朝になるとＤＯＳ.ＡＧＯＢＯＴ.ＨＭが・・・

Question

昨日の朝一番、メール受信できたのですが、次に送受信を行うと、できなくなっており、プロバイダの問題かと思って、しばらく放置していましたが、その後もできませんでした。
　ウィルス感染かと思い、ウィルス対策のＨＰの行ったところ表示できず・・・。
　結局てんやわんやの末、オンラインスキャンで、DOS.AGOBOT.HMを発見。削除しましたが、再起動する→また作られるの繰り返しで、結局、システムの復元を利用し、おととい朝に戻しました。
　ところが、今日、ＰＣを立ち上げ、ネットにつなぐと・・・またメールが見れません。
　そしてDOS.AGOBOT.HMが・・・。
　
　ウィルス対策ページに書いてあったWORM_AGOBOT.HMはオンラインスキャンで発見できませんでした・・・。

　（オンラインスキャンを使用した理由はノートンが期限切れになっておりまして・・・。ＧＷ中に新いソフトを購入予定です。）
　
　どなたか、よい方法を教えてください。

heto2 · Accepted Answer

Lost_Edenさんの下記ご指摘、非常に重要と思います。

>WindowsUpdateが必須である
>それとXPならまずOS自体のファイヤウォールをオンにする
>ファイヤウォールソフトをインストールすべきだ

今後とも仲良くさせてください。よろしくお願いします。

なお、同様のご質問が下記にあるので、現在そちらに対応中です。
pandakopandaさんも、よろしければ、そちらに合流してください。
http://oshiete1.goo.ne.jp/kotaeru.php3?qid=843741

「それは困る」という場合は、ご遠慮なく、こちらに書いてください。

また、「Stingerv2.2.1」は「Stingerv2.2.2」（4.28）にVerUpされています。
http://www.nai.com/japan/security/stinger.asp

「Stingerv2.2.2」で回復したという方のレポートもあります。

その他、気になること

☆システムレストアの無効化
http://www.nai.com/japan/security/DisableSysRestore.asp

それまでの復元ポイントが消えてしまうので、迂闊にお勧めでき無いと考え、やむを得ず、Hostsファイルの「削除」でなく、「修正」という面倒な作業をお勧めしていることご理解ください。

☆IRCチャネルを介して繁殖
　マカフィのサイトの「感染方法」で「IRCチャネルを介して繁殖します。」と書かれています。
　http://www.nai.com/japan/security/virPQ.asp?v=W32/Polybot.l!irc
　
　IRCをやっておられますか？
　http://irc.nahi.to/what.html
　
☆W32/Polybot.l!ircは、感染システムの「sound」という言葉を含むすべてのファイルを隠蔽します。 
　http://www.nai.com/japan/security/virPQ.asp?v=W32/Polybot.l!irc
　
　このウィルスに感染しながら気が付かないことがありえます。

Lost_Eden · Answer

私の書き方が少し悪かったようです。
heto2さんが気分を悪くされたのならお詫びします。

ネットワーク感染型のウイルスですので、
WindowsUpdateが必須であること。
それとXPならまずOS自体のファイヤウォールをオンにするか、
ファイヤウォールソフトをインストールすべきだと思いました。

まずどうやれば最短で負担が少なく駆除完了できるか？
を考慮して投稿した結果、言葉足らずな内容でした。

heto2 · Answer

WindowsXPには強力な復旧機能があります。
パソコン起動時に必要なファイルが無いのを見つけるとそのファイルを復旧します。

hostsファイルの場合、ユーザーが追記する可能性のあるファイルですから、C:\System Volume Informationフォルダから復旧している可能性があります。

調べてみなければ判らないことですが、もしこのフォルダにあるhostsファイルがウィルスに汚染されたファイルであればパソコンを再起動するたびに汚染されたファイルを呼び戻してしまうのかもしれません。

トレンドマイクロには「ファイルを削除してから再起動してください。」と書かれていますが、HostsEditというソフトを使って、編集後保存する方法を試してみてください。

http://www.vector.co.jp/soft/win95/net/se248258.html

１．起動して上の方の「hostファイル編集」をクリック

２．行頭が「#」で始まる行はコメント文ですので触る必要ありません。

３．「127.0.0.1       localhost」以外の行を全て削除

４．下の右側にある「書き込み」をクリックして「終了」

５．パソコンを再起動

６．HostsEditでファイルの状態を確認

７．オンラインスキャンを実行

これでも状況が改善されない場合は、トレンドマイクロの下記コメントに該当すると思います。

「このファイルは「AGOBOT」ワームの活動により作成されるものなので「AGOBOT」ワームが存在する可能性が非常に高いです。」

システムの復元を無効にし、hostsファイルを削除したのち、アンティウィルスソフトのサイトへアクセスして、下記ソフトをダウンロードして実行してみてください。

「マカフィーStingerv2.2.1」
「トレンドマイクロ ダメージクリーンナップサービス」

なお、「いくら頑張って手動削除しても～」というご指摘がありますので、これ以上の回答は遠慮させていただきます。

Lost_Eden · Answer

こんばんは。
まずウイルスバスターの評価版をインストールしてはいかがですか？30日間お試しが可能です。
後から正規版にアップグレードできますのでインストールしても無駄にならないと思います。

