ウイルスが見つかってしまいました・・・。TROJ_GAMETHIEF.M

Question

インターネットをしていたら、以下の表示がでました。

ウイルスが見つかりました。確認のうえ必要に応じて手動で処理してください。
ファイル名：　taa.gif[1].gif
ウイルス:  TROJ GAMETHIEF.M
実行した処理：　隔離できませんでした。不要なファイルであることを確認し、手動で削除してください。

このような表示がでたのですが、コンピュータに詳しくない＆ウイルス感染が初めての私にはチンプンカンプンです。
ウイルスのところをクリックしたら以下のサイトに繋がりました。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FGAMETHIEF%2EM&VSect=P

自分でなんとかしようとおもったのですが、レジストリ値やセルフモードなどよくわからないことがいくつかあったので質問させていただきました。

ウイルス感染が初めてなので怖いです。よろしくお願いします。

ＯＣＮのセキュリティー対策ツールを使用しています。

ryu-fiz · Accepted Answer

>削除したのにバックアップと現在のレジストリが同じになっています。

通常、アプリケーションソフトの機能によって手動で削除されたレジストリキーが復活することはありますので、それならそれで大丈夫、と思ったんですが…一応補足されたキーの文字列(clsid)をウェブ検索したところ、気になる事が出て来ました。

>３番目のを消したような気がするのですが

その３番目、つまり{C60A0B68-1F3A-A1D2-C909-9A11A016D21A}がどうも怪しいようなのです。

higaitaisaku.comの質問掲示板で最近扱われたケースでそのclsidは出て来ており、削除対象になっています。該当記事をご覧になりたければ、

http://bbs.higaitaisaku.com/srch.cgi?no=0

ここからキーワードとして"99240"を入力、記事No.検索ONにチェックを入れて検索すれば見ることが出来ます。その記事によると、該当clsidを使用するファイルは"C:\WINDOWS\system32\KarnaeghDrv.dll"のようです。

http://www-06.ibm.com/jp/domino04/pc/support/beginner.nsf/btechinfo/SYB0-01A7BA9

に従って、すべてのファイルを表示させるようにWindowsの設定を変更後、システムをセーフモードで起動し、このファイルとレジストリキーをもう一度削除してみてください。終わったら通常モードで再起動後にこのファイルやレジストリキーが消えているかどうかを確認してみてください。

また、複合的な感染である可能性が高いと思います。６番目の回答で紹介したF-Secureのオンラインスキャンを受けることを強く推奨します。Tracking Cookieのような軽微なもの以外が検出され、削除が出来ない場合にはリカバリされるか、ここでの質問を締め切った後にhigaitaisaku.comの質問掲示板に移動されることをお勧めします。

http://www.higaitaisaku.com/

安全にリカバリを進めるためには、次のURLを参考にしてください。
http://iwata.way-nifty.com/home/2004/10/1017.html

昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。同様な感染を防ぐために次のような点に注意してください。

１）各種アプリケーションソフトのセキュリティ更新を怠らない。

Windows Updateの必要性はこれまでも叫ばれていますが、悪用されるセキュリティ上の問題点＝脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、

・Firefox、Operaなどのブラウザ。
・Sun Java 仮想マシン(JRE)。
・Flash PlayerやShockwave Playerなどのプラグイン。
・Real Player、QuickTimeなどのメディアプレイヤー。
・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。

最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けのある悪意のあるサイトにこっそり転送されて感染が試みられます。

http://internet.watch.impress.co.jp/
http://www.itmedia.co.jp/enterprise/security/

こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。

２）標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。

IEで扱うことの出来るJavaScriptは特殊なもので、各種感染に利用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。

でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。

http://www.mozilla-japan.org/products/firefox/
http://jp.opera.com/

もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。

もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsのようなソフトの利用を検討してください。

http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html

制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。

shakataku · Answer

とりあえず　taa.gif[1].gif　を探して削除しましょう

スタートボタン　－　検索　で　「　taa.gif[1].gif　」をコピペして
ありかを探し出してください

見つかったら　該当ファイルを　右クリック　削除です

その後は乗っていた　サイトの指示に従い　ゆっくりでいいので　レジストリ削除です

jein · Answer

過去の質問ぐらい検索しましょう。
最近私が同様の質問に手順の解説を加えて回答しています。
https://okauth.okwave.jp/qa4206084.html

これは、日本語サイトよりも手順が詳しい米国サイトにある情報を
概要を訳して手順を示したものです。

システムの復元を無効にする方法など、パソコンの基本操作に含まれるものについては説明を省いています。
これについてはパソコンの取扱説明書や、F1キーを押したりスタートボタンから呼び出せる「ヘルプとサポート」を参考にしてください。

strife · Answer

では、このトレンドマイクロのサイトの対処方法を、判りやすく説明してみようと思います。
まずは、セーフモードで起動する為にパソコンを再起動させてください。
再起動したらすぐにF8を連打してください。
そうすると、セーフモードに入るかどうかという選択肢が出てきます。もちろんセーフモードを選んでください。
やがて起動しますが、風景がいつもと違うので違和感を覚えるかもしれません。でもそのまま続けてください。

