• ベストアンサー

トロイの木馬に感染? 助けてください

先日ノートンでスキャンしていたところBackdoor.Graybirdというウイルスが検出されました。 http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2003-040217-2506-99 上記サイトにしたがって調べたところ、パソコン内部にSvch0st.exeは無く、レジストリもおかしな所は無かったのですが(初心者なので少し自信ありません) どうも気味が悪いので大事なファイルをバックアップして週末にでもリカバリしようと思っています。 そこで質問なのですが、 1.このバックドアトロイの木馬は情報を盗むものらしいのですが、今現在ルーターと無線LANを使ってパソコンを3台ほどそれぞれインターネットに接続しています。 ただし、どれもつなげてるのはインターネットのみで、ファイルの共有などパソコン同士を繋げるといった事はしていません。(無線でも有線でも) こういう場合、他のパソコンの情報も盗まれたりしているのでしょうか? 2.リカバリをすれば、トロイの木馬によって知られてしまったこのパソコンへの侵入経路(方法?)からの侵入は防げるようになるのでしょうか? どうかご教授よろしくお願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
  • ryu-fiz
  • ベストアンサー率63% (2705/4228)
回答No.2

実のところ…パソコンから検出があったら感染している、という判断は早過ぎると思われます。人間のウイルスの場合でもそうですが、体に菌が入ったら必ず発症するものばかりとは限りません。で、発症していない状態で発見されたのであれば、それを隔離したり(ノートンでは『検疫』という用語を使うと思いますが)削除したり出来れば、当面の問題はないと考えられます。 質問者さんの場合、感染によって内部生成される筈のファイルやレジストリキーが一切存在していないようですので、発症はしていない状態である可能性が濃厚です。そうであるなら、リカバリが必至とは到底思えません。 ただしこの際ですから、一度ノートン製品以外の手段で感染のチェックをされておく方がよろしいでしょう。カスペルスキーのオンラインスキャンがお勧めです。 http://www.kaspersky.co.jp/virusscanner Tracking Cookieのような軽微なもの以外で何らかの検出があるようなら問題だと思いますが…目立った検出がなければ、大丈夫だと思います。 また、次のような場所からの検出であれば大きな問題がないケースというのもあると思われます。 1)インターネット一時ファイル、あるいはIE以外のブラウザのキャッシュフォルダからの検出。インターネット一時ファイルやブラウザのキャッシュをクリアした後で再検査して感染が見つからなければ問題はないでしょう。 2)"Temp"とつくフォルダからの検出。こうしたフォルダ内のファイルは一時ファイルと呼ばれ、一時的に置かれただけの場合もあります。これもファイルそのものが簡単に削除出来るなら大きな問題はないと考えられます。 3)"_restore"とつくフォルダからの検出。これは『システムの復元』に使われるバックアップ領域からの検出です。ソフト上からの削除は難しいですが、システムの復元を一旦無効にし、再度有効にすることでバックアップ領域も破棄され、検出されたものもなくなります。この領域以外から何も見つかっていないなら、やはり当面の問題はないものと考えられます。 ということで…オンラインスキャンによって、感染を再確認されることが最優先です。単に後味が悪いというだけでリカバリに踏み切るのは無駄が多いと思います。本当に深刻な感染に遭っているかどうかをきちんと見極めるべきです。 >1.このバックドアトロイの木馬は情報を盗むものらしいのですが、今現在ルーターと無線LANを使ってパソコンを3台ほどそれぞれインターネットに接続しています。 (中略)こういう場合、他のパソコンの情報も盗まれたりしているのでしょうか? 各パソコン上で個別にファイアウォール機能付きのウイルス対策ソフトが導入されていれば、また各パソコン上に同様な感染が飛び火していなければ、情報漏洩はまずないでしょう。その見極めのためにも、LAN環境内全てのパソコンで同様なウイルスチェックを行なうべきです。 >2.リカバリをすれば、トロイの木馬によって知られてしまったこのパソコンへの侵入経路(方法?)からの侵入は防げるようになるのでしょうか? 悪意のある第三者が感染パソコンにアクセスするに当たっては、別に感染したパソコンのIPなどを控えていてそこにアクセスする訳ではないと思われます。パソコン内に侵入したトロイの木馬が相手方のマシンに向けて接続要求を出し、それによって通信が成り立つと考えて良いでしょう。また、ある種の感染はバックドアという裏口を空けて、不特定の第三者がアクセスしやすいような仕組みをつくってしまいます。 いずれにしても、リカバリなどでハードディスク内を完全に初期化すれば殆どのケースで感染の痕跡は消えます。 ただし…ファイアウォールがきちんと設定されていないパソコンにおいては、単にネットに繋いでいるだけでも感染は発生しますし、これまで通りのパソコンの運用では、再度同様な感染に遭う危険性も高いと思われます。 安全にリカバリを進めるためには、次のURLを参考にしてください。 http://iwata.way-nifty.com/home/2004/10/1017.html 昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。同様な感染を防ぐために次のような点に注意してください。 1)各種アプリケーションソフトのセキュリティ更新を怠らない。 Windows Updateの必要性はこれまでも叫ばれていますが、悪用されるセキュリティ上の問題点=脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、 ・Firefox、Operaなどのブラウザ。 ・Sun Java 仮想マシン(JRE)。 ・Flash PlayerやShockwave Playerなどのプラグイン。 ・Real Player、QuickTimeなどのメディアプレイヤー。 ・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。 最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けのある悪意のあるサイトにこっそり転送されて感染が試みられます。 http://internet.watch.impress.co.jp/ http://www.itmedia.co.jp/enterprise/security/ こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。 2)標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。 IEで扱うことの出来るJavaScriptは特殊なもので、各種感染に利用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。 でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。 http://www.mozilla-japan.org/products/firefox/ http://jp.opera.com/ もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。 もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsのようなソフトの利用を検討してください。 http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html 制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。

