パソコン困りごと掲示板
◇-fontsフォルダにウイルス?-モン(2003/3/9-07:50)No.22690
 ┣Re:fontsフォルダにウイルス?-sumi(2003/3/9-08:14)No.22694
 ┃┗Re:fontsフォルダにウイルス?-モン(2003/3/9-08:26)No.22695
 ┃ ┗Re:fontsフォルダにウイルス?-sumi(2003/3/9-08:42)No.22696
 ┃  ┗Re:fontsフォルダにウイルス?-モン(2003/3/9-09:35)No.22699
 ┃   ┗Re:fontsフォルダにウイルス?-sumi(2003/3/9-09:46)No.22700
 ┃    ┗Re:fontsフォルダにウイルス?-モン(2003/3/9-10:06)No.22702
 ┃     ┗Re:で、ウイルスチェックの結果は?-やまふみ(2003/3/9-10:50)No.22705
 ┃      ┗Re:で、ウイルスチェックの結果は?-malikto(2003/3/9-11:58)No.22712
 ┃       ┗勝手にWinVNC、ビンゴです!-モン(2003/3/9-20:01)No.22737
 ┃        ┗Re:SpyBot で検出-Ai-net(2003/3/9-21:04)No.22740
 ┃         ┗Re:SpyBot で検出-モン(2003/3/10-00:55)No.22758
 ┣Re:fontsフォルダにウイルス?-o2ka(2003/3/9-13:00)No.22715
 ┃┗Re:fontsフォルダにウイルス?-モン(2003/3/9-20:07)No.22739
 ┃ ┗Re:VNC使うヤツ登場ですか... リモート君流行の予感-やまふみ(2003/3/9-23:55)No.22755
 ┃  ┗Re:VNC使うヤツ登場ですか... リモート君流行の予感-モン(2003/3/10-00:59)No.22759
 ┃   ┗Re:VNC使うヤツ登場ですか... リモート君流行の予感-malikto(2003/3/10-09:13)No.22768
 ┃    ┗Re:VNC使うヤツ登場ですか... リモート君流行の予感-モン(2003/3/10-10:20)No.22772
 ┃     ┗Re:掲示板見ている方に注意喚起...リモート君情報-やまふみ(2003/3/10-13:05)No.22776
 ┃      ┗Re:おっと失礼-やまふみ(2003/3/10-15:33)No.22781
 ┗{結果] fontsフォルダにウイルスでした-モン(2003/3/11-06:39)No.22859
  ┗Re:{結果] だからさ、デロダー感染でしょう?-やまふみ(2003/3/11-10:58)No.22871
   ┗Re:デロダー補足。-やまふみ(2003/3/11-11:21)No.22872
    ┗Re:デロダー補足ありがとうございます-モン(2003/3/11-17:10)No.22906

▲このページのトップに戻る
22690fontsフォルダにウイルス?モン 2003/3/9-07:50

OS名:Windows2000
パソコン名:自作
ソフト名:winnt
初心者です。
先日ウイルスをくらってしまって、以来レジストリを気にするようになっていたら

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>Run
の下に
・名前 Explorer(データ C:WINNT\Fonts\explorer.exe)
・名前 TaskMan(データ C:WINNT\Fonts\rundll32.exe)
が出てきます。
実際Fontsフォルダーの中にはそんな名前のファイルは存在しないのにすごく不思議です。ウイルスなのかと疑っていろいろ調べてみましたがわかりませんでした。

Fontsフォルダ自体もおかしくて、他のフォルダは開くと左側にいろいろイラストや説明が出てくるスペースがあるのに(何ていうのかわかりません・・・すみません)、Fontsフォルダの時だけ左端からファイルの表示が始まります。
また、レジストリエディタにFontsの項目がありません。

これは普通の事なのでしょうか?ウイルスが怖くて最近夢にも出てくる程です・・・。
ご存知の方教えてください。よろしくお願い致します。

▲このページのトップに戻る
22694Re:fontsフォルダにウイルス?sumi 2003/3/9-08:14
記事番号22690へのコメント
モンさんは No.22690「fontsフォルダにウイルス?」で書きました。
>OS名:Windows2000
>パソコン名:自作
>
>これは普通の事なのでしょうか?ウイルスが怖くて最近夢にも出てくる程です・・・。
>ご存知の方教えてください。よろしくお願い致します。
>
そこまで気にされるなら、OSから入れ直した方が安心できるのでは?

