トロイの木馬を削除したいんですが

パソコンにはあまり詳しくありません。そのつもりでご回答をお願いします。

ある日パソコンを起動したら、ウイルスバスターがトロイの木馬を検知したと以下のような警告が出ました。ウイルス感染は今回が初めてです。

トロイの木馬プログラムが削除されました
（コンピュータを再起動してください）
感染したファイル：uninstall.exe
場所：C:\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ\uninstall.exe
脅威名：BKDR_SINOWAL.GH
トレンドマイクロ社の提案：トロイの木馬プログラムが削除され、コンピュータへの攻撃が回避されました。ここでコンピュータを再起動して、脅威の痕跡を削除してください。

メッセージの通りPCを再起動したのですが、何回再起動しても同様のメッセージが出ます。

ウイルスバスタ－2009にてコンピュータ全体をウイルススキャンした結果、以下の表示がありました。

見つかったセキュリティ脅威はすべて処理されました。
項目：BKDR_SINOWAL.GH
状況：隔離済みのファイル
詳細：「対処できないウイルスに感染したファイルが、感染の拡大を防ぐため隔離しました」

そこで、
１．コンピュータへの攻撃が回避されましたとのことなので、このまま使い続けて平気なのでしょうか。（毎回PCを起動するときにメッセージが出るのは許容して）
２．このトロイの木馬を削除することは可能でしょうか？またその方法は？

OSはWindowsXP HomeEdition2002 SP3です。

以上、２点についてご教授願います。
長文失礼しました。

No.6 ベストアンサー 回答者： ryu-fiz 回答日時： 2009/06/16 00:54

未だにシステム起動時にメッセージが出ている、ということはすなわち、感染が解消されていないということに他ならないと思います。

完全にSinowalに感染してしまっているのではないかと。

F-Secureオンラインスキャンで何も出ないということになると…Sinowalに特徴的なルートキットによる隠蔽、およびマスターブートレコード(MBR)への感染などが懸念されます。これらの対処はかなり困難です。

http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

回復コンソールを利用したMBRの修復方法が示されていますが、これはWindowsOSのインストールCDをお持ちの場合には利用出来るものの、一般的なメーカー製PCではハードディスクリカバリが主で、CDからシステムを立ち上げて回復コンソール、という訳には行かないと思われます。

一応、対応策です。次のURLからNorman Sinowal Cleanerをダウンロードし、デスクトップなどに保存後実行してください。スキャン終了後、システムの再起動を求められると思うのでそれに従ってください。

Norman | Special program to clean SinowalMBR rootkit from infected computers
http://www.norman.com/support/support_tools/5873 …

"1. Download this file."と書かれた"this file"のところからダウンロード出来ます。

Norman Sinowal Cleaner実行、システム再起動の後に、ウイルスバスターによる警告が再発しないことが確認出来れば、第一段階クリアと言えるかも知れません。これまで隠蔽されていたファイルが新たに見つかるかも知れないので、再度ウイルスバスターおよびF-Secureオンラインスキャンによる検査を行ってみてください。

単純に隔離や削除が行えないものについては、ESET UnDLLを使ってみてください。

まず…UnDLLを使う前準備として、次のURLを参考にしてシステムファイルを含む全てのファイルが表示されるようにWindowsの設定を変更してください。

http://www-06.ibm.com/jp/domino04/pc/support/beg …

UnDLLの入手は次のURLから。
http://www.nod32.it/tools/undll.php

"Fare clic qui per scaricare UnDLL sul computer "と書かれたリンクをクリック。
"undll.zip"をダウンロードし、デスクトップなどに保存してください。

ダウンロードしたzip形式のファイルを適当なフォルダ内に解凍し、中のexe形式のファイルを実行します。起動後Enterキーを押すか、"Select infected DLL"をクリックすると、ファイル選択のコモンダイアログが開きますので、削除したいファイルを選んでください。（『ファイルの種類』を『All files (*.*)』に切り替えることにより、DLL以外の拡張子を持つファイルも選択可能です）

DLLファイルのプロセス注入や、それ以外の手法によるプログラムの起動になどに関わるレジストリキーも検索、併せて削除を行うために、通常ウイルス対策ソフトで削除出来ないファイルの除去も期待出来ます。作業終了後は、システムを再起動する必要があります。

