ウイルスがきえないよ〜
◇-ウイルスがきえないよ〜-tak(4/18-01:40)No.26313 ┗Re:ウイルスがきえないよ〜-Ai-net(4/18-02:25)No.26315 ┣Re:ウイルスがきえないよ〜-tak(4/18-02:47)No.26316 ┃┣Re:ウイルスがきえないよ〜-にわとり(4/18-06:52)No.26319 ┃┗fdiskしては?-ゆう(4/18-11:06)No.26329 ┗Re:ウイルスがきえないよ〜-Ai-net(4/18-11:33)No.26331
| 26313 | ウイルスがきえないよ〜 | tak | 4/18-01:40 |
OS名:Windows98 パソコン名:富士通デスクパワー ソフト名:OS ウイルスバスター2001体験版でTROJ_BYMERというウイルスを発見し マニュアル通りに駆除しました。しかししばらくすると、またでてくるので、 初期化し再インストールしましたが・・・・またしても出てきます。 その間ネット、FD等外部接触はなかったはずですが 初期化しても残るものなのでしょうか? ちなみに今は別のPCで質問しています。 | |||
| 26315 | Re:ウイルスがきえないよ〜 | Ai-net | 4/18-02:25 |
| 記事番号26313へのコメント takさんは No.26313「ウイルスがきえないよ〜」で書きました。 >OS名:Windows98 >パソコン名:富士通デスクパワー >ソフト名:OS >ウイルスバスター2001体験版でTROJ_BYMERというウイルスを発見し >マニュアル通りに駆除しました。しかししばらくすると、またでてくるので、 >初期化し再インストールしましたが・・・・またしても出てきます。 >その間ネット、FD等外部接触はなかったはずですが >初期化しても残るものなのでしょうか? >ちなみに今は別のPCで質問しています。 Bymer 別名 MsInit 最近、先々週の火曜日,先週の火曜日感染と、会社の中でも、わたしは発見して います。(昨日も1件を発見!) 関係団体に問い合わせてみましたが、「たいしたことをしない」とのことです。 それを一掃したいのなら、次のことを理解して、やりましょう。 以下は、トレンドマイクロからの情報であります。 ------------------------------------------------ 活動 このトロイの木馬は起動されるとWindowsのシステムディレクトリ(デフォルト ではc: \windows \system)に DNETC.EXE 、 DNETC.INI の二つのファイルを コピーします。このファイルはインターネットを介した世界規模の分散型コンピ ューティング実験プロジェクトである「distributed.net」のクライアントプロ グラムであり、不正なものではありません。このDNETC.EXEを起動すると 「distributed.net」のクライアントマシンとして活動するようになります。 「distributed.net」に関する詳細は「distribute.net」のホームページ (http://www.distributed.net)をご覧下さい。 次に以下のレジストリキーを追加してシステム起動毎にトロイの木馬自身が 自動実行されるよう設定します。 場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run 値: bymer.scanner = “%viruspath%” %viruspath%はこのトロイの木馬が実行されたカレントパス及びファイル名です。 その後、トロイの木馬はバックグラウンドに常駐し、Windows終了時など任意のタイ ミングで上記レジストリキーの存在をチェックします。レジストリキーがなかった場合 には同じレジストリキーを再度追加します。したがって手動で上記レジストリキーを 削除しても次回再起動時には再生されてしまいます。 自動実行の設定をWIN.INI内の"load="の記述に変更した亜種も確認されています。 備考: 一個のプログラムなので駆除は行えません。ファイルごと削除してください。実行 してしまった場合に改変されたシステムは以下の方法で修復する必要があります。 ・手動削除手順: 1)WindowsをSAFEモードで起動します。 2)Windowsのレジストリエディタ(REGEDIT.EXE)などを使用してレジストリから ウイルスが作成したレジストリキーを削除してください。存在しない場合には削除 を行う必要はありません。 