こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

ウィルスの削除

WindowsME/IE5.5/OutlookExpressです。
アンチウィルスソフトを入れているのですが、更新しなかったせいか、ウィルスをもらってしまいました。IEP2の更新もしたし、怪しいメールも見ないで削除したのですが、

Synmantecのホームページでチェックしたら、

c:\My Documents\New_Napster_Site.MP3.pif は 次のウィルスに感染しています: W32.Badtrans.B@mm

と出てきたのです。

削除しようと思い、MyDocumentsのNapsterとあるアイコンを触れたところ、突然消えてしまいました。
検索で探しましたが、見つかりません。
対処の仕方を教えて下さい。
また、New_Napster_Site.MP3.pif とは何ですか?

投稿日時 - 2001-12-02 03:56:20

QNo.178277

すぐに回答ほしいです

質問者が選んだベストアンサー

誤解されないように…。

>ここにチェックを入れたから、「検索」しても出てこないのですね。

「復元」のチェックと「検索」は違うのですが…。

「_restore」というファイルは Windows Me から搭載された「復元」機能の為のファイルで、普通は間違って変更や削除が出来ないように「隠しファイル」として見えない状態に保護されている訳です。ですから、検索しても表示されません。
他にもOSで重要なファイルは「隠しファイル」として保護されています。


「削除」が出来ない理由は、システムの「復元」機能が働いているせいで、その機能を停止してしまえば「_restore」の「削除」が可能になる訳です。

投稿日時 - 2001-12-03 11:12:44

補足

>>システムの「復元」機能が働いているせいで、その機能を停止してしまえば「_restore」の「削除」が可能になる訳です。

「復元」の機能を停止しました。
こんどは、_restoreのA006~などを探したいのです。
削除する為に。

投稿日時 - 2001-12-03 12:43:10

お礼

何度も回答していただきありがとうございました。
何とか戻る事が出来たようです、、、たぶん。
その後のアフターも面倒ですね。
セキュリティの問題とか、ブラウザの設定とか。
ウィルスメールをくれた方からお詫びのメールが届きました。私も全員に書きました。
しばらくは「プレビュー無し」でやっていこうと思います。今回の件で、ノートンよりシマンテックの方が良いと思いました。

投稿日時 - 2001-12-05 05:05:06

ANo.15

このQ&Aは役に立ちましたか?

6人が「このQ&Aが役に立った」と投票しています

回答(16)

ANo.16

#13に記載したように、「隠しファイル」が表示される設定にしてから、Cドライブで「_Restore」フォルダーを探して下さい。そのフォルダーの中に「A006~」等お探しのファイルがあるはずですが…。


下記URLでは、Safeモードでウィルススキャンをする方法が記載されていますから、そちらの方法をとられては如何でしょうか?

MCAFEE ウィルス駆除ガイド ~ 「Windows ME の場合」 参照.
  ↓
http://www.nai.com/japan/virusinfo/kujoguide.asp

参考URL:http://www.nai.com/japan/virusinfo/kujoguide.asp

投稿日時 - 2001-12-03 13:52:41

補足

cドライブの中に、「_RESTORE」というフォルダがありません。「RESTORE」ならあるのですが、[A006~]などのフォルダが無いのです。

投稿日時 - 2001-12-03 14:02:22

お礼

昨夜「NortonInternetSecurity」を購入して、カスタマーIDを取得したのですが、朝からサポセンは混みあって電話も通じませんのでここで回答を待っています。

投稿日時 - 2001-12-03 14:08:09

ANo.14

そうとう困ってらっしゃるようですね。いっそのこと大切なデータをバックアップをとり、パソコン初期化されては如何でしょうか?その方が安心できますよ。

投稿日時 - 2001-12-02 17:36:50

ANo.13

隠しファイルだと思います。

エクスプローラーのメニューの [ 表示 ]→[ フォルダオプション ]をクリック。[ 表示 ] タグを選択しすると、「表示されないファイル」の下の「すべてのファイルを表示する」にチェックを入れます。

