ウィルススキャンでは検出できない何かが通信しています。

windows2000 SP4を使っています。調子が悪くなったのでクリーンインストールを行ったところ、ネットにつないだ瞬間（LANドライバを入れてNTTフレッツADSLの接続設定を行い回線をつないだ瞬間）から勝手に何かが通信を行っています。
ウィルスソフトを持っていないので、トレンドマイクロ、シマンテックのオンラインスキャンをしたところ

(1)DOS_AGOBOT.GEN
　（C:WINNT/SYSTEM32/DRIVERS/ETC/HOST)
(2)WORM_AGOBOT.SZ
　(C:WINNT/SYSTEM32/WINHELP32.EXEとSYSTEMCFG.EXE)
(3)BKDR_SDBOT.DP
　(C:WINNT/SYSTEM32/MSCONFG.EXE)
(4)WORM_SDBOT.BR
　(C:WINNT/SYSTEM32/WINGAMED.EXE)

が検出されたのでトレンドマイクロのページの対処方法に従い、SAFEモードで起動し、感染したファイルを削除し、レジストリの

・HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
・HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
・HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
に存在した感染したファイルのついた値を削除しました。

再起動をかけ、もう一度ネットにつなぐとまだ勝手に通信が行われています。そのためもう一度オンラインスキャンをかけたのですが感染ファイルは発見されませんでした。

Macafeeのスティンガーや、SPYBOTでもスキャンしてみましたがなにも検出できませんでした。
どこに原因があるのかわかりません。皆様、対処方法など知恵をお貸しください。

No.5 回答者： higejii3 回答日時： 2004/07/19 12:18

クリーンインストールをした時点で、SP4はインストールされてないんじゃないでしょうか？

その時ネットに繋がっているならば、それだけでBlasterにやられちゃいますよね。
後からWindowsUpdateでSP4を当てても、感染したままと云う事になります。

私も以前その状態で感染したことがあります。
参考URLの方法で回避できました。

参考URLを参照してみてください。

外していたらごめん。

参考URL：http://www.microsoft.com/japan/technet/security/ …

この回答へのお礼

あ、すみません。そうですよね。SP4はあたってませんね。とりあえず、blasterは検出されてませんが今後クリーンインストールするときに起こりえることですので注意いたします。

お答えいただきありがとうございました。

お礼日時：2004/07/19 13:18

No.4 回答者： emden 回答日時： 2004/07/19 11:13

最初に感染されたウイルス/ワームはいずれもセキュリティホールを利用するタイプのようです。

ファイアーウォールなし、セキュリティアップデートもなしでネットに接続すれば、こうなるのは、よくある話です。

不安でしたらもう一度クリーンインストールして、ネットに接続する前に、ファイアウォールをインストールし、ネットに接続し、Windowsupdateを実施、ウイルス対策ソフトをインストールしてアップデート実施で良いと思います。

ウイルス/ワームによる通信ならウイルス対策ソフトが検出してくれますし、そのほかのアプリによる許可されてない通信はファイアーウォールがチェックしてくれます。

この回答へのお礼

実はクリーンインストールを行う前に全てのexeファイルにウィルスが感染していたことがあり、最小限のプログラムだけで復旧を考えていました。ブラウザ等を立ち上げることなく、ただコネクトするだけで感染してしまうとは物騒な世の中になったものです。ISPに問題があるのでしょうかね。今は明らかにセキュリティ対策の弱いISP使ってますから。

次回から気をつけます。ありがとうございました。

お礼日時：2004/07/19 12:58

No.3 ベストアンサー 回答者： de_vo 回答日時： 2004/07/19 10:59

#1です。

間違えました評価版でしたm(__)m

参考URL：http://download.zonelabs.com/bin/free/jp/product …

この回答へのお礼

見事に通信を行っている犯人が見つかりました。
winsys32.exeとsystemc32.exeが怪しく、winsys32は検索でウィルス情報が出ていたので削除、systemc32.exeは情報が見つからなかったのでブロックさせたところ勝手に通信をすることはなくなりました。zonealarm君はガンガンブロックしまくってます（笑）。

今のところ無事に（？）解決しました。ありがとうございます。

お礼日時：2004/07/19 12:38

No.2 回答者： popesyu 回答日時： 2004/07/19 10:58

ウィルスではなくてWindowsのAUTOUPDATEとかその類のものではないのでしょうか？

それが何か確認したいのなら１番さんの仰る通り、ファイヤーウォールを入れれば宜しいかと。

この回答へのお礼

状況詳細はNo3にて。

確かに通信を繰り返していたプログラムはレジストリではwindows updateの項目に入っていました。これが正しいプログラムなのかどうかよくわかりませんがautoupdateは私には邪魔なので気にせず削除しちゃいました。この2つのプログラムについてご存知でしたら補足いただけるとありがたいです。

ご尽力いただきありがとうございました。

お礼日時：2004/07/19 12:48

No.1 回答者： de_vo 回答日時： 2004/07/19 10:54

ZoneAlarmというソフトを導入されたらどうでしょう？

ソフトがネットに接続しようとする度に確認の窓が開きます。
私はトライアルバージョンを使っていますが便利だと思いますよ。

参考URL：http://download.zonelabs.com/bin/promotions/jp/z …

この回答へのお礼

No3にてお礼いたします。

お礼日時：2004/07/19 12:39