DOS_AGOBOT.HMを検出しましたが、元になっているワームを検出できず、駆除できません

症状：１．Norton AntiVirusや、Outlook Expressが正常に動作しない
　　　２．ウィルス対策系のサイトにアクセスできない

＜これまでの経過＞
上記のような症状が現れたので、トレンドマイクロ　オンラインスキャンにかけたところDOS_AGOBOT.HMというウィルスが検出されました。このウィルスは症状２を引き起こしているようです。そこでトレンドマイクロのサイトにある駆除方法で駆除しましたが、症状２はなくなりませんでした。また、このウィルスはAGOBOT系のワームによって引き起こされるとの記述があったので、そのワームを駆除しない限り、再起動するごとに自動的に元の位置に作られてしまうようです。

そこでそのワームの特定をしたいのですが、トレンドマイクロ　オンラインスキャンではワームは検出されませんでした。また、トレンドマイクロ　ウィルスデータベースで「WORM_AGOBOT」で検索すると127タイプのAGOBOT系ワームが表示されましたので、その駆除方法をしらみつぶしに見て、レジストリの改変パターンで当てはまるものがないか全てチェックしましたが、どれも当てはまりませんでした。

また、確証はないのですが、ウィルスに感染したと思われるのは、あるサイトでShockwaveをダウンロードした際ではないかと思います。

トレンドマイクロのサイトにも症状２によって、基本的にアクセスできませんが、www.trendmicro.co.jpは（trendmicro.comと違い）ウィルスがアクセスを妨害するサイトのリストに入っていないため、アクセスでき、オンラインスキャンを受けることができました。

以上が今までの経過です。
どうしてもパソコンを直さなければならない状況で、大変困ってます。どなたかよいアドバイスをよろしくお願いします！

No.20 ベストアンサー 回答者： heto2 回答日時： 2004/05/05 17:28

緊急警告（2004_05_05_Wed._16_40_38）

このスレッドで集まった皆さんからの情報にセキュリティサイトの情報を付け加え
「Gaobot」「Sasser」等、ネットワーク経由で感染するウイルス情報をまとめてみました。
（windows2000の場合、C:\WINDOWS を C:\WINNT と読み替えてください。）

☆Gaobot

１．使われるレジストリキー
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
　
２．右側ペインに書き込まれる値
　値：windows = hkey.exe
　値：Configuration Loader = microsoft.exe
　値：Microsoft Update = msiwin84.exe
　値：Config Loader = SCVHOST.EXE
　値：MS Config Loader = SVCHOSl.EXE
　値：Config Loader" = sysldr32.exe

３．実行されるプログラム
　C:\WINDOWS\SYSTEM32\hkey.exe
　C:\WINDOWS\SYSTEM32\Microsoft.exe
　C:\WINDOWS\SYSTEM32\msiwin84.exe
　C:\WINDOWS\system32\scvhost.exe
　C:\WINDOWS\SYSTEM32\SVCHOS1.EXE
　C:\WINDOWS\SYSTEM32\sysldr32.exe
　
４．情報源
　http://www.nai.com/japan/security/vlibrary.asp
　ウイルス名に 文字列「Gaobot」を含むウイルスで検索してください。
　
５．削除ツール
　AVERTウイルス駆除ツール（Stinger）
　http://www.nai.com/japan/security/stinger.asp

☆Sasser

１．使われるレジストリキー
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

２．右側ペインに書き込まれる値
　値："skynetave.exe" = C:\WINDOWS\skynetave.exe
　値："avserve.exe" = C:\WINDOWS\avserve.exe
　値："avserve2.exe" = C:\WINDOWS\avserve2.exe

３．実行されるプログラム
　C:\WINDOWS\skynetave.exe
　C:\WINDOWS\avserve.exe
　C:\WINDOWS\avserve2.exe
　
４．情報源
　http://www.nai.com/japan/security/vlibrary.asp
　ウイルス名に 文字列「Sasser」を含むウイルスで検索してください。