xvxvxiii
質問者

お礼

大変詳しいご解説ありがとうございます。熟読させていただきます。 >実のところ…パソコンから検出があったら感染している、という判断は早過ぎると思われます。 そうなんですか、ありがとうございます。 ただ、検出したファイルというのがレジストリを書き換えて(?)ゲームを改造する類のexeファイルで、一度実行してしまったことがあるので心配なんです。 いきなりリカバリするのは早計だったようですね。 まずは上記のサイトでスキャン等をしっかりして、そのうえでリカバリについて考えようと思います。仮にリカバリする際には上記を参考にさせて慎重にするようにします。 ところでリカバリ領域にウイルスを仕込まれてるということはあるんでしょうか? 仮にリカバリするとしてもそこだけが心配なんですが……。

その他の回答 (7)

  • ryu-fiz
  • ベストアンサー率63% (2705/4228)
回答No.8

>ところでリカバリ領域にウイルスを仕込まれてるということはあるんでしょうか? >仮にリカバリするとしてもそこだけが心配なんですが……。 その辺だけ。最近流行しているUSBメモリ関係の感染などだと場合によってはハードディスクリカバリのリカバリ領域にも感染が及ぶ可能性はあるように思われます。 しかしながら、ノートン製品利用中ならその殆どは検出可能だと思いますし、ハードディスクリカバリの領域にウイルス感染が及ぶ可能性はないとするご意見もあります。 http://soudan1.biglobe.ne.jp/qa4208621.html 上記質問で10番目に回答してらっしゃる方は、日本語圏で最も有名なマルウェア感染対策サイトとして知られるhigaitaisaku.comの質問掲示板で回答を行うマルウェア感染対策のエキスパートです。 実際のところ、リカバリしてもなお感染が見つかるというケースもないわけではないですが…そうなる可能性は通常かなり低いと考えられます。 取り敢えず、今は感染の有無を再チェックされることが最優先です。そして軽微ではないと思われる感染が見つかったら、速やかにリカバリを行うのでよろしいのではないかと思われます。案ずるより産むが易し、ということです。

xvxvxiii
質問者

お礼

ご丁寧にありがとうございます。 >ノートン製品利用中ならその殆どは検出可能だと思いますし、ハードディスクリカバリの領域にウイルス感染が及ぶ可能性はないとするご意見もあります。 リカバリ領域への心配はあまり無いようで一安心です。 一先ずはスキャン等をしっかりしたいと思います。 重ね重ね本当にありがとうございました。

noname#85510
noname#85510
回答No.7

メーカーに聞くのがベストでしょう。私はカスペルスキーを薦めます。カスペルスキーはオンラインスキャン作動し常にウィルスが入った時点でパソコンがギャーとけたたましく鳴ります。その時点で即、削除出来ますし、完全スキャンを2週間か3週間に1度やっても100%ウィルスは発生致しません。理由はオンラインスキャン(プロテクション)が作動しているからです。