次に左下のスタートを押します。すると「ファイル名を指定して実行」がありますね。ここにregeditと打ちＯＫを押します。
レジストリエディタというのが出てきました。真ん中から左を見てください。フォルダのようなものがありますね。もしこれが空いた状態なら
全部閉じてみてください。
ここで、先ほどの情報を見ると、
場所：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\ShellExecuteHooks
とありますね。
ではまず、HKEY_LOCAL_MACHINEというフォルダがあると思います。それを開いてください。するとたくさん出てきましたね。その中から、次はSOFTWAREを探します。また出てくると思うので、次はMicrosoftを探します、同じように、Windows→CurrentVersion→Explorer→ShellExecuteHooksとたどってください。
数が多いのですが、アルファベット順になっていますから、辛抱強く探してください。最後の、ShellExecuteHooksまでたどり着けましたか？
たどり着けたら、今度は右側の画面を見ます。
{F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}というのがあるでしょう。
これを右クリックして削除します。

そしたら、次のステップです。
またスタートボタンから、今度は検索をクリックします。
%Current%\das.batで検索して、出てきたら全て削除してください。

これで作業終了です。必ず再起動して、もう一度ウィルスチェックをしてみてください。

speed-10 · Answer

パスが書かれていないので断定は出来ませんがこんなことも考えられませんか
＞インターネットをしていたら、以下の表示がでました
サイトを閲覧中に一時ファイルに保存されたものを検出した可能性は？

ウイルス検索ログの確認方法
http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2062350&id=JP-2062350

ブラウザの一時ファイルから検出なら
IEだと
「Internet Explorer の一時ファイル「Temporary Internet Files」フォルダからウイルスを発見した場合の処理方法について 」
http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=jp-29113
Firefoxなら
https://www.ccc.go.jp/cash/ff.html

設定よってはブラウザを終了する際に一時ファイルを削除するようにしていたら既に削除されている場合もあります。

TROJ_GAMETHIEF.Mに感染すると以下のファイルも生成するらしいですが、
    * ＜不正プログラムのあるフォルダ＞\das.bat - 無害なファイル
    * ＜Windowsシステムフォルダ＞※\SONB32DRV.DLL - この不正プログラムとして検出

ウイルスチェックをされているのでしたら、その辺も併せて確認されると良いと思います。

wamos101 · Answer

こんにちは。

当方はクラッカーコミュティー潜入調査や対策ソフトの多角的性能テストなどをしております。

あのですね、私はバスターユーザーじゃないですが、

>ファイル名：　taa.gif[1].gif

ということは#4さんおっしゃるように一時ファイルフォルダで検出されてます。

>{F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}と全く同じファイルはありませんでしたが似ているのがあったので削除しました。
一応バックアップはとりましたが、何か問題が起こる可能性はあるでしょうか？？

バックアップを取ってから作業するというのは正解ですが、似ているからといって削除するとソフトの動作不具合になったりします。レジストリエントリというのはいい加減なものではないです。ShellExecuteHooksと言うエントリは正常なソフトも利用します。私はAutorunsというソフトをよく使っていますが、この項目も載っています。

ryu-fiz · Answer

まず申し上げておきたいのは…IEなどのブラウザでウェブ閲覧中にリアルタイム検出が発生した場合、その多くは重大な感染に至らない可能性が高いということです。水際で防がれた、というような表現を使うこともあります。

『隔離できませんでした』と表示されたことで不安になられたのかも知れませんが…ブラウザのキャッシュ（IEにおいてはインターネット一時ファイル）から検出があった場合にはそう表示されることも少なくありません。検出があったからといってそれが即深刻な感染であると捉えるべきじゃないのです。

ブラウザが今閲覧しているサイトの構成ファイルが読み込まれた直後検出されたような場合、そしてそれが処理出来なかった場合には、ブラウザを一旦終了させてからなら処理が可能です。トレンドマイクロでは、このような文書を出しています。

http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=jp-29113

なお、上記URLはTROJ GAMETHIEF.Mの情報ページからもリンクされているものです。『対処方法』タブをクリックして表示されるページ上にリンクがあります。

検出されたものについては、インターネット一時ファイルを削除することで一応処理完了になると思われます。で、念のためにウイルスバスターでパソコン全体をウイルス検索して何も検出されないことを確認してください。

