- ベストアンサー
WindowsXP再インストールでマルウェア検出
- WindowsXP再インストール後にマルウェアが検出された
- 購入したLet's note CF-T2がマルウェアに感染している可能性がある
- マウスやアップデートが感染源となっている可能性がある
- Poychan
- お礼率76% (10/13)
- Windows XP
- 回答数9
- ありがとう数10
- みんなの回答 (9)
- 専門家の回答
質問者が選んだベストアンサー
C:/System Volume Information(/_restore{F73EB9F3-ACEA-48B2-BDDA-331CC11611C0}/RP2) は、復元ファイルを保存する場所なので、ソフトのインストールや、WIndows Updateなどで、システムが変更されると、元に戻す情報がここに書き込まれます。 A0000065.exeがリカバリ領域に初めからあったのか、リカバー後の操作で作成されたものか切り分けるために、もう一度リカバリーを実行して、Windows Updateなど、何も実行しないうちに、C:/System Volume Information に何があるか見てはいかがでしょうか?これで完全に切り分けられるわけではありませんが、 C:/System Volume Informationは隠しフォルダで、通常ユーザーのアクセスができませんので、隠しフォルダを表示するように設定を変更し、ログオンするアカウントでフルコントロールのアクセス権を設定します。 つぎに、Windows Updateを実行する前に、Avastをインストールします。ネットに接続してではなく、あらかじめダウンロードしておいたファイルからインストールするのが安全だと思います。 Windows Updateは、Avastのインストール後に実行します。これで外部からの侵入はAvastが検知してくれると思います。 私は、インストール直後のWindows UpdateでMS Blasterに感染した経験があります。最初のWindows Updateは時間がかかりますので、Virus対策ソフトなしで実行するのはリスキーだと思います。 これで、最終的にA0000065.exeが検出されなければ、安心して継続使用して良いと思います。 Avastの誤検出である可能性もありますのでAvastにレポートしておくことをおすすめします。 なお、このフォルダにあるファイルは復元のとき利用されるものなので、現状で問題なく動いているならA0000065.exeをAvastにより削除しても差し支えないと思います。
その他の回答 (8)
- VeryBerryVery
- ベストアンサー率0% (0/1)
自分もほぼ同じ現象(WindowsXP, セキュリティソフトはAvira AntiVir)に遭遇して悩んで調べました。ネットから切り離してリカバリーした直後の検出だったので誤検出かと思いましたが、どうやら、System Volume Informationは、ウインドウズの復元で使う隠しフォルダで、OSの再インストールでは消えないものがあるようです。(ディスクを消去して新規インストールすれば消えるらしいです) アクセサリの中のシステムツール→システムの復元で、システムの復元を無効にした後再起動すると消えるとのことで試してみたところ消えました。 念のため、その後、再インストールしてウイルススキャンをして引っかからないことも確認できました。 System Volume Information フォルダの中はアクセスできないので若干すっきりしないのですが、中を見る方法はわかりません。
お礼
ありがとうございました。 お礼が遅くなってしまい、申し訳ありませんでした。 やっぱり、旧情報が残ってしまっていることがある ようですね。 貴重な情報、ありがとうございました。
- debukuro
- ベストアンサー率19% (3634/18947)
avast5で削除すればいいと思います 削除できなかったら有料のセキュリティーツールが必要かも知れません 隔離したまま使って異常が発生しなかったら削除すればいいです
- debukuro
- ベストアンサー率19% (3634/18947)
ごめんなさい ミスタイプでした 「バックアップデータがあるのならバックアップデータを削除してからもう一度リカバリーをすればいいと思います」 このように書きたかったのです
お礼
ありがとうございます。 再度リカバリーを行い、ウィンドウズアップデートを行う前に avast5をインストールしてチェックしてみましたが、同じ場所 から、また「A0000065.exe」が発見されました。 以前使用していた方の情報等が、どこかにバックアップデータ として残ってしまっているのでしょうか?
- m_and_dmp
- ベストアンサー率54% (992/1825)
隠しフォルダ(システムフォルダも)を見えるようにするには、Windowsのエクスプローラーを開き、「ツール」→「フォルダオプション」→「表示タブ」を展開し、「隠しファイルおよび隠しフォルダを表示しない」のチェックと「保護されたオペレーティングシステムファイルを表示しない」のチェックを外します。 これで、Cドライブにある「 System Volume Information」というフォルダが見えるようになります。これをダブルクリックして開こうとしても、権限がない、と拒否されると思います。 つぎに「 System Volume Information」フォルダをマウス右クリックしてプロパティを表示させ、「セキュリティタブ」を選択して表示します。 「グループ名またはユーザー名」のところに通常ログインしているユーザー名はないと思いますので追加します。 「追加」ボタンを押し、「選択するオブジェクト名を入力してください」にユーザー名を打ち込みOKを押します。 すると、先ほどの画面に戻り、「グループ名またはユーザー名」の中に追加したユーザー名が表示されますので、それを選択して、「xxxxのアクセス許可」の「フルコントロール」をチェックして、OKします。 これで、「 System Volume Information」をダブルクリックして保存されているファイルを見ることができるようになります。 「A0000065.exe」は、Avastいよってすでに隔離されているとしたら、Avastのチェストに移動されていて、ここにはないと思います。 ここにあるファイルは復元のためのファイルなので直接削除すると何か悪い影響が出るような気がしますので、削除するときは、「マイコンピュータ」を右クリックしてプロパティを表示させ、「システムの復元タブ」を選択して内容を表示させます。 ここに各ドライブの状態が「監査」とか「無効」と表示されていますので、Cドライブを選択して、右にある「設定」ボタンを押し、「このドライブのシステム復元機能を無効にする。」