トロイの木馬に感染したかもしれません

トロイの木馬に感染したかもしれません。

　　使用セキュリティソフト　　avast!home edition、spybot
　　ＰＣ　　 windows xp

昨夜、起動直後にavastで３つの

　　～\Temporary Internet Files\Content.IE5\VL8Q1IHR\～　

がトロイの木馬として検出され、削除。
が、その後の３回の再起動のうち２回で同ディレクトリで同ウイルス検出。
avastの完全チェックを行うと、また検出……
その時点で一時ファイルを全て削除しましたが、何回か再起動するとまたパラパラと検出されました。
セーフモードで完全チェックを行うと、今度は検出なし。
その後は数回の再起動を行っても異常なし…

が、やはり心配。
それでネットで知った「コマンドプロンプト→netstat -a」を再起動後に試してみたら、以下のような表示が……

　一回目
　　TCP **:1062 118.214.147.235:https　　 ESTABLISHED
　　TCP **:1067 219.232.241.91:domain 　　SYN_SENT

　二回目
　　TCP **:1040 61.160.254.250:http ESTABLISHED
　　TCP **:1047 61.160.254.250:http ESTABLISHED
　　TCP **:1048 61.160.254.250:http ESTABLISHED
　　TCP **:1051 61.160.254.250:http ESTABLISHED
　　TCP **:1054 ty-in-f100.1e100.net:http ESTABLISHED
　　TCP **:1055 ty-in-f100.1e100.net:http ESTABLISHED
　　TCP **:1063 118.214.147.235:https ESTABLISHED
　　TCP **:1064 219.232.241.91:domain SYN_SENT

ESTABLISHED も SYN_SENT も、トロイの木馬の危険ありですよね……？


……ここまでやって、どうすればいいかわからなくなってしまいました。
これはやはり、トロイの木馬が駆除しきれていないと考えるべきでしょうか？
また、そうなら駆除のやり方を（できれば手動でできるような）教えていただけませんか？

よろしくお願いします。

No.3 ベストアンサー 回答者： John_Papa 回答日時： 2010/03/04 16:46

avastなら、ブートタイムスキャンをやってみる手もあります。

http://security.cgn.jp/avast-boot.html

ESTABLISHED も SYN_SENT も極めて普通です。
問題は、接続相手先！と接続プロセス！
何が、北京やシンガポールやカルフォルニア(これはGoogleだった)などに接続してるのか？です。

netstat -a　ができるのですから
netstat -ab とかもやってみたらどうですか？
何が＝[iexplore.exe]だったら、あなたがインターネットエクスプローラで、そこに接続中なのかもしれないし。
ブラウザ以外がhttpプロトコルで接続中なら、そりゃ危ない！
No.2回答MNH10Wさんの書かれたmsconfigで、netstat -abで見つけたプロセスがスタートアップコマンドに登録されているなら(今時のマルウェアなら無い可能性もあり)、チェックボックスのチェックを外してOSを再起動。
その際、avastにブートタイムスキャンをさせた方が良いでしょう。

この回答へのお礼

回答ありがとうございます。

netstat -ab を試してみたところ、表示は[ashWebSv.exe]や[firefox.exe]等、問題の無さそうなもの。
ついでに[svchost.exe]の内訳もソフトで調べてみたところ、会社名も全て安全なもの。
ウイルスはavastがきちんと駆除してくれたようです。
大変参考になりました。どうもありがとうございました。

お礼日時：2010/03/04 22:11

No.2 回答者： MNH10W 回答日時： 2010/03/04 09:16

＞ESTABLISHED も SYN_SENT も、トロイの木馬の危険ありですよね……？

これは飛躍させすぎ
疑うなら、システム構成ユーティリティでスタートアップ項目を見直すべき
スタート＞ファイル名を指定して実行＞msconfig

＞その後は数回の再起動を行っても異常なし…
トロイの木馬にこだわるより、検出されたモノにこだわるべきでしょう
ソフトによっては誤検出もありますので気にしすぎるのも問題です。

この回答へのお礼

回答ありがとうございます。

msconfigを行ってみたところ、どうやら問題は無いようです。
消しても消しても検出…というのは初体験でしたので、慌てすぎてしまったようです。
どうもありがとうございました。

お礼日時：2010/03/04 22:14

No.1 回答者： goold-man 回答日時： 2010/03/04 05:25

＞使用セキュリティソフト　　

見る限り、ファイアーウォールはWindowsファイアーウォールのみのようですが、Windowsファイアーウォールは「入る」のみブロックする簡易版で、パーソナルファイアーウォール（「入る」「出る」を遮断するより信頼性があるファイアーウォール）を導入すべきでは？
（パーソナルファイアーウォールを導入すれば、競合する可能性があるのでWindowsファイアーウォールは「無効」にします）

最近はPCに潜んで個人情報を流す「出る」タイプのスパイウェア・アドウェア・マルウェアもあります。
なお、スパイウェア対策もspyb**一つよりアドウェア対策（スパイウェアとは違う得意分野がある）もした方がよいと思います。
（仮にアンチウィルスソフトにスパイウェア機能があるものでも、専門ではありません）

怪しいプログラムを削除する場合、一時的に「システムの復元」を「無効」にしないと、折角削除しても、PC（OS)再起動でレジストリなどに潜んでいる「モノ」が復活します。（正規のプログラムに名前を変えて潜む「モノ」もありますが・・・）

例：AD-AWARE(Ad-Aware Free)
http://enchanting.cside.com/security/spyware.html

＞ESTABLISHED も SYN_SENT も、トロイの木馬の危険ありですよね

これについてはパス（わかりません）

netstat -an
http://www.atmarkit.co.jp/fwin2k/win2ktips/234ne …

ESTABLISHED SYN_SENT
http://www.atmarkit.co.jp/fwin2k/network/baswinl …

この回答へのお礼

回答ありがとうございます。

只今、パーソナルファイアウォールとアドウェア対策の導入を検討中です。
特に後者に関しては spybot 一つで安心しきっていたので、勉強になりました。
どうもありがとうございました。

お礼日時：2010/03/04 22:17