出来ることなら、検出力の高いF-Secureのオンラインスキャンで再確認すればなお安心です。

http://www.f-secure.co.jp/v-descs/disinfestation.html

ウイルスに関する情報ページを読みこなすことは最初は結構難しいとは思います。でも、今後のためにも少しずつ慣れておいた方が良さそうです。

その際、最も基本となるのは、その検出がどこからあったか？ということです。今回のケースでも、インターネット一時ファイルからの検出と見られることで、より具体的な対処法が定まりました。どこから検出されたのかを知ることがいかに大切かお分かりいただけるでしょうか？

ファイルの存在場所＝ファイルパスやファイル名はログと呼ばれる記録から調べることが出来ます。参考URLです。

http://wiki.higaitaisaku.com/wiki.cgi?page=%BC%C1%CC%E4%B7%C7%BC%A8%C8%C4%A5%DF%A5%CB%A5%C8%A5%E9%A5%D6%A5%EB%A1%F5%A5%DF%A5%CB%C3%CE%BC%B1%A1%D6%A5%A6%A5%A4%A5%EB%A5%B9%A5%D0%A5%B9%A5%BF%A1%BC%CA%D4%A1%D7

>{F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}と全く同じファイルはありませんでしたが似ているのがあったので削除しました。

５番さんに同意。すぐそのエントリ（レジストリエディタ上での表示や管理方法がエクスプローラに似せられているだけで、レジストリの各項目は『ファイル』ではないし『フォルダ』というのも存在しません）をバックアップから復元するように。バックアップしたreg形式のファイルをダブルクリックし、ダイアログが出たら『はい』でOKです。

レジストリの取り扱いには注意が必要です。どうしても取り扱わなければいけない局面はありますが…。特に今回の対象となるべきエントリは、末尾の文字列が異なるものを安易に削除してはいけないタイプのものです。似たような場所にあるものは別物。削除しないようにしてください。

先述した通り、今回検出されたものに関しては『水際で防がれた』可能性が非常に高いです。その場合、情報ページに掲載されたようなファイルやフォルダ、レジストリキーなどは見つからないのが当然であることが多いです。

何故なら…実行が阻止されているからです。作戦が遂行される前に止められているのでそうしたものは出来ないんです。

ウイルス対策ソフトがリアルタイムで検出した、という場合、その多くは未然に防がれたということになります。検出があったことイコール感染した、とは必ずしも言えないのだ、ということを理解していただくことが、初心者さんにおいては非常に重要かも知れません。

speed-10 · Answer

ANo.4です。
確認されたことで一時ファイルのみであることがハッキリしました。
最後に書いたのは本当に感染しているならそのファイル等もある筈だと余分なことを書いているだけで、無くて当然ですから心配いりません。

あとはレジストリの修復だけだと思います。
この質問には詳しい方が何人も参加されていますから、その方のアドバイスに従った方がいいと思います。
（待っていれば、追記してくれると思いますよ）

ryu-fiz · Answer

>バックアップをとったregbackup.regファイルをダブルクリック→レジストリに追加しますか→はい→regbackup.regをインポートできません。データの一部をレジストリに書き込むことができませんでした。システムまたはその他のプロセスによって、開かれているキーがあります。
とでてしまいました。もうおしまいでしょうか・・・？？？

おそらく、
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks"
配下には削除したサブキー以外も存在していて、それが干渉しているのだと思われます。

取り敢えずまず、レジストリエディタを開いて削除したサブキーが復活しているかどうかをチェックしてみてください。もし復活していれば心配はいりません。

復活していない場合には、"regbackup.reg"をメモ帳で開き、既にレジストリ上に存在しているサブキーの部分の記述を削除してから再びダブルクリックしてみてください。

どうしても上手く行かないようなら、"regbackup.reg"をメモ帳で開き、その内容を貼り付けて補足してください。

ryu-fiz · Answer

おっと、必要があって補足する際には、どういうキーを復活させたいのか分かるように、忘れずに補足してください。

つまり『{F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}に似ているの』として削除したものです。それが何だか分からないと、こちらとしてもアドバイスのしようがありませんので。

ウイルスが見つかってしまいました・・・。TROJ_GAMETHIEF.M

とりあえず taa.gif[1].gif を探して削除しましょう

過去の質問ぐらい検索しましょう。

では、このトレンドマイクロのサイトの対処方法を、判りやすく説明してみようと思います。

パスが書かれていないので断定は出来ませんがこんなことも考えられませんか

こんにちは。

まず申し上げておきたいのは…IEなどのブラウザでウェブ閲覧中にリアルタイム検出が発生した場合、その多くは重大な感染に至らない可能性が高いということです。

ANo.4です。

>バックアップをとったregbackup.regファイルをダブルクリック→レジストリに追加しますか→はい→regbackup.regをインポートできません。

おっと、必要があって補足する際には、どういうキーを復活させたいのか分かるように、忘れずに補足してください。

>削除したのにバックアップと現在のレジストリが同じになっています。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

とりあえず　taa.gif[1].gif　を探して削除しましょう