トレンドマイクロのオンラインスキャンでウイルスファイルが検出されたので、消そうとしたのですが、そのファイルがどこを探しても存在していません。

フォルダオプションで隠しファイル表示設定等はもちろん、インターネット一時ファイルやクッキーの削除もし、コマンドプロンプトで直接削除に
行っても「存在しません」といわれます。セーフモードでも確認しました。
しかしスキャンをすると
TROJ_SMALL.BFK　　C:\WINNT\SYSTEM32\favset.exe
TROJ_SMALL.BFG　　C:\WINNT\SYSTEM32\howiper.exe
TROJ_AGENT.JAH　　C:\WINNT\SYSTEM32\seven.exe
この三つが存在するといって聞きません。OSは2000です。

そこでTROJ_SMALL.BFG　　C:\WINNT\SYSTEM32\howiper.exeが
hostsファイルを書き換えるのみ、というウイルスだそうなので
ためしにファイル名を指定して実行で「C:\WINNT\SYSTEM32\howiper.exe」を実行してみたところ
なにかが動いて確かにhostsファイルが書き換えられていました。

やはり存在はするようなのですが、消し方が一向にわかりません。
どなたかご教示いただけるとありがたいです。

※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

ログインして回答する

ベストアンサー

mj992007/04/09 21:26:12
満足90pt

http://www.higaitaisaku.com/blacklight.html

rootkit的な機能で隠されているファイルを見つけてリネームするだけのソフトです。

検出してリネームできれば、再起動後に削除できます。

スター
- ベルトコンベア 2007/04/09 22:39:51
  
  情報ありがとうございます。
  
  教えていただいたURL先のソフトで三つのexeを検出しリネームすることに成功しました！
  
  しかし、favset.exeからfavset.exe.renのようにリネームされたのはよいのですが、相変わらず表示はされず削除できず、存在はしたままになっています。
  
  削除できなかったのは残念ですが、ただ、リネームはされたので実行される恐れは薄くなったと思います。本当にありがとうございます！
  
  rootkitについて調べてみると、大分厄介な隠蔽機能だそうですね。恐ろしいです。
  
  しかし、リネームできるということは削除も目の前な気がするのに、なんとも厄介ですね。

その他の回答

konkonTV2007/04/09 06:28:38
0pt

http://www.trendmicro.co.jp/consumer/products/vb/

多くのウイルスは簡単には消すことが出来ないようになっています。

手動で簡単に消せたらウイルスソフト商売あがったりです。

ウイルスバスターなどで消すのが一番確実です。

スター
- ベルトコンベア 2007/04/09 06:49:54
  
  ご忠告ありがとうございます

TNIOP2007/04/09 06:42:55
0pt

http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=...

ウイルスを隔離できなかった場合の操作手順

ウイルスソフトのＱ＆Ａによるものなので参考になると思います。

スター

ベルトコンベア 2007/04/09 06:53:33

これもセーフモードで立ち上げて隔離という

かたちですね。

セーフモードで起動しても、ファイル自体が表示されていないというなんとも不可解な状況です・・・。

同ファイル名で適当にファイルを作成しようとしても「既に使われています」というメッセージが出るので、存在はしていると思うのですが・・・。

studioes2007/04/09 09:59:47
0pt

　恐らくファイルがシステム属性になっています。

　システム属性のファイルを削除するには、delコマンドに/a:sオプションを明示的に指定する必要があります。

　エクスプローラの表示設定においては、保護されたオペレーティングシステムファイルを表示しない、のチェックを外す必要があります。

http://q.hatena.ne.jp/1176058143

スター

ベルトコンベア 2007/04/09 11:02:56

回答ありがとうございます。

残念ながら保護されたオペレーティングシステムファイルを表示しないの項目も外してあります。

ikjun2007/04/09 17:02:12
0pt

http://q.hatena.ne.jp/　urlはダミーです。

　そもそもこの３つのファイルって消していいファイルなんですか？下手にC:\WINNT\SYSTEM32\ にあるファイルを消してしまえばWindows2000が動かなくなる可能性さえあります。

　もしかしたら、勘違いしていませんでしょうか？ウィルスというのは通常はひとつのファイルでは無く、ファイルの一部を書き換えることによってどんどん感染していくものです。したがってウィルスの駆除はファイルを削除するのではなく、ウィルス部分を書き換えることで行われます。