▲このページのトップに戻る
22695Re:fontsフォルダにウイルス?モン 2003/3/9-08:26
記事番号22694へのコメント

>そこまで気にされるなら、OSから入れ直した方が安心できるのでは?

アドバイスありがとうございます。
初歩的なバカミス、OSのCDを溶かしてしまい(CDを電球に立てかけてたら溶けた。様様なつっこみは間に合っているかと思われます・・・)入れ直しができません。解決方法がなければその方法をどうにかして実行したいと思います。#今でも2000って売ってるかしら・・・

ちなみにDドライブにWINNTをコピーしているのですが、今CドライブにあるWINNTを削除してDドライブのWINNTをコピーして持ってくる事は可能なのでしょうか?であればやり方を教えていただけるでしょうか。

また、先に書いた事柄はやはり普通ではないのでしょうか?

▲このページのトップに戻る
22696Re:fontsフォルダにウイルス?sumi 2003/3/9-08:42
記事番号22695へのコメント
モンさんは No.22695「Re:fontsフォルダにウイルス?」で書きました。

#今でも2000って売ってるかしら・・・
>
ビッ○カメラならまだ売っているみたいです。

>ちなみにDドライブにWINNTをコピーしているのですが、
今CドライブにあるWINNTを削除して
DドライブのWINNTをコピーして持ってくる事は可能なのでしょうか?
>
それは難しいでしょう。

>また、先に書いた事柄はやはり普通ではないのでしょうか?
>
レジストリーは一寸変ですが、フォントフォルダーの表示は異常ではありません。

▲このページのトップに戻る
22699Re:fontsフォルダにウイルス?モン 2003/3/9-09:35
記事番号22696へのコメント

アドバイス&店舗までご回答下さってありがとうございます。

>フォントフォルダーの表示は異常ではありません。

フォントフォルダを他のフォルダと表示方法を同じに直したいのですがどこをいじればいいでしょうか?(ちなみにDドライブにコピーしてるフォントフォルダは他のフォルダと同じように表示されます)。今後の為に教えて下さい。

また、レジストリーが一寸変というのは
普通はfontsフォルダも表示されるという事ですか?
あの二つのレジストリは普通表示されないという事がですか?
どっちも一寸変なのでしょうか?

ちなみに、あの二つの表示がされてる、という事はどういう意味なのでしょうか?「起動時にこのふたつのプログラムが実行されます」って事でしょうか?レジストリの知識が初心者聞きかじり程度しかありません・・・。

質問ばかりで恐縮ですが、今後の知識の為によろしければ教えて下さい。よろしくお願い致します。

#今回の原因/対応を知っておきたいと思っていましたが、なんかこんなに心配や解決方法もろもろ質問ばっかりして皆に迷惑かけてるなら早くOS入れ直せとも思えてきました・・・。やっぱり・・・ないのかしら解決方法・・・。

▲このページのトップに戻る
22700Re:fontsフォルダにウイルス?sumi 2003/3/9-09:46
記事番号22699へのコメント
モンさんは No.22699「Re:fontsフォルダにウイルス?」で書きました。
>
>フォントフォルダを他のフォルダと表示方法を同じに直したいのですが...
>
フォントは普通のファイルと同じ扱いにならないように敢えてあの様な
表示になっていますから、そのままで良いでしょう。
フォントを追加するときは、ファイルメニューから入ります。

>また、レジストリーが一寸変というのは
>普通はfontsフォルダも表示されるという事ですか?
>あの二つのレジストリは普通表示されないという事がですか?
>どっちも一寸変なのでしょうか?
>
少なくとも私の所では、どちらもありません。

#適当なところで改行を入れしましょう。

▲このページのトップに戻る
22702Re:fontsフォルダにウイルス?モン 2003/3/9-10:06
記事番号22700へのコメント
度々のアドバイスありがとうございました。
書き込みの仕方までご指摘頂き、恐縮に思います。

>フォントは普通のファイルと同じ扱いにならないように敢えてあの様な
>表示になっていますから、そのままで良いでしょう。

知りませんでした。勉強になりました。

レジストリについては異例だから調べるだけ無駄なんでしょうか。
昨日の夜から徹夜で今まで調べてましたが
結局ウイルスの可能性以外の事例には出会えませんでした。
二つの意味もわからないままでモンモンとしてますが
もう諦めて寝ます・・・。
#また夢見悪いかな・・・。








