トロイの木馬の駆除方法

OSはXPです。ウィルスバスターオンラインスキャンで調べてみたところ、「Trojan.Anserin」が３つと「Trojan.Tannick.B 」が検出されました。

ウィルスソフトは「ウィルスセキュリティー」です。このサイトを見ているとあまり優秀なソフトではないようですが、取り敢えずシマンテックのサイトを見ながら手動でウィルスを削除を試みました。

「システム復元機能」を無効にした後、セーフモードで検出されたファイルの内２つは削除することができたのですが、あとの２つのファイル名が存在しておりません。
名前は「Web Folders\ibm00001.dll」と「Web Folders\ibm00002.dll」です。この名前の00003と00004はあるのですが、上記のものはありません。

また、シマンテックのサイトによると、ファイルの削除を行ったあとはレジストリの保存、修正でよろしいのでしょうか？


リカバリではなく手動でウィルスを消去する方法がありましたら教えてください。
過去の質問を探したのですが、該当するものが見つかりませんでしたので質問させて頂きました。


ツタヤディスカスを利用したいのですが、クレジットカードNOを入力する場面があります。こういったウィルスに感染している限り、この様なサービスを使用することは危険なことなのでしょうか？

No.3 ベストアンサー 回答者： doki2 回答日時： 2006/09/06 14:26

「Trojan.Anserin」について

初めて感染した場合は下記の名前になります。

ibm00001.exe
ibm00001.dll
ibm00002.dll

すでに上記のファイルが存在する場合は下記のようにファイル名が変わるそうです。

　 ibm00001.exe　＞ ibm00003.exe
ibm00001.dll　＞ ibm00003.dll
ibm00002.dll　＞ ibm00004.dll

１．「System.ini」の修正

　「C:\WINDOWS\system.ini」をメモ帳で開き下記の行があれば修正します。

★「修正前」

[boot ]
shell=explorer.exe ibm00003.exe

☆「修正後」

[boot ]
shell=explorer.exe

２．レジストリの修正

下記の行をコピペしてバッチファイルを作りFixIBM.bat」という名前で保存して実行してください。

～～～～～～～～～「FixIBM.bat」　この下から～～～～～～～～～
set regName=c:\fixIBM.reg

if exist %regName% del %regName%

echo REGEDIT4 > %regName%
echo. >> %regName%
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >> %regName%
echo "Shell"="Explorer.exe" >> %regName%
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] >> %regName%
echo "Shell"=- >> %regName%

regedit /s %regName%
～～～～～～～～～「FixIBM.bat」　この上まで～～～～～～～～～

３．パソコンを再起動して下記ファイルをすべて削除してください。

　C:\WINDOWS\kl.exe
　C:\WINDOWS\Temp\$_2341233.TMP
　C:\WINDOWS\Temp\$_2341234.TMP
　C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe
　C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.dll
　C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00004.dll

この回答へのお礼

お返事ありがとうございます。

なぜそのファイルが無いのか原因が全くわからなかったので、助かりました。

レジストリ修正はやり方は見てわかるのですが、理屈はわからない状態でしたので、リカバリ致しました。

取りあえずオンラインスキャンした結果はウィルスが無くなっていました。バックアップデータを戻していないので当然なのでしょうが（汗）

本当に丁寧にお答え頂き、ましてやレジストリ修正に書き込む内容まで書いて頂き本当にありがとうございました。


今後の為に保存させて頂きました。

お礼日時：2006/09/06 22:51

No.2 回答者： yoshi-thk 回答日時： 2006/09/06 11:03

＞ウィルスバスターオンラインスキャンで調べてみた

申し訳ないけれど、ウイルスバスターオンラインスキャンでは下記のウイルスの名前では、ウイルスが出てこないです。
確認ですが、シマンテックセキュリティチェックで検査したのですね。

Trojan.Anserin
http://www.symantec.com/region/jp/avcenter/venc/ …

Trojan.Tannick.B
http://www.symantec.com/region/jp/avcenter/venc/ …

それで今回検出されているウイルスは、キーロガーと言われているウイルスで、
あなたのキーの入力について、特定のサイトに情報を漏らすウイルスです。

それで、以下の質問をするというのはセキュリティが甘いと言われてもしようがないです。

＞ツタヤディスカスを利用したいのですが、クレジットカードNOを入力する場面があります。
＞こういったウィルスに感染している限り、この様なサービスを使用することは危険なことなのでしょうか？

危険というレベルではないです。
クレジットカードの情報を入力するべきではないですし、そのようなことをしたら、
クレジット会社に対して、損害を与える悪質な客ととられてもしょうがないです。
最悪の場合には、契約解除や損害賠償の請求をされてもしようがないのです。
絶対に、クレジットカードの入力をしようとするべきではないです。
自ら、犯罪者の片棒を担ぐような愚かなことをするべきではないです。

