ウイルスバスター2008で、トロイの木馬が検出されました・・・

先程、１週間に１度のウイルス検索をしたところ、
System Volume Informationフォルダから、トロイの木馬が検出され、隔離されていました。

トロイの中でもどのような種類の物なのか、パスワード等を全て変更した方が良いのか、
色々調べてみましたが、イマイチよく分からなかったので質問させて下さい。

OSはXP Home、ウイルスバスター2008で、最新のアップデートが適用された状態です。

問題のファイル名と場所は下記の通りです。
A0003427.exe
C:\System Volume Information\_restore{303A8EF1-922B-452E-AA5A-10E5FEB48B39}\RP26\
と、
A0004022.exe、
E:\System Volume Information\_restore{303A8EF1-922B-452E-AA5A-10E5FEB48B39}\RP33\
の２つです。

restoreフォルダとの事で、システムの復元を無効にし、
パソコンを再起動後に再度ウイルス検索をしたところ、ウイルスは検出されませんでした。
念の為、System Volume Informationフォルダにアクセスし、確認したところ、
上記２つのファイルは存在しませんでした。

そこで質問なのですが、
上記２つのファイルがどのような動きをするトロイなのか調べる方法はありませんでしょうか？
また、今後した方が良い対策（例：パスワードを全て変更する等）はありますでしょうか？

気のせいかも知れませんが、昨日あたりから、マウスの左クリックを１回押しただけで、
ずっと押しっぱなしの状態になっていた事があります。
しばらくすると直りましたが、何度も同じような事がありました。
それ以外には、気になる点はありませんでした。

限られた情報ですが、何かお気づきの点やアドバイス等ありましたらよろしくお願い致します。

No.1 回答者： jein 回答日時： 2008/07/08 02:07

セキュリティソフトのログにどういう名前の不正ソフトで検知したかが

残っているかとおもいますので、それを見ればわかるでしょう。

restoreフォルダはご存知のとおりシステムの復元に使われる復元ポイントの情報が含まれていますが、システムの復元を無効にすれば全ての復元ポイントは削除されるため、これらも一緒に消去されます。
ですから再検索で見つからないのは当然です。

この回答へのお礼

ありがとうございます。
確かに、ログを見ると名前がありました。
２つ共、「TROJ_DELF.JAL」でした。
危険度は低いそうなので、多少安心できました。

＞システムの復元を無効にすれば全ての復元ポイントは削除される
削除されるのですね、それは知りませんでした。
一つ勉強になりました。

どうもありがとうございました。

お礼日時：2008/07/08 10:56

No.2 ベストアンサー 回答者： yayoi4736 回答日時： 2008/07/08 02:29

トロイの木馬はご存知のとおり、キーログなどを勝手に送信するウイルスですが、ADSLモデムなどでネット接続していた場合、入っていたとしてもモデムのファイアウォールで出て行かないようになっているはずです（モデムの設定画面で、RXTXログを見ればわかります）。

ウイルスバスター使っていますが、セキュリティリポートの画面を出し、名前のリンクをクリックすれば、IEが勝手に開いて、トレンドマイクロの画面で解説すると思いますが？

また、マウスの右クリックが押された状態なのは、マウスが機械的に悪いか、ドライバが悪いかだと思います。他のマウスに取り替えるか、コントロールパネルからマウス初期化してみてください。

っていうことで、検出され隔離・修復されたのなら、それほど神経質にならなくてもいいと思います。

この回答へのお礼

ありがとうございます。

確かに、ウイルスバスターのログを見てみると、「TROJ_DELF.JAL」という名前が出てきました。
何分始めての事でして、調べ方が足りなかったと反省しております。

ここ１週間で怪しい実行ファイルを開いた記憶はありませんので、
ブラウジングの時に入ってきたのかな、と思います。

＞RXTXログを見ればわかります
光のルーターなのですが、IP電話の通話ログと障害ログしかありませんでした。

＞それほど神経質にならなくてもいいと思います
そうですね、とりあえず重要なパスワードだけは変更して、様子見で行こうと思っております。

マウスはたまたまだったのでしょうね。
トロイとの事で、神経質になり過ぎていたと思います。
どうもありがとうございました。

お礼日時：2008/07/08 11:03

No.3 回答者： wamos101 回答日時： 2008/07/08 03:20

こんにちは。

当方はクラッカーコミュティー潜入調査や対策ソフトの多角的性能テストなどをしております。

当方はバスターユーザーじゃないのですが、

隔離は不活性化処理ですので問題ありません。System Volume Informationで発見された場合はリストアポイントを破棄すればいいだけです。

で、#1さんおっしゃるようにログを参照しないと詳細は把握できません。ログには検出関連はもちろん、対策ソフトのイベントなども載ってますからね。

マウスの件はメカニカルの不具合だと思います。接点不良かもしれないです。

ちなみに、最近のTrojanはほとんどAccount Stealとかとにかく金銭詐取に結びつく情報の奪取ですね。スパムの踏み台として悪用されることなんかもそうです。どうせクラッキングをするなら金が儲かったほうがいいということで。

あと、ここ最近のMalware作成者やクラッカーは対策ソフトを欺く様々な手法を使ってきたり、無効化を仕掛けてくるものもあります。できるだけ高性能な対策ソフトを使うことと、バックアップですね。自分のデータ類の暗号化などもやっておくとさらにいいです。

この回答へのお礼

こんにちは。
難しそうなお仕事をされているようで、感心するばかりです。

トロイやウイルスには縁が無かったので、あまり詳しく勉強はしていなかったのですが、
これを機によく調べてみようと思いました。

それにしても、バスターのリアルタイム検索を有効にしていても入ってきてしまうモノなのですね。
リアルタイム検索とは簡易的なモノである、と認識しておいた方が良いという事でしょうか？

ウイルス対策、考え出したらキリがないですね・・・。
いっそオンラインとオフラインでPC使い分けようかな（笑）
どうもありがとうございました。

お礼日時：2008/07/08 11:09

No.4 回答者： yayoi4736 回答日時： 2008/07/08 13:31

２です。

wamos101さんは、カスペルスキーJの回し者なの。
パソコン超初心者にも、カスペルスキーススメるからね～
成り代わり宣伝ｗ
http://www.kaspersky.co.jp/homeuser
カスペルスキーはウイルス検出機能は高いものの、高すぎてネット上でよく行われること（楽天市場での買い物とか、２ちゃんでの書き込みとか）はそのままではほぼできません。wamos101さんは設定がどうとかいいますが、データの蓄積が重要なネットセキュリティの世界では、どうなの？という気もしますね。
おっしゃっていることは間違いありませんので、あわててキングソフトなどを導入しないようにしてくださいｗ

wamos101さんは触れられていませんが、光ファイバ終端装置にはたいていファイアウォールはありません。その後にルーターを接続されてるようですが、これはメーカーにより違いがあるので一概に言えません。

ちなみにウイルスバスターにもファイアウォールは入ってますね。
ファイアウォールのログとか見るとびっくりしますが、メールの送信履歴だったりしてｗ

No.5 回答者： hw20060404 回答日時： 2008/07/08 16:14

カスペルスキの無料オンラインスキャンで同じようなファイル検出しました。

参考http://www.atmarkit.co.jp/fwin2k/win2ktips/464de …
でシステム復元ポイント削除
再度オンラインスキャンしたらきれいさっぱり消えてました。