みんなの「教えて(疑問・質問)」にみんなで「答える」Q&Aコミュニティ

こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

Hostsファイルが何度も隔離される

こんにちは。
Windows2000、ウイルスバスター2006を使っています。
先日ウイルスバスターにてコンピュータを全検索したところ、WORM_AGOBOT.GENというウイルスが見つかり、ウイルスバスターのサイトに載っている手動駆除方法によりウイルスを駆除しました。

再起動後、ウイルスバスターにて再度コンピュータを全検索したら、ウイルスが見つかりませんでした。
ほっとしていたのですが次の日、「c:\winnt\system32\drivers\etc\Hosts」にウイルスが感染しているとの警告が表示され、Hostsファイルは削除されてしまいました。
その日はスタンドアロンのゲームばかりしていたし、とくに変なサイトにアクセスするということはありません。
もしかしたら、どこかのフォルダにウイルスが潜んでいて(ウイルスバスターに検索されない状態で)、再び活動を始めたのでしょうか?

このウィルス(WORM_AGOBOT.GEN)、何度駆除しても、何度もHostsファイルに感染してしまいます。
こういったウィルスを確実に駆除する方法をご存じでしたら、ご教授お願いいたします

投稿日時 - 2005-12-12 23:52:45

QNo.1835681

困ってます

質問者が選んだベストアンサー

No.1です。まず…
>スタンドアロン…といえば大げさですが、カードゲームやボードゲームなどのもので、以前使っていたメーカー製パソコンに入っていたゲーム
>なので、これは正常なソフトだと思います。

そっち方面の心配はないようですね。

>でもHostsファイルって、正常なソフトウェアによって書き換えや追記されることはないのでしょうか?
>読み取り専用にしてしまうと、そのような正常な動作も制限されてしまって、不具合を来してしまうことはないですか?

通常個人が利用するPCにおいて、HOSTSファイルを作成、変更する機会というのは殆どありません。一般的なソフトウェアがHOSTSファイルを利用することもまずありません。

例えば、企業内ネットワークやイントラネットの構築にあたってその環境特有のHOSTSファイルを作成、利用するというのが一般的だと思われます。

http://www.mvps.org/winhelp2002/hosts.htm

のようにセキュリティ強化の目的でHOSTSファイルを使う試みもありますが…通常の利用ではHOSTSファイルはロックしておいても何ら問題はありません。
SpySweeperなど市販のスパイウェア対策ソフトの中にはHOSTSファイルをロックした上で改ざんを防ぐ機能を備えたものもありますし。

WORM_AGOBOT.GENには亜種が多くあり、場合によってはウィルスバスターだけでは対応し切れない可能性もあります。また、他のマルウェアを手引きするバックドアとしての機能も備えられてますから、あらゆる側面からマルウェアの検知は行った方が良いように思われます。

取り敢えず出来る限りのことは行う方がいいです。
オンラインスキャンを複数受けることも必要でしょうし、スパイウェアのチェックも必要です。スパイウェアチェックに関しては先述した『アダ被』の内容が最も参考になります。

加えて、トロイの木馬に関するチェックももう一歩進めて行うと良いかも知れません。通常のウィルス対策ソフトでは対応しきれないトロイも検出可能な専用のオンラインスキャンがあります。
http://www.windowsecurity.com/trojanscan/
検出ソフトとして定評のあるa-squaredをベースに作られています。

a-squaredには無償版もありますが、利用の際にはウェブページからユーザー登録を行う必要があります。感染の疑いのあるPCや第三者も利用するPCから登録を行うことは危険を伴いますから、この手のもので削除ツールが必要であれば、ewidoあたりを使うという手もあります。
http://eazyfox.homelinux.org/SecuTool/ewido/ewido01.html

