- ベストアンサー
WORM_RBOT.CWOが・・システムに入ってしまいました
ウイルスバスターが入っていたのに、ウイルス感染してしまいました。 WORM_RBT.CWOというもので、C:\WINDOWS\system32\monxdri32exeに入っているようです。 バスターでは 「隔離できません」表示がでてしまいます。 どうしたらよろしいでしょうか・・ 今は 会社のPCから書き込んでおります。 家のパソコンは ネットにつなぐとすぐに接続不可能になってしまいます。 NTTフレッツ接続中にプロバイダの認証パスワードが変わってしまい、入力してある桁数の2倍になってしまいます。
- mayu1209
- お礼率78% (11/14)
- ウィルス・マルウェア
- 回答数5
- ありがとう数5
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
http://www.trendmicro.co.jp/vinfo/virusencyclo/ ウイルス名が分かっている場合、トレンドマイクロのウイルスデータベースで検索すれば詳細な情報を入手出来ます。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.CWO&VSect=Sn このページに書かれた通りに対処してみてください。 問題のあるファイルを削除または隔離するためには、タスクマネージャーを使って該当するファイルの実行を終了させる必要があります。一般に実行中のプログラムや実行中のプログラムに利用されているファイル、システムに組み込まれたファイルはウイルス対策ソフト上から簡単に削除や隔離が出来ません。実行中のプログラムを終了したり、システムから該当ファイルを切り離さないと処理出来ません。 更にレジストリエディタを使ってレジストリの編集を行う必要があります。システム起動時自動的に問題のファイルを実行させるための設定を削除する必要があります。また、WORM_RBOT.CWOが改変した別の個所を元通りに修正しないとネット接続に関する不具合は直らない可能性が高いです。 >ウイルスバスターが入っていたのに、ウイルス感染してしまいました。 この感染は既知のWindowsの弱点=脆弱性を利用して感染します。WindowsUpdateはきちんと受けていましたか?もしそうでなければ、その辺を反省していただく必要があるかも知れません。 なお、バックドア活動も行う感染ですので、これ以外の感染がある場合もあります。早急に最新定義による全体スキャンを行うべきです。理想的には必要なファイルをバックアップ後システムを初期化、つまりリカバリやクリーンインストールを行うべきだと思います。 また、『共有フォルダ内に自身のコピーを作成して侵入』とあります。もしやファイル共有ソフトで著作権にかかわるようなダウンロードはされてないでしょうか?万一そのようなことがあれば即刻足を洗うべきです。 最後に…残念な話ですが、ウイルスバスターのファイアウォールは標準設定ではこの種の感染に悪用されがちなNetBIOS関連のポートをブロックしないようです。LANを組んで共有を使ったりしていない場合は、次のページを参考にNetBIOS関連のポートを閉じておくようにしたほうが安全です。 http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=jp-212126 ウイルスバスター2007をお使いの場合はこちらを。 http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2060698&id=JP-2060698
その他の回答 (4)
- ryu-fiz
- ベストアンサー率63% (2705/4228)
>無線LANなので、しらないIPアドレスのパソコンがネットワーク?(うまく言葉にできないのですが・・)に入ってくるようで 私自身はナローバンド利用者で無線LANのこともよく分からないのですが…無線LANは初期設定のままだとセキュリティの面で甘い部分が確かに出るようです。極々最近はそうした問題がクローズアップされたためか、簡単にセキュリティ設定を行うためのユーティリティが付属していることも多いようですが…数年前までのものにはそういうこともなく、きちんと設定していない場合、第三者のPCから容易に盗聴されたり、不正にアクセスされたりしやすくなると思われます。 参考になりそうなページを幾つか見つけましたので、読んでみてください。 http://www.ipa.go.jp/security/ciadr/20030228wirelesslan.html http://www.atmarkit.co.jp/fwin2k/insiderseye/20020626wardrv/wardrv.html 特別に設定していない場合、例えばANY接続を許可する設定のままだと第三者に容易にアクセスされる危険性があります。無線LANのセキュリティ関連の設定個所は複数個あり、お使いの機種によって詳細や設定法も異なりますので、ご利用になっている機器のメーカーのサポートページをご覧になったり、直接相談するなどした方がよろしいでしょう。 なお、 >WindowsUpdateに気をつけてみています。(リカバリしてから ほぼ毎日気をつけてみるようになりました。) 現行のシステムでは、WindowsUpdateは月一回に決まっています。だから、毎日のようにチェックすることは…あんまり意味がありません。 非常に危険な問題=脆弱性が突然発覚した場合には、緊急で更新プログラムがリリースされることもありますが、そうしたものについてはInternetWatchやITmediaのようなPC関連のニュースサイトで大概情報を得ることが出来ます。そうしたサイトを出来れば毎日ご覧になるのが良いでしょう。 http://internet.watch.impress.co.jp/ http://www.itmedia.co.jp/
お礼
ご丁寧な回答に感謝しております。あまりにも気軽にネットを利用していたので、今回のことは「気をつけなくてはいけないこと」を改めて気づかせてくれた、いい勉強になりました。早速無線LANのセキュリティ設定を行いました。(説明書にちゃんと記入されておりました・・)本当にありがとうございました。
