ウイルスFile Recoveryに感染しました！

締切済

質問者：oirataicyo
質問日時：2012/07/22 18:28
回答数：5件

7/21にFile Recoveryと言う名のウイルスに感染しました。ウイルスバスターもいつの間にか無効になっており、データもすべて消えています。
バックアップデータを取っていないデータを使用したいのですが、何か駆除できる方法はあるのでしょうか？使用できる機能はインターネットのみです。すべてのプログラムも空です。PCもかなり重いです…どなたか教えて下さい！

通報する

この質問への回答は締め切られました。

質問の本文を隠す

回答 (5件)

最新から表示
回答順に表示

No.5

回答者： hdmilfia
回答日時：2013/02/14 21:00

正しくは「消された」のではなく「隠された」といった方が正しいです。

僕の会社のPCで同様のケースがあったので気持ちは分かります。これらは原則セキュリティソフトはほとんど無力となってしまいます。

しかしこれは応急的対策で一応解決できる問題です。
いきなりリカバリするなんてとんでもない！とりあえず以下の方法を試してみましょう。

手順１　「システム構成ユーティリティ」のスタートアップの項目で問題のプログラムのスタートアップを無効にする。

システム構成ユーティリティを起動するときは通常、検索ボックスでmsconfigと入力して出現した項目をクリックしするのですが、ファイルが全て隠されているせいで今回、この起動方法が使えません。
そこでキーボードの「スタート」キーと「r」キーを同時押します。この方法でファイル名を指定して実行のウインドゥが開くので、そこでmsconfigと入力し、OKボタンをクリックします。
ちなみに「スタート」キーはwindowsロゴが記されているキー（ボタン）のことです。

「システム構成ユーティリティ」が立ち上がったらスタートアップのタブをクリックして中の項目を確認します。ランダム文字列のexeファイルが表示されている項目があるので、その項目のチェックを外します。この後、OKボタンをクリックすると再起動が促されるので再起動します。まずこの方法でウイルスの強制起動を阻止することができます。あと、ランダム文字列のexeファイルについては文字列をメモしておきましょう。

手順２　隠されたファイルを表示する。

ウイルスの強制起動を阻止できたら次は隠されたファイルを表示させる作業となります。手順１が終わった段階ではまだファイルが全く表示されないままなのでまずMS-DOS上でファイルが隠された状態を解除しなければなりません。
手順１と同じ要領で再度「システム構成ユーティリティ」を起動したら、今度はツールのタブをクリック。「コマンドプロンプト」を選択し、起動ボタンをクリックします。
新たなウィンドゥが開いたら以下の文字（コマンド）を入力しEnterキーを押します。

入力文字：ATTRIB -H C:\* /S /D
（上記の例はCドライブのファイルの隠し属性を解除する場合。違うディスクで行うときほC:の「c」を別のアルファベットに変える）

このコマンドを実行することで上手くいけば大半のファイルが表示されるようになると思います。一部アクセス拒否のエラーが出ますが気にしないこと。
この作業で表示できなかったファイルおよび項目は「unhide」というプログラムをダウンロードし、実行して復旧します。
unhideは以下のサイトから入手できます。
http://www.bleepingcomputer.com/download/unhide/

手順３　問題のファイルを削除する

Cドライブ内のProgram Dataフォルダを確認します。そこで先程メモしたランダム文字列のexeファイルが入っているフォルダを探し、見つけたらファイルを全て削除します。
スタートメニューやデスクトップにショートカットが植えつけられているのでそれも併せて削除します。
間違ってもダブルクリックしないように。手順１に逆戻りとなってしまいます。

手順４　送り込まれたルートキットプログラムを駆除する。

手順３までで以前のPC環境に戻りますが動作が重い場合は不正ルートキットが勝手に入り込んでいると思われます。このままだと乗っ取りの恐れがあるので駆除しましょう。
これは「TDSS Killer」というプログラムを使って駆除することになります。ダウンロードして実行した後、問題のプログラムがリストに挙がったら「cure」を選択することで駆除できます。
TDSS Killerは以下のサイトから入手できます。（カペルスキー社のサイトです）
http://support.kaspersky.co.jp/faq/?qid=208288215

上記の作業を済ませればとりあえず一安心です。（実際、僕もこの方法で解決しました。）
あとはjava、Adobe Reader等を「最新版」にアップデートして作業終了です。

スタートアップにある問題の項目そのものを消したいときはレジストリを編集することになりますが、一歩間違えるとPCが二度と起動できなくなるなど、かなりのリスクを背負うことになってしまいます。もし心配であれば一連の作業が終わった後、頃合いを見計らって必要なファイルをバックアップ、準備が終わったらリカバリする、という方法をお勧めします。

