• 締切済み

AGOBOT.AGAが何度も発見されます

使用OSはWinsows2000 SP4(Windows Updateで最新パッチ適用済)。その他、ウィルスバスター2005、Ad-Aware SE、Spybot-S&D、SpywareBlasterを定期的にアップデートして使用しています。 インターネットには、CATVで接続しています。 3月7日14時頃から、WORM_AGOBOT.AGAを1時間おきぐらいにウィルスバスターがリアルタイム検索で発見し、隔離処理することを繰り返すようになりました(ログでは「隔離済み(安全です)」)。ちなみにその時間帯には、メールの送受信は行っていませんでした。 隔離処理後に、ウィルスバスターでウィルス検索を実行しても、何も発見されません。また、レジストリは改変されていないようでした。タスクマネージャのプロセスでも、winserv.exeは見つかりませんでした。 しかし、Symantec Security Checkでウィルスチェックしたところ、C:\WINNT\system32\sys.exeがBackdoor.Trojanに感染していました。タスクマネージャのプロセスでみると、sys.exeが稼動しています。 レジストリには、感染ファイルを参照しているレジストリ値はありませんでした。 そこで、セーフモードで感染ファイルのsys.exeを削除し、ゴミ箱も空にしました。インターネット一時ファイルとCookieも削除しました。 再起動後に、ウィルスバスターとSymantec Security Checkでウィルス検索を実行したところ、ウイルスは発見されませんでした。 ところがその後も30分~1時間おきに、ウィルスバスターのリアルタイム検索でWORM_AGOBOT.AGAが発見され、隔離処理することを繰り返しています。 このWORM_AGOBOT.AGAは、いったいどこから送り込まれてくるのでしょうか?考えられる対策は一通りやってみたつもりですが解決せず、本当に困っています。 アドバイスをよろしくお願いします。

みんなの回答

noname#40123
noname#40123
回答No.2

レジストリの改修はしましたか? いくらファイルを削除しても、アクセスするたびに侵入するための命令文が残っている限りは、 アクセスするたびに侵入してくると思います。 WORM_AGOBOT.AGA Solution(説明・英語) http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FAGOBOT%2EAGA&VSect=Sn シマンテックで検出したウィルスについては次の通りです。 Backdoor.Trojan http://www.symantec.com/region/jp/avcenter/venc/data/backdoor.trojan.html ですから、僕の考える現象としては次の順序で入っていると思います。 Backdoor.TrojanがWORM_AGOBOT.AGAの侵入の手助けをして、ウィルスバスターが検出して隔離していると考えます。 ですから、Backdoor.Trojanの対策をして、その後WORM_AGOBOT.AGAの対策を実行してみてください。

kc27202
質問者

お礼

早速のご回答有難うございます。なぜかしばらくこのページを開くことができず、お礼が遅くなってしまいました。 トレンドマイクロ WORM_AGOBOT.AGA Solution(説明・英語) シマンテック Backdoor.Trojan 上記の駆除方法に記載されているレジストリで、感染ファイルを参照している値はありませんでした。 しかし再度詳しく検索すると、Backdoor.Trojanに感染していたsks.exeファイルがHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SockDfdzのImagePathにレジストリ値として設定されていました。これも削除しても良いのでしょうか? よろしくご教示をお願いします。 あと、繰り返しWORM_AGOBOT.AGAのファイルが発見されるドライブを共有する設定にしていましたので、とりあえず「共有しない」設定にしてみました。 これも、有効な対策になるでしょうか?

kc27202
質問者

補足

申し訳ありません。 Backdoor.Trojanに感染していたファイルは、sys.exeではなくC:\WINNT\system32\sks.exeでした。

  • zgmfx10a
  • ベストアンサー率9% (1/11)
回答No.1

過去の記事に類似したのがありました。 参考となれば幸いです。 http://oshiete1.goo.ne.jp/kotaeru.php3?q=863918

参考URL:
http://oshiete1.goo.ne.jp/kotaeru.php3?q=863918
kc27202
質問者

お礼

早速のご回答有難うございます。なぜかしばらくこのページを開くことができず、お礼が遅くなってしまいました。 お教えいただいた過去の記事を読ませていただきました。繰り返しWORM_AGOBOT.AGAのファイルが発見されるドライブを共有する設定にしていましたので、とりあえず「共有しない」設定にしてみました。これで侵入されないようになれば良いのですが・・・。

  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. ウィルス・マルウェア

関連するQ&A

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVE セレクト

質問する