フォルダオプションで隠しファイル表示設定等はもちろん、インターネット一時ファイルやクッキーの削除もし、コマンドプロンプトで直接削除に
行っても「存在しません」といわれます。セーフモードでも確認しました。
しかしスキャンをすると
TROJ_SMALL.BFK C:\WINNT\SYSTEM32\favset.exe
TROJ_SMALL.BFG C:\WINNT\SYSTEM32\howiper.exe
TROJ_AGENT.JAH C:\WINNT\SYSTEM32\seven.exe
この三つが存在するといって聞きません。OSは2000です。
そこでTROJ_SMALL.BFG C:\WINNT\SYSTEM32\howiper.exeが
hostsファイルを書き換えるのみ、というウイルスだそうなので
ためしにファイル名を指定して実行で「C:\WINNT\SYSTEM32\howiper.exe」を実行してみたところ
なにかが動いて確かにhostsファイルが書き換えられていました。
やはり存在はするようなのですが、消し方が一向にわかりません。
どなたかご教示いただけるとありがたいです。
http://www.higaitaisaku.com/blacklight.html
rootkit的な機能で隠されているファイルを見つけてリネームするだけのソフトです。
検出してリネームできれば、再起動後に削除できます。
http://www.trendmicro.co.jp/consumer/products/vb/
多くのウイルスは簡単には消すことが出来ないようになっています。
手動で簡単に消せたらウイルスソフト商売あがったりです。
ウイルスバスターなどで消すのが一番確実です。
ご忠告ありがとうございます
http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=...
ウイルスを隔離できなかった場合の操作手順
ウイルスソフトのQ&Aによるものなので参考になると思います。
これもセーフモードで立ち上げて隔離という
かたちですね。
セーフモードで起動しても、ファイル自体が表示されていないというなんとも不可解な状況です・・・。
同ファイル名で適当にファイルを作成しようとしても「既に使われています」というメッセージが出るので、存在はしていると思うのですが・・・。
恐らくファイルがシステム属性になっています。
システム属性のファイルを削除するには、delコマンドに/a:sオプションを明示的に指定する必要があります。
エクスプローラの表示設定においては、保護されたオペレーティングシステムファイルを表示しない、のチェックを外す必要があります。
回答ありがとうございます。
残念ながら保護されたオペレーティングシステムファイルを表示しないの項目も外してあります。
http://q.hatena.ne.jp/ urlはダミーです。
そもそもこの3つのファイルって消していいファイルなんですか?下手にC:\WINNT\SYSTEM32\ にあるファイルを消してしまえばWindows2000が動かなくなる可能性さえあります。
もしかしたら、勘違いしていませんでしょうか?ウィルスというのは通常はひとつのファイルでは無く、ファイルの一部を書き換えることによってどんどん感染していくものです。したがってウィルスの駆除はファイルを削除するのではなく、ウィルス部分を書き換えることで行われます。
オンラインスキャンをトレンドマクロが提供しているのはそれでウィルスの存在はわかっても、結局ワクチンが無ければ駆除できないからです。
一番確実なのはハードディスクを初期化して再インストールしなおすことです。それが嫌ならWindows2000の上書きインストール。この3つのファイルがもともとWindows2000のファイルなら上書きされることによってウィルスは消えます。
ご忠告ありがとうございます。
この三つのファイルはGoogleなどで検索して頂くだけでおわかりになると思いますが、見つかり次第削除して問題の無さそうなものばかりです。
また、トレンドマイクロから提供されるこのウイルスの対処方法は、感染されているファイルを隔離もしくは削除するというものでした。
しかしその対処法がエクスプローラー上から見れることを前提にしているため、疑問が湧き、それらを踏まえて質問させて頂きました。
もしかしたら自分の質問の仕方が悪かったのかもしれません。
この質問は、この「隠しファイル&システムファイルの表示をONにしてもエクスプローラーから見ることはできず、セーフモードにしてコマンドプロンプトで直接削除に行っても消せないファイル」とは一体どういう設定を施されているもので、それらのファイルのみ消すにはどうすればよいのでしょうか?