Meだと、[ ツール ]→[ フォルダオプション ] 、
[ 表示 ] タブをクリックすると「保護されたオペレーティングシステムファイルを表示しない」という項目があると思いますから、そのチェックボックスを外すとファイルが表示されるようになるはずです。

「復元機能」を無効にしてから出ないと削除できないと思います。

下記サイトにも Me の場合の削除の仕方があります。

MCAFEE ウィルス駆除ガイド ~ 「Windows ME の場合」 参照.
  ↓
http://www.nai.com/japan/virusinfo/kujoguide.asp


WindowsMeの「_restore」フォルダからウイルスが駆除できない
  ↓
http://www.zdnet.co.jp/help/tips/windows/w0345.html

_RESTOREフォルダは削除してはいけないのですか?
  ↓
http://www.zdnet.co.jp/magazine/cshop/0011/sp3/01i.html

参考URL:http://www.nai.com/japan/virusinfo/kujoguide.asp

投稿日時 - 2001-12-02 17:32:11

補足

>>システム復元を無効にするためにはファイルシステムのプロパティ(システムプロパティのパフォーマンスタブのファイルシステムボタンを押す)のトラブルシューティングタブにある「システムを復元しない」にチェックを入れれば可能です。

ここにチェックを入れたから、「検索」しても出てこないのですね。

投稿日時 - 2001-12-02 18:18:03

ANo.12

(◎_◎)【“BADTRANS.B”駆除ツール無償配布 】
“BADTRANS.B”は,“Nimda”と同様に世界的に猛威を振るっているWebブラウザーやメールソフトの既知のセキュリティーホールを悪用するウイルス.添付メールを表示するだけで感染し,「Outlook」や「Outlook Express」などMAPI対応メールソフトのアドレス帳に登録されているメールアドレス宛に,ウイルスを添付したメールが勝手に送信されてしまう.
トレンドマイクロ(株)では,2001年11月30日,現在被害が拡大している新種ウイルス“BADTRANS.B”を駆除・修復するツールの無償配布を開始した...とのことですヨ (^^)/~~~~

参考URL:http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=3368

投稿日時 - 2001-12-02 17:31:52

ANo.11

symantec の下記サイトを確認して下さい。

現象:ファイルのスキャン中にハングアップする
  ↓
http://service2.symantec.co.jp/consumer/supportkb.nsf/bfab49bf32e9438b49256af8002ed8bd/703c4abef38d15cf49256aff005d2c69?OpenDocument

参考URL:http://service2.symantec.co.jp/consumer/supportkb.nsf/

投稿日時 - 2001-12-02 16:09:26

補足

まだ見てませんが、

今度は、削除したいファイルを見つけようとして、
検索からc¥_restore~を探すと、「ありません」になってしまいました。これは、Cドライブのどこでしょうか?

投稿日時 - 2001-12-02 16:29:19

お礼

インストールCDなどからオリジナルのファイルと入れ替え、ウイルススキャンを最後まで実行出来るかどうかご確認下さい。

とありますが、インストールCDなど、よくわかりません。
とりあえず、C\_restoreの場所を教えてください。

投稿日時 - 2001-12-02 16:50:55

ANo.10

駆除されて入りのであれば問題ありませんが、念のため、ウィルススキャンが終わり、駆除が確認できるまでは、そのPCはインターネットに接続しない方が良いですよ。


IE5.5SP2/IE6 にもセキュリティホールはあります。
再度感染しないように、下記サイトより使用している環境に合った「セキュリティの修正プログラム」をダウンロードし、適用して下さい。

ホームユーザー向け セキュリティ対策 早わかりガイド
  ↓
http://www.microsoft.com/japan/enable/products/security/

参考URL:http://www.microsoft.com/japan/enable/products/security/

投稿日時 - 2001-12-02 15:02:59

補足

ウィルススキャンは97パーセントの所くらいで、毎回フリーズするようになって強制終了しか方法がなくなります。

IEはIE5.5SP2にアップしているので、こんなことはないと思っていたのですが、

この後の対処の方法がわかりません。

駆除されているのかどうかもわかりません。

投稿日時 - 2001-12-02 15:16:26

お礼

スキャンをはじめると、「~問題~終了します」となって、強制終了しなくてはなりません。

いったい如何したらいいのでしょうか?

