- ベストアンサー
TROJ_DELF.AXEの駆除方法
使用環境 windows xp Home Edition Version2002 sp2 ウィルスバスター2006 今朝ウィルス検索したところ、「TROJ_DELF.AXE」というトロイの木馬がいくつか見つかりました。感染したファイルの内、いくつかのファイルはウィルス隔離で削除できたのですが、[smss.exe][csrss.exe]というWindowsのOS及び付随するメディアプレーヤ等のMicrosoft社製品のプロセスに感染したものだけ削除出来ません。ウィルスバスターのサイトによればタスクマネージャでプロセスを停止させ削除とあるのですが、「重要なシステム プロセス」と表示され消せません。調べてみるとウィンドウズに必要なプロセスの様で消すべきでない様なのですが・・・。プロセスを終了せずにCドライブから上記のexeを削除しようとしましたが「smssを削除出来ません。アクセスできません。ディスクがいっぱいでないか、書込み禁止になってないか、またはファイルが使用中でないか確認してください。」の表記が出て削除も出来ません(プロセスが終了してない「使用中」からかも、でもそれが出来ないのです)。昨今情報流出の話題が尽きず私も誰か外部の人に不正にアクセスされているのか心配で仕方がありません。 もしかしたら他人にPCの中身を見られている可能性があるのでしょうか・・・一応知りたいです、でも怖いです・・・。とにかく的確な駆除法を教えて下さい。お願いします。
- HUNK
- お礼率30% (22/73)
- ウィルス・マルウェア
- 回答数5
- ありがとう数6
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
とりあえず、ウイルスバスターにもう一度そのウイルスを検出させて、発見されたウイルスの正確な場所を調べてみてはどうですか? ウイルスの話をするときは、ファイル名だけでなくそのファイルがある場所(フルパス)も非常に重要です。 特に今回みたいなシステムファイルに偽装したようなタイプの場合は。 ちなみに smss.exe も csrss.exe も Windows が稼動する上で超重要なファイル・プロセスですから、 これがウイルスによるファイルで置き換えられていることは絶対にありません。 両方とも、C:\WINDOWS\system32 フォルダには No.4 さんがおっしゃるような本物が必ずあると思います。 それ以外で、同じファイル名やちょっと違うファイル名 (ssms.exe とか cssrs.exe とか) がある場合はまず間違いなくウイルスです。 もう一回、この辺をきちんと確認してみるべきだと思います。
その他の回答 (4)
- doki2
- ベストアンサー率51% (440/860)
★csrss.exe csrss - csrss.exe - Process Information http://www.processlibrary.com/directory/files/csrss/index.php 通常は、Windows正規のプログラムですが、有害なファイルに上書きされて、ウィルスメールを乱発するのに使われるようです。 独自のSMTPエンジンを使って、メールを発信するので、感染者が送信記録を調べることができません。 即、インターネットから切断して、修復できるまで、どうしても必要なとき以外接続しないようにしてください。 どちらかといえば、リカバリをして、被害の拡大を防ぐべきだと思います。 ★smss.exe smss - smss.exe - Process Information http://www.liutilities.com/products/wintaskspro/processlibrary/smss/ 通常は、Windows正規のプロセスとして、メモリーに常駐しますが、スパイウエアによって有害なファイルを上書きインストールされることがあります。 ユーザーのパソコンに忍び込んでユーザーの個人情報やパスワードを盗みとることがありますので、早急な対策が必要と思います。 ☆感染状況の調査 これらのファイル名を使うスパイウエアはいくつかあり、感染状況も異なります。 TROJ_DELF.AXE - 詳 細 - http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDELF%2EAXE&VSect=T これだけの情報ではなぜ、タスクマネージャで停止できないのかがわかりません。 「重要なシステム プロセス」と表示されるのであれば、本当に正規のプログラムを削除しようとしているのかもわかりません。 エキスプローラで下記ファイルを選択して右クリック、メニューのプロパティーを選択してファイル情報をしらべ、Windows正規のファイルでないかどうかを確認してください。 ☆C:\WINDOWS\system32\csrss.exe サイズ:6.00 KB (6,144 バイト) ファイルバージョン:5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) 会社名:Microsoft Corporation ☆C:\WINDOWS\system32\smss.exe サイズ:49.5 KB (50,688 バイト) ファイルバージョン:5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) 会社名:Microsoft Corporation 会社名やファイルバージョンが空白であったり、サイズが違う場合は有害なファイルと断定できると思います。 ★有害なファイルの場合、 C:\WINDOWS\WIN.INIをメモ帳で開き下記記述が無いか調べてください。 [windows] load=C:\WINDOWS\ystem32\Csrss.exe load=C:\WINDOWS\ystem32\smss.exe run=C:\WINDOWS\ystem32\Csrss.exe run=C:\WINDOWS\ystem32\smss.exe C:\WINDOWS\SYSTEM.INIをメモ帳で開き下記記述が無いか調べてください。 [boot] shell=Explorer.exe C:\WINDOWS\ystem32\Csrss.exe shell=Explorer.exe C:\WINDOWS\ystem32\smss.exe
お礼
有難うございました。 無事解決しました。
- lonewolf
- ベストアンサー率48% (818/1682)
Trendmicroのデータベースでは詳細がわかりませんが、プロキシサーバーとして機能してハッカーの命令を待ち受けるとありますから外部から不正にアクセスされている可能性があります。 そうなりますと何が仕込まれているかわからないのでリカバリをおすすめします。 http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDELF%2EAXE
お礼
リカバリで何とかなりました。 有難うございました。
- ewido
- ベストアンサー率41% (65/156)
こんにちは。 >とにかく的確な駆除法を教えて下さい。 おそらくセーフモードで起動させても駆除するのは不可能だと思います。 やっぱりOSを入れ直した方が早いと思います。 トロイが複数見つかったわけですしその方が安心してパソコンが使えると思います。 >他人にPCの中身を見られている可能性があるのでしょうか ないでしょう。 たぶん。 そう思っていた方が精神上いいと思います。
お礼
助言有難うございました。 心配しすぎでした・・・
- yoshi-thk
- ベストアンサー率38% (2059/5283)
完全に接続できないような状態にして、セーブモードで起動して該当するファイルを削除できないか試してみてください。 それでも駆除できないのであれば、データを別の媒体に移動してリカバリをした方がよいです。
お礼
有難うございました。 リカバリで大丈夫でした。
お礼
これを機会に調べました。 今回の件で色々勉強になりました。 リカバリで結局無事解決しました。 有難うございました。