ここから本文です

木馬に感染⇒除去完了⇒しかしファイルは存在するのにマイコンからはアクセスできな...

dk5xさん

2011/6/217:17:55

木馬に感染⇒除去完了⇒しかしファイルは存在するのにマイコンからはアクセスできなくなってしまった。 解決法を・・・(´;ω;`)

初知恵袋で失礼します。

↓こんなトロイだったらしい。
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry....

感染し、Microsoft Security Essentialsが除去してくれたは良いものの、

Iドライブ(メイン。約1TBの容量)に保存していたものがマイコンピュータから表示した場合には、アクセスできない(アイコンが全て消滅)状態になってしまいました。

しかし、音楽プレイヤーからならば「Iドライヴに」保存していた曲にはアクセスできる、という不可思議な状況です。
※画像参照

↑ということは、見えないだけで全て存在している、と考えることができるような気がし、フォーマットをかけずになんとか元に戻したいと考えております。

どなたかこのケースをご存じな方はいらっしゃらないでしょうか?

是非、解決法を教えていただきたいです。宜しくお願いします。

補足隠しファイルは自分で思い付き、Cパネルから実行しましたがダメでした(´;ω;`)

解決法,Unhide.exe,フォーマット,隠しファイル,トロイ,attrib,マイコンピュータ

閲覧数:
1,603
回答数:
3
お礼:
250枚

違反報告

ベストアンサーに選ばれた回答

krell_ksa_80さん

編集あり2011/6/302:03:41

Windows 7 Recoveryに感染テストさせた時、いつになくCPUファンがブンブン唸っていたと思ったら、バックグランドでコマンドを使ってファイル、フォルダを隠し属性にさせていました。しかもご丁寧に外付けHDDまで。

こっそり実行されたコマンドは以下(参考として)

●attrib +h "C:\*.*" /s /d 親ファイル名="C:\ProgramData\fOEqVGtijLGLKa.exe"
●attrib +h "K:\*.*" /s /d 親ファイル名="C:\ProgramData\fOEqVGtijLGLKa.exe"
●attrib +h "C:\Users\ユーザー名\*.* " /s /d 親ファイル名="C:\ProgramData\fOEqVGtijLGLKa.exe"
●attrib +h "C:\ProgramData\Microsoft\Windows\Start Menu\*.* " /s /d
親ファイル名="C:\ProgramData\fOEqVGtijLGLKa.exe

※Kはオイラの外付けHDDドライブレター


>しかし、音楽プレイヤーからならば「Iドライヴに」保存していた曲にはアクセスできる、という不可思議な状況です。

隠しファイルになっているのなら一般的です。
以前インスコしていたプレーヤーソフトは隠蔽工作したファイルにもアクセスできていましたから。
本当に隠しファイルを表示する設定にしていますか?
設定がされていると半透明でフォルダ、ファイルが見えるはずですが。
尚、「保護されたオペレーティングシステムファイルを表示しない(推奨)」のチェックを外す必要まではありません。

http://www.fmworld.net/cs/azbyclub/qanavi/jsp/qacontents.jsp?rid=3&...


隠しファイルにされている設定を解除します。
隠しファイルの解除はデータ量が多いと、いちいち手動で変更するのも大変なのでコマンドを使いましょう。

コマンドプロンプトの起動

http://www.adminweb.jp/command/ini/index1.html

attrib -h "I:\*.*" /s /d
↑(”I”の部分は隠し属性を解除したいドライブレターにする)
隠しファイル属性を解除するコマンドです。まずは上記コマンドをコピーしておく。
コマンドプロンプトを起動して、出てきた
C:\Users\ユーザー名>の後ろで右クリック。

「貼り付け」を選択して、Enterキーをクリック。
作業が開始されます。

しばらくまって、再度C:\Users\ユーザー名>が出れば作業完了。


「システムファイルは再設定できません」と出ても正常だから問題なし。
システムドライブの操作でないので管理者として実行しなくてもよい。


ミルク王子の指摘のように、この類の偽ツールでやられた場合、回復できない
データがあります。(システムドライブ内において)
この方法でIドライブのデータについては復旧(隠し属性解除)できますが、
その後システムドライブ(一般的にはCドライブ)をリカバリする事が必要ですよ。
完全復旧させるためには。


ところで主さんのIEの「お気に入り」は表示されているんですかね?
これも隠しファイル化されて見えなくされているもので..

尚、悪玉プログラムを殺せていないと、定期的にコマンドを実行してますから、隠し属性に戻されてしまいます。

質問した人からのコメント

2011/6/3 11:20:37

降参 素晴らし過ぎる(´;ω;`) マイミクにして欲しい&ついったーをフォローしたい位の気持ちです(笑) お気に入り、クイック起動は全て手動で戻さないといけない感じなんですねー(´・ω・`)。 Cのリカバリ、あんましたくないですが考えます('A`) 他の皆様もありがとうございました。これはカンニングにも使いたくなるわ(笑)

ベストアンサー以外の回答

1〜2件/2件中

並び替え:回答日時の
新しい順
|古い順

2011/6/220:24:00

質問者さんはfake avという偽ツールに感染したのですよ。

ファイルが隠し属性化されるのはその典型の症状です。

隠しファイルを設定については下のご回答者さんも書かれていますがunhide.exeを用いることにより改善されることもあります。

しかしながらこの症状を完全的に直すという手段は今のところないようです。

あとは最後の手段としてファイルを一つずつ手動で設定を戻していくというくらいしか回答出来ません。

ですがこのようなことをするくらいでしたらデータを退避させてリカバリしたほうが早いですね。

yatchie3434さん

2011/6/218:02:48

とりあえず、隠しファイルになってないか確認してみましょう。

コンピュータ→上のメニューのツール→オプション→表示
全てのファイルとフォルダを表示
「保護されたオペレーティングシステムファイルを表示しない」のチェックをはずす

これで出てこないか確認してください。

もし出てきたら、隠しファイルの属性にチェックが入ってるかもしれないのでファイルを右クリックしてプロパティで隠しファイルの属性のチェックをはずして下さい。


とりあえずここに情報がありますけど
http://www.bleepingcomputer.com/virus-removal/remove-smart-defragme...

もし出てこなかったらunhide.exeで出てくるよって書いてあるんですけどこれ実行しちゃうと他のもともと隠されてたシステムファイルまでみんな出てきちゃいそうな気配なので、とりあえず手動で出てこないかやってみてください。
出てこなかったら実行してみてください。一度実行しても出てこないものがあったらもう一度実行してみてくれと書いてあります。

これで出てこなかったらちょっと厄介です。多分そんなことはないと思うんですけど。

この手のウイルスは毎回症状が若干違うので、もし止めても動作がおかしかったら結局リカバリしたほうが確実で安全だと思います。

みんなで作る知恵袋 悩みや疑問、なんでも気軽にきいちゃおう!

Q&Aをキーワードで検索:

Yahoo! JAPANは、回答に記載された内容の信ぴょう性、正確性を保証しておりません。
お客様自身の責任と判断で、ご利用ください。
本文はここまでです このページの先頭へ

「追加する」ボタンを押してください。

閉じる

※知恵コレクションに追加された質問や知恵ノートは選択されたID/ニックネームのMy知恵袋で確認できます。