lnk dorkbotというウイルスにやられました

初めて利用させて頂きます。

本日、再起動した後、それかウイルスバスターの設定を弱めた時のどちらかの時に
lnk dorkbotというウイルスにやられました。

ウイルスは駆除できたと思うのですが、タスクマネージャーのプロセス一覧にskyrpe.exeという謎のプロセスが起動しており終了させようとするとシャットダウンしなければならないとでて終了させることができませんでした。また、cylolqというファイル？もスタートアップに設定されており不安です。

またリムーバルディスク内のフォルダが感染しすべてlnkファイルに置き換えられておりそれがウイルスバスターによって削除されたんですが、そのためもともとあったフォルダが消えてしましました。ですが、ウイルス検索など行う、もとあったフォルダのパスを打ち込むと中身が表示されるのでフォルダ自体は残ってると思うのですが、どのようにして復元すれば良いのでしょうか。エクスプローラー上では確認できません。

ご教授お願いします。

No.2 ベストアンサー 回答者： Niwatori-Sanpo 回答日時： 2012/06/22 23:02

　No.1です。

＞adobe関係に偽装した謎のrundll32.exeとlnkファイルが

　それが「C:\Windows\System32\」フォルダにある「rundll32.exe」の
場合それは本来の Windowsにとっても重要な実行ファイルになるらしい
ので、本件の不正プログラムはそこを利用しているんでしょうね。
　しかし「C:\Windows\System32\」以外に存在するなら、それは本来の
Windows には必要の無いインチキなファイルだと思います。
　ただ、仮にそれを手動で削除できたとしても、別のエラーが出るかも
知れません。（レジストリが絡んでいる可能性があるので…）


＞現在はまた再起動したらどうなるのかはわからないのですが・・・。

　いわゆるスタートアップ以外のレジストリ改変によって起動当初から
常駐するタイプのマルウェアも多いので、その場合はそこを修復しない
限り再発すると思います。
　なお、オイラは単なる素人なので、例えばレジストリのどの辺が改変
されているのかまでは追求しきれません。

　で、セーフモードで起動した場合はどうかですが、ウィルスバスター
では手に余るようなので、Trend Micro 社以外のセカンドオピニオンの
支援を受けてみては如何でしょう。

駆除ツールのダウンロードと駆除（Kaspersky Virus Removal Tool）
https://www.ccc.go.jp/flow/03/322.html

セーフモードでの駆除ツール実施手順
https://www.ccc.go.jp/detail/safe_mode/index.html

　ただし、新種のようだから駆除できない可能性は高いです。 (/_;)


＞skyrpe.exeというファイルはユーザー\appdata\roaming\skypeの中に

　因みに、現在 Skypeはご利用ですか？

　オイラは利用していないので、Windows7のそこには「shared.lck」と
「shared.xml」しかありません。
　利用していないなら当該フォルダ内を空っぽにしても良いはずですが
前述したようにマルウェアのせいで別のエラーが出るかも知れません。


＞再インストールするのが賢明でしょうか。

　どうしても修復できず、新たな鉄人のアドバイスが出なかった場合は
その方が手っ取り早いでしょう。

　ツールによる現況分析結果を提示する時間的余裕と気力がおありなら
「アダ被（アダルトサイト被害対策の部屋）」に行って粘ってみる手も
あります。

アダ被 BBS質問掲示板
http://bbs.higaitaisaku.com/cbbs.cgi


　因みに、オイラは今までマルウェアの類に寄生された経験が無いので
「HijackThis」というツールのお世話になったことはありません。
　そこんとこ悪しからず。　ｍ（＿　＿）ｍ

参考URL：http://www.higaitaisaku.com/hijackthis.html

この回答へのお礼

いろいろ有り難うございます！
とりあえずスタートアップの見直しとKasperskyを利用してひとまず落ち着いた状況です。

ただどこかが改ざんされてたり見えないところで悪さしてたりが怖いので、地道に探すか再インスコでもしようかと思います。ありがとうございました！

少しのあいだまだ募集をかけてみます。

お礼日時：2012/06/23 04:23

No.1 回答者： Niwatori-Sanpo 回答日時： 2012/06/20 18:33

＞プロセス一覧にskyrpe.exeという謎のプロセスが起動しており

　なんちゃって Skypeか、Skype モドキのような実行ファイル名ですが
当方の Windows7 や Vistaには存在しないし「cylolq」などという類の
ファイルも見当たらないので少なくとも当方には必要のないプロセスの
ようです。

　質問者様お使いの OS の種類が不明ですが、もしかしたら同じような
プログラムがスタートアップ項目にも登録されているかも知れません。
　念のために「msconfig」コマンドから「システム構成」の「スタート
アップ」タブを開いて、「skyrpe.exe」という「コマンド」に関連する
「スタートアップ項目」が登録されていないかどうか一応確認してみる
ことをお勧めします。

　というより「cylolq」が設定されているという「スタートアップ」と
いうのも、「システム構成」の「スタートアップ」のことですよね？

　…で、そちらの方のチェックを外すことは出来ないのでしょうか？


　また、「Process Explorer」というツールを使って、実行されている
プロセスの「プロパティ」ウィンドウにある「イメージ」タブを開くと
該当するプログラムが格納されている場所（パス名）を確認することが
出来ます。
　ある程度その正体を突き止める手がかりが得られるかも知れません。

Process Explorer
http://technet.microsoft.com/ja-jp/sysinternals/ …


＞フォルダ自体は残ってると思うのですが、どのようにして復元すれば

　恐らく問題のウィルス？（不正プログラム）を完全には追放し切れて
いないのではないか或いは改変されてしまったシステムを完全には修復
し切れていないのでは無いか…そのために外部接続の当該リムーバブル
ディスクが持つ情報を正常に認識できなくなっているのではないか、と
推測します。
　仮に、当該リムーバブルディスク内に問題の不正プログラム？が未だ
潜んでいる場合、その記憶媒体を他の Windowsマシンに接続しても同じ
症状になるかも知れません。

　ただし、質問者様もご推測のように、データ自体は無事に残っている
可能性が高いので、Windows 以外の OS が起動できる PC を別途に用意
して当該記憶媒体を接続すれば、データを救出できるかも知れません。
　因みに、参考 URLの事例では「Knoppix」の CD-DVD版を起動して救出
できたようです。

参考URL：http://okwave.jp/qa/q7486016.html

この回答への補足

回答ありがとうございます。
スタートアップを確認したところadobe関係に偽装した謎のrundll32.exeとlnkファイルが設定されていましたので解除しました。
それよりも前の話になるのですが、
当方windows7 で消えたフォルダはシステム化＋隠しフォルダ化されていてcmdでattribコマンドでもとに戻すことが出来ました。

ウイルスバスターで全ファイル検索をしたところ発見されず、先程再起動したところ再発してしまいました。
現在はまた再起動したらどうなるのかはわからないのですが・・・。

ちなみにskyrpe.exeというファイルはユーザー\appdata\roaming\skypeの中にありました。

気のせいかfirefoxでNortonの公式ページに辿りつけなくなったようです。

再インストールするのが賢明でしょうか。

補足日時：2012/06/21 01:24