この方が書いているように
セーフモードで起動→スタートアップとWindowsの実行ファイルを削除→未感染データのサルベージ→フォーマット→OS再インストール
でしょうね。

極窓で拡張子を確認してから実行するかどうか判断すべきでしたね。

この回答へのお礼

おお、こんな解決法があるとは！

これなら、リカバリしなくても、前の環境がそのまま使える可能性もありそうですね。
まあ、もう新しいHDD買ったので、リカバリしようと思いますが。



極窓というやつを使えば、偽装を見抜けるんですか？
今回踏んだのはmp4ファイルだったのですが、極窓使えば、mp4ファイル
じゃないことを判定できたんだろうか・・・。それならすごく助かるソフトですね。

お礼日時：2009/10/12 00:00

No.4 回答者： mako2_u 回答日時： 2009/10/11 19:14

回答(ファイルサルベージの方法)ではなくて申し訳ございません。

そもそもの考え方について参考意見です。

拡張子がpngに変わったファイル＝ウイルスファイルなのでしょうか？
ウイルスの被害を受けたファイルではありますが、
ウイルスが潜んでいるファイルではないと思います。
(100%そうとは言い切れませんが)

無事なファイル(非ウイルスファイル)かどうかをどのように判断されますか？
私はウイルス作成者ではありませんが、もし私が仕掛けるなら
ウイルス本体は外見ではわからないように偽装して繁殖させます。
システム内にあって当たり前の[ファイル名.拡張子]にするとか、
ウイルス本体を潜ませたファイルはpngに変えずに元のままにするとか。

セキュリティソフトで検出できなければ、どれが無事なファイルか
判別できないのですべて消去するしかないのではないでしょうか。

この回答へのお礼

おっしゃることすべてもっともです。

＞どれが無事なファイルか判別できないのですべて消去するしかないのではないでしょうか。

それは一番心配するところです。
ですので、ファイルをサルベージして使っている「その後」のことをご存じの方の報告もものすごく知りたいです。

お礼日時：2009/10/12 00:23

No.5 回答者： ajasuco 回答日時： 2009/10/12 11:50

No.3です。

今回質問者さんが踏んだのはウイルスというよりも「拡張子を書き換えるソフト」なんだと思います。
そしてそのソフトの拡張子も*exeじゃなくてmp4に偽装されてたんでしょうね。
そしてその動作はPC内だけのもので、感染を広げる機能は無いのでアンチウィルスソフトでは識別できないんでしょうね。
以前HDDのファイルシステムを書き換えるソフトを踏んでしまったことがあります。
一瞬にしてHDD1個が削除され、泣く泣くフォーマットしました。

『極窓』は拡張子判別ソフトです。
http://www.55555.to/what/gm.htm
怪しいものは、拡張子が偽装されていないか確かめる癖を付けた方がいいですよ。

この回答へのお礼

なるほど、ウイルスじゃないというわけですか。
確かに普通のソフトだと考えると、ウイルス対策ソフトが対策すること
もないわけですね。
しかし、かといって対策たててもらわないと、困りものですが・・。


何にしろ、極窓よさそうですね。
これで、偽装チェックしてみます。

どうもありがとうございました。

お礼日時：2009/10/14 02:04