10回くらいこうなってしまいます。
もうウィルスチェックも出来ないのでしょうか?

投稿日時 - 2001-12-02 16:25:01

ANo.9

◆ 削除できない原因

Windous Me の「システムの復元」機能により、感染した状態がバックアップされている為。

下記URLを参考にして下さい。

WindowsMe の「_restore」フォルダからウイルス発見した場合
  ↓
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=2186

参考URL:http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=2186

投稿日時 - 2001-12-02 13:32:19

補足

おしえていただいたURLの指示通りにやってみました。
→システムバックアップの停止
そして今もう一度自己解凍ツールで、作業しました。
→私のやり方が正しいのかどうか判りませんが。
そして今補足を書きながら、ウィルススキャンを実行している最中です。
こうやってネットしているあいだも当方の情報(ネットバンキングのパスワード等)が漏れているのかと思うと、怖いですね。
これでいいのでしょうか?

ウィルスススキャンが終わったら、またこのページを見てみます。

投稿日時 - 2001-12-02 13:58:58

ANo.8

 
  VI. Inoculating the system.
      Creating [KERNEL32.EXE]. Already existing.
      System Inoculation failed!
 
  これは、すでに免疫フォルダーは存在しているので、その作成に失敗したというメッセージです(すでに、免疫ワクチンを使った場合、正常な表示です)。黒い画面というのは、ワクチンが働くDOS画面でしょう。(わたしも、二度目のワクチン実行の後は、こういう表示です)。
 
  ウィルスに感染したファイルがあっても、それは自己削除すればよいものでしょう。レジストリーが正常で、メモリー上にないのであれば、問題はないのです。また、中心となる、三つの構成ウィルス・ファイルがないならば。TEMPフォルダーにあるウィルスは、あるいは、この三つの構成ウィルス・ファイルのコピーなのかも知れません。
 
  三つのウィルス構成ファイルとは:
 
>      File "C:\WINDOWS\SYSTEM\kernel32.exe" not found
>      File "C:\WINDOWS\SYSTEM\kdll.dll" not found
>      File "C:\WINDOWS\SYSTEM\cp_25389.nls" not found
 
  ここで、出てくる、三つのファイルです。
 

投稿日時 - 2001-12-02 08:06:33

補足

c:\_RESTORE\TEMP\A0063222を削除しようとしたら、

「削除できませんでした。アクセスできません。送り側が~」と出てきて削除できません。28.3KBです。

c:\_RESTORE\TEMP\A0063223.CPY は、5.5KBです。
c:\_RESTORE\TEMP\A0063250.CPY は、28.3KBです。

投稿日時 - 2001-12-02 13:21:17

ANo.7

 
>c:\_RESTORE\TEMP\A0063222.CPY は 次のウィルスに感染しています: W32.Badtrans.B@mm
>c:\_RESTORE\TEMP\A0063223.CPY は 次のウィルスに感染しています: W32.Badtrans.B@mm
>c:\_RESTORE\TEMP\A0063250.CPY は 次のウィルスに感染しています: W32.Badtrans.B@mm
 
  これらのファイルは29キロかどうか確認してください。29キロならウィルスのコピーです。
  不安なら、フロッピにファイルのコピーを取って、削除することです。TEMPフォルダーにあるのは、削除しても問題ないはずなのですが。
 

投稿日時 - 2001-12-02 07:41:58

補足

3つとも、
削除しようとしても、
出来ませんでした。

投稿日時 - 2001-12-02 12:50:41

ANo.6

わたしのPCには、ウイルスはないのですが、試しにやってみました。すると黒い画面にはならないのです。そして、結果は、自動的に生成されたFixBadtr.logというログファイルに記録されます。そのログを開くと、私の場合だと、そういうウイルスはなかったと書かれています。
このプログラムは、自動的にウイルスを削除して修復するものだと書かれていますから、これを実行しても、なお、ウイルスがいるというのは、うまくいかなかった可能性があります。
これ以上のことは、わたしには分かりません。もう少し、セキュリティーに詳しい方の回答をまってください。

