DOS_AGOBOT.HMを検出しましたが、元になっているワームを検出できず、駆除できません

Question

症状：１．Norton AntiVirusや、Outlook Expressが正常に動作しない
　　　２．ウィルス対策系のサイトにアクセスできない

＜これまでの経過＞
上記のような症状が現れたので、トレンドマイクロ　オンラインスキャンにかけたところDOS_AGOBOT.HMというウィルスが検出されました。このウィルスは症状２を引き起こしているようです。そこでトレンドマイクロのサイトにある駆除方法で駆除しましたが、症状２はなくなりませんでした。また、このウィルスはAGOBOT系のワームによって引き起こされるとの記述があったので、そのワームを駆除しない限り、再起動するごとに自動的に元の位置に作られてしまうようです。

そこでそのワームの特定をしたいのですが、トレンドマイクロ　オンラインスキャンではワームは検出されませんでした。また、トレンドマイクロ　ウィルスデータベースで「WORM_AGOBOT」で検索すると127タイプのAGOBOT系ワームが表示されましたので、その駆除方法をしらみつぶしに見て、レジストリの改変パターンで当てはまるものがないか全てチェックしましたが、どれも当てはまりませんでした。

また、確証はないのですが、ウィルスに感染したと思われるのは、あるサイトでShockwaveをダウンロードした際ではないかと思います。

トレンドマイクロのサイトにも症状２によって、基本的にアクセスできませんが、www.trendmicro.co.jpは（trendmicro.comと違い）ウィルスがアクセスを妨害するサイトのリストに入っていないため、アクセスでき、オンラインスキャンを受けることができました。

以上が今までの経過です。
どうしてもパソコンを直さなければならない状況で、大変困ってます。どなたかよいアドバイスをよろしくお願いします！

heto2 · Answer

agoboさん。ご丁寧に有難うございます。
カナダですか？
紅葉の時期も素晴らしいでしょうが、今の時期も最高でしょうね。
しかし、ステイ先に迷惑をかけてしまった。
こうなったら、「日本男児ここにあり」というところを見せてあげてください。

アンティスパイウエアサイトの情報から「soundman.exe」にこだわって遠回りしてしまいましたが、No.9 rocky_77さん、No.12kazfelさん、他の皆さんの情報から、「Run」や「RunServices」設定にプログラムを書き込んでHostsファイルを書き戻しているらしいことが判ってきました。

kazfel · Answer

はじめまして。
私もほぼ同じ状態で困っていたのですが、なんとか回復（たぶん；）したと思うので、参考までに。
ただし、私はＰＣの専門家でもないし、今回初めてレジストリをいじったくらいの初心者なので、この実行は自己責任でお願いします。できれば、詳しい方がフォローしてくだされば大変助かります。ぶしつけで申し訳ありません。
あとこの方法はシマンテックのノートンアンチウィルスを使ったやり方です。他のやり方はわかりません。
以上前置き失礼いたしました。


まず最初にここで何度か上げられている方法で、ウィンドウズの復元を解除し、次にhostsファイルを削除して、シマンテックのサイトに飛べるようにしてください。そしてサイトからセキュリティスキャンを実行してください。
私と同じ型のウィルスならば、W32.Gaobot.AFJ 　が検出されると思います。

駆除をするには、まずアンチウィルスをアップデートして最新の状態にしてください。その後セーフモードで
ＰＣを再起動し、ドライブ全体をスキャンしてください。上記のウィルスを削除したら、次はレジストリの以下の部分

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

を開き、右に表示されるMicrosoft Update をクリックし表示される値　Microsoft.exe を削除してください。

次に、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

を開き、同様にMicrosoft Updateをクリックし、表示される値Microsoft.exe を削除してください。

そして最後にドライブＣ＞WINDOWS＞SYSTEM32の中にあるMicrosoft.exeを削除してください。

（一応レジストリのエクスポートをしておくことをお勧めします。このスレッドにも記載されています）

以上が終了したら、再起動してください。DOS_AGOBOT.HM　が生成されなくなり、異常なhostsも生成されなくなると思います。
最後にシステムの復元設定を元に戻して終了です。


私の症状をまとめると、

(1)　起動するたびに見つかるウィルスはDOS_AGOBOT.HM　なのにSOUNDMANが見当たらない。
(2)シマンテックのセキュリティスキャン以外でスキャンしても本体のワームが見当たらない。
(3)従来のW32.Gaobot.AFJが行うレジストリの変更と内容が違う。