＞名前は「Web Folders\ibm00001.dll」と「Web Folders\ibm00002.dll」です

このファイルに関しても、情報が足りないです。
というのは、前文の部分が抜けていて、CドライブなのかDドライブなのか、
そして、ドライブのどのフォルダの中の存在しているのか情報が足りないのです。
この情報がないことで、処置を的確にアドバイスできないです。
ウイルス感染ファイルの存在する場所を正確に書き込みしてください。

それが書き込みできないのであれば、リカバリした方がよいです。
少ない情報では、他のウイルスの存在も見逃す可能性があり、非常に危険です。
リカバリをすることですべて初期化して、対策を取り直さないとダメです。
同時に各種のパソワード類も変更しなければいけないです。
あなたのパソコンの入力情報はすべて漏洩しているのです。

すべての情報を変更してからでないと、あなたのパソコンの情報が再び悪用されるでしょう。

この回答へのお礼

返信ありがとうございます。

ご指摘の通り、ウィルスバスターのではなくシマンテックの結果でした。両方行ったので混同してしまいました。申し訳ありません。

こんな愚かな質問に丁寧なご解答をありがとうございます。皆様のご解答で私の認識の甘さがありありとわかりました。このサイトで質問者の愚行を散々見ても尚、自らが愚行を犯してしまって大変反省いたしております。

ファイルの名前は「C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.dll」
と「C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00002.dll」でした。アドバイスを乞いながらも省略してしまって申し訳ありません。

皆様のご回答を見させていただいた結果、リカバリが無難であることがわかりました。今情報が漏れているという認識は全くありませんでした。パソコンに対する自分の姿勢を矯正しなければならないことがわかりました。

丁寧なアドバイスと「セキュリティが甘い」というご指摘本当にありがとうございました。

お礼日時：2006/09/06 15:03

No.1 回答者： ryu-fiz 回答日時： 2006/09/06 01:14

まず、Trojan.AnserinとTrojan.Tannick.Bに関するシマンテックの文書ページを見てみました。

私なりに見た限り、これらがPC内部に入り込むためには、事前に他の悪質なプログラム＝マルウェア、例えばダウンローダーやドロッパーに分類されるようなマルウェアに感染していることが必要だと感じられました。つまり、ウイルスバスターオンラインスキャンを利用した現状でも感染の全てが見えていない可能性が高いのではないかと思われます。

トロイの木馬に分類されるようなものについては非常に種類が多く、一般的なウイルス対策ソフトでは対応が十分ではないことが少なくありません。トロイの木馬に特化して開発された対策ソフトも幾つかあるので、そうしたものを利用すればより効果的な対応が出来る可能性があると見られます。

日本語での利用が可能な次のツールを利用してみることをお勧めします。
http://www.emsisoft.jp/jp/software/free/

http://okwave.jp/kotaeru.php3?q=2379076
の質問にてa-squared Freeの利用を参考までに提案したところ、実行された質問者さんのPCの症状が改善されたようです。

>ツタヤディスカスを利用したいのですが、クレジットカードNOを入力する場面があります。こういったウィルスに感染している限り、この様なサービスを使用することは危険なことなのでしょうか？

シマンテックのページをじっくり読まれれば分かる筈ですが…現状で検出済みのものについてだけみても有用な個人情報を盗み出すことを目的にした感染と見られます。今のままの状態でこうしたサービスを利用されることは明らかに危険でしょう。

というか…過去にオンラインスキャンを受けられた時期によっては、前回にクレジットカードNo.を入力された時点で既に感染に遭っていた可能性も出て来ますので、場合によっては一応クレジット会社に問い合わせるなどして不審な請求が発生していないかどうかを確認されたほうがよろしいだろうと思います。

ウイルスセキュリティの検出力は一般的に見てもそう高くないとは言われていますが…もしより性能の高いものをお使いだったとしても確実に今回のような感染を防げたかどうかは疑問だと思います。シマンテックやトレンドマイクロなどの製品をご利用の方でも、この種の感染に遭われる方は少なくありません。

再感染を防ぐために、次の２つのサイトをご覧になることをお勧めします。
http://www.higaitaisaku.com/korobanu.html
http://www.geocities.jp/iespyad_jpn_manual/quick …

この回答へのお礼

返信ありがとうございます。

このサイトで散々見てきたにも関らず自分の認識が「甘い」ことがわかりました。
そのような質問にも丁寧にお答え頂きありがとうございます。

クレジットカードは今のところ使用したことがないので、それがせめてもの救いでした。私のような人間がカモにされてしまうのですね。今回の御回答でいかに危険なことか理解しました。

御回答の感染の全貌が見えてない可能性が高いのでは？、と私の認識や知識レベルが低い、ウィルス駆除初心者ということからリカバリが無難だという結論に達しました。

紹介して頂いたサイトと前の質問をなどを見させていただきました。大変参考になりました。熟読して安易にウィルスにかからないように致します。

丁寧、的確なアドバイスを本当にありがとうございました。

お礼日時：2006/09/06 14:44