投稿日時 - 2001-12-02 07:41:42

ANo.5

 
>c:\_RESTORE\TEMP\A0063222.CPY は 次のウィルスに感染しています: W32.Badtrans.B@mm
>c:\_RESTORE\TEMP\A0063223.CPY は 次のウィルスに感染しています: W32.Badtrans.B@mm
>c:\_RESTORE\TEMP\A0063250.CPY は 次のウィルスに感染しています: W32.Badtrans.B@mm
 
  これらは、テンポラル・ファイル・フォルダーに保存された、ウィルス・ファイル本体です。コピーを取りたいなら、フロッピにでも取ればよいでしょうが、扱いを慎重に(ダブルクリックしないよう)、すぐ削除し、ゴミ箱からもすぐ削除します。削除で、これらのファイルの処理は終わりです。念のため、もう一度、ワクチンを実行してみてください。NO found になればOKです。
 

投稿日時 - 2001-12-02 07:33:25

補足

c:\_RESTORE\TEMP\A0063222を削除しようとしたら、

「削除できませんでした。アクセスできません。送り側が~」と出てきて削除できません。28.3KBです。

c:\_RESTORE\TEMP\A0063223.CPY は、5.5KBです。
c:\_RESTORE\TEMP\A0063250.CPY は、28.3KBです。

投稿日時 - 2001-12-02 12:56:15

お礼

c:\_RESTORE\TEMP\A0063222.CPY の場所を教えて下さい。検索しても出てきません。機能検索したときは出てきたのですが。
隠しファイルはオフにしました。

投稿日時 - 2001-12-03 02:53:11

ANo.4

No.1の回答の参考URLに書いたページにあるFixBadtr.exeのURL
(1.FixBadtr.exeファイルを下記の場所からダウンロードします。のところです)
をクリックすると、FixBadtr.exeがダウンロードされると思います。とこから起動するかですが、汚染されていないところからした方がいいので、フロッピーディスクに保存を勧めているわけです。これは、そのままで実行ファイルですから、二回カチカチとマウスをクリックしてやると、そのプログラムが起動します。スタートをクリックすると、自動的にスキャンがはじまり、排除されることになります。

参考URL:http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.badtrans.b@mm.removal.tool.html

投稿日時 - 2001-12-02 06:20:52

補足

実行(黒い画面で~その後再起動)しましたが、
これだけでよいのでしょうか?
3つのファイルは削除していいものなのですか?(restore)
黒い画面で実行したあと、スキャンしたら、その3個のファイルがウィルスとして表示されたのですが。

投稿日時 - 2001-12-02 06:35:10

ANo.3

 
  すでに、No.1 No.2 の方の回答で、十分ですので、補足を述べます。
 
  これは、W32.Badtrans.B@mm というトロイの木馬型ウィルスで、Badtrans.A というウィルスの改良版です(より、悪質になったので、改悪版というべきかも知れません)。「OEのプレビュー画面で見ただけ」で感染するので、ニムダ・ウィルスと同様に、危険です(添付文書を開かなくとも、メールを開かなくても、プレビューだけで感染するウィルスです)。
 
  ファイルは、ウィルス本体ファイルが29キロですが、メール全体だと41キロあるようです。
 
  New_Napster_Site.MP3.pif
  は、ウィルスの本体ファイルの名前です。これは、幾つかの候補のなかからランダムに造られます。
  ファイル名は、「ファイル名+拡張子1+拡張子2」という形をしていて、最初のファイル名には、十数個の名前から任意のものを選びます。「New_Napster_Site」は、その名前の一つです。拡張子1は、「.DOC」「.ZIP」「.MP3」の三つのどれかを選び、拡張子2は、「.src」「.pif」の二つのどちらかになります。貴方の場合は、「.MP3.pif」になったのです。
  なお、以下のトレンドマイクロにも、ウィルス・ワクチンがあります。シマンテックと同じものだと思います。
 