をチェックします。 これで、「 System Volume Information」の中の復元情報ファイルが削除されます。こうして、削除したら「□このドライブのシステム復元機能を無効にする。」を再びチェックしておけば良いと思います。 復元ポイントはアプリケーションをインストールしたり、Windows Updateを実行するたびに作成されますが、現在正常に動いているなら、古い復元ポイントは要らないと考えられます。 そこで、最新の復元ポイントを残して古い復元ポイントをすべて削除したいなら、「アクセサリー」にある「ディスククリーンアップ」の「詳細オプション」から「最新の復元ファイル以外の・・・・・」にある「クリーンアップ」ボタンを押します。 システム復元ファイルはたまってくると、けっこうなサイズになりますので、これを実行してディスクを軽くしておくと良いと思います。 「A0000065.exe」をチェストに移動させた状態でも今のところは問題なく動作しているようですが、元の場所に戻して置いたほうが良いと思いますか? →元の場所に戻す必要はありません。チェストにおいて、Avastの誤検出と分かったら戻せばいいと思います。また、ここにあるファイルはWinsowsの現在の動作には関係がありませんので、削除してもかまいません。
お礼
分かりやすい説明、ありがとうございました。 少し疑問なのは、「A0000065.exe」が復元ポイントのための ファイルとして記録されていたということは、このPCは 中古で購入したので、以前使用されていた方がマルウェア等 に感染していて、そのデータがまだ残っていたのでしょうか? いずれにしても、これで安心して使用できそうです。 ありがとうございました。
発見された場所のパスから考えて、A0000065.exeがリカバリ領域に初めからあったはずはありませんから安心して下さい >1. この「A0000065.exe」はウィルスまたはマルウェア等なのでしょうか? 誤検出の可能性は高いですが、はじめからWindowsXPが持っているファイルではありませんので、現在動作に問題がないのなら削除してかまいません というより、復元ポイントをさくじょすれば二度と検出されないことになります フリーソフトのセットアップの途中で作成されるファイルにはそういう名前をつけるものもあります 外部ネットワークに情報を送ろうとするためか、マルウェアとして検出されることがよくあります 5.は理解できません
お礼
ありがとうございます。 リカバリ領域に初めからあったわけではないことを教えて戴けた だけでも、少し安心できました。 まだ使い始めなので、とりあえずもう一度インストールしなおして みようと思います。 それでも発見された場合には、No.2で教えて頂いたサイトで チェックしてみようと思います。
- FEX2053
- ベストアンサー率37% (7995/21381)
何となくAvast!の誤検出っぽい気がするンですが・・・。 いずれにせよ「隔離」したなら問題ありません。その状態で、他のオンラインスキャンを使ってみればいいんじゃないかと思います。 http://www.trendflexsecurity.jp/housecall/ http://www.kaspersky.co.jp/virusscanner
お礼
ありがとうございます。 私も最初、Avast!の誤検出かなと思ったのですが、「A0000065.exe」だけで 検索したら、マルウェアらしい報告もあるようなので気になってます。 もう一度初めからやり直してみようと思います。
- violet430
- ベストアンサー率36% (27472/75001)
別のソフトでチェックしてみたら如何ですか? 罰のソフトでも検出されるならスパイウェアと考えて良いでしょうね。 http://enchanting.cside.com/security/spybot1.html
お礼
ありがとうございます。 もう一度初めからやり直してみようと思います。
- debukuro
- ベストアンサー率19% (3634/18947)
隔離した状態で使って異状がなければ削除しても問題はありません アップデートやマウスドライバーで感染するとは思えません どこかにバックアップデータが保存されていてそれがリストアーによって復活したのかも知れませんね バックアップで多を削除してからリカバリーしてみればいいです 初めてのコンピューターは出来るだけ新品を買われた方がいいです メーカーのサポートもあるし無償保証も付いていて安心です セキュリティーツールは有料のものを使われたほうがいいと思います
お礼
ありがとうございます。 マウスを装着しないで、もう一度初めからやり直してみようと思います。 ちなみに、バックアップで他を削除してからリカバリーというのは、 どのようにやればよいのでしょうか? このPCは中古で購入(本当は、debukuroさんがおっしゃられるように 新品が良いとは思うのですが、値段に惹かれました。)したため、 購入後に動作確認だけして、私個人のデータ等はまったくないので、 その他のバックアップはしておりません。
お礼
詳しい情報、ありがとうございます。 やっぱり、インストール直後のWindows Updateでも感染することがあるよう ですね。 私もWindows Update中は、長時間ネット接続しっぱなしの状態になるので、 少し心配しておりました。 マウス等を装着しない状態で、Avastだけインストールしてもう一度初めから やり直してみようと思います。
補足
先ほどは、ありがとうございました。 もう一度、最初から再リカバリーをしてみました。 リカバリー後に、何も実行しないうちに、C:/System Volume Information を見てみようと思い、隠しフォルダを表示するように設定してみた つもりでしたが、操作が不適当だったのか、隠しフォルダが表示 されませんでした。 (ログオンするアカウントでフルコントロールのアクセス権を設定 というのが良く分かりませんでした。どのように操作したら 良いのでしょうか?) そのため、C:/System Volume Informationを見ることは諦めて、 再リカバリー後にネット接続しない状態で、マウスも装着しない 状態でavast5をインストールし、すぐにブートタイム検査を行った ところ、前回と同じように「A0000065.exe」が検出されました。 やはり、avast5の誤検出の可能性が高いのかな?とも思いましたが、 念のため再度チェストに移動させておきました。 「A0000065.exe」をチェストに移動させた状態でも今のところは 問題なく動作しているようですが、元の場所に戻して置いたほうが 良いと思いますか? しばらく様子を見てからAvastにレポートしておこうと思います。 またアドバイス等がございましたら、教えて下さい。