さらに、バックドアが開けられてないかどうかの確認のためにポートスキャンを受けるのも良いかも知れません。有名な『Shields UP!』を紹介します。

https://www.grc.com/x/ne.dll?bh0bkyd2

このページで"Proceed"ボタンを押します。何かセキュリティ警告が出るかも知れませんが、確認のためのものなので続けるよう選択して構いません。場合によってはこの警告が2度出るかも知れませんが、いずれも許可で構いません。

サービスのメイン画面に到達します。"All Service Ports"を選択すると、各ポートの状態がチェックされます。
ウィルスバスターのファイアウォールが適切に設定されていれば、通常は全てグリーンの表示になる筈です。場合によっては幾つかのポートが青色になるかも知れませんが、緑と青だけなら深刻な状態ではないと判断して差し支えありません。

問題なのは…一つでも赤で表示される個所が見つかった場合です。現状ファイアウォールに不備があるということになりますから、何らかの対応が必要です。
(この辺については私自身がバスターユーザーでないので分かりません。詳しくはヘルプ等を参照されるか、サポートに連絡してください。)

繰り返しになりますが…いろんな面から感染を疑う必要があるかと思われます。それなりに手間と時間がかかるかもしれないので、出来ることならリカバリを行う方がすっきり出来るかも知れません。

投稿日時 - 2005-12-13 16:46:59

補足

ご回答、そして詳しいアドバイス、ありがとうございます。
ところで、「Shields Up!」のページでポートスキャンしてみましたらポート139番が赤マークでした。
ウイルスバスターのファイアウォールの設定を見てみたところ、「NetBIOS」の送信・受信・ブロードキャストという3つの設定があり、TCP/UDPポート137、138、139、445がそれぞれ解放されています。
調べてみると他のサイトにて、このポートは開放しない方がいいという記事もありました。
これらをそれぞれ拒否設定に設定して「Shields Up!」で再検索したところ、すべてのポートにて緑になりました。
「NetBIOS」はポートを開放しなくてもよろしいのでしょうか?

投稿日時 - 2005-12-16 09:33:52

お礼

お礼が遅くなりました。
Hostsファイルを読み取り専用にしまして、現在のところ正常に動作しています。
ファイアウォール設定のNETBIOSについても、設定を削除しても正常に動作しています。
どうやらウイルスではなくスパイウェアの影響だったのですね。
いろいろと参考になりました。
ありがとうございました _(._.)_

投稿日時 - 2005-12-20 10:06:58

ANo.4

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(4)

ANo.3

>「セキュリティ診断」をしても、とくにセキュリティホールは見つかりません。
>ただそれも、ウイルスによって偽装されているのではないかと不安になってしまいますが…。

それでしたら、WindowsUpdateやOfficeUpdateを手動で実行してみてはどうですか?
それで、漏れがないのであれば他の原因でしょうね。

念のために、ウイルスバスター以外のオンラインチェックサイトでもウイルスの有無を確認してください。
ウイルスバスターでは検知しないタイプのウイルスを他のオンラインチェックサイトで確認して探しましょう。

シマンテック・セキュリティチェック
http://www.symantec.com/region/jp/securitycheck/index.html

マカフィーフリースキャン
http://www.mcafeesecurity.com/japan/mcafee/home/freescan.asp

それでもダメな場合には、最終的には、リカバリして、ウイルスバスターを先に入れて、
修正プログラムをインストールしてみましょう。

投稿日時 - 2005-12-13 11:51:59

お礼

ご回答ありがとうございます。
心配でしたのでウイルスバスターは、一番はじめに入れたのです。
当初はウイルスは検出されなかったのに。
シマンテック・マカフィーで検索してみます。

投稿日時 - 2005-12-15 10:17:08

ANo.2

まずは、このウイルスの情報を確認してください。

WORM_AGOBOT.GEN
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.GEN

それで、今回のウイルスについては、セキュリティーホールを修正しているとウイルスが来ても感染することはないです。
ですから、ウイルスバスターを使って駆除することも大事ですが、感染しないように防御することをしてください。

