Backdoor.Trojanが削除できない？

Backdoor.Trojanに感染しているという警告メッセージが画面にずっと出ています。
オブジェクト名は、C:\WINDOWS\SYSTEM32\WDM.DLLと出ています。
完全スキャンをしても見つからないというメッセージが出ます。セーフモードでやって感染が見つかりません。
ウィルス対策の質問6131の回答者gthh23さんのアドバイスを参考に、レジストリエディタを使って(初めてでした）HKEY_LOCAL_MACHINE...中略...\Windowsの中のAppInit_DLLsという値を削除しました。
その後再起動してみましたが、まだ同じ警告メッセージが出ます。
OSはXPhomeです。ノートンアンチウィルス2002のサービスを更新して使っています。この作業の前にライブアップデートをしました。
自営業なので、仕事で頻繁に使っているマシンです。今日もまったく仕事になりませんでした。
どなたかアドバイスをください！
ちなみに、1ヶ月ほど前、怪しいサイトを見に行って同じような警告が初めて出ました。この時はメッセージはすぐ消え、その後のスキャンでも異常なしとの結果でした。自業自得かもしれませんが、本当に困ってます。

No.2 ベストアンサー 回答者： gthh23 回答日時： 2004/07/20 08:39

私の場合は、

C:\WINDOWS\SYSTEM32\WDMHJKJ.DLL
でした。
このファイルは通常は見えないように隠されていました。
もちろん通常のNAV（ノートンアンチウィルス）を使ったフルスキャンでもセーフモードでフルスキャンしても感染源は見付かりませんでしたが、警告メッセージは出続けました。

http://okweb.jp/kotaeru.php3?q=847196
↑の情報を元にコマンドプロンプトから見るとファイルが見付かりました。


gao758さんの場合だと、

コマンドプロンプトを起動します。
　ファイル名を指定して実行→"cmd"と入力してOK
以下のコマンドでシステムフォルダへ移動します。
　cd /d %systemroot%\system32
DLLファイルの存在を確認します。
　dir WDM.DLL
ファイル容量などが表示されると思います。

＞AppInit_DLLsという値を削除しました。

削除されたと言うことですが上手くいっていますか？
削除されてるかもう一度確認されてみて下さい。

＞再起動してみましたが、まだ同じ警告メッセージが

完全に同じトロイではないので確信は持てませんが、レジストリにてDLL読み込みが解除されてればNAVにて一発で削除されると思いますよ。



この手の「トロイ」っていうか「客寄せ」というか…商売の宣伝風に書くと、

■お客様のWEBページを訪問者のブラウザで強制的に表示させるプログラムのご案内！
このプログラムは、WEBページに仕込んだコンパイル済みのCHMファイルを訪問者に読み込ませてシステムディレクトリに通常ではアクセスできない属性を付けてDLLファイルを仕込みます。
レジストリにてOSのカーネル読み込み直後にトロイ本体のDLLファイルを読み込ませるので、OS自体がDLLファイルをロック（保護）してくれます。
その事によりウィルス駆除ソフトなどで削除されることがありません。
レジストリ等を操作できるベテランPCユーザーには回避されますが、一般的なPCユーザーにこのプログラムを回避することはできません。
お客様のWEBページ集客力を高めるためにこのプログラムの導入をお薦めします。


…とか（笑）

この回答への補足

実はまだ解決していません。
すみませんがもう一度教えてください。
gthh23さんのアドバイス通り

↓
コマンドプロンプトを起動
　ファイル名を指定して実行→"cmd"と入力してOK
以下のコマンドでシステムフォルダへ移動
　cd /d %systemroot%\system32
DLLファイルの存在を確認
　dir WDM.DLL

とやってみました。確かにファイル容量などが表示されましたが、この後どうすればいいかわかりません。

また、レジストリエディタでもう一度確認した限りでは、HKEY_LOCAL_MACHINE...中略...\Windows以下の
AppInit_DLLsは消えているようなのですが・・・

スパイウェアの可能性もあると思い、
AD-awareのスキャンではいくつか(60個ぐらい）見つかりすべて削除しました。

SPYbotも使いました。SPYbotでスキャンしたときに　CnsMin　に２個何か見つかったみたいですが、メモリ上にあるとかで削除できません。

レジストリのことが良くわからないので、私には手に負えないように思えてきました・・・

補足日時：2004/07/22 23:31

この回答へのお礼

gthh23さま
アドバイスありがとうございました！
昨晩はずっと格闘していたため、メールチェックが遅れ、お礼が遅れてしまって恐縮です。

色々試したのですが、まだ解消されていません。
さっそくgthh23さまのアドバイスをもとに、今度こそ退治したいと思います。

お礼日時：2004/07/20 09:46

No.1 回答者： Mozisan 回答日時： 2004/07/19 22:24

シマンテックの「Backdoor.Trojan」は汎用検出名なので、

実際には何が感染しているのか、わからないですね。

取りあえず、オンラインチェックを試してみてください。
シマンテック：セキュリティチェック
http://www.symantec.com/region/jp/securitycheck/ …
トレンドマイクロ：ウィルスバスターオンライン
http://www.trendmicro.co.jp/hcall/index.asp

両方とも特定できないようなら、
おそらく何らかのスパイウェアの類かと思いますので、
「アダルトサイト対策の部屋」
http://higaitaisaku.web.infoseek.co.jp/index.html
の
「Ad-aware6.0とSpybot1.3はどう違う？」を参考に、
http://higaitaisaku.web.infoseek.co.jp/spybot.html
Ａｄ－ａｗａｒｅとＳｐｙｂｏｔを試してみてはいかがでしょうか。

ただ、お仕事に利用されているＰＣとのことですので、
トロイの木馬に感染した可能性があるなら、
安全のために、必要なデータをバックアップし、
リカバリーされることをお勧めします。

この回答へのお礼

Mozisanさま
アドバイスありがとうございました！
早速やってみます。

お礼日時：2004/07/19 23:17