xvxvxiii
質問者

お礼

カスペルスキーなかなか良さそうですね。検討してみます。 ありがとうございました。

  • wamos101
  • ベストアンサー率25% (221/852)
回答No.6

#3です。度々すいません。 対策ソフトに関して申しますと、総合対策ソフトではKaspersky Internet Securityが今のところベストです。 で、不測の事態に備えるためにも普段からシステムも含めてバックアップを取るようにしておいたほうが無難です。

xvxvxiii
質問者

お礼

ありがとうございます。 今後はこまめにバックアップを取るよう心掛けます。

  • yayoi4736
  • ベストアンサー率32% (282/880)
回答No.5

1です。 このトロイ君は非常にカンタンなものです。トロイの木馬は基本的に感染しやすいですが、その分退治もしやすいです。その行動から言って、気づくまでが問題です。 妙にあせったり怖がることはありません。ちゃんと退治できてます。 ご質問者様も自らスキャンしていますので、今後もそーゆーのには注意されてください。

xvxvxiii
質問者

お礼

度々ありがとうございます。 >妙にあせったり怖がることはありません。ちゃんと退治できてます。 質問当時は焦ってパニック状態だったのですが、皆さんのおかげでだいぶ落ち着きました。 今後はしっかりと気をつけて行動していきたいと思います。

  • wamos101
  • ベストアンサー率25% (221/852)
回答No.4

#3です。若干追記。 NIC(Network Interface Card)の脆弱性情報などもチェックしたほうがいいですよ。メーカーのサイトの情報をチェックするようにする。 もちろん、各種使用アプリケーションのアップデート情報などもこまめにチェック。最近では各種アプリケーションの脆弱性を悪用した受動的攻撃が非常に多いですからね。

xvxvxiii
質問者

お礼

はい、気をつけます。 NICの脆弱性は全く盲点でした。ありがとうございます。

  • wamos101
  • ベストアンサー率25% (221/852)
回答No.3

こんにちは。 当方はクラッカーコミュティー潜入調査や対策ソフトの多角的性能テストなどをしております。 こちらをご利用になるといいですよ。 http://www.securityzone.zapto.org/virusscan.htm で、以下は感染が確定したという前提で回答します。 A1: 例えば、脆弱性を放置していたりすると共有をしていなくても起こり得ます。 A2: そもそもリカバリというのは、トラブルや不具合などで購入初期状態に戻すことです。副次的にMalware除去にも有効ということです。 で、私は#1さんの意見とは違いまして、FWは受動的攻撃には相対的に弱いです。 あと、ここ最近のMalware作者やクラッカーは、ルータや対策ソフトの導入を見越した攻略を仕掛けてくるようになってます。暗号化やパッキング等によってスキャンをすり抜けたり、デフォルトブラウザ成りすましなどによる情報奪取なども行われるようになってきています(Firewall Bypass)。ウィンドウレス。 急に今思い出したんですけど、このBkdrは中国製のやつですね。

xvxvxiii
質問者

お礼

ご親切にありがとうございます。 上記のサイトを参考に調べてみます。 >このBkdrは中国製のやつですね。 中国ですか……最近いろいろありますが怖いですね。

  • yayoi4736
  • ベストアンサー率32% (282/880)
回答No.1

まず、ディスクスキャンの上、そのファイルが見つからなければもう大丈夫です。そーゆーことがお好きなら別ですが、リカバリなんて今週末にしても無意味です。 セキュリティソフトには、通信ログを表示する画面があります。あやしいIPアドレスに送信してませんか?していれば、ヤフオクのパスワード変更、プロバイダのメールアドレス変更、ネットバンキングのIDパス変更などを行ってください。 1.ぶっちゃけて言いますと、どのような状況でも盗まれる可能性があります。ただ、それぞれにファイアウォールを効かせているなら、多分大丈夫でしょう。 2.トロイの木馬は侵入するのではなく、何らかの方法で感染し、PC内のデータを勝手に送信するものです。ですので、パソコンそのもののへの侵入は今もこれからもないでしょう。 トロイの木馬はよく知られているメールの添付ファイルでの感染以外にも、 ・画像掲示板の画像やバナー広告画像からの感染(普通はJPEG形式やPNG形式が普通ですが、GIF形式だったりする) ・どっかのサイトのクッキー(アドウェアの振りをして個人情報を送信…変なサイト訪問時にクッキーを食べない) などもあります。 画像掲示板や投稿サイト、海外サイトなどの閲覧には十分注意してください。