という意味合いで受け取っていただければ幸いです。
HDDを初期化後OS再インストールで解決することはわかりますが、それではこのファイルの謎は自分の中で永遠に謎になってしまい、大変気持ちが悪いです。
これでうまくいくという保証はありませんが
http://www.drk7.jp/MT/archives/000849.html
再現することが困難な話なので、いろいろ試してみるしかないのだろうと思います。ウィルスのやることですからまともなフォーマットでは書き込んでいないからなのだろうと予想できますが、そういう裏の世界に詳しくなりたいのなら勉強するのもいいですが、ウィルスかワクチンの製作者になるのでなければあまり益はなさそうです。
あまりこだわらないほうがいいのになあと思ってます。
情報ありがとうございます。
知らないコマンドがあったので試させていただきました。
しかし残念なことにattribでも一覧には表示されず、その他のデリートコマンドも
C:\WINNT\system32>del /A howiper.exe
C:\WINNT\system32\howiper.exe が見つかりませんでした。
C:\WINNT\system32>del /H howiper.exe
無効なスイッチです - "H"
C:\WINNT\system32>del /R howiper.exe
無効なスイッチです - "R"
C:\WINNT\system32>del /S howiper.exe
C:\WINNT\system32\howiper.exe が見つかりませんでした。
というような結果に終わってしまいました。
ファイルがまともなフォーマットで書き込まれていないと予想されるということですが、その場合OS上からそのファイルを操作することはほぼ不可能と考えられますでしょうか?
もしなにかご存知でしたらお教えいただきたいです。
>あまり益はなさそうです。
やはり自分でカバーできそうな範囲の知識は準備しておいた方が、いざという時に応用も利き、原因の早期発見にも繋がると思うのですよね。
たとえば、極端すぎる話になってしまいますが、もしこのファイルが隠しファイルなだけで、自分が隠しファイルの表示の仕方を知らなかっただけでOSの再インストールをしていたら、さすがに効率が悪いと思うのです。ウイルス対策ソフトが勝手にやってくれるという場合でも、隠しファイルという存在を知らずにパソコンをいじっていくことになってしまいます。
逆に、OS上からいじることの出来ないほどの複雑な情況で、全く別の機械やツールを用意してHDDを何日もかけて調べていかなければならない場合は、OSの再インストールをした方が効率が良いです。
そういうレベルの問題であるのなら手動で削除は諦めますが、「そういう可能性もありえる」ということを知っておくことで、今後なにかあった場合、判断材料のひとつになったりもすると思うのです。
このURL先の情報も知らないものが有り、大変感謝しております。ありがとうございます。
もし他にこの問題解決の可能性のありそうな情報をご存知でしたらお教えいただきたく思います。
http://www.higaitaisaku.com/blacklight.html
rootkit的な機能で隠されているファイルを見つけてリネームするだけのソフトです。
検出してリネームできれば、再起動後に削除できます。
情報ありがとうございます。
教えていただいたURL先のソフトで三つのexeを検出しリネームすることに成功しました!
しかし、favset.exeからfavset.exe.renのようにリネームされたのはよいのですが、相変わらず表示はされず削除できず、存在はしたままになっています。
削除できなかったのは残念ですが、ただ、リネームはされたので実行される恐れは薄くなったと思います。本当にありがとうございます!
rootkitについて調べてみると、大分厄介な隠蔽機能だそうですね。恐ろしいです。
しかし、リネームできるということは削除も目の前な気がするのに、なんとも厄介ですね。
情報ありがとうございます。
教えていただいたURL先のソフトで三つのexeを検出しリネームすることに成功しました!
しかし、favset.exeからfavset.exe.renのようにリネームされたのはよいのですが、相変わらず表示はされず削除できず、存在はしたままになっています。
削除できなかったのは残念ですが、ただ、リネームはされたので実行される恐れは薄くなったと思います。本当にありがとうございます!
rootkitについて調べてみると、大分厄介な隠蔽機能だそうですね。恐ろしいです。
しかし、リネームできるということは削除も目の前な気がするのに、なんとも厄介ですね。