• ベストアンサー

トロイの木馬駆除方法【System volume Information】

失礼します。 今回、PCをAVGでスキャンしたところ、System volume InformationにPSW.Agent.QVMというウイルスが検出されました。AVGでは駆除できなかったので、新しくNortonをインストールしてスキャンし直したところ、今度は検出されませんでした。 AVGでは検出=駆除ではなかったと思うのですが、どうすればいいかわからず困っています。ちなみにウイルスが検出されたのは、PCのCドライブと外付けHD(GとFの2つ)です。全て同じウイルスです。 どうぞよろしくお願いします。

  • cmboy
  • お礼率87% (7/8)

質問者が選んだベストアンサー

  • ベストアンサー
回答No.7

#2,#3,#4 です。 あれから System Volume Information について調べてみましたが どうやら システムの復元 機能関連に感染していた可能性が高いです。 #3 で システムの復元を無効にする 操作を紹介いたしましたが 復元データを消去することによってウイルスも削除されるそうです。 Symantec に何度か問い合わせたことがありますが ウイルスに感染した場合は システムの完全スキャン を実行する前に システムの復元 機能を無効にするよう指示されます。 復元データに感染するウイルスは システムの完全スキャン で駆除されても システムの復元 によってそのウイルスも復元してしまうからだそうです。 この場合は復元データを消去すればウイルスも駆除されるそうです。 これから先は ウィルス定義 を常に最新の状態にするように気をつけて システムの完全スキャン も定期的に実行するようにしてください。 他のセキュリティソフトを使っていても同様に気をつけてください。 それでもご心配なら必要なデータをバックアップして OS を再インストールした方がいいと思います。 それではよい一日を。

cmboy
質問者

お礼

わざわざすみません。 今回の件で、悶々とした日々を過ごしていましたが、だいぶ気が晴れました。 ネットの怖さを思い知りましたが、その一方で親切な方々もいるとわかっていい経験になりました。 長い間ありがとうございます。

その他の回答 (6)

  • maoo2022
  • ベストアンサー率59% (110/185)
回答No.6

#1&5です。 >一通りやってみましたが、検出はされませんでした。 :下記で記載する件と重複する部分もありますが、セキュリティソフトは信頼できる(実績のある)ものを使うのが良いですね。 ※オンライン検索などで検出できなかった理由として考えられるのは次の二点であると考えられます。 :1)ウィルスが新たに進化(亜種のものに)していて、セキュリティソフトで検出できない。 :2)ウィルスが既に何らかの過程で削除されている。 ◇私の見解ですが、今回の件がどうしても心配でしたら、個人データなどをバックアップして、システムを新規(フォーマットを行い)インストールする。 :または下記のログを確認して、削除されているのが確認出来たなら現状のままシステムを使用する。 ウィルス対策は、信頼できるものを使用しましょう。 >聞いた話では、System volume Informationは復元ポイント等のデータなので、いつの間にか消去された可能性もあるらしいです。 :私はあまり聞いたことがないのですが、削除(ノートンの機能で)されているのであれば、ログで確認が出来ます。 {http://searchg.symantec.com/search?q=%E3%83%AD%E3%82%B0&output=xml_no_dtd&lr=lang_ja&oe=UTF-8&ie=UTF-8&client=symc_ja_JP&proxystylesheet=symc_ja_JP&site=symc_ja_JP&context=hho} ※URLはログ一覧ですが、対象を探してみましょう。 :ログを見て削除されているのが確認できれば安心ですね^^

cmboy
質問者

お礼

ありがとうございます。 ログをみたところ、PSW.Agent.QVMについてはありませんでした。 今回がキッカケと言えばそうですが、もともとPCがパンク状態になっていたので、初期化も少し考えています。 いろいろと本当にありがとうございます。今回はいい勉強になりました。