いくら頑張って手動削除してもWindowsUpdateでセキュリティホールを防がないとまた入られてしまいます。
ファイヤウォール機能のあるウイルスバスターをインストールしてアップデート行い、
最新版にしてから「検索実行」をして下さい。
ウイルスが隔離されてしまったら次にWindowsUpdateです。

参考URL：http://www.trendmicro.com/jp/products/desktop/vb/evaluate/trial.htm

heto2 · Answer

わからないことが幾つかあるので、補足説明お願いします。

１．OSは？
２．HOSTSファイルは拡張子無しで検索されましたか？
　「HOSTS」はありますが、「HOSTS.txt」というファイルはありません。
　「HOSTS.txt」で検索しても何も見つからないと思います。
３．Winny、WinMX、KaZaa等を使っておられますか？
４．この掲示板への書き込みは別のパソコンを使っておられるのですか？
５．メールは受信できないが、インターネットには接続可能ですか？

貴方のパソコンは非常に危険な状態にあります。
ウィルスが駆除されるまで、駆除目的以外、インターネットからは切断してください。
貴方の知らないうちに、貴方のパソコンからウィルスメールが乱発されている可能性があります。
貴方のパソコンが外部からリモートコントロールされている可能性もあります。

heto2 · Answer

１．DOS_AGOBOT.HMが単体で入っている場合

　Hostsファイルを修復するだけで正常に戻るはずですが、パソコンを再起動すると再発するというのは、スタートアップで何かが設定されている。または、「システムの復元」機能が働いているのかもしれません。
　
２．Hosts ファイルの修復
　
　XPの場合下記の場所に保存されています。
　
　C:\WINDOWS\system32\drivers\etc\HOSTS
　
　見つからない場合はエキスプローラの検索で「HOSTS」を探してください。
　
　テキストファイルですので、メモ帳で編集できます。
　
　「#」で始まる行はコメント文ですからさわらないようにしてください。 
　
　LAN設定での特殊な設定がある場合、管理者に聞いてください。
　
　下記の行を除く全ての行を削除します。
　127.0.0.1       localhost

　以上でアンティウィルスソフトのサイトへアクセスできると思います。

３．「システムの復元を無効にする」

　詳細下記参照してください。
　http://www.nai.com/japan/security/DisableSysRestore.asp
　ただし、この操作で、それまでの復元ポイントが全て消えてしまいます。
　また、ウィルスの駆除作業終了後、「システムの復元を有効にする」を実行してください。
　
４．WORM_AGOBOT.HMの駆除

　WORM_AGOBOT.HMの影響を受けている可能性があります。
　トレンドマイクロまたはマカフィで駆除ツールをダウンロードしてスキャンすることをお勧めします。
　
　トレンドマイクロ
　「トレンドマイクロ ダメージクリーンナップサービス」
　が対応しているとかかれていますが、
「トレンドマイクロ ダメージクリーンナップサービス対応可能ウイルス一覧」にも
「前パターンバージョンからの新規対応、修正一覧」にもこのウィルスの名前がありません。
　単なる記載漏れかもしれません。
　http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700

　
　マカフィのサイトで、別名「W32/Polybot.gen!irc」として紹介されています。
　http://www.nai.com/japan/security/virPQ.asp?v=W32/Polybot.l!irc
　
　マカフィのサイトで「Stingerv2.2.1」をダウンロードしてスキャンしてください。
　http://www.nai.com/japan/security/stinger.asp
　
　「駆除できるウイルス」の一覧に「W32/Polybot.gen!irc」はありませんが、プログラムをダウンロードして「List Virus」をクリックすると、これも含まれています。
　
　スキャン終了後「File」＞「Save report to file」で「stinger.txt」にスキャン結果が保存されます。
　
　☆Scan Now
　このボタンをクリックするとスキャンが始まります。
　「Stop」で中止できます。
　
　☆Preference
　オプションを設定できます。初期値のままでいいと思います。
　
　☆List Virus
　スキャン対象とするウィルスが一覧表示されます。
　
　☆Directories to scan
　スキャン対象とするディレクトリーが一覧表示されます。
　
　「Add」
　スキャン対象とするディレクトリーを追加できます。
　
　「Browse」
　ディレクトリーを選択してフォルダ参照画面が表示されます。
　
　「Browse」
　ディレクトリーを選択してスキャン対象から除外できます。

５．パソコンを再起動
６．「システムの復元を有効にする」を実行
７．システムフォルダ（C:\WINDOWS\system32）に下記ファイルが無ければ修復されたと考えていいと思います。
　SOUNDMAN.exe
　d}qzxu3zYF.exe
　d}qzxu3zYF.exe

朝になるとＤＯＳ.ＡＧＯＢＯＴ.ＨＭが・・・

Lost_Edenさんの下記ご指摘、非常に重要と思います。

私の書き方が少し悪かったようです。

WindowsXPには強力な復旧機能があります。

こんばんは。

わからないことが幾つかあるので、補足説明お願いします。

この回答への補足

１．DOS_AGOBOT.HMが単体で入っている場合

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング