トロイの木馬に感染し、駆除できません

今後の対処方法をお聞きしたくて質問致します。何か対処法をご存知の方、また何かアイディア等ありましたらご回答よろしくお願い致します。

●まずOSやウィルス名等の詳細が以下となります。
OS : Windows 2000 Proffesional
ワーム名：Win-Trojan/MyDoom.4096
DLしたウィルス対策：
V3 ウィルスブロック 2005（無料版）、Outpost Firewall 1.0、AVG Free、Spybot-Search & Destroy、Ad-Aware SE Personal

●感染時の症状
(1)デスクトップがHTML表示に切り替わり、「通常のウィルス対策ソフトでは除去できない」等の脅し文句が英文で記され、
下部に"Removable Instructions"というリンクが張られているものが表示される
(2)デスクトップとスタート内に"! Protect Your Data""Hardcore Teen Sex"という２つのアイコンが出現
（続きはもう一回分けて書きます）

No.6 ベストアンサー 回答者： noname#40123 回答日時： 2005/02/25 21:56

また、変な脅し文句が出てきたのですね。

それは、おそらくレジストリを改変していて、その中で活動しているので、
インターネットにアクセスしたとたん、スイッチが入るのでしょう。

それで「CnsMin」と「3721」と言う言葉が出てきたので、次のサイトの情報を参考にスパイウェアを駆除してみてください。

アダルトサイト被害対策の部屋
CnsMinの除去方法（doxdesk.comの翻訳を参考に）
http://www.higaitaisaku.com/removecnsmin.html

この回答へのお礼

yoshi-tohokさん、何度も回答して頂いてありがとうございます！すごく助かります。

CnsMinの除去なのですが、yoshi-tohokさんが教えてくださったURLを参照してやってみたら、簡単に削除できました。
まさかあんな風に手動削除できるものがあると思わず、びっくりしました。（Spybotではあんなに削除できず苦戦したのに…）

そして、他の掲示板でも今回のウィルスの対処法を質問していたところ、デスクトップに関してはコントロールパネルの画面設定にある「web」でsecurityという項目を削除することを教えていただいたら、それで解決しました。

その後、SpybotとAd-Awareにて何度もスキャンしましたが、エラーが出ずネットに接続しても問題は起きず、ちゃんと駆除ができました。

CnsMin等の削除ができたのはyoshi-tohokさんのお陰です。本当にありがとうございます。感謝の気持ちでいっぱいです！

お礼日時：2005/02/27 12:10

No.5 回答者： noname#40123 回答日時： 2005/02/24 20:10

No4ですが、Mydoomウィルス系の次のウィルスの可能性がありますので確認してみてください。

Win32.Yaha.Y
http://www.casupport.jp/virusinfo/2003/win32_yah …

W32.Yaha.AE@mm（英語）
http://securityresponse.symantec.com/avcenter/ve …

以下のサイトで、ウィルスについて、W32.Yahaか確認してみてください。

シマンテックセキュリティチェック
http://www.symantec.com/region/jp/securitycheck/ …

この回答への補足

さっそくもう５名もの方に回答して頂いて、どうもありがとうございます。
こちらの方で一旦質問の続きを書かせていただきます。
その上でそれぞれの方にお礼の言葉を書かせていただきますので、もう少々お待ちください。
（↓続き）
●DLしたウィルス対策ソフトでの結果
・V3 ウィルスブロック 2005にてウィルス名を確認
・V3 ウィルスブロック 2005とAVG Freeにてそれぞれ数個の問題ファイル及び実行ファイルが検出される→削除
・Spybot-S&Dにて83個のProblem Filesが検出される。
そのうち1つのRegistration Changeと２つのFiles、そして1つのRegistration Keyの計４つのみ削除不可となる（理由：spybotの結果にて"still in use (in memory)"と表示されたため）*
　*削除できなかったものを以下に書いておきます。
　　HKEY_USERS/S-1-5-21-583907252-789336058-854245398-500/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zone/...（まだ続くらしいです）
　　C:/WINNT/DownloadedProgramFiles/CnsMinSV.dll
　　C:/WINNT/Downladed ProframFiles/CnsMinEx.dll
　　HKEY_USERS/.DEFAULT/Software/3721
・Ad-Aware SE Personalにてscanした結果、101のCritical Objectsを検出、全てQuarentine（隔離）した。その際上記Spybotにて削除できなかった最後のRegistration Keyのみ削除に成功
●現在の状況
現在はデスクトップに脅し文句のHTMLの表示はなくなったものの、灰色の背景(HTML）のまま元のデスクトップの背景には戻っていません。また、カーソルが動くとその背景は白く点滅します。
３日間かけてここまできたのですが、これから先どのような対処をして良いか検討がつきません。
どなたか良いアイディアないし解決方法をお持ちの方、ぜひ回答して頂ければと思います。よろしくお願いします。
※ソフトウェアでの結果は全てセーフモードにても確認済みです。

補足日時：2005/02/24 20:22

この回答へのお礼

yoshi-tohokさん、２件もご回答頂いて本当にありがとうございました。どちらも参考にさせて頂きました。

（↓No.4の補足にあるお返事の続きです）
まだ削除できていないファイルも存在し、かつまだデスクトップが通常の状態に戻らないことから
No.5のyoshi-tohokさんの回答を参考にさせていただいてWin32.Yaha.Yであるかどうか確認することにしました。
が、残念ながら今回の感染がインターネット経由であったため、インターネットの接続ができない状況です。一度感染の翌日にシマンテックセキュリティチェックを行おうと接続をしたのですが、チェックができなかった上にまたデスクトップに脅し文句入りのHTMLとアイコンが復活してしまいました。