UnDLL.exeが置かれたフォルダ内にログファイルが生成されると思うので、それを確認すれば作業の結果は分かると思います。

削除作業が一段落したら、再びF-Secureオンラインスキャンで確認を。

万一、Norman Sinowal Cleanerが効かない場合には、次のいずれかの対応が望ましいと思います。マスターブート領域に感染が存在するとすれば、所定の方法でリカバリを行なったとしても今回の感染は除去出来ません。

１）メーカーサポートが受けられるようならそちらに預ける。

利用出来ないようなら、PCトラブルの専門業者をタウンページなどで調べて、そこに対応を依頼してください。その際、マスターブートレコード領域に感染が存在し、自力での対応が困難であることをきちんと先方に伝えてください。有償での対応になりますが、致し方ありません。

２）どうしてもお金を掛けたくないとお考えの場合は、ここでの質問を締め切った後で、higaitaisaku.comの質問掲示板に移動してください。

http://www.higaitaisaku.com/

HijackThisという解析ツールの実行結果のログを提出する必要があります。また、SDFix、ComboFixといった高度なツールを専門知識を持った回答者諸氏の指示通りに実行していく必要があります。懇切丁寧な説明はしてくれると思いますが…初心者レベルでは骨の折れる作業になることは覚悟してください。

この回答へのお礼

回答ありがとうございます。
ryu-fiz様の仰るとおりにNorman Sinowal Cleanerをダウンロードしてスキャン実行後に再起動しました。

再起動時にウイルスバスターの警告表示が出ないことを確認し、ウイルスバスターにてコンピュータ全体のスキャンをしました。⇒検出なし

次にF-Secureオンラインスキャンを実行し、レポートには以下の表示がありました。
--------------------------------------------------------------
Result: 3 malware found
Backdoor.Win32.Sinowal.dkc (virus)
* C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER\QUARANTINE\UNINSTALL.EXE (Submitted)
* C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER\QUARANTINE\A0240023.EXE (Submitted)

TrackingCookie.2o7 (spyware)
* System
--------------------------------------------------------------
Statistics
Scanned:
* Files: 48093
* System: 6350
* Not scanned: 7

Actions:
* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 3
* Submitted: 2

Files not scanned:
* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\DOCUMENTS AND SETTINGS\OWNER\LOCAL SETTINGS\TEMP\ETILQS_6DU0ARNWYCA6HE4UDMJY
--------------------------------------------------------------
つまりこれでトロイの木馬は削除されたと考えてよいのでしょうか？
UnDLLも実行する必要があるでしょうか？

お礼日時：2009/06/16 21:46

No.8 回答者： ryu-fiz 回答日時： 2009/06/17 01:39

６番目の回答に対するお礼、確認しました。

Norman Sinowal Cleanerが効いたように思われます。ウイルスバスター、F-Secureオンラインスキャンで目立った検出がないようですので、パソコンの利用上他に目立った症状などがなければ一先ず安心と考えて良いでしょう。お疲れ様でした。

>Result: 3 malware found
>Backdoor.Win32.Sinowal.dkc (virus)
>* C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER\QUARANTINE\UNINSTALL.EXE (Submitted)
>* C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER\QUARANTINE\A0240023.EXE (Submitted)

>TrackingCookie.2o7 (spyware)

既にお気付きかも知れませんが、F-Secureオンラインスキャンが検出したものは、ウイルスバスターによって既に隔離済みのSinowalと、差し迫った危険性はないと思われるTracking Cookieのみです。これらの検出については全く心配いりません。

あとは、再び深刻な感染に遭うことのないために、７番目の回答で示した注意点を守るように心掛けていただければ。

この回答へのお礼

回答ありがとうございます。

各種ソフトやシステムのアップデートはこまめにしているつもりでしたが
それでも感染してしまうということはまだまだ警戒が足りなかったということですね。
６番目の回答をよく理解して以後気をつけます。
本当にありがとうございました。

お礼日時：2009/06/17 09:41

No.7 回答者： ryu-fiz 回答日時： 2009/06/16 00:55

昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。

ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。

次のような点に注意すべきだと考えます。対処出来ていない点がないかどうかをチェックしてみてください。（意味が分からない用語は、e-Wordsで調べるなどして理解に努めてください。）
http://e-words.jp/