　オンラインスキャンをトレンドマクロが提供しているのはそれでウィルスの存在はわかっても、結局ワクチンが無ければ駆除できないからです。

　一番確実なのはハードディスクを初期化して再インストールしなおすことです。それが嫌ならWindows2000の上書きインストール。この３つのファイルがもともとWindows2000のファイルなら上書きされることによってウィルスは消えます。

スター

ベルトコンベア 2007/04/09 17:51:52

ご忠告ありがとうございます。

この三つのファイルはGoogleなどで検索して頂くだけでおわかりになると思いますが、見つかり次第削除して問題の無さそうなものばかりです。

また、トレンドマイクロから提供されるこのウイルスの対処方法は、感染されているファイルを隔離もしくは削除するというものでした。

しかしその対処法がエクスプローラー上から見れることを前提にしているため、疑問が湧き、それらを踏まえて質問させて頂きました。

もしかしたら自分の質問の仕方が悪かったのかもしれません。

この質問は、この「隠しファイル＆システムファイルの表示をONにしてもエクスプローラーから見ることはできず、セーフモードにしてコマンドプロンプトで直接削除に行っても消せないファイル」とは一体どういう設定を施されているもので、それらのファイルのみ消すにはどうすればよいのでしょうか？

という意味合いで受け取っていただければ幸いです。

HDDを初期化後OS再インストールで解決することはわかりますが、それではこのファイルの謎は自分の中で永遠に謎になってしまい、大変気持ちが悪いです。

ikjun2007/04/09 19:03:39
満足20pt

　これでうまくいくという保証はありませんが

http://www.drk7.jp/MT/archives/000849.html

　再現することが困難な話なので、いろいろ試してみるしかないのだろうと思います。ウィルスのやることですからまともなフォーマットでは書き込んでいないからなのだろうと予想できますが、そういう裏の世界に詳しくなりたいのなら勉強するのもいいですが、ウィルスかワクチンの製作者になるのでなければあまり益はなさそうです。

　あまりこだわらないほうがいいのになあと思ってます。

スター

ベルトコンベア 2007/04/09 19:51:07

情報ありがとうございます。

知らないコマンドがあったので試させていただきました。

しかし残念なことにattribでも一覧には表示されず、その他のデリートコマンドも

C:\WINNT\system32>del /A howiper.exe

C:\WINNT\system32\howiper.exe が見つかりませんでした。

C:\WINNT\system32>del /H howiper.exe

無効なスイッチです - "H"

C:\WINNT\system32>del /R howiper.exe

無効なスイッチです - "R"

C:\WINNT\system32>del /S howiper.exe

C:\WINNT\system32\howiper.exe が見つかりませんでした。

というような結果に終わってしまいました。

ファイルがまともなフォーマットで書き込まれていないと予想されるということですが、その場合OS上からそのファイルを操作することはほぼ不可能と考えられますでしょうか？

もしなにかご存知でしたらお教えいただきたいです。

>あまり益はなさそうです。

やはり自分でカバーできそうな範囲の知識は準備しておいた方が、いざという時に応用も利き、原因の早期発見にも繋がると思うのですよね。

たとえば、極端すぎる話になってしまいますが、もしこのファイルが隠しファイルなだけで、自分が隠しファイルの表示の仕方を知らなかっただけでOSの再インストールをしていたら、さすがに効率が悪いと思うのです。ウイルス対策ソフトが勝手にやってくれるという場合でも、隠しファイルという存在を知らずにパソコンをいじっていくことになってしまいます。

逆に、OS上からいじることの出来ないほどの複雑な情況で、全く別の機械やツールを用意してHDDを何日もかけて調べていかなければならない場合は、OSの再インストールをした方が効率が良いです。

そういうレベルの問題であるのなら手動で削除は諦めますが、「そういう可能性もありえる」ということを知っておくことで、今後なにかあった場合、判断材料のひとつになったりもすると思うのです。

このURL先の情報も知らないものが有り、大変感謝しております。ありがとうございます。

もし他にこの問題解決の可能性のありそうな情報をご存知でしたらお教えいただきたく思います。

その他の回答を読む

この質問へのコメント

コメントはありません

この質問への反応（ブックマークコメント）

質問の情報

登録日時: 2007-04-09 03:49:07
終了日時: 2007-04-11 12:04:53
回答条件: 回答にURL必須 1人3回まで

この質問のカテゴリ

コンピュータ

トレンドマイクロのオンラインスキャンでウイルスファイルが検出されたので、消そうとしたのですが、そのファイルがどこを探しても存在していません。

ベストアンサー

mj992007/04/09 21:26:12
満足90pt

ベルトコンベア 2007/04/09 22:39:51

その他の回答