５．削除ツール
　AVERTウイルス駆除ツール（Stinger）
　http://www.nai.com/japan/security/stinger.asp

☆STARTPAGE

１．使われるレジストリキー
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

２．右側ペインに書き込まれる値
　値：http load = C:\Program Files\registry.exe

３．実行されるプログラム
　C:\Program Files\registry.exe
　C:\WINDOWS\SYSTEM32\msconfd.dll
　
４．情報源
　http://www.nai.com/japan/security/vlibrary.asp
　ウイルス名に 文字列「STARTPAGE」を含むウイルスで検索してください。

５．削除ツール
　AVERTウイルス駆除ツール（Stinger）
　http://www.nai.com/japan/security/stinger.asp

☆マイクロソフトExploit情報
　MS03-001 (RPC Locator)
　http://www.microsoft.com/japan/technet/treeview/ …
　MS03-026 (Dcom RPC)
　http://www.microsoft.com/japan/technet/treeview/ …
　MS03-007 (WebDAV)
　http://www.microsoft.com/japan/technet/treeview/ …
　Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
　http://www.microsoft.com/japan/technet/treeview/ …
　
☆スタートページを再設定
　IEメニューの「ツール」「インターネットオプション」「プログラム」で
　[Webの設定のリセット]をクリック、「ホームページもリセットする」に
　チェックを入れ、[はい]をクリック
　任意のスタートページを設定します。

☆ファイアウォールソフトとルーターの導入
　絶対とはいえませんが、ネットワーク経由で感染するウイルスへの対策として
　現在考えられる最善の策でしょう。
　
　ルータはセキュリティの第一歩
　http://www.itmedia.co.jp/broadband/0302/24/lp24. …
　内部プログラムの怪しい動きをチェック
　http://www.itmedia.co.jp/broadband/0302/25/lp22. …
　セキュリティパッチの重要性
　http://www.itmedia.co.jp/broadband/0302/26/lp15. …

この回答へのお礼

長い間ありがとうございました。今日やっとパソコンが戻ってきました。
めでたくウイルス駆除されていたのですが、私のいない間だったので、原因や駆除方法は聞けずじまいでした…。

heto2さんをはじめとして、皆さんに色々助けていただき、たくさんの情報をいただいたのに、
私は最後まで何も有用な情報を出せず、本当に申し訳ないです。

けれど今回のことで本当に勉強になりましたし、質問したウイルス以外の最新のセキュリティ事情についても
色々な回答をいただいたので、これからのウイルス対策にそれをちゃんと役立てていこうと思います。

本当にみなさんありがとうございました。

お礼日時：2004/05/12 14:40

No.19 回答者： heto2 回答日時： 2004/05/04 08:20

セーフモードか？　msconfigか？

次元の違うものを比較してもあまり意味がありませんが、
目的を有害なファイルを削除するということに絞れば
結果は、「使いやすいと思うものを使う」ということでしょうね。

私は、セーフモードを選びます。理由下記。

１．作業ステップ数が少ない。
２．msconfigのスタートアップでは表示されない項目がある
　例えば、DLLファイル
３．サービス関連のプログラムの停止がきわめて面倒
４．DLLファイルの実行を停止するのが面倒

私は「Starter」というソフトをよく使います。
http://www.simtel.net/product.download.mirrors.p …

msconfigは誤操作をさせないようにとの配慮からか、状態を観察できるだけで、それ以上のことがなにも出来ません。
「Starter」は各タスクの一時停止、再開、編集、削除、新規設定等自由自在、その上沢山の便利な機能が一杯装備されています。

もう一つお勧めするとすれば、
C:\Program Files\Common Files\Microsoft Shared\MSInfo\msinfo32.exe

