初めて利用させて頂きます。
本日、再起動した後、それかウイルスバスターの設定を弱めた時のどちらかの時に
lnk dorkbotというウイルスにやられました。
ウイルスは駆除できたと思うのですが、タスクマネージャーのプロセス一覧にskyrpe.exeという謎のプロセスが起動しており終了させようとするとシャットダウンしなければならないとでて終了させることができませんでした。また、cylolqというファイル?もスタートアップに設定されており不安です。
またリムーバルディスク内のフォルダが感染しすべてlnkファイルに置き換えられておりそれがウイルスバスターによって削除されたんですが、そのためもともとあったフォルダが消えてしましました。ですが、ウイルス検索など行う、もとあったフォルダのパスを打ち込むと中身が表示されるのでフォルダ自体は残ってると思うのですが、どのようにして復元すれば良いのでしょうか。エクスプローラー上では確認できません。
ご教授お願いします。
No.2ベストアンサー
- 回答日時:
No.1です。
>adobe関係に偽装した謎のrundll32.exeとlnkファイルが
それが「C:\Windows\System32\」フォルダにある「rundll32.exe」の
場合それは本来の Windowsにとっても重要な実行ファイルになるらしい
ので、本件の不正プログラムはそこを利用しているんでしょうね。
しかし「C:\Windows\System32\」以外に存在するなら、それは本来の
Windows には必要の無いインチキなファイルだと思います。
ただ、仮にそれを手動で削除できたとしても、別のエラーが出るかも
知れません。(レジストリが絡んでいる可能性があるので…)
>現在はまた再起動したらどうなるのかはわからないのですが・・・。
いわゆるスタートアップ以外のレジストリ改変によって起動当初から
常駐するタイプのマルウェアも多いので、その場合はそこを修復しない
限り再発すると思います。
なお、オイラは単なる素人なので、例えばレジストリのどの辺が改変
されているのかまでは追求しきれません。
で、セーフモードで起動した場合はどうかですが、ウィルスバスター
では手に余るようなので、Trend Micro 社以外のセカンドオピニオンの
支援を受けてみては如何でしょう。
駆除ツールのダウンロードと駆除(Kaspersky Virus Removal Tool)
https://www.ccc.go.jp/flow/03/322.html
セーフモードでの駆除ツール実施手順
https://www.ccc.go.jp/detail/safe_mode/index.html
ただし、新種のようだから駆除できない可能性は高いです。 (/_;)
>skyrpe.exeというファイルはユーザー\appdata\roaming\skypeの中に
因みに、現在 Skypeはご利用ですか?
オイラは利用していないので、Windows7のそこには「shared.lck」と
「shared.xml」しかありません。
利用していないなら当該フォルダ内を空っぽにしても良いはずですが
前述したようにマルウェアのせいで別のエラーが出るかも知れません。
>再インストールするのが賢明でしょうか。
どうしても修復できず、新たな鉄人のアドバイスが出なかった場合は
その方が手っ取り早いでしょう。
ツールによる現況分析結果を提示する時間的余裕と気力がおありなら
「アダ被(アダルトサイト被害対策の部屋)」に行って粘ってみる手も
あります。
アダ被 BBS質問掲示板
http://bbs.higaitaisaku.com/cbbs.cgi
因みに、オイラは今までマルウェアの類に寄生された経験が無いので
「HijackThis」というツールのお世話になったことはありません。
そこんとこ悪しからず。 m(_ _)m
参考URL:http://www.higaitaisaku.com/hijackthis.html
いろいろ有り難うございます!
とりあえずスタートアップの見直しとKasperskyを利用してひとまず落ち着いた状況です。
ただどこかが改ざんされてたり見えないところで悪さしてたりが怖いので、地道に探すか再インスコでもしようかと思います。ありがとうございました!
少しのあいだまだ募集をかけてみます。
No.1
- 回答日時:
>プロセス一覧にskyrpe.exeという謎のプロセスが起動しており
なんちゃって Skypeか、Skype モドキのような実行ファイル名ですが
当方の Windows7 や Vistaには存在しないし「cylolq」などという類の
ファイルも見当たらないので少なくとも当方には必要のないプロセスの
ようです。
質問者様お使いの OS の種類が不明ですが、もしかしたら同じような
プログラムがスタートアップ項目にも登録されているかも知れません。
念のために「msconfig」コマンドから「システム構成」の「スタート
アップ」タブを開いて、「skyrpe.exe」という「コマンド」に関連する
「スタートアップ項目」が登録されていないかどうか一応確認してみる
ことをお勧めします。
というより「cylolq」が設定されているという「スタートアップ」と
いうのも、「システム構成」の「スタートアップ」のことですよね?
…で、そちらの方のチェックを外すことは出来ないのでしょうか?