１）各種アプリケーションソフトのセキュリティ更新を怠らない。

Windows Updateの必要性はこれまでも叫ばれて来ましたが、悪用されるセキュリティ上の問題点＝脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと主流が移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、

・Firefox、Operaなどのブラウザ。
・Sun Java 仮想マシン(JRE)。
・Flash PlayerやShockwave Playerなどのプラグイン。
・Real Player、QuickTimeなどのメディアプレイヤー。
・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。

最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。

http://internet.watch.impress.co.jp/
http://www.itmedia.co.jp/enterprise/security/

こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。

２）標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。

IEで扱うことの出来るJavaScriptはJScriptといい、Windowsを直接操作出来るように拡張されており、各種感染に悪用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。

でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。

http://www.mozilla-japan.org/products/firefox/
http://jp.opera.com/

もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。

XPまでのWindowsで、もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsやRUNASAのようなソフトの利用を検討してください。

http://www.oshiete-kun.net/archives/2006/05/iere …
http://www.oshiete-kun.net/archives/2007/04/vist …

制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsやRUNASAを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。

ReducedPermissionsの入手は、次の各URLから行うことが出来ます。
http://download.cnet.com/Reduced-Permissions/300 …
http://www.softpedia.com/get/System/System-Misce …

なお、Windows Vista以降のIEでは、保護モードにおいて感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点＝脆弱性の影響には十分注意しなくてはいけません。その辺は１）で説明した通りです。

３）ファイアウォールを有効にする。

出来ることなら、ファイアウォール機能の付いたブロードバンドルーターを介してネットに接続することが望ましいです。それが出来ない場合には、パーソナルファイアウォール機能を含むウイルス対策ソフトを利用しましょう。

最低でもWindowsファイアウォールを有効にしておけばそれなりの効果は期待出来ますが、例えば各種共有機能が有効になっているとそれ関係のポートが開かれたままの状態になり、ネットワークウイルス感染や不正侵入を防げない可能性もあります。より確実に不正な通信をブロックするためには、やはりブロードバンドルーターかパーソナルファイアウォールを別途導入するのが望ましいです。

４）怪しいリンクをクリックしたり、怪しいファイルをダウンロードしたりしない。

興味深いネタへのリンクと称して怪しいリンクを踏ませたり、動画再生に必要なコーデックなどと偽って怪しいファイルをダウンロード、実行させようとする手口は後を絶ちません。十分な注意が必要です。

このような騙しに遭わないためにも、先述したようなニュースサイトで最新の情報を常時チェックされるのが望ましいです。

５）オートラン設定を無効化しておきましょう。

最近いわゆる『USBメモリを介する感染』というのが増えていますが、感染が広がる要因の一つと言われているのがUSBメモリ内プログラムの自動実行などに使われるオートラン機能です。

実はこのオートラン機能、標準設定ではハードディスクなどあらゆるメディア上で有効になっているために、これを悪用した感染が簡単にPC全体に波及することになりがちです。

Windows の自動実行機能を無効にする方法
http://support.microsoft.com/kb/967715/ja

上記URLにて『自動実行機能を無効にするための必要条件』とされている更新プログラムをダウンロード、インストール後に、次のURLにてWindowsの各バージョン毎に紹介されている方法に従って、自動実行機能を無効化してください。

http://www.ipa.go.jp/security/txt/2009/05outline …

No.5 回答者： T-200 回答日時： 2009/06/15 20:54

再度コメントしますが、詳しい人ではありませんのでご了承下さい。

F-secureオンラインスキャンで検出なしとの事ですので、尚更良く分からない事態かもしれません・・・
但し本当にSINOWAL関連に感染していた場合は検出やユーザーによるファイルの確認を回避する機能が搭載されている可能性もありえるようですが・・・

ウイルスバスターの検出ログではＰＣ起動毎に検出隔離されているのでしょうか？
そうであれば感染の可能性は有り得ると思います。
もしもSINOWALに感染していた場合は手動での駆除処理はかなり難しい部類かもしれません（SINOWAL関連の説明はどれも厄介な物が多いようです）。