▲このページのトップに戻る
22705Re:で、ウイルスチェックの結果は?やまふみ 2003/3/9-10:50
記事番号22702へのコメント

1度ウイルスにやられ、
夢に出るほど心配しているのに、
ウイルスチェックの結果についてはなんのコメントもナシ?
ウイルスかどうかは最新定義ファイルでチェックすれば良いこと。

手持ちがないなら
トレンドマイクロさんのオンラインチチェックか、
http://www.trendmicro.co.jp/hcall/index.asp
ANTIDOTEさんの Anti Virusコーナーに置いてある
Super Liteでもダウンロードしてチェック。
http://www.vintage-solutions.com/Japanese/Antivirus/Super/index.html(検出率でいうとANTIDOTEさんだけど、
使い方に悩むようならトレンドマイクロさんにしといて。)

▲このページのトップに戻る
22712Re:で、ウイルスチェックの結果は?malikto 2003/3/9-11:58
記事番号22705へのコメント
WinVNCっていうのに心当たりは?

WinFAQ 2k/XP掲示板の現行スレ
http://winfaq.jp/cgi-bin/bbs2k/wforum.cgi?mode=allread&no=221452&page=0

関連するかどうか確信はありませんが、勝手にリンクさせていただきました。

▲このページのトップに戻る
22737勝手にWinVNC、ビンゴです!モン 2003/3/9-20:01
記事番号22712へのコメント
やまふみさん、maliktoさん、アドバイスありがとうございました。

オンラインスキャンはウイルスバスターと
ANTIDOとシマンテックでやり、
いろいろ見つかり関連ファイルはすべて削除しました。
(主にbackdoorでした。)
その時にレジストリの事を初めて知り、
例のフォントフォルダが気になるようになりました。
何度もいろいろな所のオンラインスキャンで
フォントフォルダを調べたのですが全部異常なしと出てきてしまって・・・。
「なんでフォントフォルダなのにexplorer???」とすごく不思議でした。
なるほど、ウイルスではなかったのですね。

一度髑髏マークのウインドウがどんどんポップアップされるという
現象が起こっったのですが、これって何のウイルスだったのかしら。

>WinVNCっていうのに心当たりは?

ありませんが、思いっきりリンク頂いた症状と同じです。
間違いなく勝手にWinVNCを入れられたクチだと思います・・・。
現在、対応方法はOS再インストールしかないようですね。

今回の原因をずっと探していました。すっきりしました。
対応はこれからですが感謝致します。

レス下さった皆様、本当にどうもありがとうございました。

▲このページのトップに戻る
22740Re:SpyBot で検出Ai-net 2003/3/9-21:04
記事番号22737へのコメント

>オンラインスキャンはウイルスバスターと
>ANTIDOとシマンテックでやり、
>いろいろ見つかり関連ファイルはすべて削除しました。
>(主にbackdoorでした。)

>>WinVNCっていうのに心当たりは?
>
>ありませんが、思いっきりリンク頂いた症状と同じです。
>間違いなく勝手にWinVNCを入れられたクチだと思います・・・。
>現在、対応方法はOS再インストールしかないようですね。

Spybot - Search & Destroy
http://www.soft-ware.net/internet/browsertools/bannerfilter/p02652.asp
に Track.uti に その VNC (Virtual Network Computing) として
リストに載ってるね。(オンラインアップデート可能)

ほかにもボコボコの様子なので、リカバリーがよろしいでしょう。

▲このページのトップに戻る
22758Re:SpyBot で検出モン 2003/3/10-00:55
記事番号22740へのコメント

>http://www.soft-ware.net/internet/browsertools/bannerfilter/p02652.asp
>に Track.uti に その VNC (Virtual Network Computing) として
>リストに載ってるね。(オンラインアップデート可能)

これが原因だったのですね。
原因解明できて嬉しく思っています。
(よくない出来事ではありますが)

交通事故と同じで「まさか私が」な出来事でした。
ご指摘通りOS入れ直そうと思っています。
ご丁寧に調べて下さりありがとうございました。

▲このページのトップに戻る
22715Re:fontsフォルダにウイルス?o2ka 2003/3/9-13:00
記事番号22690へのコメント
>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>Run
>の下に
>・名前 Explorer(データ C:WINNT\Fonts\explorer.exe)
>・名前 TaskMan(データ C:WINNT\Fonts\rundll32.exe)
>が出てきます。
>実際Fontsフォルダーの中にはそんな名前のファイルは存在しない

