未知のトロイの木馬と大量の不正アクセス

トロイの木馬に感染し、困っています。外部に不正に送信しようとしています。

見た目の現象としては、何もしていないのにCATVモデムのLANとDATAランプが１秒間に数回、同期して点灯します。パソコンの電源を落としても同じです。

ウイスルバスター2004のファイアウォールログを見ると、パソコンの電源を入れたときにプロトコルIGMPの送信がブロックされています。
その後、プロトコルUDPでの送信や、プロトコルTCPやUDPの受信をブロックしています。
また、ホームページを見ているときに、かなり大量のプロトコルTCPやUDPの受信をブロックしています。
IPアドレスやポート番号はバラバラです。

ウイスルバスター2004やPest Patrolでは何も検出しませんが、いっしょにインストールしているBlackICEの「プログラムの実行制限」を有効にしてアプリケーションを起動すると、「トロイの木馬が検出されました」という画面が表示されます。
検出されるファイルは、SHELL32.DLLとcomctl32.dllです。
ポームページで調べても該当するものはなく、未知のトロイの木馬のようです。

BlackICEが検出したSHELL32.DLLとcomctl32.dllは、大量の不正アクセスが始まった３日後に作成されています。
また、GEARSEC.EXE、GEARASPI.DLL、GEARASPIWDM.SYSというファイルが、大量不正アクセスが始まった日に作成されており、これらのファイルも怪しいと思っています。

これらの情報から、レジストリなどの修正で駆除することは可能でしょうか？
今はウイスルバスター2004、BlackICE、WinWrapper3で送受信をブロックしていますが、OS(Windows XP)を再インストールしなければ駄目でしょうか？

どうしたらよいかアドバイスをお願いいたします。

No.2 ベストアンサー 回答者： noname#6461 回答日時： 2004/05/01 19:23

Googleで検索したところ、

GEARSEC.EXEはiTunes関連の様ですが、
その日にインストールなさいませんでしたか？

>ウイスルバスター2004やPest Patrolでは何も検出しませんが

参考URLのオンラインウイルススキャンも
お試しになってはいかがでしょうか？
非常駐型の無料検知ソフトもご紹介しておきます。
他社製品では発見出来るかもしれませんので...。
あとは、Hijack Thisというソフトで、
システム状態のレポートを
作成してこちらの補足に貼り付けると、
詳しい方から的確な回答を頂けるかもしれません。
基本的な使用方法は↓をご覧下さい。
http://www.vintage-solutions.com/Japanese/Antivi …
http://www.dream-seed.com/server/hijackthis.html

ただ、本当にトロイの木馬だとすれば、
一刻を争う事態であまりのんびりとは出来ません。
未知の脅威に遭遇した場合は、
再インストールしてしまった方が安心で確実です。
中途半端な対応をしてしまうと、
被害を広げる事になって取り返しがつきません。
周りに攻撃を仕掛けたりするタイプだと、
odasakaさんが加害者扱いされる恐れすらあります。

>ウイスルバスター2004、BlackICE、WinWrapper3で送受信をブロックしていますが

ファイアウォールソフトは１つだけ使用が基本です。
数が多ければ良いというものでもありません。
開発メーカーが、その組み合わせでの
動作保証でもしていない限り避けるべきです。
それぞれの正常な動作が妨げられて、
かえってセキュリティを下げる事にもなりかねません。
大抵、XP付属のファイアウォールも
無効にする様に取説では指示していると思います。
どうしても複数のファイアウォールを
併用したい場合はルータを導入すべきです。

参考URL：http://security.symantec.com/default.asp?product …

この回答へのお礼

回答ありがとうございます。
レジストリなどの修正で駆除するのは無理なようなので、OSを再インストールすることにしました。
お手数をおかけしました。

なお、ファイアウォールソフトは１つだけ使用が基本というのは私も承知していますが、ウイルスバスター2004だけのときに感染しましたので、その後BlackICE、WinWrapper3をインストールしてみました。
私の環境ではウイルスバスター2004、BlackICE、WinWrapper3ともに正常に動作し、強力に不正アクセスをブロックしています。
OS再インストール後もこの３つをインストールするつもりです。

お礼日時：2004/05/02 10:13

No.1 回答者： HAL007 回答日時： 2004/05/01 18:14

>>SHELL32.DLLとcomctl32.dllが関連するトロイの木馬型ウィルス情報

→http://www.nai.com/japan/security/virA2000.asp?v …
他多数→http://www.infoseek.co.jp/OTitles?lk=noframes&nh …

>>GEARASPI.DLL
これはDriveImage2002をインストールしていませんか？

この回答へのお礼

回答ありがとうございます。
誰からか分からないメールは開くことはありませんし、ましてや添付ファイルを開くことなど考えられませんので、2000年に発見されたAPStrojan.pzではないと思います。
また、DriveImage2002は初めて聞くソフトで、インストールはしていません。

レジストリなどの修正で駆除するのは無理なようなので、OSを再インストールすることにしました。
お手数をおかけしました。

お礼日時：2004/05/02 10:11