今回はその経緯もあったのでセキュリティチェックは飛ばし、Win32.Yaha.Yと似ているような感じがしたので上記回答中のURLページにある駆除ユーティリティをDLして起動してみました。
しかし依然として何も解決していないようです。
（デスクトップが灰色で白く点滅するのは変化ありません。）

やはりここまできてしまうと、リカバリーするしかないのでしょうか？

お礼日時：2005/02/25 14:37

No.4 回答者： noname#40123 回答日時： 2005/02/24 19:53

今回のウィルスを駆除するに当たって、次のことをしてください。

V3ウィルスブロックとAVGをアンインストールする。

これらを入れている場合には、競合関係を起こす危険性があり、
場合によっては、パソコンが起動しなくなる可能性があります。

次のサイトに書かれている情報を基に、ウィルス駆除ツールを利用してウィルスを駆除してください。

W32.Mydoom.B@mm
http://www.symantec.com/region/jp/sarcj/data/w/w …

シマンテック　W32.Mydoom@mm 駆除ツール
http://www.symantec.com/region/jp/avcenter/venc/ …

その次に、スパイウェアを駆除します。
「アプリケーションの追加と削除」を開いて不審なツールがないか確認してください。

その上で、次のサイトにアクセスしてスパイウェアを駆除しましょう。

アダルトサイト被害対策の部屋　被害対策手順
http://www.higaitaisaku.com/menu1.html

この回答への補足

yoshi-tohokさん、ご回答ありがとうございます。

yoshi-tohokさんの指示に従いV3ウィルスブロックとAVGをアンインストールして、駆除ツールを使用してみたのですが「MyDoom@mmは見つからない」という表示が出ました。
なので、とりあえず不審なツールがないことを確認し、アダルトサイト被害対策の部屋に書いてある被害対策手順を行い、スキャンディスク・IEの修復・キャッシュとクッキーの削除をしました。
そして、その後ダメ元でAd-Awareを起動してスキャンしたところ新たに８つのCritical Objectが検出されたのでQuarentineしておきました。
それに続いてSpybotも起動してみましたが、依然として３つの問題ファイル等が削除できませんでした。

（お返事の続きはNo.5のところに書かせていただきます）

補足日時：2005/02/25 12:39

No.3 回答者： yuuyu1 回答日時： 2005/02/24 19:50

これは、スパイウエアーですよ。

アイコンを消すにはスタートを右クリックしてエクスプローラからスタートメニューを出してそこでアイコンを削除するとスタート内のアイコンは消えると思います。
スパイボードでウエアーを削除してから消さないとまた出ます。スパイボードＤＬして駆除しみてください

参考URL：http://pcrescue.ld.infoseek.co.jp/spyware.html

この回答への補足

yuuyu1さん、ご回答ありがとうございます。

現在の状況等については補足説明が遅れてしまったのですが、No.5の回答者の方の欄にしてあります。そこでも書いてあるのですが、DLしたソフトのお陰でアイコンなどを含む表立ったものの大半が削除できました。

スパイボードに関してですが、
「スパイボード」そのものが分かりません。私自身今回が初めてのウィルス感染だけに知識がないので、このような名前が分からず、アドバイスを頂いたのに申し訳ないと思います。もし良ければどのようなものか教えていただけますか？
（ちなみに参考URLを見てもしかして「spybot」の事かな、と思ったのですが…間違っていたらごめんなさい。）

補足日時：2005/02/24 21:13

No.2 回答者： salad2 回答日時： 2005/02/24 19:40

途中のようですが、シマンテックのホームページをご参考にされるといいのでは。

木馬、ワームはやっかいですよね、レジを書き換えておくに潜むものもありますし、感染してメル友に迷惑をかけない、ネチケットとセキュリティの一環としてお金はかかるかもしれませんが、保険ということできちんとしたメーカーのＶｉｒｕｓＣｈｅｃｋプログラムをインストールされる事を強くお勧めします。

この回答へのお礼

salad2さん、ご回答どうもありがとうございます。
シマンテックのHPは感染した翌日にウィルスデータベースやMyDoomに関する情報を知るために利用してみました。

メールでの他の方へのウィルス配布の危険性ですが、私がOutlookを使用していないのでその点は一応大丈夫なのではないかと現在は考えております。

駆除できない・あるいは完全に駆除できた場合にもメーカのウィルスソフトは何かしら購入して今後の対策にしようと検討しております。

それでは、アドバイスどうもありがとうございました。

お礼日時：2005/02/24 21:08

No.1 回答者： oizo 回答日時： 2005/02/24 19:38

ここはお力になれますか？

　　　　　↓
　　　　　↓
　　　　　↓
　　　　　↓

参考URL：http://japan.ahnlab.com/virusinfo/view.asp?seq=789

この回答へのお礼

２１日に感染して以来、oizoさんのご紹介してくださったようなMyDoomに関する情報も幾つか閲覧していたのですが、
様々なソフトやweb上の対処方法を参考にしても駆除できないことから
普通のMyDoomではない可能性がでてきているため、参考になるかどうかはわかりかねますが、もう一度きちんと参考に読ませていただきました。
回答していただいてどうもありがとうございました。

お礼日時：2005/02/24 21:03