ホントに無いの??
DOS窓で「DIR C:WINNT\Fonts\*.exe」って打ってみて。
 ↑実験的に「test01.exe」ってファイルをフォントフォルダに作って
  explorerで見てみたら、表示されないんだな、コレが・・・

▲このページのトップに戻る
22739Re:fontsフォルダにウイルス?モン 2003/3/9-20:07
記事番号22715へのコメント
アドバイスありがとうございます。

>ホントに無いの??
>DOS窓で「DIR C:WINNT\Fonts\*.exe」って打ってみて。
> ↑実験的に「test01.exe」ってファイルをフォントフォルダに作って
>  explorerで見てみたら、表示されないんだな、コレが・・・

出てきました!ばっちりありました・・・。
聞きかじりで「表示されないものは
コマンドプロンプトを使って見る」までは知れたのですが、
どうやるのか使い方が全くわからず持ち腐れでした。
やっぱりファイルはあったと安心(・・・・?)しています。
これから数々見つかったEXEファイルが何なのか、
ネットで調べて行こうと思います。
(WinVNCを勝手にインストールされたようです・・・)

初歩的な事なのでしょうが、とても勉強になりました。
教えて頂き本当にどうもありがとうございました。

▲このページのトップに戻る
22755Re:VNC使うヤツ登場ですか... リモート君流行の予感やまふみ 2003/3/9-23:55
記事番号22739へのコメント

ホンのちょっと前に
リモート入れられてたスレッドがありましたが、
またですか...

あの時「VNC?」って聞いてみたら
それは違うものだったようですが、
とうとう「VNC」を使う物登場ですね。

▲このページのトップに戻る
22759Re:VNC使うヤツ登場ですか... リモート君流行の予感モン 2003/3/10-00:59
記事番号22755へのコメント
ネット世界に疎いので、こんな事に見舞われてしまい
ちょっぴり自分の不運に落ち込んでみたり。
んがしかし、素人の私が某MXに手を出したのが
全ての元凶なのかな・・・と反省しています。
(もうそのソフトはアンインストール済みです)

いろいろとアドバイス頂きましてありがとうございました。
今回の事、よい勉強になりました。

この書き込みが今後同じような事に見舞われた方の
お役に立つ事を祈っております。

▲このページのトップに戻る
22768Re:VNC使うヤツ登場ですか... リモート君流行の予感malikto 2003/3/10-09:13
記事番号22759へのコメント
眠さんが詳細な情報を提供されていますので、あえて再度リンクします。
http://winfaq.jp/cgi-bin/bbs2k/wforum.cgi?mode=allread&no=221452&page=0

▲このページのトップに戻る
22772Re:VNC使うヤツ登場ですか... リモート君流行の予感モン 2003/3/10-10:20
記事番号22768へのコメント

>眠さんが詳細な情報を提供されていますので、あえて再度リンクします。
>http://winfaq.jp/cgi-bin/bbs2k/wforum.cgi?mode=allread&no=221452&page=0

再度のアドバイスありがとうございます。
上記リンク、興味深く(というかまさにこれです)読ませて頂いて
とりあえずウイルスバスターのHPからウイルスクリーナをDLして実行しました。
が、これは完全にWinVNCを駆除するツールではないみたいで
窓が出てきたりとか目に見えての被害はありませんが
レジストリ等にまだ現れてきます。

もうどうしたらいいのか・・・。

▲このページのトップに戻る
22776Re:掲示板見ている方に注意喚起...リモート君情報やまふみ 2003/3/10-13:05
記事番号22772へのコメント

>もうどうしたらいいのか・・・。

あなたがやられているのは一種類じゃないんでしょう?
ウイルスチェックで見つかったウイルスは「いろいろ」で、
アド/スパイウェアも入っていることが分かったときては...
(しかも中でも最悪なリモート君だ。
入れられてるのはそれだけとは思えないし。
アド/スバイウェアはウイルスチェックじゃ駆除できません。
SpybotかAd-Awareで駆除します。
しかしモノがリモート君の場合、
導入された経路よってはスパイウェア扱いされない可能性もあり、
Spybot・Ad-Awareでも完全駆除できるかどうかは分かりません。)、

あきらめてOS買いなおしてでも、HDDを1度まっさらにしてください。

最近なんかちょっと目につき出したリモート君、
掲示板見ている方への注意喚起のために
他のもののリンクも貼っておきます。

Radmin 〜 http://210.172.51.202/pas/bbs/pslg21545.html

LOVGATE 〜 http://www.trendmicro.com/jp/security/virus-news/news/archive/2003/worm-lovgate-c.htm

LOVGATEはウイルスとしてチェックされてますが、
Radminの方は今のところウイルスとしてもスパイとしてもチェックされていないのでは?
(VNC同様、「正しい使い方」が存在するソフトで、
そのソフト事態は何も悪くないですからね...)