といった具合でした。


知識が殆どないので、ここの皆さんの書き込みや、ウィルスに関する情報がアップされてるサイトをしらみつぶしに探して、自分の症状に似た部分を見つけ出して、ビクビクしながら自分なりにやってみた結果です。
何か意味不明でおかしなこと、そして不完全なことをしてたら、どうか教えてください。
私の不安なんです(´д｀)・・。

heto2 · Answer

ANTINNY、AGOBOT系のウィルスに感染して、スタートアップで「svchost.exe」を起動させる例がいくつかあります。

私の環境では、４つの「svchost.exe」が起動されていますが、いずれも、スタートアップではなく、Windowsまたはアプリケーションから起動されています。

もし、rocky_77さんご指摘のように「Run」や「RunServices」のスタートアップ設定で「svchost.exe」が起動されていれば、ウィルスによって書き込まれた可能性が大きいでしょう。

多分、世界中どこでも見つからない貴重な情報だと思います。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.HM&VSect=T

http://www.nai.com/japan/security/virPQ.asp?v=W32/Polybot.l!irc

是非、rocky_77さんご説明の手順を実行して、結果お教えいただければと思っています。

「svchost.exe」プロセスとは？
http://support.microsoft.com/default.aspx?scid=kb;ja;314056
http://support.microsoft.com/default.aspx?scid=kb;ja;250320
http://www.atmarkit.co.jp/fwin2k/win2ktips/400svchost/svchost.html

「svchost.exe」がウィルスに汚染されているかどうかは下記データを参照して確認してください。
ファイルサイズが変わったり更新日時が変わっていれば改変の可能性があります。

「svchost.exe」のプロパティ（Windows XP、Home Edition）

　説明:Generic Host Process for Win32 Services
　場所:C:\WINDOWS\System32\svchost.exe
　サイズ:12,800 Byte
　作成日時：2002年8月31日、14:00:00
　更新日時：2002年8月31日、14:00:00
　バージョン:5.1.2600.0 (xpclient.010817-1148)
　会社名：Microsoft Corporation

noname#6274 · Answer

こんにちは
僕の解決方法を書かせてもらいます。
・システムの復元は有効のままでいいです。
・一応復元ポイントを作成しておいてください。
・レジストリエディタを開きます。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
にある（？）svchost.exeを削除します。
・同様に、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
にある（？）svchost.exeを削除します。
・再起動してみてください。
・どうですか？？うまくいきました？？

・その後、この現象であれば、おそらく
C:\WINDOWS\system32\drivers\etc
のなかに"host"というファイルがあるとおもうので
削除してください。

・レジストリを削除する前だと、再起動すると
この"host"ファイルが復元されていたとおもいますが、もうされていないことを確認してください。

・ウイルススキャンでウイルスがなくなったことを
確認してください。

自己責任でよろしくお願いいたします。

heto2 · Answer

次の一手（その２）
☆W32/Polybot.l!ircは、感染システムの「sound」という言葉を含むすべてのファイルを隠蔽します。 
　http://www.nai.com/japan/security/virPQ.asp?v=W32/Polybot.l!irc

Windowsでは隠蔽されていてもDOSでは見えることがよくあります。
次の方法試してください。

コマンドプロンプトを開く
下記のように入力

C:
CD\
dir soundman.exe /s

heto2 · Answer

次の一手

「システムの復元」の影響ではないと判れば、レジストリエディターを使って、次の項目が無いか調べてください。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
右側のペインで
soundman= soundman.exe
d}qzxu3zYF.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
右側のペインで
soundman= soundman.exe
d}qzxu3zYF.exe

heto2 · Answer

気になること

☆システムレストアの無効化
http://www.nai.com/japan/security/DisableSysRestore.asp

それまでの復元ポイントが消えてしまうので、迂闊にお勧めでき無いと考え、やむを得ず、Hostsファイルの「削除」でなく、「修正」という面倒な作業をお勧めしていることご理解ください。

☆IRCチャネルを介して繁殖
　マカフィのサイトの「感染方法」で「IRCチャネルを介して繁殖します。」と書かれています。
　http://www.nai.com/japan/security/virPQ.asp?v=W32/Polybot.l!irc
　
　IRCをやっておられますか？
　http://irc.nahi.to/what.html
　
☆W32/Polybot.l!ircは、感染システムの「sound」という言葉を含むすべてのファイルを隠蔽します。 
　http://www.nai.com/japan/security/virPQ.asp?v=W32/Polybot.l!irc
　
　このウィルスに感染しながら気が付かないことがありえます。
　
☆「HijackThis」
　このウィルスは「HijackThis」の起動を妨害するとあります。
　
　しかし「被害者対策の部屋」を拝見してみると、「sound.exe」以下のプログラムを簡単にあぶりだしているようです。
　
　ウィルスのバージョンによって検出できるものと出来ないものがあるかもしれません。　一度お試しのうえ結果教えていただければとありがたいんですが。