No.18 回答者： noname#6274 回答日時： 2004/05/04 01:45

かなり進展してきましたね！！

大変うれしく思います<(_ _)>
１つ、この場を借りて聞いてみたいことがあります。
セーフモードでの立ち上げの件ですが、
セーフモードで立ち上げなくても、
(1)msconfigでスタートアップを無効にして再起動。
(2)通常に立ち上がった状態で、タスクマネージャーを起動させ、あやしいプロセスを終了する。

「セーフモードで起動」を上の(1)OR(2)でカバーできないでしょうか？？

ウイルスがなくなってしまった今（笑）試しようがありません＾＾；
どうでもいいことなんでしょうが、少し気になりましたので、書かせていただきました。

この回答へのお礼

書き込みありがとうございます。
スレッドは進展すれど、私はいまだパソコンが戻らず何もできず…。申し訳ありません…。

お礼日時：2004/05/04 13:35

No.17 回答者： heto2 回答日時： 2004/05/03 17:45

補足に補足の件

>「ウイルスは大体ここ（レジストリの場所）に現れる→ここに現れているのが
>（隠しなしで）全てなら、

ウィルスは大体ここ（レジストリの場所）に・・・というのは誤解です。
こんな判りやすい場所に書き込むのはウィルスの中でも初歩的なやり方です。
レジストリは巨大なデータファイルですから、わかりにくい場所に書き込まれると一般ユーザーには殆ど見つけることが出来ません。

AV(AntiVirus)ソフトやアンティスパイウエアのお世話になるしかありません。

ついでに警戒警報を出しておきましょう。

☆Windowsの脆弱性を狙ったウィルスが続発

　といわれても、なんのこっちゃ判りませんね。
　平たく言えば、ネットワーク関連のセキュリティの甘さを突いて一般ユーザーのパソコンに侵入するウィルスが沢山出てきたということです。
　DCOMとかIRCとかRPCとか一般ユーザーにはなじみの薄いチャンネルを通じて、インターネットに接続するだけでどんどん送りつけられるタイプのウィルスです。
　Gaobotの侵入方法と同じだと思います。

☆RPCサービスに重大なセキュリティ・ホール（MS03-039）
　http://www.atmarkit.co.jp/fwin2k/hotfix/ms03-039 …
　
☆Windows の DCOM サポートを無効にする方法
　http://support.microsoft.com/default.aspx?scid=k …
　
☆IRCとは
　http://irc.nahi.to/what.html
　
　ついこの間まで、ウィルスメールの乱発で大混乱していました。
　この場合は添付ファイルを開かず削除しておけば殆ど被害はありませんでした。
　しかし、今度はそうは行かないのです。
　インターネットに繋ぐだけでどこからとも無く飛び込んできます。
　
　怪しげなサイトへ行かない。
　怪しげなリンクはクリックしない。
　ウィルス被害にあったことが無い。
　だから、私は大丈夫。と考えて、今までセキュリティに関心の無かったユーザーが大量に犠牲になりそうです。
　
　この連休明けにどっと表面化する可能性があります。
　ネットワーク内での感染。
　外部から持ち帰り、ネットワークに接続したノートパソコンからの感染。
　
　ファイアウォールソフトが必須です。
　アラームがうるさければルーターが必要になってきます。
　
☆二次被害
　セキュリティサイトやWindowsUpdateへの接続が殺到して、接続不能。
　汚染したパソコンからのDDoS攻撃の発生による金融機関等への影響
　下手をすると何が起こるかわかりません。
　一体誰が何を狙っているのか。
　私ごときに判るわけがありません。
　
☆W32.Sasser.worm ウイルスの発生について（平成１６年５月２日警察庁）
　http://www.cyberpolice.go.jp/important/2004/2004 …

この回答へのお礼

>ウィルスは大体ここ（レジストリの場所）に・・・というのは誤解です。
>こんな判りやすい場所に書き込むのはウィルスの中でも初歩的なやり方です。
>レジストリは巨大なデータファイルですから、わかりにくい場所に書き込まれると一般ユーザーには殆ど見つけることが出来ません。
>AV(AntiVirus)ソフトやアンティスパイウエアのお世話になるしかありません。