場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 値:bymer.scanner = “%viruspath%” #"%viruspath%"はこのトロイの木馬が実行されたカレントパス及びファイル名です。 3)Windowsのシステムエディタ(SYSEDIT.EXE)などを使用してウイルスが追加した 記述を削除してください。存在しない場合には削除を行う必要はありません。 "load=%viruspath%" 例:"load=c: \windows \system \wininit.exe" を削除 4)ウイルスワクチンソフトを起動し、全ローカルドライブに対しウイルス検索を 行ってウイルス検出されたファイルをすべて削除してください。 ※:「TROJ_BYMER」が作成するDNETC.EXEは不正なプログラムではないためウイルス 検出されません。必要ない場合は手動で削除してください。 ------------------------------------------------ って、ながながと引用したって、ほとんど意味ないんでしょうけどね。 会社では、リモートから発見したときに、そこの C:\Windows\win.ini の run= の ところを一部削除して、C:\Windows\System\wininit.exe を撃沈してやるんですけど。 (ソフトウェアを購入してちゃんと設定して欲しいなぁ、と思う 今宵)(-_-)zzz Ai-net | |||
| 26316 | Re:ウイルスがきえないよ〜 | tak | 4/18-02:47 |
| 記事番号26315へのコメント わたしもトレンドマイクロのウイルス情報に従い、ご指摘の操作は何度もやってみました。 dnetc.exeも削除してその上再インストールまでしているのに・・・・ なんでまたでてくるんでしょうか? | |||
| 26319 | Re:ウイルスがきえないよ〜 | にわとり | 4/18-06:52 |
| 記事番号26316へのコメント takさんは No.26316「Re:ウイルスがきえないよ〜」で書きました。 >わたしもトレンドマイクロのウイルス情報に従い、ご指摘の操作は何度もやってみました。 >dnetc.exeも削除してその上再インストールまでしているのに・・・・ >なんでまたでてくるんでしょうか? リカバリーをされたとの事ですが、領域の設定は行いましたが? FMVのWIN98モデルの場合、リカバリーを掛けてもCドライブのみフォーマットされるので Dにウィルスが入り込んでいる場合意味が在りません もし領域の設定を行っていないなら一度試してみて下さい また、FM簡単バックアップを使った場合も復活する可能性大です | |||
| 26329 | fdiskしては? | ゆう | 4/18-11:06 |
| 記事番号26316へのコメント 既に再インストールもしてることですし、 こうなったらFDISKしてみては? 私には環境がハッキリわかりませんが、 ブートセクタも全部FDISKかければ、いい加減消えると思います。 ※私も以前TROJにやられたことあります。^_^; | |||
| 26331 | Re:ウイルスがきえないよ〜 | Ai-net | 4/18-11:33 |
| 記事番号26315へのコメント Ai-netさんは No.26315「Re:ウイルスがきえないよ〜」で書きました。 >Bymer 別名 MsInit >最近、先々週の火曜日,先週の火曜日感染と、会社の中でも、わたしは発見して >います。(昨日も1件を発見!) >関係団体に問い合わせてみましたが、「たいしたことをしない」とのことです。 >会社では、リモートから発見したときに、そこの C:\Windows\win.ini の run= の >ところを一部削除して、C:\Windows\System\wininit.exe を撃沈してやるんですけど。 どーでもいいかもしれませんが、ちょっと訂正をば。 「C:\Windows\win.ini の run= の」じゃなくて、 「C:\Windows\win.ini の load= の」が正解です。 わたしのところの実際には、 load=c:\windows\system\wininit.exe を load= だけに編集してやります。 もちろん、C:\Windows\System\wininit.exe のファイルは削除。 (C:\Windows\wininit.exe があれば、それは「まっとう」なものなので、混同しない よう注意) Ai-net | |||
何か一言(本ページで参考になったならないを含めて残してあります)
◎:解決 ○:参考になった ×:参考にならなかった !:アドバイスあり
| 参考 | 回数 | 投稿日時 | 何か一言 |
|---|