また、「Process Explorer」というツールを使って、実行されている
プロセスの「プロパティ」ウィンドウにある「イメージ」タブを開くと
該当するプログラムが格納されている場所(パス名)を確認することが
出来ます。
ある程度その正体を突き止める手がかりが得られるかも知れません。
Process Explorer
http://technet.microsoft.com/ja-jp/sysinternals/ …
>フォルダ自体は残ってると思うのですが、どのようにして復元すれば
恐らく問題のウィルス?(不正プログラム)を完全には追放し切れて
いないのではないか或いは改変されてしまったシステムを完全には修復
し切れていないのでは無いか…そのために外部接続の当該リムーバブル
ディスクが持つ情報を正常に認識できなくなっているのではないか、と
推測します。
仮に、当該リムーバブルディスク内に問題の不正プログラム?が未だ
潜んでいる場合、その記憶媒体を他の Windowsマシンに接続しても同じ
症状になるかも知れません。
ただし、質問者様もご推測のように、データ自体は無事に残っている
可能性が高いので、Windows 以外の OS が起動できる PC を別途に用意
して当該記憶媒体を接続すれば、データを救出できるかも知れません。
因みに、参考 URLの事例では「Knoppix」の CD-DVD版を起動して救出
できたようです。
参考URL:http://okwave.jp/qa/q7486016.html
この回答への補足
回答ありがとうございます。
スタートアップを確認したところadobe関係に偽装した謎のrundll32.exeとlnkファイルが設定されていましたので解除しました。
それよりも前の話になるのですが、
当方windows7 で消えたフォルダはシステム化+隠しフォルダ化されていてcmdでattribコマンドでもとに戻すことが出来ました。
ウイルスバスターで全ファイル検索をしたところ発見されず、先程再起動したところ再発してしまいました。
現在はまた再起動したらどうなるのかはわからないのですが・・・。
ちなみにskyrpe.exeというファイルはユーザー\appdata\roaming\skypeの中にありました。
気のせいかfirefoxでNortonの公式ページに辿りつけなくなったようです。
再インストールするのが賢明でしょうか。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- Windows 10 Internet Explorer-11 を削除はしたけれど… 3 2022/06/20 17:54
- Windows 10 Windows10の回復環境 2 2023/02/03 19:13
- マルウェア・コンピュータウイルス FlashPlayerの削除とマルウェア感染について 5 2023/02/23 20:52
- マルウェア・コンピュータウイルス トロイの木馬が検出されました。 1 2022/06/12 22:09
- Windows 10 外部ドライブにマウントできない問題について 9 2022/03/22 18:08
- その他(プログラミング・Web制作) Python でWindowsのショートカット(.lnk)のプロパティを参照したい 1 2023/02/01 15:09
- Visual Basic(VBA) エクセルのマクロについて教えてください。 2 2023/07/06 17:46
- Excel(エクセル) マクロの付いたExcelが開けません 3 2023/02/01 10:54
- Visual Basic(VBA) エクセルのマクロについて教えてください マクロを実行すると メッセージボックスが表示されて okをク 4 2023/07/05 19:32
- Google Drive USB内の圧縮フォルダが開けません。教えて下さい! 1 2022/07/26 18:44
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
umuStationの削除
-
トロイの木馬に感染してウイル...
-
Tempフォルダにtemp~~~.tmpとい...
-
レジストリの参照を削除する方法?
-
pcについての質問です。wavessy...
-
パソコンのプロセスの重複起動...
-
ファイルの移動、削除、計算中...
-
Everything というフリーソフト...
-
マカフィーで必要なファイルが...
-
私のPCが覗かれているか調べる方法
-
trojan.gen.2って何?
-
iPhoneでアダルトサイトを見て...
-
パソコンのデスクトップ画面に...
-
JS/Packed.Agent.N が検出され...
-
トロイの木馬に感染しました!
-
コマンドプロンプトでのBATファ...
-
Win32:Trojan-genとは何でしょ...
-
トロイの木馬に感染したと出て...
-
パソコンから勝手に知らない音...
-
McAfee マカフィー ウィルスス...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
umuStationの削除
-
亜種 トロイの木馬の削除について
-
トロイの木馬型ウィルスが何度...
-
regeditの中味を全て知...
-
ESETで見つかったメモリ上のウ...
-
Tempフォルダにtemp~~~.tmpとい...
-
winsysについて
-
トロイの木馬を削除後、PC起動...
-
トロイの木馬に感染しました。A...
-
デスクトップに張り付いている...
-
exeファイルが実行できない
-
トロイウィルス感染
-
意味不明のツールバーが出現し...
-
Puper.dll削除方法
-
かってにIEのウインドウが一...
-
RUNDLL エラー
-
iPhoneでアダルトサイトを見て...
-
Everything というフリーソフト...
-
Trojan:Script/Wacatac.H!ml っ...
-
McAfee マカフィー ウィルスス...
おすすめ情報