トロイの木馬に感染・・

某巨大掲示板群にて、「Googke」のURLを迂闊にも踏んでしまい、トロイの木馬に感染してしまいました…。
“Win32:Trojano-1124 [Trj]”という名称のトロイの木馬の様なのですが、検索してもHitせず駆除方法が分かりません。

OSはWindowsXP HomeEditionで、アンチウィルスソフトには、avast!という、国外産のフリーソフトを使用しています。

どなたか、駆除方法についてご教授ください
宜しくお願い致します

No.6 回答者： noname#40123 回答日時： 2005/05/01 17:29

＞クリーンアップインストールとは何でしょうか？

＞単語の意味から想像は付きますが、方法等が不明です…。（リカバリについては理解できます）
リカバリの前には、今までのデータを別のドライブやディスクに保存してください。

そして、リカバリを開始して、Cドライブをフォーマットして初期化してしまい、
改めてWindowsXPやほかのプログラムを入れ直すことです。
これがクリーンアップインストールです。

それらについては、メーカー製のパソコンでしたら、そのリカバリCDや取扱説明書に沿って、
再度インストールしてください。

No.5 回答者： HIPPO1023 回答日時： 2005/05/01 13:17

Avastのメーカーサイト、ALWILで調べた所、

感染したとされるウィルスはいずれもウィルス定義ファイルのデータベースに登録されています。
Win32:PoeBot-B [Trj]
VPS 0512-0, 22.03.2005

Win32:Trojano-1124 [Trj]
VPS 0513-2, 01.04.2005

ウィルスデータベースの年月日からも明らかなように、一月前に定義ファイルで定義されているウィルスです。これで侵入されることは通常の使用では考えられません。

考えられることは
（１）Avastの定義ファイルを更新していますか？？
きちんと設定していれば自動更新されます。最新のウィルス定義ファイルは、0517-6（4/30更新されています）　です。
（２）Avastは最新バージョンですか？
最新バージョンは　Avast4.6.652　です。
（３）WEBシールド等を実行停止にしていることはありませんか？
（４）ファイアーウォールを使用している場合、AshWEbSv.exe等をファイアーウォールに許可させていますか？

お話の感じでは、アンチウィルス（Avast）が機能していないような感じです。
（５）Avastをインストールしたあと、登録しましたか？？　登録するとライセンスキーが送られてきます。このキーをAvastのプログラムに登録することで14ヶ月間利用可能になります。あとは期限前に更新することで無期限に利用できます。ライセンスキーを登録しないと60日間しか利用できません。未登録状態で60日以上経過していませんか？？？

この辺り一度見直されてはいかがでしょうか？？

なお、Avastについては、以下のサイトで日本語の翻訳をされた方がボランティアでフォーラムを開いておられます。参考までに・・・。
http://www.iso-g.com/modules/newbb/

No.4 回答者： noname#40123 回答日時： 2005/05/01 09:48

新たに見つかったウィルスについては、次のウィルスかと考えられます。

Win32.Linkbot Family
http://www.casupport.jp/virusinfo/2005/win32_lin …

それで考えられるウィルスは、ネットワークウィルスと考えられ、これ以上の駆除は難しいと思われますので、
リカバリの上で、クリーンアップインストールした方がよいかと思います。

そして、ネットワークウィルスに感染しているということは、WindowsUpdateを実施していなかったので
そのセキュリティーホールからの侵入による、ウィルス感染が考えられます。

リカバリして、市販品のウィルス対策ソフトをインストールし、WindowsUpdateを実施する方向で考えてください。

Avast!4Home自体はすばらしいと思いますが、
申し訳ないですが、現在のzephy798さんの技量ではウィルス駆除ができないと考えられますので
リカバリ・クリーンアップインストールの上、新たにウィルス対策をしてインターネットをすることを勧めます。

この回答へのお礼

丁寧なご回答に感謝します。

度々の質問になり申し訳ないのですが、
クリーンアップインストールとは何でしょうか？
単語の意味から想像は付きますが、方法等が不明です…。
（リカバリについては理解できます）

お礼日時：2005/05/01 10:10

No.3 回答者： noname#40123 回答日時： 2005/04/30 11:32

Triということから、Trojan系ウィルスです。

それで、最初に感染しているファイルの場所を特定してください。
Trojan系ウィルスは、駆除についてはできません。
感染しているファイルを削除することで、ウィルスの駆除となります。

そして、感染しているTrojanによっては、レジストリの改変も伴いますので、それを修繕する必要があります。

ほかの方のアドバイスにあるように、ウィルスバスターオンラインスキャンやシマンテックセキュリティチェックで
オンラインでのスキャンをして、そのウィルス名を知らせてください。

そうしないと、はっきりとした駆除方法はわからないと思います。
なお、これらは駆除はできません。検知するだけです。

ウィルスバスターオンラインスキャン　http://www.trendmicro.co.jp/hcall/index.asp

シマンテックセキュリティチェック　http://www.symantec.com/region/jp/securitycheck/ …

この回答へのお礼

お返事が遅くなり、大変申し訳ありません。
そして、皆様のアドバイスに感謝します。

セーフモード後の検索やオンラインスキャンを幾度か試してみましたが、何れも検知は出来ませんでした。

しかし、avast!によって周期的に検知されるようになりました。
トロイの木馬が検知され、avast!の推奨の動作とされている「チェストへ移動」を行うと、
それ以降は全くウィルスの類が検知されないのですが、半日程度の時間が経つと、再び同じファイルが同じウィルスに感染しているのです…。

毎回感染しているファイルは"C:WINDOWS\system32"内の.exeファイルで、もう5回以上検知され続けています。
感染ウィルスは、初回の投稿にもある、“Win32:Trojano-1124 [Trj]”です。

今朝までは、前述したファイルが周期的に感染するだけだったのですが、今朝になって新たに、
"C:WINDOWS\system32\ccvssd.exe"というファイルが、"Win32:PoeBot-B [Trj]"というウィルスに感染しているのが検知されました。


これがレジストリの改変と呼ばれる物なのかは、私には判断できないのですが、XPのユーザー切り替え機能が
働かなくなる等、ウィルスの影響らしき物も目に見えて出てきています…。

お礼日時：2005/05/01 08:36

No.2 回答者： hamahamachan 回答日時： 2005/04/30 09:34

セーフでも駆除できないのであれば、オンラインスキャン（ノートンか、ウイルスバスター）で見つからないかを試してみてはいかがでしょうか。

どちらかで見つかれば、そのウイルスデータベースから調べることができると思います。

No.1 回答者： tsugutan 回答日時： 2005/04/30 05:24

googkleの被害に遭われている方、結構多いようですね…

セーフモードで起動後に検索してみて下さい。
もしかしたら見つかるかも知れません。

また、XPの復元機能を使って復元するのも
良いかと思います。