なるほど…これはわかりやすい場所なんですね。
私のパソコンはNorton AntiVirus2003を使ってまして、ちゃんとUpdateもされてたのですが、
（おそらく）ウイルスの入ったファイルを自分でダウンロードしてしまい、
その後はNorton自体の働きがウイルスでストップされ、他のオンラインスキャンでは検出されず…という
状況だったので、AVソフトの力がほとんど借りられなかったんです。
辛いところです…。でも素人の当てずっぽうながら、「update service.exeが怪しいかも？」
という推測に、私の場合はそれが怪しそうだとheto2さんに言って頂けたので、
しらみつぶしに駆除方法を見たのも無駄ではなかった、と自分を慰めてます（苦笑）
まあ、でも他の場所にある可能性もありってことですから、当たってるかどうかはわからないですね…。

お礼日時：2004/05/04 13:55

No.16 回答者： heto2 回答日時： 2004/05/03 17:00

補足の件

＞「このウイルスはsoundを含むファイルを隠す」
これは、マカフィのサイトからの引用です。
私自身、どうやって隠すのか知りません。
ただ、Windowsのエキスプローラから見えなくてもコマンドプロンプトを使うと見えてしまうという例はあります。
例えば、C:\WINDOWS\Downloaded Program Filesフォルダ
エキスプローラで見る景色と、DOSで見る景色はまったく違います。

>レジストリの中もそのように実際はあるものを隠すことができるのでしょうか？
多分できないと思います。（希望的観測です。）

>またセーフモードで起動しているときと、普通に起動しているときとでは、
>レジストリの中身の表示のされ方は変わりますか？
セーフモードでは必要最小限のプログラムだけが起動されます。
スタートアップ関連でレジストリを書き換えるファイルや設定があれば、セーフモードと通常モードではレジストリの中身が違ってきます。
具体的には、レジストリを書き換えるスクリプトファイルがあるときなどです。

>update service.exeが最も怪しいのでは？
ウィルスやスパイウエアの場合、変幻自在に名前を変えたり、プログラム自体をすり変えたりする例が珍しくありません。
対策ソフトによって検知、削除されるのを避けるためです。
いわゆる、いたちごっこです。

貴方の場合、それが最も怪しい。
しかし、それが他の方全てに当てはまるわけではありません。
ただし、貴重な情報の一つであることには違いありません。

この回答へのお礼

heto2さん、ありがとうございます。

私の方は相変わらずパソコンが戻ってきません。
戻るはずだったのに戻ってこない…ということに不安を感じています。
heto2さんがおっしゃったように新種のウイルスなら、修理を専門にしてる方でも
わからないこともあるかも知れませんし、手こずっていそうな気がします。
まあ、カナダなので適当なだけかもしれませんが…（笑）

>>またセーフモードで起動しているときと、普通に起動しているときとでは、
>>レジストリの中身の表示のされ方は変わりますか？
>セーフモードでは必要最小限のプログラムだけが起動されます。
>スタートアップ関連でレジストリを書き換えるファイルや設定があれば、セーフモードと通常モードではレジストリの中身が違ってきます。
>具体的には、レジストリを書き換えるスクリプトファイルがあるときなどです。

なるほど。よくわかりました。ありがとうございました。

お礼日時：2004/05/04 13:29

No.15 回答者： heto2 回答日時： 2004/05/03 13:53

No.9 rocky_77さんの書き込みを切っ掛けに、悩みが次々解決！

嬉しいでね。

一言余分かもしれませんが。

C:\WINDOWS\system32\svchost.exe　と
C:\WINDOWS\system32\scvhost.exe

上はWindowsで使われる正規のファイル、下はウィルスです。
間違って、上のファイルを削除すると色々なエラーが発生して訳がわからなくなってしまいます。
非常によく似ているので注意してください。