  このウィルス・ワクチンを実行すると、FIX_BADT.LOG という報告ファイルができますが、なかが英語です。以下はそのサンプルです(わたしも、何か危ないので、念のため、ウィルス・ワクチンを実行してみたのですが、別に感染していなかったので、以下の結果です。一昨日から昨日にかけて、四通もウィルスが送られて来たので、全部処理しましたが、念のためワクチンを実行したのです。……なお、OEのメールの「プレビュー」だけで感染するウィルスが増える可能性があり、「プレビューなし」にOEの設定を変えた方がよいです。OEの「表示」→「レイアウト」で、プレビューなしにできます)。

=========================================================== 
II. Terminating Worm/Virus processes.
      *** Infected processes were NOT found. ***
 
III. Cleaning System Registry.
      WORM_BADTRANS.B not found in the SYSTEM REGISTRY
 
V. Removing drop files.
      File "C:\WINDOWS\SYSTEM\kernel32.exe" not found
      File "C:\WINDOWS\SYSTEM\kdll.dll" not found
      File "C:\WINDOWS\SYSTEM\cp_25389.nls" not found
 
VI. Inoculating the system.
      Creating [KERNEL32.EXE]. Folder created.
      System Inoculated
=========================================================== 
 
  わたしの場合は、感染していないので、NOT found になっていますが、感染されている場合は、別のメッセージになります(FOUND となるでしょう)。
 
  重要なのは、最後のVIのところで、
  これは、
  「システムを免疫化しました」というメッセージで、KERNEL32.EXE という免疫フォルダを造ったので、このウィルスについては、今後は、この免疫フォルダルが対抗するので、以降は安全です、という意味です。
 

参考URL:http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=3368

投稿日時 - 2001-12-02 05:36:11

補足

このウィルスワクチンをどうすればいいのでしょうか?
実行するだけで、

c:\_RESTORE\TEMP\A0063222.CPY は 次のウィルスに感染しています: W32.Badtrans.B@mm
c:\_RESTORE\TEMP\A0063223.CPY は 次のウィルスに感染しています: W32.Badtrans.B@mm
c:\_RESTORE\TEMP\A0063250.CPY は 次のウィルスに感染しています: W32.Badtrans.B@mm

これらを削除しなくていいのですか?

投稿日時 - 2001-12-02 05:53:57

ANo.2

W32.Badtrans.B@mmという本体のウィルス
で、そちらが感染してできた名前が
New_Napster_Site.MP3.pifという
ウィルスです、
MP3.pif 拡張子が2つついてますので

削除の方法は Synmantecやマイクロソフトの
ページに詳しく書かれてます
今一番出回ってウィルスですかね、
改良版多いらしいので早めにチェックしてください。

投稿日時 - 2001-12-02 04:16:05

補足

c:\_RESTORE\TEMP\A0063222.CPY は 次のウィルスに感染しています: W32.Badtrans.B@mm
c:\_RESTORE\TEMP\A0063223.CPY は 次のウィルスに感染しています: W32.Badtrans.B@mm
c:\_RESTORE\TEMP\A0063250.CPY は 次のウィルスに感染しています: W32.Badtrans.B@mm


Creating [KERNEL32.EXE]. Already existing.
System Inoculation failed!

とあるので、まだ駄目なんですね。

投稿日時 - 2001-12-02 05:17:06

ANo.1

New_Napster_Site.MP3.pif は、ウイルスが入っているファイルらしいです。名前は、相手から送られてくるときに、適当な名前が付けられて送られてきますから、特に意味はないです。
すでに、過去の質問に回答がありますが、シマンテックから、駆除するプログラムがでています。
参考になりますでしょうか。
あと、ネットワークセキュリティのカテゴリーに、この件に関する質問がたくさん載っています。

参考URL:http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.badtrans.b@mm.removal.tool.html

投稿日時 - 2001-12-02 04:13:27

補足

>シマンテックから、駆除するプログラムがでています。
自己解凍したのですが、よく判りません。

 任意のフォルダーにコピーし、"FIX_BADT.EXE"をダブルクリックしてください。

の意味さえも判りません。

投稿日時 - 2001-12-02 05:11:57

あなたにオススメの質問