  • maoo2022
  • ベストアンサー率59% (110/185)
回答No.5

#1です、追加情報です。 TROJ_AGENT のグループ:日本語のページを参照できます {http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FAGENT%2EZAH&VSect=P} ウイルスタイプ: トロイの木馬型 別 名: エージェント,Trojan-PSW.Win32.OnLineGames.cne (Kaspersky), New Malware.aj !! (McAfee), Mal/Packer (Sophos), 感染報告の有無 : なし 破壊活動の有無: なし 言語: 英語 プラットフォーム: Windows 98, ME, NT, 2000, XP, Server 2003 暗号化: なし ・・・・・・・・・・・・・・・・ TSPY_LINEAGE.BRC との相違点 PSW.Win32.OnLineGames.jj, May 6, 2007 Virus pattern version needed : 4.455.00 PSW.Win32.OnLineGames.cne,パターンリリース日: 2007/09/06 対応検索エンジン: 8.000 対応パターンファイル: 4.699.00 :jjはcneに比べ、感染力が低く、対応パターンファイルは、2007年5月6日より、2007年9月6日のほうが上位に位置していることから、日本のオンラインスキャンで対応が可能なのではと考えられます。 :しかしこれらの判断材料はWEBで収集したもので、完全に信頼できない場合、自己の責任として判断をお願いします。 ・・・・・・・・・・・・・・・・ :Trojan-PSW.Win32.OnLineGames.jj とは? {http://www.viruslist.com/en/viruses/encyclopedia?virusid=153054} ※PSW.Win32.OnLineGames.jj への対応・対策:以下の何れかのページで対策が可能なようです :オンラインスキャン {http://www.trendflexsecurity.jp/security_solutions/housecall_free_scan.php#} :Downloader.Trojan、Download.Trojan の駆除方法:Symantec Corporation {http://service1.symantec.com/SUPPORT/INTER/navjapanesekb.nsf/0/9328d017acfceace49256dad00487060?OpenDocument}

cmboy
質問者

お礼

一通りやってみましたが、検出はされませんでした。 聞いた話では、System volume Informationは復元ポイント等のデータなので、いつの間にか消去された可能性もあるらしいです。

回答No.4

ご返答ありがとうございます。 Norton Internet Security をインストールする前にスキャンを催促されますが Norton AntiVirus 2008 のインストール時には催促されましたか? インストール前のスキャンでは何か検出されましたか? Norton のセーフ モードスキャンで何もないとなると 他の方の回答をお待ちいただいたほうがよろしいかと思いますよ。

cmboy
質問者

お礼

はい、インストール時に催促されたので、スキャンしましたが、何も検出されませんでした。 ご丁寧にありがとうございます。もう少し情報を集めてみたいと思います。

回答No.3

#2 です。 操作に追加があります。 Norton の設定 → LiveUpdate → システムの復元の無効化 → システムの完全スキャン → システムの復元を有効に戻す 上記のとおり システムの復元を一旦無効にしてからスキャンをしてください。 詳しくは以下の URL を参照してください。 「_RESTORE」フォルダまたは「System Volume Information」フォルダ内の~ http://service1.symantec.com/SUPPORT/INTER/navjapanesekb.nsf/0/6443f1a70a2e79ba88256b060008794f?OpenDocument

cmboy
質問者

お礼

まず、丁寧なアドバイスをありがとうございます。 僕がインストールしたのはAntiVirus 2008の方です。 おっしゃられた通りにしてみましたが、ウイルスは検出されませんでした。 やはり、インストール前に感染したウイルスの検出は難しいのでしょうか?

回答No.2

宜しくお願いします。 >System Volume Information >新しくNortonをインストールしてスキャンし直したところ Norton は Internet Security 2008 か AntiVirus 2008 のどちらですか? この領域はもともと Norton のスキャンから除外されています。 以下の手順に従ってスキャンの除外を解除してみてください。 [Norton Internet Security] → [設定] → [Auto-Protect] → [設定] → 画面左 [除外] →下の [スキャン] → 画面右 [スキャンから除外するディスク、フォルダ、ファイル] 項目→ \System Volume Information\ をクリック → 右の [削除] → 下の [適用] これで System Volume Information のスキャンが適用されますので 上記操作が完了しましたら LiveUpdate 後にセーフ モードで起動して Norton の システムの完全スキャン を行ってください。 セーフ モードでの システムの完全スキャン の方法は以下のとおりです。 セーフ モードで起動 → [スタート] → [ファイル名を指定して実行] → navw32 /L と入力(32と/の間は半角スペース) すべての操作が完了いたしましたら 先ほどの Norton の設定は元に戻されるようお願いいたします。 不安が残るならオンラインスキャンを実行してください。 Windows Live OneCare - http://onecare.live.com/site/ja-JP/default.htm 以下の手順は Windows XP + NIS2008 を基に作成されています。 お使いの PC でも同様に操作を行ってください。 宜しければ結果も教えてください。 ご健闘をお祈りしています。