この回答への補足

heto2さん、いつもながらご協力本当にありがとうございます。
私はまだパソコンが修理から戻っておらず何もできない状態で、heto2さんはじめ、
回答してくださっている皆さんに対して、本当に申し訳なく思っております。
けれどおっしゃって下さったとおり、多くの貴重な情報がこちらに集まっていて、
同様の症状をお持ちの方の役に立っているようで嬉しい限りです。


ところで、レジストリの値が書き換えられることに関して質問なのですが、

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

というレジストリの場所（←表現おかしい気がしますが…）が書き込みの中に多くあります。

また、最初の質問で書きましたように、私は「WORM_AGOBOT」で検索された127タイプのAGOBOT系
ワームの駆除方法を全て見て、レジストリの改変パターンで当てはまるものがないかチェックしましたが、
その9割以上が同じレジストリの場所の値の改変でした。
そして私が見たところ、もちろんトレンドマイクロで検索された127のAGOBOTには当てはまりませんでしたし、
今回皆さんに書き込みいただいたどれにも当てはまりません。

svchost.exeはタスクマネジャで４つ起動されていたのを確認していますが、かのレジストリの場所にはありませんでした。

では代わりに何があったかというと、

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runと
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

に共通して、Update Service="update service.exe"というのがありました。

\Runの方にはたくさん（値が）あったので覚えていないのですが、\RunServicesの方には（Default）と、
このUpdate Serviceしかありませんでした。


また、soundmanの所で、「このウイルスはsoundを含むファイルを隠す」とありましたが、
レジストリの中もそのように実際はあるものを隠すことができるのでしょうか？

またセーフモードで起動しているときと、普通に起動しているときとでは、
レジストリの中身の表示のされ方は変わりますか？


話が長くなってきましたが、私が思ったことは、
「ウイルスは大体ここ（レジストリの場所）に現れる→ここに現れているのが（隠しなしで）全てなら、
update service.exeが最も怪しいのでは？」
ということです。パソコンについて全く詳しくないので、見当はずれな推測かもしれませんが、
heto2さんがこれについてどう思われるか教えていただけたら幸いです。


よろしくお願いします。

補足日時：2004/05/03 14:53

この回答へのお礼

どうもありがとうございます。

私はというと、パソコンが修理に出されたまま帰ってきておらず、まだ結果がわからない状態です。こんなにたくさんの方に書き込んでいただいているというのに、自分では何もできない状態で、本当に皆さんに申し訳なく思っています。

ただ私のパソコンは、修理に出す前に調べた際にはHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
にscvhost.exeが存在していませんでした。

また何か新たにわかったことなどありましたら、よろしくお願いします。

お礼日時：2004/05/03 14:53

No.14 回答者： heto2 回答日時： 2004/05/03 07:18

kazfelさんご提供情報を次のようにまとめてみました。

お気づきの点あればご指摘ください。

W32.Gaobot.AFJ の駆除

１．レジストリのバックアップを作成。（註1）

２．「ウィンドウズの復元」を無効にする（註２）

３．hostsファイルを削除
　　シマンテックのサイトへ接続可能になる
　　
４．ウイルス定義を最新版に更新します。
　　（シマンテックユーザーの場合）
５．コンピュータをセーフモードで再起動します。（註３）

６．セキュリティスキャンを実行
　　（シマンテックユーザーの場合）

７．レジストリエディターで下記キーを開き、右側ペインで下記設定があれば、右クリックして「削除」

　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　"windows"="hkey.exe"
　　"System Updater Service=msiwin84.exe"
　　"Microsoft Update=Microsoft.exe"

　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
　　"windows"="hkey.exe"
　　"System Updater Service=msiwin84.exe"
　　"Microsoft Update=Microsoft.exe"
　　
８．エキスプローラで下記ファイルを削除。
　C:\WINDOWS\SYSTEM32\hkey.exe
　C:\WINDOWS\SYSTEM32\msiwin84.exe
　C:\WINDOWS\SYSTEM32\Microsoft.exe
　
９．システムの復元機能を有効にする