　「HijackThis」
　　　http://www.spywareinfo.com/~merijn/downloads.html

mfhorn · Answer

私も質問者の方と全く同じ症状で、HMならシステムフォルダにあるはずの　SOUNDMAN.exe　d}qzxu3zYF.exe　d}qzxu3zYF.exe　もありませんでしたが、
heto2さん紹介のマカフィのサイトで「Stingerv2.2.2」の方をダウンロードして
スキャンしたところ回復いたしました。
　http://www.nai.com/japan/security/stinger.asp

heto2 · Answer

下記ページ読んでいただけましたでしょうか？
http://oshiete1.goo.ne.jp/kotaeru.php3?qid=843010
同じ症状のように思います。

「システムの復元」機能が不正なファイルを呼び戻している可能性がないか確かめていただきたいんです。

Hostsファイルを編集後保存して、パソコンを再起動しても、不正なHostsファイルが現れるかどうかです。

HostsEdit
http://www.vector.co.jp/soft/win95/net/se248258.html

これ以外にも、ActiveXを使う方法、VBS、HTA、WSH 等のスクリプトを使って不正なファイルを復元する例も見てきていますが、ものは順番というもので、まず「システムの復元」機能が関係していないかの調査が必要と思います。

また、バックドアを使った動作をとめるために、WindowsUpdate と「分散コンピューティングを無効にする」という作業が有効かと思います。
http://www.atmarkit.co.jp/fwin2k/hotfix/ms03-039/ms03-039.html

取り敢えずよろしくご協力のほどお願いします。

heto2 · Answer

私が感染しているわけではないので、効能を確認できませんが、下記駆除ツール試してみてください。

　マカフィのサイトで、別名「W32/Polybot.gen!irc」として紹介されています。
　http://www.nai.com/japan/security/virPQ.asp?v=W32/Polybot.l!irc
　
　マカフィのサイトで「Stingerv2.2.1」をダウンロードしてスキャンしてください。
　http://www.nai.com/japan/security/stinger.asp
　
　「駆除できるウイルス」の一覧に「W32/Polybot.gen!irc」はありませんが、プログラムをダウンロードして「List Virus」をクリックすると、これも含まれています。
　
　スキャン終了後「File」＞「Save report to file」で「stinger.txt」にスキャン結果が保存されます。
　
　☆Scan Now
　このボタンをクリックするとスキャンが始まります。
　「Stop」で中止できます。
　
　☆Preference
　オプションを設定できます。初期値のままでいいと思います。
　
　☆List Virus
　スキャン対象とするウィルスが一覧表示されます。
　
　☆Directories to scan
　スキャン対象とするディレクトリーが一覧表示されます。
　
　「Add」
　スキャン対象とするディレクトリーを追加できます。
　
　「Browse」
　ディレクトリーを選択してフォルダ参照画面が表示されます。
　
　「Browse」
　ディレクトリーを選択してスキャン対象から除外できます。

５．パソコンを再起動
６．「システムの復元を有効にする」を実行
７．システムフォルダ（C:\WINDOWS\system32）に下記ファイルが無ければ修復されたと考えていいと思います。
　SOUNDMAN.exe
　d}qzxu3zYF.exe
　d}qzxu3zYF.exe

詳しくはこちら → http://oshiete1.goo.ne.jp/kotaeru.php3?qid=843010

ほかにWindowsUpdate が重要なのと「分散コンピューティングを無効にする」が有効かもしれません。

http://www.atmarkit.co.jp/fwin2k/hotfix/ms03-039/ms03-039.html

DOS_AGOBOT.HMを検出しましたが、元になっているワームを検出できず、駆除できません

agoboさん。

はじめまして。

ANTINNY、AGOBOT系のウィルスに感染して、スタートアップで「svchost.exe」を起動させる例がいくつかあります。

こんにちは

次の一手（その２）

次の一手

気になること

私も質問者の方と全く同じ症状で、HMならシステムフォルダにあるはずの SOUNDMAN.exe d}qzxu3zYF.exe d}qzxu3zYF.exe もありませんでしたが、

下記ページ読んでいただけましたでしょうか？

この回答への補足

私が感染しているわけではないので、効能を確認できませんが、下記駆除ツール試してみてください。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

私も質問者の方と全く同じ症状で、HMならシステムフォルダにあるはずの　SOUNDMAN.exe　d}qzxu3zYF.exe　d}qzxu3zYF.exe　もありませんでしたが、