- 0
- 件

通報する

No.4

回答者： noname#158832
回答日時：2012/07/26 17:50

そこまでやられていては重症の部類に入ります。

Notonの削除ツールで試してみれば？
http://jp.norton.com/support/DIY/?inid=jp_hho_na …
USBメモリ等に入れてダブルクリックして解凍先を指定します。少々荒っぽいらしいですので自己責任に於いて気を付けてね！

- 0
- 件

通報する

No.3

回答者： Niwatori-Sanpo
回答日時：2012/07/23 14:51

＞File Recoveryと言う名のウイルスに感染

　「File Recovery」は PCウィルスのような不正プログラムは無いので
いわゆるウィルス対策ソフトでは検知できない場合が多いようです。
　アンインストールするのが難しい悪質な迷惑ソフト、まぁシステムを
破壊するという意味ではウィルスと呼んで良いかも知れません。

＞ウイルスバスターもいつの間にか無効になっており、

　例えウィルスバスターが有効になっていたとしてもシステム内にある
関連ソフトに脆弱性があれば、侵入→寄生は免れないようです。

＞バックアップデータを取っていないデータを使用したいのですが、

　No.1さんの回答にもあるように、ユーザー側から見えなくされている
だけという可能性もあります。
　HDD を取り外し、USB 規格の外付け HDDケースを利用する等の方法で
別の PC に接続すれば把握できるかも知れません。
　ただし別の PC が Windowsマシンの場合はセキュリティ上の脆弱性が
完全に修正されている必要があるでしょう。

MyJVN バージョンチェッカ >> 対象ソフトウェア製品（詳細）
http://jvndb.jvn.jp/apis/myjvn/vcchecklist.html# …

＞何か駆除できる方法はあるのでしょうか？

　当方寡聞にして駆除の成功事例は知りませんが、OKWaveの過去質問の
中に、レジストリ内の関連エントリ（見慣れないスタートアップ？）を
削除する等の方法で見かけ上は復旧できたという回答がありました。
　いちおう参考にしてください。

新規偽パソコン診断ソフト型ウィルスに感染しました（回答 ANo.3）
http://oshiete.goo.ne.jp/qa/7588821.html

　その辺の力技（ちからわざ）に自信がない場合は、Windows以外の OS
例えば「Knoppix」等で PCを起動させて必要データを救出（もし残って
いればの話）後、OSの再セットアップ（若しくはリカバリ）を決行した
方が手っ取り早いと思われます。

KNOPPIX7.0.2 DVD日本語版
http://www.risec.aist.go.jp/project/knoppix/

「KNOPPIX」の使い方
http://pctrouble.lessismore.cc/software/knoppix. …

　なお、入手できるファイルは.iso型式なので、当該 PC を起動できる
他の媒体（例えば CD/DVD メディア等）に展開する必要があります。

参考URL：http://oshiete.goo.ne.jp/qa/7543930.html

- 0
- 件

通報する

No.2

回答者： nekobox
回答日時：2012/07/22 22:07

こんにちは。

脆弱性対策を疎かにしてるとそういう目に会います。

セキュリティー対策=対策ソフトの使用ではありません。

以下をよく読んでリカバリをして出直しましょう。

https://www.ccc.go.jp/detail/recovery/

[基本対策]

http://jvndb.jvn.jp/apis/myjvn/

http://support.microsoft.com/kb/2458544/ja

Microsoft Update

ブロードバンドルータの使用

大手総合対策ソフトの使用

- 0
- 件

通報する

No.1

回答者： aero1
回答日時：2012/07/22 21:54

「ランサムウェア - Wikipedia」

http://ja.wikipedia.org/wiki/%E3%83%A9%E3%83%B3% …
http://www.geocities.co.jp/Playtown-Yoyo/6130/no …
こちらの様な類のものに感染したという事ですか・・？

データは、隠しファイル化されて見えない様にされてしまっただけでは・・？

とりあえず、ウィルスバスターを利用されているなら、トレンドマイクロのテクニカルサポートに問い合わせて対処法を聞いてみてはどうでしょうか。

「オンラインスキャンによるクロスチェック」
https://www.ccc.go.jp/flow/03/322.html
https://www.ccc.go.jp/flow/03/340.html
その手の類に感染すると、セキュリティベンダーのサイトへ接続できなくされてしまっているかもしれません・・。
最悪は、諦めてリカバリしかないかもしれません。

「その他プログラムのアップデート」
https://www.ccc.go.jp/flow/04/410.html
もし復旧したらこちらの様な対処をしておかないと、「Drive-by download attack」でまた感染してしまう可能性が高いの注意してください。