１０．パソコンを再起動

１１．WindowsUpdateを実行。

１２．ファイアウォールソフトのインストール
　上記の作業で、Hostファイルの不正書き換えは防止出来るようですが、他のプログラムが不正な動作をする可能性があります。
　スパイ対策ソフト添付または、別途ファイアウォールソフトをインストールして不正なアクセスや外部への不正な送信が無いかに注意が必要です。

　「ZoneAlarm」
　http://www.zonelabs.com/store/content/company/pr …

１３．ルーターの導入
　No.22参照
　再度侵入被害を受けたとき、ファイアウォールでもブロックできないときに有効と思います。

１４．アンチウィルスソフトの導入
　Agobot系のウィルスが、Hostファイルを書き換えているだけかどうかは疑問です。
　他の動作をしている可能性があるので、アンチウィルスソフトを導入して全ドライブのウィルススキャンをお勧めします。
　

以下、シマンテック社の参考情報です。
（註1）レジストリのバックアップ方法
http://service1.symantec.com/SUPPORT/INTER/tsgen …
（註２）Windows Me のシステムの復元機能を有効/無効にする方法
http://service1.symantec.com/SUPPORT/INTER/tsgen …
Windows XP のシステムの復元機能を有効/無効にする方法
http://service1.symantec.com/SUPPORT/INTER/tsgen …
（註３）Windows XP をセーフモードで起動する方法
http://service1.symantec.com/SUPPORT/INTER/tsgen …
Windows 2000 をセーフモードで起動する方法
http://service1.symantec.com/SUPPORT/INTER/tsgen …
Windows 9x/Me をセーフモードで起動する方法
http://service1.symantec.com/SUPPORT/INTER/tsgen …

No.13 回答者： heto2 回答日時： 2004/05/03 06:59

No.19

kazfelさん。色んな情報有難うございます。
私、自身、知ったかぶりで好きなことを書いてますが、実際に感染していないので、全ては想像の世界でしかありません。
被害者からの生の情報が非常に役に立つんですよ。

不正アクセスについての、またもや私の想像ですが。
多分、思い当たることがあると思います。

１．PortScan
　始めて、ファイアウォールソフトを導入した方が最初に驚くのが、自分のパソコンに外部から無数の、そして不特定の相手からアクセスがあることです。
　このレベルではユーザーのパソコンの脆弱性を調べているだけで、殆どの場合、実害は発生しません。
　
２．警戒警報
　ファイアウォールソフトが無ければわからないことですが、特定のIPアドレスから、何度もアクセスがある場合、貴方のパソコンは狙われている可能性があります。
　貴方のIPアドレスと侵入可能なポート番号が相手に知れているかもしれないのです。
　
３．IPの固定化
　個人でサーバーを立ち上げたときなどで、IPを固定することがありますが、通常はインターネットへ接続時のIPアドレスはプロバイダーから割り当てられたアドレスで接続の都度、別の番号になります。
　所が今のように常時接続が多くなるとIPが固定されているのと同じ環境になってしまいます。
　PortScanで捕捉したIPアドレスとポート番号と特殊なソフトを使って、容易に貴方のパソコンをコントロールできるようになってしまいます。
　
４．「便利」と「危険」が隣り合わせ
　最近、分散コンピューティングとか、IRCとか、チャットとかいろいろ便利な機能が使えるようになっていますが、いずれも、不特定の相手方からのアクセスを許す設定が組み込まれていて「便利」と「危険」が隣り合わせになっているようです。
　不特定の相手方のなかには、当然、ウィルスを送り込む悪者も含まれてしまいます。
　そんなもの使っていないという人が多いでしょうが、Windowsを使っている限り初期設定で、それらの機能が使えるようになっていると考えていいでしょう。
　この便利さを利用して最近蔓延し始めたのがGaobot系のウィルスです。
　侵入先のパソコンを自由自在に操る上、ウィルス対策ソフト各社も対応が後手に回っています。