xvxvxiii
質問者

お礼

大変分かりやすい解説ありがとうございます。 通信ログでは特におかしなものは無かったと思います。 『ファイル共有を遮断』というのがいくつかありましたがこれは問題ないのでしょうか? 実はスキャンに引っかかったのは海外の提示版で拾ったものだったようです。 今回のことで身にしみました。ご警告ありがとうございます。

  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. ウィルス・マルウェア

関連するQ&A

  • トロイの木馬に感染

    こんにちは トロイの木馬に感染したみたいなんですがAVGで駆除してもどうしてか Trojanhorse Backdoor.Agent.CCRというトロイだけがどうやっても駆除できません  シマンテックという除去ツール?でもヒットしませんでした 何分どがつくほどの素人なのでとても不安です だれか助けてください お願いします

  • トロイの木馬に感染して困っています・・・

    先ほど、トロイの木馬に感染してしまいました。 トロイに関するほかのトピックを見ていますが、 私もパソコン初心者で、セキュリティーに関してはほとんど知識が無い状態なので、どうか相談に乗っていただきたいです。 パソコンはwindowsXPを使っています。 セキュリティーソフトはマカフィーをインストールしていますが期限が切れていました。 <状況> インターネット中に、画面右下かたマカフィーウィルススキャンのアラートが表示され、 「トロイの木馬が検出されました。」と書いてありました。 ファイル:puniairi150[1].jpg トロイの木馬の名前:PHP/BackDoor.gen ファイルパス:ローカルディスクCのTemporary Internet Filesというところ 状態:ウイルスを駆除できません ファイルが書き込み保護されていない事を確認してから再実行してください。 とのことでした。 駆除も隔離も、削除も出来ない状態です。 他の方の書き込みを拝見して、自力でファイルを探してみましたが、 「Tenporary Internets Files」のフォルダが見つからないので、 感染ファイルを見つけることが出来ませんでした。 対策サイトを見ても、バックアップがどうとか、リカバリーがどうとか書いてあるのですが、知識不足で何を言っているのか理解できずに煮詰まってしまいました。 インターネットのページを開くのが遅くなったように感じます。 急いでいるので本当に困っています… どなたかお手数おかけしますが、対処法を教えていただけないでしょうか?

  • トロイの木馬に感染しました

    トロイの木馬に感染しました  いつの頃からか、USBを取り外そうとしても、「Shell32.dll.Control._RunDLL hotplug.dll の実行中に、例外が発生しました。」というダイヤログが出て、 USBを取り外せなくなりました。  そこでウイルスのチェックをすると、 ============================== 「感染 C:WINDOWS\System\32\ierdfgh.exe;”トロイの木馬PSW.OnlineGames.2.S”;”ウイルス隔離室へ移動” 警告 ファイル,”感染”;”結果”」 =============================== とダイヤログが出て、その下に22個ぐらいの項目(ファイル)について「隔離室へ移動」と出ました。  (それなのに、やはり、USBを取り外そうとする時には、「Shell32.dll.Control._RunDLL hotplug.dll の実行中に、例外が発生しました。」 というダイヤログが出ます。)  そこで質問ですが、「Shell32.dll.Control._RunDLL hotplug.dll の実行中に、例外が発生しました。」というダイヤログとトロイの木馬とは関係があるのでしょうか。  また、このトロイの木馬とは、パソコンにとってどのような悪い影響があるのでしょうか。  あまり、パソコンに詳しくないのですが、パソコンを工場出荷時の状態に戻そうと考えていますが、このパソコンには、元からリカバリCDがなく、 HDDの中にリカバリファイル(?)を持っているようなのですが、このリカバリファイルは、感染はしていないのでしょうか。  どのようにして、もとの正常な状態に戻せばよいのでしょうか。