  • maoo2022
  • ベストアンサー率59% (110/185)
回答No.1

:信頼できるセキュリティ・メーカーを検索しましたが(PSW.Agent.QVM)は、日本語の対応がありませんでした。 私なりの解説を交えて、以下に対策と詳細を記入します。 ※TSPY_LINEAGE.BRC⇒(PSW.Agent.QVM)のトレンドマイクロでの名称 {http://www.trendmicro.com/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FLINEAGE%2EBRC} ウィルスの区分:トロイの木馬 :対応・対策⇒オンラインスキャンを実行 {http://www.trendmicro.com/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FLINEAGE%2EBRC&VSect=Sn} ※次のURLにアクセス↓ Trend Micro’s HouseCall {http://housecall.trendmicro.com/} ※↑のURLにアクセスしてオンラインスキャンをします。 Scan Now. It's Free! {フリー・オンラインスキャン}をクリック。 {http://housecall.trendmicro.com/} :オンラインスキャンの実行には、このページに記載されたシステム要件が必要です。 Hardware:ハードウェア At least 133MHz Intel™ Pentium™ ”CPU33MHz 以上” At least 64MB of RAM       ”メモリ 64MB 以上” At least 30MB of available disk space ”ディスクの空き領域 30MB 以上” Operating System: 対応オペレーティングシステム: Microsoft Windows 98SE/NT4.0,SP6a/2000,SP2/XP,SP1/2003 and Windows MCE 2005 Linux Distributions that supports libc6 Solaris 2.6 and above Software: 対応プラウザ: Microsoft Internet Explorer (IE) 6.0 or later Mozilla Firefox 1.0.5, 1.0.6, 1.0.7, 1.5 Mozilla 1.7.12 The ActiveX Core Engine: to use this engine, please adjust here the IE browser’s Security level to Medium at least and be sure that signed ActiveX objects are enabled. :プラウザでActiveX オブジェクトが有効であること The Java VM Core Engine- to use this engine, please install the Java VM from www.java.com. :プラウウザでJava が有効であること ない場合は{http://www.java.com/ja/download/manual.jsp}でダウンロード・インストールを行う。 :Windows XP/Vista/2000/2003 オフライン * ファイルサイズ: 13.92 MB の使用を推奨。

cmboy
質問者

お礼

ありがとうございます。とても参考になります。 つまり、TSPY_LINEAGE.BRCはファイルを破壊したりするウイルスではないという認識でよいでしょうか?(お礼の欄で重ね重ねすみません 今日帰宅し次第、オンラインスキャンをしてみたいと思います。

  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. ウィルス・マルウェア

関連するQ&A

  • トロイの木馬に...

    初めて感染して何も分かりません。教えて下さい。TT AVG6.0を使用していますが、常駐機能によりウィルスが2個検出されました。駆除したのですが、また完全スキャンしてみたら同じウィルス名が表示されました。駆除したつもりが駆除できないです。メッセージには、ウィルス名 Trojan horse Back Door.Agent.2.H でファイルはC:\RESTORE\TEMP\A0132401.CPYです。 スキャンしましたが検出せず、Cドライブを探しましたが見あたらずかなり動揺しています。  もう感染したら市販のウィルスソフトを導入してもだめなんですね OSはPCは WinMe です。  よろしくお願いします。

