ウイルス感染ファイルが見つからない。

ウイルスバスター2010でウイルス感染が発見されたのですが、同ソフトで処理できないタイプのウイルスだったので、自力でファイルを検索しようとしたところ、感染ファイルが発見できないため削除ができず、困っています。

感染ファイル名は「rpcdll.dll」、ウイルス名は「TROJ_GEN.R4CC2LF」,、場所は「C:\WINDOWS\system32\rpcdll.dll」とのことでした。

フォルダ設定は隠しファイルも表示するようにしているのですが、ファイルがどうしても見つかりません。

対処法がわかる方、よろしくお願いします。

No.1 回答者： violet430 回答日時： 2010/12/17 06:39

システム復元用のデータ内に残っている場合が有ります。

復元が必要なければ、システム復元を無効にしてみて下さい。

この回答へのお礼

回答ありがとうございます。

システム復元を無効にしてみて、他に意見を下さった内容も参考にしてみつつ、ウイルス駆除を自力で試みているのですが、駆除がなかなか上手く進んでいません。

他にも意見があればまたよろしくお願いします。

お礼日時：2010/12/18 02:48

No.2 回答者： John_Papa 回答日時： 2010/12/17 11:06

＞フォルダ設定は隠しファイルも表示するようにしているのですが、ファイルがどうしても見つかりません。

保護されたファイルも表示するようにしてますか？（一番下のチェックを□です）

本当にrpcdll.dllでしょうか？
dpcdll.dllの間違いでは？

rpcとは（Remote Procedure Call、リモートプロシージャコール）の略で、ＰＣの遠隔操作に関するプログラムであることを意味します。
情報ではMicrosoft社のプログラムでrpcl.dll配下にrpcdll.dllがある事になっており、rpcdll.dllを削除するとＰＣ起動時にエラーが発生します。普通の使い方では不要なファイルです。私のＸＰprofessionalＳＰ３ではあれこれつついても出てきませんでした。何かアプリケーションをインストールしなければ入ってこないものかもしれません。他のrpc云々は通常3個くらいありますがこれらを削除してはいけません。

レジストリエディタで
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
を調べて、rpcl.dllおよびrpcdll.dllの記述されたデータを削除すればよいでしょう。
記述が全く無ければ、これらのプロセスは起動しませんので心配無用です。
なお、レジストリの編集はそれなりのスキルが必要でリスクが伴います。編集は自己責任でお願いします。
データ削除したにもかかわらず、サイドレジストリに登録されるようであれば、DLLの種類がその系統ということですので、ＰＣのリカバリーをお勧めします。

因みにdpcdll.dllは、誰のＰＣにも有るライセンス認証（アクティヴェーション）のモジュールです。こちらだと削除できませんよね。TROJ_GEN.R4CC2LFは12月16日17：35：52JSTに追加されたパターンファイルに入ったもののようだし、ウイルスバスター2010の誤検出なのかな？とも。

役に立たない情報で申し訳ありません。

この回答へのお礼

回答ありがとうございます。

保護されたファイルも表示するようにしたら発見できました。

そのファイルは確かに「dpcdll.dll」ではなく、「rpcdll.dll」だったのですが、レジストリエディタでファイルを開いてみたところ、「現在他のプロセスによって書き込みが禁止されています。」と表示され、編集できない状態なんです。

困っているので、また助言があればよろしくお願いします。

お礼日時：2010/12/18 02:55

No.3 回答者： John_Papa 回答日時： 2010/12/18 09:39

起動中のタスクを終了させないと削除できません。

Windows標準のタスクマネージャーでは、おそらくsvchostで表示されていて、どのsvchostだか判らないでしょう。
svchostは、セーフモードでも起動しますので、通常モードで作業します。

窓の杜から無料で使えるSystemExplorerをダウンロードしてインストールしてください。
http://www.forest.impress.co.jp/lib/sys/wincust/ …
起動して「プロセス」をみるとsvchostのparametersに-k rpcdllで表示されていたら、
左ウインドの「モジュール」を選択し、rpcdll.dllを探し、右クリック＞ファイルのチェック＞VirusTotal.comで、ブラウザが起動しVirusTotal.comで40ほどのセキュリティソフトで検査した結果が表示されます。
TrendMicro(日本のウイルスバスターのことでVirusBusterは全くの別会社です)以外でもウイルスとして検出されていれば、誤検出ではなくほぼ確実にウイルスでしょう。
「プロセス」に戻って、svchostのparametersに-k rpcdllを右クリックから「停止」させます。
これで、C:\WINDOWS\system32\rpcdll.dllを削除できるようになります。Shiftキーを押しながら削除しましょう。ゴミ箱に入れずに削除できます。

ファイルを削除しただけでは、起動時にエラーが発生しますので、
レジストリ編集を手作業でできる人なら、regeditで「rpcdll」という文字列を検索して片っ端からエントリーを削除しましょう。
それが難しければ、Glary Registry Repairをダウンロードしてレジストリの掃除をしておきましょう。
http://www.altech-ads.com/product/10003357.htm
この種では、CCleanerとか、EasyCleanerの方が削除しすぎないのでお勧めなのですが、サービスやスタートアップ関係の不要レジストリが掃除できないことがあるので、Glary Registry Repairを紹介しておきます。

時間があれば、「プロセス」「モジュール」「サービス」「Startups」のファイルをSystemExplorerからVirusTotal.comに送って検査しておきましょう。同一ファイルは過去の検査結果の表示でVirusTotal.comへの負担を少なくしてください。
SystemExplorerはウイルス対策ソフトではありません。バージョンアップが頻繁で最新版を追いかけていたらうっとうしいですし、不要と感じたらアンインストールしておいて構いません。

これで、C:\WINDOWS\system32\rpcdll.dllが削除できないとか復活するようでしたら、他にRootKit等、別のマルウェアがあると考えられます。

この回答へのお礼

ご回答ありがとうございます。

John_Papaさんの回答や他の回答を参考にしながら何とか駆除することができました。

非常に参考になったので感謝しています。

お礼日時：2010/12/19 18:27