トロイの木馬駆除方法【System volume Information】

Question

失礼します。
今回、PCをAVGでスキャンしたところ、System volume InformationにPSW.Agent.QVMというウイルスが検出されました。AVGでは駆除できなかったので、新しくNortonをインストールしてスキャンし直したところ、今度は検出されませんでした。
AVGでは検出＝駆除ではなかったと思うのですが、どうすればいいかわからず困っています。ちなみにウイルスが検出されたのは、PCのCドライブと外付けHD（GとFの２つ）です。全て同じウイルスです。
どうぞよろしくお願いします。

HDKYZK1978 · Accepted Answer

#2,#3,#4 です。

あれから  System Volume Information について調べてみましたが
どうやら システムの復元 機能関連に感染していた可能性が高いです。
#3 で システムの復元を無効にする 操作を紹介いたしましたが
復元データを消去することによってウイルスも削除されるそうです。

Symantec に何度か問い合わせたことがありますが
ウイルスに感染した場合は システムの完全スキャン を実行する前に
システムの復元 機能を無効にするよう指示されます。
復元データに感染するウイルスは システムの完全スキャン で駆除されても
システムの復元 によってそのウイルスも復元してしまうからだそうです。
この場合は復元データを消去すればウイルスも駆除されるそうです。

これから先は ウィルス定義 を常に最新の状態にするように気をつけて
システムの完全スキャン も定期的に実行するようにしてください。
他のセキュリティソフトを使っていても同様に気をつけてください。

それでもご心配なら必要なデータをバックアップして
OS を再インストールした方がいいと思います。

それではよい一日を。

maoo2022 · Answer

：信頼できるセキュリティ・メーカーを検索しましたが（PSW.Agent.QVM）は、日本語の対応がありませんでした。
私なりの解説を交えて、以下に対策と詳細を記入します。

※TSPY_LINEAGE.BRC⇒（PSW.Agent.QVM）のトレンドマイクロでの名称
{http://www.trendmicro.com/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FLINEAGE%2EBRC}

ウィルスの区分：トロイの木馬

：対応・対策⇒オンラインスキャンを実行
{http://www.trendmicro.com/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FLINEAGE%2EBRC&VSect=Sn}

※次のＵＲＬにアクセス↓
Trend Micro’s HouseCall {http://housecall.trendmicro.com/}

※↑のＵＲＬにアクセスしてオンラインスキャンをします。

Scan Now. It's Free! ｛フリー・オンラインスキャン｝をクリック。
{http://housecall.trendmicro.com/}

：オンラインスキャンの実行には、このページに記載されたシステム要件が必要です。

Hardware:ハードウェア
At least 133MHz Intel™ Pentium™　”ＣＰＵ33MHz　以上”
At least 64MB of RAM 　　　　　　”メモリ　64MB　以上”
At least 30MB of available disk space　”ディスクの空き領域　30MB 以上”

Operating System: 対応オペレーティングシステム：
Microsoft Windows 98SE/NT4.0,SP6a/2000,SP2/XP,SP1/2003 and Windows MCE 2005 
Linux Distributions that supports libc6 
Solaris 2.6 and above

Software: 対応プラウザ：
Microsoft Internet Explorer (IE) 6.0 or later 
Mozilla Firefox 1.0.5, 1.0.6, 1.0.7, 1.5 
Mozilla 1.7.12

The ActiveX Core Engine: to use this engine, please adjust here the IE browser’s Security level to Medium at least and be sure that signed ActiveX objects are enabled.

：プラウザでActiveX オブジェクトが有効であること

The Java VM Core Engine- to use this engine, please install the Java VM from www.java.com.

：プラウウザでJava が有効であること
ない場合は{http://www.java.com/ja/download/manual.jsp}でダウンロード・インストールを行う。
：Windows XP/Vista/2000/2003 オフライン * ファイルサイズ: 13.92 MB の使用を推奨。

HDKYZK1978 · Answer

宜しくお願いします。

＞System Volume Information
＞新しくNortonをインストールしてスキャンし直したところ
Norton は Internet Security 2008 か AntiVirus 2008 のどちらですか？
この領域はもともと Norton のスキャンから除外されています。
以下の手順に従ってスキャンの除外を解除してみてください。

[Norton Internet Security] → [設定] → [Auto-Protect] →
[設定] → 画面左 [除外] →下の [スキャン]  → 
画面右 [スキャンから除外するディスク、フォルダ、ファイル] 項目→
\System Volume Information\ をクリック → 右の [削除] → 下の [適用]

これで System Volume Information のスキャンが適用されますので
上記操作が完了しましたら LiveUpdate 後にセーフ モードで起動して
Norton の システムの完全スキャン を行ってください。
セーフ モードでの システムの完全スキャン の方法は以下のとおりです。

セーフ モードで起動 → [スタート] → [ファイル名を指定して実行] →
navw32 /L と入力(32と/の間は半角スペース)