▲このページのトップに戻る
22781Re:おっと失礼やまふみ 2003/3/10-15:33
記事番号22776へのコメント

おっと失礼 m(_ _)m です。

>眠さんが詳細な情報を提供されていますので、あえて再度リンクします。
>http://winfaq.jp/cgi-bin/bbs2k/wforum.cgi?mode=allread&no=221452&page=0

↑後から読みました。
VNCを使った悪質プログラム界の新人君は
ウイルスチェックのほうで対応予定なんですね。

というわけで

>アド/スパイウェアも入っていることが分かったときては...

↑の「分かった」発言は取り消しておきます。
(質問者がスバイウェアチェックしていない以上、
問題のプログラムがスパイウェアとしても検出されるかどうかは未知数ですからね。)
とはいえ、状況から言って
間違い無くアド/スパイウェアもチェックいれればゴソゴソだと思いますが。

▲このページのトップに戻る
22859{結果] fontsフォルダにウイルスでしたモン 2003/3/11-06:39
記事番号22690へのコメント

・IRC-Pitchfork
というウイルスに感染していたようです。

http://www.nai.com/japan/virusinfo/virI.asp?v=IRC-Pitchfork

今回の原因がわかりました。
いろいろご意見を下さった皆様どうもありがとうございました。

▲このページのトップに戻る
22871Re:{結果] だからさ、デロダー感染でしょう?やまふみ 2003/3/11-10:58
記事番号22859へのコメント

>・IRC-Pitchfork
>というウイルスに感染していたようです。
>
>http://www.nai.com/japan/virusinfo/virI.asp?v=IRC-Pitchfork

これちゃんと最後に
最新ウイルス君デロダーが落っことしていくものだって書いてあるじゃん。
皆さんが話題にしているモノ、
WinFAQ掲示板のスレッドので正解ですよ。

それにしても、流行の最先端にいたわけですね。
1度感染したのにぜんぜん気をつけてなかったらしいので、
セキュリティ回りについてのお勉強が済むまでは、
ネットに接続しないほうがいいですよ。
繋いだとたんにまたもらうでしょうから。

詳しく勉強する時間が取れなかったり、
どうしてもコンピュータは不向きという場合は、
謝礼を払ってでも詳しい方を頼って
セキュリティ回りの環境を構築してもらってください。

ネットに繋いだPCは
なにも対策していなければ何かされて当然なんです。

▲このページのトップに戻る
22872Re:デロダー補足。やまふみ 2003/3/11-11:21
記事番号22871へのコメント

「IRC-Pitchfork」はトレンドマイクロさんでは
「BKDR_DELODER.A」となっていますね。
こちらのほうが本体デロダーとの関連が分かりやすい名前だと思います。
詳細はこちら↓で、
目につく症状(VNCモジュールの存在に気がつく)は
これによって起こされるようです。

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_DELODER.A

本体デロダーの説明はこちらです。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_DELODER.A

▲このページのトップに戻る
22906Re:デロダー補足ありがとうございますモン 2003/3/11-17:10
記事番号22872へのコメント

フォローありがとうございました。
リンクすべきウイルス名が間違っていたようで
お手数お掛けする形になり申し訳ありませんでした。

おかげさまでデロダーウイルス駆除は一応できたものの
皆様からのご指摘受けとめ、ウイルスソフトを購入し
OS再インストールの準備中です。
友人に頼んでパソコンに詳しい人を紹介してもらえ
電話で相談して一度見てもらえる事になりました。

初心者の浅はかさで自分でなんとかしようと頑張ってみたものの
結局掲示板でたくさんの方に頼る結果となりました・・・。

この問題にアドバイス下さった皆様
本当にどうもありがとうございました。
掲示板の書き込み方まで勉強させて頂きました。