ウイルスバスター2006には、セキュリティ診断機能があるので、それで修正されていない部分を修正してください。
メイン画面を起動して、「有害情報/詐欺への対策」をクリックし、「セキュリティ診断」をクリックして、
その画面を出してから、「診断開始」ボタンをクリックしてください。
その結果、適用してない修正プログラムが出てくるので、それをインストールしてください。

また、たびたび感染していると言うことは、レジストリを変えて侵入できるように設定されています。
レジストリを改修して、侵入させないようにしてください。
レジストリの修正部分は、ウイルスの情報に掲載されています。

また、オンラインゲームについては、利用しない方がよいでしょう。
そのウイルスの特徴として、ゲーム用のCDキーを抜くと書いてます。

また、P2Pソフトも使っていないですね。それを経由して感染すると書いていますので。

投稿日時 - 2005-12-13 10:17:41

補足

ありがとうございます。
「レジストリの改修」とは、上記のTrendmicro社のサイトに書かれている方法でしょうか。
それも、見てみたのですが、書いてある通りのレジストリキーも設定も見あたりませんでした。
Trendmicroのシステムクリーナーをウイルスが検出されるたびにやっていますが、改善されずです…。

投稿日時 - 2005-12-13 11:16:26

お礼

ご回答ありがとうございます。
「セキュリティ診断」をしても、とくにセキュリティホールは見つかりません。
ただそれも、ウイルスによって偽装されているのではないかと不安になってしまいますが…。
P2Pソフトは、使っていません、かなり危ないと聞きましたのでインストールもしてないです。

投稿日時 - 2005-12-13 11:16:20

ANo.1

スパイウェア感染の可能性があります。ウィルス対策ソフトの守備範囲外の悪質なソフト=マルウェアが入り込んでるかも知れません。

http://www.higaitaisaku.com/
の『被害対策』を一度行ってみてください。

HOSTSファイルの改ざん自体はHOSTSファイルの属性を読取専用にすればある程度防げるかと思います。特にHOSTSファイルをご自分で作成してない場合は、

127.0.0.1 localhost

とだけ書いたテキストファイルをメモ帳か何かで作成し、拡張子無しの"HOSTS"に名前を変更してから、
c:\winnt\system32\drivers\etc\
フォルダに置きます。ファイルを右クリックして『全般』タブに切り替え、『読み取り専用』にチェックを入れておきます。

この処置で、取り敢えず隔離は収まる可能性が高いと思いますが…根本的な解決ではないと思われるので、すぐ『アダ被』を参考に対応してください。

ところで…『スタンドアロンのゲーム』というのはどこから入手されたのでしょうか?
特に海外サイトで無料配布されてるようなものはゲームに限らず、フリーウェア、アイコンセット、カーソルセットなどスパイウェアが同梱されてるものが少なくありません。

例えば、ゲーム起動時にHOSTSファイルを改ざんするような仕組みになっており、知らないうちにAGOBOTをダウンロードさせるサイトに誘導させようとする…というようなことも考えられなくはないので、その辺心当たりがないかどうか振り返ってみると良いかも知れません。

投稿日時 - 2005-12-13 01:31:20

補足

ご回答ありがとうございます。
なるほどHostsファイルを読み取り専用に…これは思いつきませんでした。
でもHostsファイルって、正常なソフトウェアによって書き換えや追記されることはないのでしょうか?
読み取り専用にしてしまうと、そのような正常な動作も制限されてしまって、不具合を来してしまうことはないですか?

投稿日時 - 2005-12-13 11:08:05

お礼

ありがとうございます。
スタンドアロン…といえば大げさですが、カードゲームやボードゲームなどのもので、以前使っていたメーカー製パソコンに入っていたゲームなので、これは正常なソフトだと思います。

投稿日時 - 2005-12-13 11:12:50

あなたにオススメの質問