みんなの「教えて(疑問・質問)」にみんなで「答える」Q&Aコミュニティ

こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

トロイの木馬 バックドア型ウィルスの事で教えてください

今までマカフィーとPC購入時のままで市販のセキュリティソフトは入れてなかったのですが、
先日【悪質のファイル。。。が見つかったため】というような
(内容はしっかり覚えていません)メッセージが表示されました。

恐くなり、以前購入していたセキュリティソフトを使用すると、
下の2つのプログラムが引っかかりました

(1)p2pnetworkworking
(C:WINDOWS\system32)
(Backdoor.win32.IRCBot.qc に感染) と
(2)wmplayer.exe
(C:Documents and Setting\All Users\スタートメニュー¥プログラム¥スタートアップ)(Trojan-Dropper.Win32.VBに感染)

(1)も(2)もアクセスは遮断しており、
隔離していますが、
駆除は出来ませんでした。

(2)はメディアプレーヤーが上書きされているようなので
プログラムの削除から消そうとしましたが
プログラムが見つかりません。

PCを使用中も「外部からのアクセスがありましたが
ブロックしました」というメッセージが頻繁にでます

アクセス内容については、
毎回同じ発信元IPで

↓の意味が分かりませんが
リモートIP・発信元ポート・リモートポートはバラバラです
プロコトルはICMP(1)・UDP(17)・Type=806など色々と表示されています

ネットで対処方法を色々探しましたが、ウィルスの名前も
最後まで一致するものもなく、
レジストリの書き換えをするべきとか、
アカウントを初期化したほうが良いとか。。。
詳しい知識を持っていないため 対処に困っています
どうすればよいものか困っています

投稿日時 - 2006-12-26 22:59:49

QNo.2627550

困ってます

質問者が選んだベストアンサー

こんばんは。
100くらいで出ている<この数だとバックアップ後リカバリを推奨しますが。理由がありリカバリができない場合は、出てきたマルウエアを検疫に入れてください。面倒ですが検疫欄で情報を調べながら削除ください。
ヘルプを見ながら落ち着いて操作してくださいね。
マルウエアを削除後一旦「システムの復元機能」=無効に設定下さい。
それからもう1度ディープスキャンください。
問題があれば同じ手順で削除、何も出なければシステムの復元機能を戻して、今度はアンチウイルススキャンをしてください。
これも同じ手順で削除、操作して下さい。
以上の操作、削除して何も出なくなっても問題がいとは言えません。
やはりバックアップ後リカバリを推奨します。
トロイやマルウエアは感染してからでは対応が難しいです。
防御対策に力を入れなければなりません。
あと、スパイウエアについての対策ページを載せておきます。
参考にしてください。

参考URL:http://www.higaitaisaku.com/menu5.html

投稿日時 - 2006-12-27 19:41:12

お礼

すみません
ちょうど今、リカバリについてのご意見を
読み返してみようと、
ご丁寧にお答えいただいているのに
此方にお礼をのせてないことに気付きました。。。
失礼しました。
リカバリ途中まで試みましたが、
残すファイルの判断がつかなかったので
後日あらため作業しようと思います

投稿日時 - 2006-12-30 00:24:48

ANo.3

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(4)

ANo.4

確かに「トロイの木馬」ですね
これに対する対応策はリカバリと指摘されています
わたしも同見解です
但しリカバリをするには細心の注意が必要です
参考URLを参照しつつ行なってください