  • トロイの木馬に感染したかも

    初感染で何も分かりません。教えて下さい。 ウィルスソフト AVG6.0を使用していますが、常駐機能によりウィルスが数個検出されました。駆除したのですが、どうしても駆除できないウィルスが1つ有ります。メッセージには、ウィルス名 Trojan horse Back Door.Agent.2.H でファイル名がC:\System Volume Information\_restore{6ECBF9A4-E70D-469B-8C97-B406D445F8B5}\RP412\A0038124.exe です。このファイルをスキャンしましたが検出はなし、Cドライブを探しましたが見あたらずおてあげです。別の質問に似たような質問があったので、AVGのサポートからVcleaner.exeをダウンロードし試しましたがダメでした。長々と済みません助けて下さい。

  • トロイの木馬に感染したみたいなのですが

    OSはWinXPを使用し、ウィルス対策ソフトは特に入れてない者です。 今日あたりHP閲覧中に突然ブラクラを踏んだような状態になったので心配になり、ウィルス情報サイトのマカフィー(McAfee)のウィルスフリースキャンをしてみたところ自分のPCが「QDel22」というウィルスに感染していることが判明しました。 そのサイトで「QDel22」の説明を見たところファイルを消してしまう働きのあるトロイの木馬とのことでした。 自分のPCではまだ症状もでてなく、このウィルス自体は2年前に発生したものらしいのですが、あせってノートンアンチウィルスとウィルスバスターのサイトに行って体験版を導入して、それぞれでハードディスクの全てをスキャンしてみたのですがどちらともウィルスは1つも検出されませんでした。 マカフィーでは検出されるのにノートンやウィルスバスターでは検出されない、どういうことなのでしょうか。 まだ症状もでてなくて何もおきていないのですが、いつなにがおきるかと思うととても心配です。 ちなみにマカフィーのスキャンでは「C:\System Volume Information\」以下から検出されたようです。 駆除のしかた、トロイの木馬「QDel22」についてやこのような問題に少しでも知っていることがありましたらぜひ教えてください。 よろしくお願いします。

  • System Volume Information\_restore~ファイルについて

    System Volume Information\_restore以下のバックアップファイルは 一度HDD以外に退避させられてから 次回起動時にバックアップファイルが作成されるのでしょうか? 事象としましては ウィルス駆除後、全ドライブスキャンで検知無しを確認後 システム復元を無効にしたのですが 何故かSystem Volume Information\_restore~以下のフォルダが 削除されずに存在します。 再起動後全ドライブスキャンをすると System Volume Information\_restore内よりウィルスが検知されてしまうのです。 感染ウィルスはSystem Volume Information\_restore内で動作する物ではなく ローカルドライブ、ネットワークドライブ接続時に Autorun.iniによって自身をローカルにコピーする系のウィルスでした。 【使用環境】 仕様OS:WindowsXP Pro SP2 ウィルス対策:ウィルスバスター Corp 感染ウィルス:WORM_VB.BDN 以上、宜しくお願いします。

  • System Volume Informationに潜むウイルス?

    昨日ウイルススキャンをかけたところウイルス警告が出されました。 System Volume InformationのA0096059.exeがTR/Crypt.XPACK.Genであるという警告でした。 TR/Crypt.XPACK.Genはトロイの木馬の一種であるということはわかっているのですが、検出された場所がSystem Volume Informationであるということが気になります。 誤検出だった場合音量が出なくなる可能性もあります、どのようにすればよいのでしょうか。 ちなみに C:\System Volume Information\_restore{46D1D6EA-FFDE-4045-8380-7F5C6440C724}\RP1194\A0096059.exe がウイルス(と疑わしき)ファイルのようです。

  • トロイの木馬に駆除方法教えてください。

    タイトルにも書きましたが、トロイの木馬に感染しているようなのですがなかなか駆除できません。 マカフィーのウイルススキャンをすると、毎回下記のようなほぼ同じ内容で検出されます。 ファイル名:C:\System Volume Information\_restore{D1F75753-B292-4575-BB39-99D6C3649F0B}\RP1\A0000004.exe トロイの木馬の名前:Downloader-ASI 状態は『ウイルスを駆除するため、ファイルを削除しました』と出るのですが、削除しても、削除しても検出して完全駆除されていないようです。 また、時には『ファイルが見つかりません』と出て駆除・削除・隔離いずれもできない場合があります。 教えて!gooなどで調べて、システムの復元で試したのですが私のやり方が違うのか、完全駆除できません。 また、感染した影響だと思うのですがパソコンを起動させるとき3回に1回くらい起動させる途中で、固まってしまい立ち上がりません。 それに、現在画面の背景も変更できない状態になっています。 コントロールパネルの画面でデスクトップ背景が選択できない状態です。 こういった状態になってしまったら、再インストールしたないのでしょうか?? 私自身、あまりパソコンに詳しくないのでこれ以上どうしていいのかわかりません。 どなたか、わかる方いましたら教えてください。かなり頭を悩ませているので・・・よろしくお願いします。