すべての操作が完了いたしましたら
先ほどの Norton の設定は元に戻されるようお願いいたします。
不安が残るならオンラインスキャンを実行してください。

Windows Live OneCare -
http://onecare.live.com/site/ja-JP/default.htm

以下の手順は Windows XP + NIS2008 を基に作成されています。
お使いの PC でも同様に操作を行ってください。

宜しければ結果も教えてください。
ご健闘をお祈りしています。

HDKYZK1978 · Answer

#2 です。

操作に追加があります。

Norton の設定 →　LiveUpdate → システムの復元の無効化 →
システムの完全スキャン → システムの復元を有効に戻す

上記のとおり システムの復元を一旦無効にしてからスキャンをしてください。
詳しくは以下の URL を参照してください。

「_RESTORE」フォルダまたは「System Volume Information」フォルダ内の~
http://service1.symantec.com/SUPPORT/INTER/navjapanesekb.nsf/0/6443f1a70a2e79ba88256b060008794f?OpenDocument

HDKYZK1978 · Answer

ご返答ありがとうございます。

Norton Internet Security をインストールする前にスキャンを催促されますが
Norton AntiVirus 2008 のインストール時には催促されましたか？
インストール前のスキャンでは何か検出されましたか？

Norton のセーフ モードスキャンで何もないとなると
他の方の回答をお待ちいただいたほうがよろしいかと思いますよ。

maoo2022 · Answer

＃１です、追加情報です。
TROJ_AGENT のグループ：日本語のページを参照できます
{http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FAGENT%2EZAH&VSect=P}

ウイルスタイプ: トロイの木馬型 
 
別　名: エージェント,Trojan-PSW.Win32.OnLineGames.cne (Kaspersky), New Malware.aj !! (McAfee), Mal/Packer (Sophos),   
感染報告の有無 : なし 
破壊活動の有無: なし 
言語: 英語 
プラットフォーム: Windows 98, ME, NT, 2000, XP, Server 2003  
暗号化: なし 
 ・・・・・・・・・・・・・・・・
TSPY_LINEAGE.BRC　との相違点

PSW.Win32.OnLineGames.jj,　May 6, 2007  Virus pattern version needed : 4.455.00 
PSW.Win32.OnLineGames.cne,パターンリリース日: 2007/09/06 対応検索エンジン: 8.000 対応パターンファイル: 4.699.00 
：ｊｊはｃｎｅに比べ、感染力が低く、対応パターンファイルは、2007年5月6日より、2007年9月6日のほうが上位に位置していることから、日本のオンラインスキャンで対応が可能なのではと考えられます。
：しかしこれらの判断材料はＷＥＢで収集したもので、完全に信頼できない場合、自己の責任として判断をお願いします。
・・・・・・・・・・・・・・・・
：Trojan-PSW.Win32.OnLineGames.jj とは？
{http://www.viruslist.com/en/viruses/encyclopedia?virusid=153054}

※PSW.Win32.OnLineGames.jj への対応・対策：以下の何れかのページで対策が可能なようです
：オンラインスキャン
{http://www.trendflexsecurity.jp/security_solutions/housecall_free_scan.php#}

：Downloader.Trojan、Download.Trojan の駆除方法:Symantec Corporation
{http://service1.symantec.com/SUPPORT/INTER/navjapanesekb.nsf/0/9328d017acfceace49256dad00487060?OpenDocument}

maoo2022 · Answer

＃１＆５です。
＞一通りやってみましたが、検出はされませんでした。
：下記で記載する件と重複する部分もありますが、セキュリティソフトは信頼できる（実績のある）ものを使うのが良いですね。

※オンライン検索などで検出できなかった理由として考えられるのは次の二点であると考えられます。
：１）ウィルスが新たに進化（亜種のものに）していて、セキュリティソフトで検出できない。
：２）ウィルスが既に何らかの過程で削除されている。

◇私の見解ですが、今回の件がどうしても心配でしたら、個人データなどをバックアップして、システムを新規（フォーマットを行い）インストールする。
：または下記のログを確認して、削除されているのが確認出来たなら現状のままシステムを使用する。
ウィルス対策は、信頼できるものを使用しましょう。

＞聞いた話では、System volume Informationは復元ポイント等のデータなので、いつの間にか消去された可能性もあるらしいです。
：私はあまり聞いたことがないのですが、削除（ノートンの機能で）されているのであれば、ログで確認が出来ます。
{http://searchg.symantec.com/search?q=%E3%83%AD%E3%82%B0&output=xml_no_dtd&lr=lang_ja&oe=UTF-8&ie=UTF-8&client=symc_ja_JP&proxystylesheet=symc_ja_JP&site=symc_ja_JP&context=hho}
※ＵＲＬはログ一覧ですが、対象を探してみましょう。
：ログを見て削除されているのが確認できれば安心ですね＾＾

トロイの木馬駆除方法【System volume Information】

：信頼できるセキュリティ・メーカーを検索しましたが（PSW.Agent.QVM）は、日本語の対応がありませんでした。

宜しくお願いします。

#2 です。

ご返答ありがとうございます。

＃１です、追加情報です。

＃１＆５です。

#2,#3,#4 です。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング