トロイの木馬(TROJ_AGENT.TWQ)の対処方法

初めまして。トロイの木馬に関しては他の方の質問も読んでみたのですが、解決できずに困っています。
以下、パソコン初心者の拙い言葉での現状説明になりますが、何卒お力添え頂ければと思います。

ウィルスソフトが
「TROJ_AGENT.TWQ」
というウィルスを検索し、隔離も自動削除も出来ず手動で削除しなくてはいけないようなのですが、削除の方法が分かりません。

感染ファイル名は
「C:\WINDOWS\system32\mscftp.dll」
となっています。

ファイルごと削除するのかと試してみたのですが、このプログラム(？)はどこかで使用されているらしく、削除する事が出来ませんでした。

詳細を見ると危険度が「低」なので諦めて無視しようかとも思ったのですが、ウイルスソフトのリアルタイム検索でも度々引っかかり、「トロイ」という名前にも怖いものがあります…
私も周りもパソコンに関してとんと無知なので、なす術も無く困っています。

どうか宜しくお願い致します。

使用OS：WindowsXP
ウィルス対策ソフト：ウィルスバスター１４

No.3 ベストアンサー 回答者： ryu-fiz 回答日時： 2008/05/26 15:20

関連情報を探しましたが、問題のある感染と見ました。

正直、最も推奨される対処法はリカバリです。
リカバリせずに何とかしてみたいという場合には、次のURLで紹介されているNorman Malware Cleanerを、システムをセーフモードで起動後に実行してみてください。

http://m-filestation.seesaa.net/article/34993210 …
100万種を超える感染に対応する、統合型駆除ツールです。
このツールで対処出来ない場合にはリカバリを推奨します。
また、一応の成果を見たと思われる場合にも、カスペルスキーのオンラインスキャンで残った感染がないかどうかを確認してみてください。

http://www.kaspersky.co.jp/virusscanner

>ファイルごと削除するのかと試してみたのですが、このプログラム(？)はどこかで使用されているらしく、削除する事が出来ませんでした。

dll形式のファイルの場合、システムに直接組み込まれるか、あるいは起動するプログラムに注入される形で組み込まれるケースが多く、対処が困難になります。

http://esupport.trendmicro.co.jp/supportjp/viewx …
トレンドマイクロでは上記URLのような方法で対処するよう勧めていますが…dll形式のファイルの場合、先述した理由からセーフモードで起動してもファイルが使用中で操作出来ないケースもありそうです。

>詳細を見ると危険度が「低」なので諦めて無視しようかとも思ったのですが

トロイの木馬の場合、それ自身がシステムを直接破壊することがないケースが多く、その場合には危険度を低く提示する対策ソフトベンダーが殆どです。ですので、関連情報上で危険度が低いからといって無視すべきではありません。危険度１の感染であっても深刻な問題をもたらす感染は多いです。

安全にリカバリを進めるために、次のURLを参考にしてください。
http://iwata.way-nifty.com/home/2004/10/1017.html

昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。同様な感染を防ぐために次のような点に注意してください。

１）各種アプリケーションソフトのセキュリティ更新を怠らない。

Windows Updateの必要性はこれまでも叫ばれていますが、悪用されるセキュリティ上の問題点＝脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、

・Firefox、Operaなどのブラウザ。
・Sun Java 仮想マシン(JRE)。
・Flash PlayerやShockwave Playerなどのプラグイン。
・Real Player、QuickTimeなどのメディアプレイヤー。
・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。

最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けのある悪意のあるサイトにこっそり転送されて感染が試みられます。

http://internet.watch.impress.co.jp/
http://www.itmedia.co.jp/enterprise/security/

こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。

２）標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。

IEで扱うことの出来るJavaScriptは特殊なもので、各種感染に利用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。

でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。

http://www.mozilla-japan.org/products/firefox/
http://jp.opera.com/

もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。

この回答へのお礼

回答ありがとう御座います！

丁寧なご解説痛み入ります…っ。
ずっと最終手段はリカバリと思っていたものの、実はリカバリというのがどんなものかも分からなかったので、ご紹介頂いたサイト様も大変参考にさせて頂きました。
ウイルス対策ソフトがあるからと大船に乗った気で居たのですが、認識が甘かったようでお恥ずかしい限りです…。
初めて目にする単語も多々あり、色々調べながら何とかかんとか試してみたいと思います！
予防策も教えて頂き、感謝の限りです。