  • トロイの木馬駆除方法について

    Trojan-Downloader.Win32.Agent.alr オンラインウイルスチェックを行ったところ、ウイルスがひとつ見つかり、上のような表示が出ました。 ノートンの無償ウイルス駆除ソフトを使おうとしたのですが、種類が多くどれを使っていいのか分かりません。それともこの中には入ってないのでしょうか? http://www.symantec.com/region/jp/avcenter/tools.list.html 対処法、駆除方法を教えていただけませんか?

  • ほとんど初心者です。win2000のPCが、トロイの木馬に感染しました

    ほとんど初心者です。win2000のPCが、トロイの木馬に感染しました。 死蔵していた古いレッツノートを、また使おうということで、sp4などのアップデートは完璧に行い、AVG(フリー)をいれてネットサーフィンしていたところ、ある文具通販サイトを見ていたときにAVGの常駐が3つの「トロイ感染」を伝えたので、隔離しました。 その後AVGで全ドライブスキャンをしたところ、ウィルスは検出されませんでした。最初に検出されたのは以下の3つです。  Generic9.APDZ      C:¥WINNT¥wmsoft*****.exe  BackDoor.Agent.WAT  C:¥WINNT¥system32¥lsasvc.exe  PSW.Agent.ADSX     C:¥WINNT¥csrss.exe     その後、ふたたびネットサーフィンをして、ためしにさっきの文具通販サイトを見てみました。そのときはすぐさまアラートは出ませんでしたが、数分して、またしてもトロイ感染のアラートがありましたので、隔離の上、再びAVGで全ドライブスキャンを実施したところ、感染はありませんでした。アラートは以下でした(前回の3つ目と同じです)。  PSW.Agent.ADSX     C:¥WINNT¥csrss.exe     また、隔離されてからもネットサーフィンしておりますが、その後はアラートは出ておりません。  そこで質問なのですが、 1)その通販サイトを見たことが感染の原因だと考えてもよいのでしょうか?  2)win2000でのネット利用のセキュリティについて、あやしいサイトには行かないことはもちろんですが、AVGを入れたこととwindowsのアップデートを行っていれば大丈夫でしょうか。それとも、それだけではネット接続しているだけで感染の危険があるのでしょうか。  ほとんど初心者で、お手数をおかけしますが、よろしくお願いします。

  • 「System Volume Information」の中に_restore{~}が見つからない

    こんばんは。 少し前にオンラインスキャンでウイルスが見つかり、トレンドのHPをみつつ、手動駆除しました。 駆除後、もう一度オンラインスキャンしたときは何も見つからなかったのですが、今日、またスキャンしたところ、 C:\System Volume Information\_restore{53E20EB8-BEFC-4397-8BA1-40C45A9AFEB4}\RP234\A0016398.exe に感染あり、との結果でした。 このファイルを削除したいと思い、サイトの説明に沿って、 システムの復元を無効にし、 [System Volume Information]へのアクセスを有効にしました。 が、[System Volume Information]の中に、[MountPointManagerRemoteDatabase]、[tracking.log]と言うファイルしか見当たりません。 _restore{~}と言うフォルダにアクセスするにはどうすれば良いのでしょうか。 よろしくお願いいたしますm(_ _)m

  • トロイの木馬って

     ノートンアンチウィルスソフトでスキャンをかけたらウィルスが検出されてしまいました。VerifierBug.classとVerifierBug[1].classです。「修復はできませんでした」というメッセージは出たのですが、駆除もされてないっていうことでしょうか?ノートンに検疫に出そうとしたら、もう検知しているので要らないとのことでした。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する