詳しい人が何かコメントなり回答なりくれると良いですが、私からは一応最悪の場合も考慮して必要なファイルのバックアップは取っておく事を推奨します。

この回答へのお礼

ウイルスバスターの検出表示はPC起動時に毎回出ます。
手動での駆除方法を拝見しましたが、僕にはかなり難しい内容でした。
T-200様の仰るとおり大事なファイルのバックアップだけは取っておきます。
ありがとうございました。

お礼日時：2009/06/16 20:38

No.4 回答者： umimarukun 回答日時： 2009/06/15 02:11

最初の警告文の中にある『トロイの木馬プログラムが削除され・・・』は、

ウィルスバスターの不備のように思いますね。
BKDR_SINOWAL.GHは、ウィルスバスターで検出・隔離はできるものの削除はできず、
そのことはトレンドマイクロ社のページにも明記されています。

従って、検出時の処理に関する内容としては、

> 見つかったセキュリティ脅威はすべて処理されました。
> 項目：BKDR_SINOWAL.GH
> 状況：隔離済みのファイル
> 詳細：「対処できないウイルスに感染したファイルが、感染の拡大を防ぐため隔離しました」

の方が正しいと言えるでしょう。

ここで用語の説明をしておきたいと思います。

先ず、ここでいう「処理」とは、
ウィルスバスターがウィルス検出時にどのような処置（対処）をしたかということであり、
必ずしもウィルスの削除（或いは駆除）をしたということではありません。
状況や詳細の欄に書かれているように、
今回の検出では「隔離」という処理がなされています。

次に、「隔離」とはどういうことかということですが、
例えていえば、新型インフルエンザの感染者を隔離するようなものです。
そのまま放って置くと周囲にインフルを移してしまうので、
感染患者を特別な部屋に閉じ込めて、他の人に影響が及ぶのを防ぎますよね。
ウィルス対策でいう「隔離」とは、ウィルスが活動できないような状態にしてしまうことです。
即ち、PC（HDD）内には存在するものの、悪さすることはできないわけなんですね。
「隔離」処理は、今回のようにそのソフトでウィルスを削除できな場合の封じ込めや、
その検出が正しいかどうか（誤検出でないかどうか）を確認する為にワンステップおく場合に
行われます。
ソフトで削除できるウィルスであっても、万一その検出が誤検出であった場合、
削除することでPCが不具合を起こすことになるからです。

ウィルスが検出された場合の処置としては、取りあえず「隔離」してしまい、
検出されたウィルス名でウェブ検索して情報を集めて、
削除して問題ないことを確認した上で削除するようにするのが基本です。
慣れてくるとウィルス名や検出場所を見ただけで判断できるようになる人もいますが、
そうでない方は基本に忠実に行うのが無難でしょうね。

そういうわけで、質問者さんへの回答としては、
隔離済の状態であれば、トロイの木馬による被害は受けませんので、
そのまま使用して問題はないということになります。
ただ、いくら問題がないとはいえ、
そのようなものをいつまでもPC内に残しておくのは嫌なものです。
マニュアル（手動）での削除になりますが、
トレンドマイクロ社のサイトに削除手順が掲載されていますので、
よく読んである程度理解してから実施してみてください。

【 BKDR_SINOWAL.BE 】
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

尚、No.3の回答者の方のアドバイスにある『システムの復元』でも解決できる場合がありますが、
『システムの復元』を行うとシステムの整合性が取れなくなる場合があり、
その結果新たなトラブルに見舞われる可能性があるので、注意が必要です。

例えば、2009年2月10日の復元ポイントに復元した場合、
その復元ポイントから現在までの間にインストールしたソフトがあるとしましょう。
その場合、Windows側のインストール情報は『システムの復元』によって、
そのソフトがインストールされていない時のものに戻りますが、
そのソフト自体は『システムの復元』によって消えるわけではありません。
即ち、そのソフトは存在するものの、
Windowsに組み込まれていない状態になってしまうのですね。
逆に、復元ポイントから現在までの間にアンインストールしたソフトがある場合は、
ソフト本体は既になくなっているのに、
インストール情報だけがWindows内に残ってしまうことになりますよね。
『システムの復元』は便利な機能ですが、このような危険も起こりえます。
他に適当な対応方法がない場合にのみ使うようにするのが賢明でしょう。