http://iwata.way-nifty.com/home/2004/10/1017.html

投稿日時 - 2006-12-28 12:05:29

お礼

 リカバリってややこしそうだし
 知識が薄いので、リカバリ後の不具合が
 でると対処しきれないかなぁって敬遠してたんですが
 
  やっぱりみなさんの仰るとおり
 リカバリが一番の解決策みたいですねぇ。。。
 URL参考にさせていただきます


               有難うございます~

投稿日時 - 2006-12-28 19:02:38

ANo.2

データーバックアップ後リカバリをお勧めいたしますが
一応以下の手順を踏んでみてください。
以下でスキャンしてください。
http://anti-threat.shareedge.com/
スパイウエアチェックサイトですがバックドアもチェックできます。
時間はかかりますが、数回チェックするのが良いと思います。
http://www.kaspersky.co.jp/scanforvirus/
右上2種類、1つずつチェックください。
その際にスタート>マイコンピュータ>ツール>フlるだオプション>表示>全てのファイルを表示するにチェック、保護されたオペレーションを表示しないからチェックを外しOKで閉じる。これは全てのファイルチェックをする為です。
問題ファイル削除後、一旦「システムの復元機能」=無効に設定下さい。
これは削除後データーからも削除する為です。
削除後、再チェック、その後問題がなければ「システムの復元機能」=有効にしてください。
スキャンの際はウィルスソフト「セキュリティ対策ツール」のアンチウイルスソフトの常駐機能はOFFにしてください。ファィヤーーウォールはON状態で。
更に以下でオンラインウイルスチェックください。
このスキャンは全てのファイルをスキャンします。
スキャンの際の設定は上の手順と同じです。
問題なければ設定を元に戻してOKです。
焦らないでじっくり取り組んで下さい。
​チェック削除後、尚不安な場合はバックアップからリカバリをしてください。

投稿日時 - 2006-12-27 05:33:20

お礼

早い回答有難うございます
早速一つ目のサイトでチェックしました

続けざまに質問をして申し訳ございませんが。。。
a-squared Webでディープスキャンをしてみた結果について

 診断の結果 検出オブジェクトというところが100を超えており
 詳細は痕跡1~66まで色々と検出されているようです
  上に表示されているスキャン済みプロセスは68
           スキャン済みファイルは149500
           スキャン済み痕跡は91193
           スキャン済みクッキーは7
  まだ完全に終わっていないので数字は進行中です        

 出てきたオブジェクトは
(1)Trace.File.JWordPlugin
(2)Trace.Directory.YourSiteBar
(3)Trace.File.CnsMin
(4)Trace.File.KaZaA
(5)Trace.Registry.JwordPlugin

(6)Trojan-Downlader.Win32.IstBar.nh

 という名前がありました
 (1)~(5)は痕跡という単位ですが
 (6)は1ファイルと表示されています

 (6)はトロイと分かりますが他のものが全部削除OKなのか
  判断がつかず、迷っています

 Jwordはかなり前にインストール(?)したことがあるのですが
 これを入れているために引っかかっているのか、
 これ自体がウィルスなのかも判断できません。
 
 ここでJwordを削除しても支障が無いのであれば
 削除したいとも思っています

 あと、初歩的な質問かもしれませんが、、、
 
 スキャンも何度か掛けたのですが、
 完了後の手順が分からず、間違った操作をしたため
 いま4度目のスキャンです。

いま↑をスキャン中の為
カスペルスキーの方はまだ未使用です

せっかく回答いただいたのに
また質問してしまいすみません。。。
 

 

投稿日時 - 2006-12-27 18:55:23

ANo.1

 わたしも以前ほったらかしにした結果ウイルスに感染しました。
これがトロイの木馬です。
<<< ウイルス検索結果 >>>
C:\WINDOWS\system32\1.tmp = ウイルス感染 : Trojan-Proxy.Win32

おそらく、あなたも感染していると思われます。
わたしは、ここで駆除しました。
無料登録できれば駆除してくれます。

参考URL:http://www.mcafee.com/japan/mcafee/home/

投稿日時 - 2006-12-27 03:56:14

お礼

早い回答有難うございます
登録してみようと思います

こんな事になるんだったら
ほっておかず早く環境を整えるべきだったと
かなり反省しております

投稿日時 - 2006-12-27 18:58:29

あなたにオススメの質問