  • トロイの木馬 Backdoor,Graybirdについて

    初めて投稿します。 ノートンインターネットセキュリティー2004を使用してます。ついこの間認証期間が切れたのでアップグレードしたのですが、ウイルスに感染してしまったようです。 種類がトロイの木馬,Backdoor,Graybird ログビューアにも出てきていて、警告を発してきてくれるのですが、スキャン処理しても削除まで行きません。 Cドライブのtempファイルにあると場所を指定はしてきてはいるのですが、シマンテックのHPに乗ってある方法でやると強制終了してしまいます。 削除の方法として有効な手立てはないでしょうか? よろしくお願いします。

  • トロイの木馬

    つい先日ノートンインターネットセキュリティ2003を入れたのですが、早速今インターネットをしていると警告のようなものが出ました。 《ルールBackdoor/SubSevenトロイの木馬のデフォルト遮断が一致》 と表示されたのですが、これって何なのでしょうか? 教えてください。

  • トロイの木馬に感染したと出てしまったのですが駆除できないのですが

    パソコンの事にあまり詳しくないので教えてください。 今、インターネットをやっていたら、トロイの木馬に感染したとMaCAfeeの画面がでました。しかし、削除できないと出てしまって、急いでPC内臓の無線LANのスイッチをオフにし、1分後あたりに、マカフィーをアップデートして再起動までしました。 それで、ビールススキャンをやってみたのですが検出されず、パソコンもいきなり電源が落ちてしまいました。 検出したファイルや、トロイの木馬の種類などはあわてていてメモできませんでしたが、明らかに検出されません。今はインターネットを切断している状態です。 パソコンの事はあまりわからず、一度もマッカフィーなど更新した記憶が自分でないです。 とても焦っています。どうすればよいか教えて頂けたらと思います。 今はもう一台のPCからこれを書いています。

  • トロイに感染。検疫に入ってますが

    フリーソフトをダウンロードした際に、 このトロイ http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2014-061213-1850-99 に感染したようです。 30個近く見つかりました。 現在、検疫に入っていているのですが、安心して良いのでしょうか? 削除というボタンもあるようですが、削除したほうがいいのでしょうか?

  • トロイの木馬に感染してしまったようです…

    パソコン初心者で大変困っています。 実は先日インターネット使用中にトロイの木馬に感染してしまったようです。 その時はすぐにセキュリティソフトでスキャンしファイルごと削除したのですがその後電源を落とし再度パソコンを起動したり再起動しても毎回立ち上げて直ぐにトロイの木馬とマルウェアが引っ掛かりましたと注意事項が出る始末です… ちなみに表示されるウィルスの名称は win32:Tibs-AOD[Trj] win32:Adware-gen[Adw] になります。 今現在はセキュリティソフトにavast!を使用しています。 OSにはウィンドウスXPを使用しています。 どうしたら完全にトロイの木馬などを削除できるのか教えて頂きたいです。 何卒よろしくお願い致します!

  • トロイの木馬に感染しているようなのですが・・。

    初めまして。 私はパソコン、ウィルスに詳しくない中学生です。 今日、シマンテックのウィルス検出をしてみた所、 「一個の感染ファイルが検出されました。メモリ上でウィルスは見つかりませんでした。コンピューターは何らかの既知のウイルスまたはトロイの木馬に感染しています。」と表示されました。 Trojan.ByteVerify というものに感染しているようです。 とてもショックです。 ちなみに使っているのはwindows xpで1年位前に買いました。 無線LANを使っています。 ウィルスソフト(?)は買ったときからNorton Internet SecurityとNorton AntiVirusというものが付いていました。 新たにソフトが必要であれば、 お勧めのウィルスソフトなどありましたら教えてください。 トロイの木馬にもたくさん種類があるようですが私が感染してしまったウィルスはどのような被害があるのでしょうか? パソコンが覗かれてしまっているのでしょうか? とても怖いです。 それにどうして感染してしまったのでしょうか・・。 どうやって駆除すればよいのでしょうか? とても不安です。 質問が多くてすみません。 文章が分かりづらいと思いますが、 回答よろしくお願いします。

  • トロイ木馬防御について

    トロイ木馬はファイル自体がウイルスなので、 常駐では未然に進入を防ぐことはできないと 知人が言っていたのですが、 そうなのですか? また、トロイ木馬とはネットで調べても イロイロなものがあるようでよく分かりません。 第三者の侵入を助けるものからWHITERみたいな 全部のデータを消去するものまで トロイ木馬に含まれるのでしょうか?

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する