- ryu-fiz
- ベストアンサー率63% (2705/4228)
1番目に回答した者です。 >大丈夫かな・・と思っておりますが、やっぱりNTTフレッツの接続パスワードが変わってしまっているようです。 >パスワードを記憶させないようにして使用していますが、もしかしたら 他に原因があるのかな・・と不安です。 記憶させないようにしている場合でも、感染しているPCから入力を行っている場合には漏洩の可能性が否定出来ません。 私自身はフレッツ利用者ではありませんので詳細は分かりかねますが… http://flets.com/personalid/index.html を見る限り、フレッツ・パーソナルID/パスワードの変更に際してはIDやパスワードそのもの以外にも「お客さまID」「アクセスキー」の2つが必要になるようです。これらをウェブ上の所定のページにて全て入力しないと変更は出来ないように思われますが…。 もしご自身で変更していないのに勝手に変更されたとなると…「お客さまID」「アクセスキー」に関しても漏洩の懸念があります。これらがテキストファイルやメール内に保存されてはいないでしょうか?だとすると漏洩の可能性もあるかも。 お心当たりがない、という場合でも、念のためにアクセスキーの変更を行った方が良いように思われます。 http://flets.com/key/index.html >NTTフレッツ接続中にプロバイダの認証パスワードが変わってしまい、入力してある桁数の2倍になってしまいます。 この際ですから、この件についても先方に確認されたほうがよろしいかと思います。 前回の回答でも書きましたが…ウイルスバスターの初期設定ではNetBIOS関連の悪用されやすいポートが開いた状態になっているために、場合によっては不正侵入を受ける可能性があります。WindowsUpdateの不備の可能性あり、とも書きましたが、空きポートを利用した不正侵入はWindowsの脆弱性を利用したものに限りません。 WORM_RBOT.CWOの感染以前に別の未確認の感染が過去に存在していた可能性も否定出来ませんので、 http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2060698&id=JP-2060698 に従った設定の変更、もしくはファイアウォール機能付きのブロードバンドルーターの使用を強くお勧めします。
お礼
ご回答ありがとうございます。 バスターの2007年版をダウンロードできて、WindowsUpdateに気をつけてみています。(リカバリしてから ほぼ毎日気をつけてみるようになりました。)ただ、ちょっと気がかりなのは、無線LANなので、しらないIPアドレスのパソコンがネットワーク?(うまく言葉にできないのですが・・)に入ってくるようで、バスターで警告されるときは(例外ルールを追加する)にしておりますが、大丈夫なのか心配です。ファイアウォールは「有効」に設定してあります。
- yoshi-thk
- ベストアンサー率38% (2059/5283)
No2ですけれど、前にウイルスバスターを買ったときにトレンドマイクロから送られてきたメールを残してますか? 残っていれば、メールにシリアルやお客様番号などが記載されていると思うのです。 それで、体験版を製品版に換えることは可能です。 トレンドマイクロ 個人のお客さま > 体験版ダウンロード > ウイルスバスター30日期間限定版 > 製品版の購入 http://www.trendmicro.co.jp/consumer/products/trial/vb/vbupgrade/ 上記アドレスの「手順3」から始めることで体験版から製品版に換えられます。 シリアルやお客様番号がわからない場合には、ウイルスバスタークラブに問い合わせしてください。 後日メールでナンバー等が来て、改めて再登録することになると思います。 サポート > ウイルスバスタークラブ http://www.trendmicro.co.jp/support/vb/index.asp 「ユーザー情報登録確認・変更」をクリックしてそこからアクセスしてください。 シリアルナンバー等がわからない場合でも、わからないときの対処方法が書いてます。
お礼
ご回答 ありがとうございます。 早速、試してみました。無事に製品版に換えることができました。 ありがとうございました。
- yoshi-thk
- ベストアンサー率38% (2059/5283)
次のアドレスにこのウイルスの情報が出ているので、その指示に従って、ウイルスを削除してください。 WORM_RBOT.CWO http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.CWO WindowsUpdateを今までやっていたことありますか? WindowsUpdateしていれば、このウイルスに感染する可能性は低いし 見つけて処置出来たのです。 ウイルスバスターを入れていても、WindowsUpdateしてないパソコンまではウイルス防止を出来る訳がないです。 どうしても改善しないと言うのであれば、リカバリしてしまった方がよいです。
お礼
ご回答ありがとうございます。 早速試してみました。ただ、バスターはダウンロード購入でしたので、リカバリしたら、消えて?しまったようで、今は バスター2007の体験版をダウンロードしている状況です。今後はダウンロード購入ではないほうがいいのかなと思っております。
お礼
ご回答ありがとうございます。 WindowsUpdateは自動でできていると思っていました(設定をしたような記憶がありますが確かではありません)以後気をつけます。 レジストリを削除して、リカバリして、バスターで検索したら、ウイルスは発見されませんでした。 大丈夫かな・・と思っておりますが、やっぱりNTTフレッツの接続パスワードが変わってしまっているようです。パスワードを記憶させないようにして使用していますが、もしかしたら 他に原因があるのかな・・と不安です。