ルートキットに感染駆除、およびバックアップ機能

昨日、AVGウィルススキャンを行ったらルートキットが検出されました。
同AVGにてルートキット削除を行うも、再起動するとファイル名が変った状態でまた検出されてしまいます。

検出内容は
C:\Windows\System32\Drivers内
pci.sys,フックされたインポート ntoskrnl.exe Io AttachDevice To Device STack
atapi.sys,フックされたインポートataport.SYS AtaPortREADPortBufferUshort
atapi.sys,フックされたインポートataport.SYS AtaPortREADPortUchar
インラインフック ataport.SYS DllUnload
と表示されます

システムの復元から、最近インストール等行ったポイント以前に復元を行うも再度検出されます。
どのようにしたら、駆除できますでしょうか？

またWindows7のバックアップ機能を使うのも検討してますが、バックアップを行った場合
システムイメージ（Cドライブ）及び指定のフォルダ以外は、バックアップ時点と同じように
削除されてしまうのでしょうか？
それとも、バックアップ指定の範囲だけ更新されてその他のドライブに残るファイルは現時点の
まま復元されるのでしょうか？

初めて、ルートキットに感染また駆除出来なかったため困惑しております。
回答よろしくお願いします。

No.2 ベストアンサー 回答者： active_defence 回答日時： 2013/10/22 21:25

まあ、ランダムにファイル名を変更してるんでしょうね。

で、システムの復元機能を使っては駄目ですし、バックアップもしてはいけません。


リカバリを行って立て直す以外にないですね。


おそらくは、ドライブ・バイ・ダウンロードでやられたと推測します。


OSやアプリケーションソフトのアップデートサボってるとやられてしまう確率上がります。

他の閲覧なさってる方々もよーく覚えておいたほうがいいですよ。


なお、AVGといったフリーセキュリティーは今後使わないこと。スキルもないのに安直なことしちゃ駄目です。市販総合対策ソフトにすること。ただし、トレンドマイクロのウイルスバスターは避けること。性能ヘボいので。

対策の基本は対策ソフト云々の前に脆弱性対策。アップデートを疎かにしないこと。


あと、正常稼動時のシステムバックアップイメージを取っておくこと。くれぐれも感染状態でのバックアップをしないこと。意味ないですから。

この回答へのお礼

イメージファイルから無事リカバリできました。回答ありがとうございました

お礼日時：2013/10/30 22:46

No.1 回答者： goold-man 回答日時： 2013/10/22 16:36

＞システムの復元から、最近インストール等行ったポイント以前に復元を行うも再度検出されます

駆除後再起動するとウィルスなども「復元」しますから「システムの復元」後、ウィルスがない状態で復元ポイントを「無効」にします。（その後復元しなければ、元のとおり「システムの復元」を「有効」に戻しておきます）

「Windows 7でシステムの復元を有効／無効にする方法」
参考URL
「スタート」「コンピューター」右クリック「プロパティ」「システム」画面左側「システムの保護」
「システムのプロパティ」「システムの保護」「利用できるドライブ」から無効にしたいドライブをクリック「構成」「システム保護対象」「システムの保護を無効にする」にチェックし、「OK」確認のアラートに「はい」「システムのプロパティ」画面「OK」

参考URL：http://qa.support.sony.jp/solution/S0907031064294/

この回答への補足

回答ありがとうございます。
駆除後というのが正確に記述できてませんでしたので補足します。
AVGにてルートキット削除を行うも検出7に対して、5程チェックがついた時点で、AVGアプリから再起動を促されます。残りを削除しようにも再起動しない限り、選択できません。再起動後スキャンすると、削除したはずのものも元通りになってしまうのです。
そのため、ウィルスが残った状態で復元ポイントからシステムの復元をおこなったのですが、ウィルススキャンを行ってもかわらず検知されてしまいました。
システムの復元で、ウィルスのない状態にすることは可能なのでしょうか？
また、不可能でしたらオススメのルートキット駆除ソフトと確認方法を教えていただけると幸いです。
よろしくお願いします。

追加補足OSは、Windows7　64bit homeです。

補足日時：2013/10/22 17:50