ありがとう御座いました！

お礼日時：2008/05/27 00:44

No.4 回答者： ft4545ft 回答日時： 2008/05/26 18:01

ANo.2の訂正です。

　1 :%WINDIR%\SYSTEM32\DMSVCT.DLL
　2 :%WINDIR%\SYSTEM32\EVEN32.DLL
　3 :%WINDIR%\SYSTEM32\HELPNT.DLL
　4 :%WINDIR%\SYSTEM32\MSASNO.DLL
　★5 :%WINDIR%\SYSTEM32\MSCFTP.DLL
　6 :%WINDIR%\SYSTEM32\MSCMSR.DLL
　7 :%WINDIR%\SYSTEM32\MSDTCS.DLL
　8 :%WINDIR%\SYSTEM32\MSFONT.DLL
　9 :%WINDIR%\SYSTEM32\SENSNT.DLL
　10:%WINDIR%\SYSTEM32\WUPS32.DLL

No.2 回答者： ft4545ft 回答日時： 2008/05/26 15:08

いろんな掲示板によると、

mscftp.dllはFlashGetをインストールした時に侵入するウイルスだそうです。trojan-downloaderと言われ、実行するとネットに接続し他のマルウェアをダウンロードしたり、パスワードを盗んだりするそうです。FlashGet自体が怪しいという書き込みもありますし、FlashGetはdownloading programだからマルウェアに似たコードを持っていてウイルスチェックで誤検出されるのだ、という書き込みもあります。

PREVXによると、
　Common File Name: HELPNT.DLL
　Common Path: %WINDIR%\SYSTEM32\
　Vendor Information: No Vendor details specified
HELPNT.DLLは11個ほどのファイルネームに化けるそうです。
　1 :%WINDIR%\SYSTEM32\DMSVCT.DLL
　2 :%WINDIR%\SYSTEM32\EVEN32.DLL
　3 :%WINDIR%\SYSTEM32\HELPNT.DLL
　4 :%WINDIR%\SYSTEM32\MSASNO.DLL
　5 :%WINDIR%\SYSTEM32\MSCFTP.DLL
　6 :%WINDIR%\SYSTEM32\MSCMSR.DLL
　7 :%WINDIR%\SYSTEM32\MSDTCS.DLL
　★8 :%WINDIR%\SYSTEM32\MSFONT.DLL
　9 :%WINDIR%\SYSTEM32\SENSNT.DLL
　10:%WINDIR%\SYSTEM32\WUPS32.DLL

新種なのでネット上での情報が少ないのですが、KasperskyやAntivirで駆除できるとの情報があります。RemoveIT Proやa-squared freeも対応しているかもしれません。
※しつこいマルウェアの標準的な駆除手順は:
　１．ＰＣをセーフモードで起動する
　２．Alt+Ctrl+DeleteでWindows タスクマネージャを起動し、怪しいプロセスを停止する
　３．駆除ソフトを走らせる
　４．CCleanerなどで不要レジストリを削除する
　５．ＰＣを普通に起動する
　面倒ならシステムリカバリをお勧めいたします。

この回答へのお礼

回答ありがとう御座います！

FlashGet…心当たり有りです。しかも新種のウイルスだったのですね…。
折角アドバイス頂いたのですが、半分も理解できない自分の頭が悔しくてなりません…。
貴重な情報ありがとう御座いました！ネットで調べながら、何とか駆除を試みたいと思います。

ありがとう御座いました！

お礼日時：2008/05/27 00:31

No.1 回答者： jf2kgu 回答日時： 2008/05/26 00:33

最終手段でパソコンを買った状態にすればHDDの中にもいなくなるそうで私も一回やり直して今は正常に動いていますトロイの木馬は危険度は

高いですよ詳しくはパソコンの相談室に電話して処置を聞いてみてください

この回答へのお礼

回答ありがとう御座います！

トロイの木馬は危険度が高いのですね…無知でお恥ずかしいです。
はい。最終手段は私もそうしようと思っています。パソコン知識を鍛える為にも、やれるだけの事を自分でやれる範囲でやってみたいと思います。
一人じゃイッパイイッパイになってしまった時は、パソコンの相談室にも電話してみようと思います！

ありがとう御座いました！

お礼日時：2008/05/27 00:22