５．対策１
　時々インターネットから切断してIPを変更する。
　短期的には有効かもしれませんが、いつかまたやられる可能性があります。

６．対策２
　WindowsUpdate
　過去のやり方から見て、マイクロソフトは「便利」を犠牲にして「安全」を提供するという例は余りありません。
　
　Windowsの脆弱性を悪用するプログラム出回る--MSBlast再現の可能性も
　http://japan.cnet.com/news/sec/story/0,200005048 …
　
７．対策３
　ウィルス対策ソフトのアップデート
　単発的ではありますが、対応は進んでいるようです。
　AVERTウイルス駆除ツール
　05月02日 Stingerv2.24がリリースされました。
　http://www.nai.com/japan/security/stinger.asp
　Exploit-MS04-011
　http://www.nai.com/japan/security/virE.asp?v=Exp …
　W32/Gaobot.worm.ali
　http://www.nai.com/japan/security/virG.asp?v=W32 …
　
８．対策４
　ファイアウォールソフトとルーターの導入
　絶対とはいえませんが、現在考えられる最善の策でしょう。
　
　ルータはセキュリティの第一歩
　http://www.itmedia.co.jp/broadband/0302/24/lp24. …
　内部プログラムの怪しい動きをチェック
　http://www.itmedia.co.jp/broadband/0302/25/lp22. …
　セキュリティパッチの重要性
　http://www.itmedia.co.jp/broadband/0302/26/lp15. …
　
９．「HijackThis」
　今回のウィルスはレジストリを使って起動するというごく単純な方法を使っています。
　こんな場合、「HijackThis」が非常に役に立ちます。
　A.健康な状態で書き出された項目を全て「IgnoreList」に入れてしまう。
　B.異常を感じた場合セーフモードで再起動して、「HijackThis」でスキャン。
　C.新規にスタートアップに登録された項目だけをログ表示。
　D.AV（AntiVirus）ソフトが見落とした亜種でも簡単に検知してくれます。
　E.あとは「Fix」して再起動。
　F.ただし、その後、AVソフトでウィルススキャンをお忘れなく。

No.12 回答者： kazfel 回答日時： 2004/05/02 20:26

何度もすいませんが、、

ウィルスが見つかった場所は

C:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Local Settings\Temporary Internet Files\Content.IE5

で、ファイル名は

bot[1].exe

です。

このほかにも同じ名前で[]内の数字が違うファイルが４つほどありました。
あと、最初にさかのぼってみると、突然大量のアプリケーションファイルがＣドライブにダウンロードされてきました。それでウィルスに汚染されていることを知りました。
実行しなかったので内容は分かりませんが、名前は全て違うものでしたが、ほぼ全てのファイルが１３６Ｋバイトで、恐らくウィルスを実行するためのファイルだったと思います。

参考になれば幸いです。

この回答へのお礼

何度も丁寧な経過報告をしていただいて、ありがとうございました。

質問をした当事者の私は、まだパソコンが修理から戻っておらず何もできない状態で大変申し訳ないのですが、heto2さんによると新種のウイルスのようであるとのことなので、経過報告はとても貴重なものだと思います。

また何か新しい発見などありましたら、よろしくお願いします。

お礼日時：2004/05/03 13:36

No.11 回答者： kazfel 回答日時： 2004/05/02 20:17

追記ですが、駆除できて一安心していたところ、ネットをしていたら突然アンチウィルスが作動して、またも　W32.Gaobot.AFJ 　が検出されました・・。

ただ、実行されるまえに検出したのでレジストリの変更やウィルスファイルの生成は行われませんでした。

昨日完全に駆除し、ウィンドウズのアップデートもすませた筈なのにまた検出されたということは、どこかにセキュリティーホールがあって、そこから侵入されているのでしょうか？　非常に恐ろしいです。。
ウィルスバスター２００４で検知できなかったので、アンインストールして、今はノートンアンチウィルス２００４を使っています。

駆除できた皆様も、安心しないでください。