- ベストアンサー
トロイの木馬を検出した後の対処方法
本日ノートンのアンチウィルスでドライブスキャンを実行したところ、C:\Windows\system32にあるmstime32.exeがウィルス(Trojan Horse)として検出されてしまいました。 このファイルをそのまま(WindowsをSafeモード起動をして)削除してよいものなのかがよくわかりません。 シマンテックから最新のウィルス定義ファイルをダウンロードして実行しても、ファイルは自動駆除してくれませんでした。トロイの仕業によるものか、LiveUpdateもできなくなってしまいました。 似たような質問はありますが、自分のケースと同じ質問が見つからなかったため質問させていただきました。 どうかご指導をお願いします。
- hoso36
- お礼率100% (15/15)
- ウィルス・マルウェア
- 回答数2
- ありがとう数6
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
トロイの木馬は独立したプログラムですので、Norton先生の定義ではウイルスとされていません。ユーザーが手動で削除する必要があります。 が、Norton先生の手によってレジストリの改変は元に戻され、そのトロイの木馬がsystem32フォルダに残っているだけじゃないかと予想されます。これがはっきりしている場合は何もしなくても実害はありません。 でもそんなプログラムを放置しておくのもなんですから削除したいところですが、どうもmstime32.exeがトロイの木馬に該当するって自信がないので、あくまでも自己責任でお試しくださいね。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon キーを開きます。 右側の窓で(REG_DWORD)値で「SFCDisable」という値を作成します。もともと存在する場合、デフォルトでは、SFCDisable は 0 に設定されています。 この値は、SEP(systemファイル保護機能)がオンになっていることを示します。 SFCDisable を「1」 に設定すると、SFPは変更後にリブートされた一回目でのみ無効になります。 このときにsystemフォルダ内のファイルを削除したり改変したりすることができます。 システムをもう一度リブートすると、SFP は自動的に有効になります。 あ、Windows98だったらごめんなさい。該当しないかもしれません。
その他の回答 (1)
>ファイルが使用中というメッセージが出てしまい おそらくレジストリのスタートアップ項目に入っていると想像されますので、セーフモードでなら何とかなるような気がします。 ただ、検疫が成功したのでしたら、その必要もなく、単純に検疫されたファイルを削除するだけですべてが終わるんじゃないかな。 http://service1.symantec.com/SUPPORT/INTER/navjapanesekb.nsf/jp_docid/20011115170921930 に検疫されたファイルの削除方法が記されていますので参考にどうぞ。 情報の削除ではなく、実際にファイルを削除してくれます。
お礼
せっかくURLを教えていただいたのですが、どういう訳か見ることができないのです。 「ページを表示できません」のエラーがでるのです。 WindowsUpdateをWindowsのスタートメニューから起動しても同じです。 この問題について心当たりがありましたら教えていただきたいのですが、また新しい質問として挙げさせて頂きます。 ありがとうございました。
お礼
ウィルス駆除は無事に終了しました。 ですが、LiveUpdateとWindowsUpdateが使用できない問題が解決していませんので、また改めて質問するようにしようと思います。 ありがとうございました。
補足
ご親切なレスを頂き、ありがとうございます。 WindowsはXPのHomeEditionです。 ご説明頂いたレジストリの変更(SFCDisableの値を1にしてリブート)を試してみたのですが、ファイルが使用中というメッセージが出てしまい、やはりファイルの削除はできませんでした。 ですが、system32フォルダにmstime32のバッチファイルが別に存在していた(更新日付が2004/4/17)ので、このファイルを削除してmstime32.exeをアンチウィルスでスキャンして結果を表示(「感染が見つかりました」となります)後に「検疫(隔離)」が実行できるようになった(質問の前は検疫も失敗した)のですが、これで完全に復旧したと思ってよいのでしょうか? 隔離されたファイルは実際はどうなっているのでしょうか? 検疫情報をレポート表示させて、隔離されているファイル名を削除したりする方がよいのでしょうか? それともこれはただの情報(隔離レポート)の削除ということで、意味はないでしょうか? あと、LiveUpdateは相変わらずできないままです。 更新版のカタログファイルを取り込めないとの事です。 ソフトを再インストールした方が良いでしょうか?