以上、長くなりましたが、ご参考になれば幸いです。

この回答へのお礼

回答ありがとうございます。
用語の解説までしていただいてとても分かりやすかったです。
システムの復元の危険性についてはぜんぜん知りませんでしたのでとても参考になりました。
トロイの木馬については回答No.6を参考に解決できました。

お礼日時：2009/06/17 09:49

No.3 回答者： kuritake02 回答日時： 2009/06/14 22:22

僕も、同じことになったことがあります。

僕の場合は画面に英語でWARNINGとか、ハッキングされている、とかでてきたのですが、次のサイトで助かりました。
やり方はシステムの復元です。
http://spywareandvirus.blog85.fc2.com/blog-entry …

参考URL：http://spywareandvirus.blog85.fc2.com/blog-entry …

この回答へのお礼

回答ありがとうございます。
システムの復元は試してみたのですが、どの復元ポイントで実行しても「システムの変更がありませんでした」という表示が出て
復元できませんでした。

お礼日時：2009/06/16 20:28

No.2 回答者： T-200 回答日時： 2009/06/13 12:46

私も詳しい人ではありませんので参考程度でお願いします。

通常その様な検出が繰り返される場合はマルウェア本体の検出ができていないのが原因と判断すると思います。
マルウェア本体は未だ存在しているので、それによって生成されるファイル（今回検出～隔離処理されているファイル）は隔離しても再度生成されるのではないでしょうか？
一応ＳＩＮＯＷＡＬファミリはルートキット等も絡む検出回避機能が関係している場合も多いようです。

普通に考えてそのような感染状態で使い続けるのは平気ではないと思います。
とりあえずお使いのウイルスバスター（バージョンは不明ですが）では本体の検出が出来ていない可能性が高いですので、ダメ元で他社のオンラインスキャンを試行してみてはどうでしょうか？
http://www.f-secure.co.jp/v-descs/disinfestation …

基本的には深刻な感染状態に至った場合は私ならリカバリを選択すると思います。

この回答へのお礼

回答ありがとうございます。

>通常その様な検出が繰り返される場合はマルウェア本体の検出ができていないのが原因と判断すると思います。
確かに「本体が処理されてない」そんな印象を受けました。

リンク先のオンラインスキャンを実施してみました。結果はトラッキングクッキー？が見つかっただけでトロイは見つかりませんでした。
ちなみにウイルスバスターのバージョンは以下の通りです。
プログラム：17.1.1.251　　検索エンジン：8.913.1006　　パターンファイル番号：6.191.50

ウイルスバスターよりスパイウェア専用ソフトの方が検知できるというのをネットで見つけたのでフリーソフトのスパイボットというのを
ダウンロードしてスキャンしましたが見つかりませんでした。（セーフモードでも変わらずでした）
バージョン情報：Spybot-Search & Destroy 1.6.2

やっぱりリカバリしかないんでしょうか？もうちょっと調べてみます。ありがとうございました。

お礼日時：2009/06/15 02:09

No.1 回答者： Coruten 回答日時： 2009/06/12 23:44

稚拙ながら、セーフモードで起動した上で手動でウイルスバスター2009を起動し、ウイルススキャンを行ってみてはいかがですか？

セーフモードについて
http://soft1.jp/trouble/w/w003.htm

ウイルスバスターはc:\program files\・・・のあたりを名前から当たってみてください。

それと、フォルダの表示を隠しファイル・システム属性ファイルも表示にしてマイコンピュータ->c:->Documents and Settings->全部のフォルダについて->スタートメニュー->プログラム->スタートアップを覗いてみてください。もしかすると消しきれてなくてuninstall.exeが見つかるかも。

この回答へのお礼

早速の回答ありがとうございます。

セーフモードで起動してウイルススキャンをしてもトロイの木馬は見つかりませんでした。
また、隠しファイルも表示させ直接uninstall.exeを探して見たのですがどこにもありませんでした。
（検索にも引っかかりませんでした。）

リカバリするか決断するまでもう少し悩んでみます。ありがとうございました。

お礼日時：2009/06/15 01:47