- ベストアンサー
未知のトロイの木馬と大量の不正アクセス
トロイの木馬に感染し、困っています。外部に不正に送信しようとしています。 見た目の現象としては、何もしていないのにCATVモデムのLANとDATAランプが1秒間に数回、同期して点灯します。パソコンの電源を落としても同じです。 ウイスルバスター2004のファイアウォールログを見ると、パソコンの電源を入れたときにプロトコルIGMPの送信がブロックされています。 その後、プロトコルUDPでの送信や、プロトコルTCPやUDPの受信をブロックしています。 また、ホームページを見ているときに、かなり大量のプロトコルTCPやUDPの受信をブロックしています。 IPアドレスやポート番号はバラバラです。 ウイスルバスター2004やPest Patrolでは何も検出しませんが、いっしょにインストールしているBlackICEの「プログラムの実行制限」を有効にしてアプリケーションを起動すると、「トロイの木馬が検出されました」という画面が表示されます。 検出されるファイルは、SHELL32.DLLとcomctl32.dllです。 ポームページで調べても該当するものはなく、未知のトロイの木馬のようです。 BlackICEが検出したSHELL32.DLLとcomctl32.dllは、大量の不正アクセスが始まった3日後に作成されています。 また、GEARSEC.EXE、GEARASPI.DLL、GEARASPIWDM.SYSというファイルが、大量不正アクセスが始まった日に作成されており、これらのファイルも怪しいと思っています。 これらの情報から、レジストリなどの修正で駆除することは可能でしょうか? 今はウイスルバスター2004、BlackICE、WinWrapper3で送受信をブロックしていますが、OS(Windows XP)を再インストールしなければ駄目でしょうか? どうしたらよいかアドバイスをお願いいたします。
- odasaka
- お礼率95% (23/24)
- ウィルス・マルウェア
- 回答数2
- ありがとう数4
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
Googleで検索したところ、 GEARSEC.EXEはiTunes関連の様ですが、 その日にインストールなさいませんでしたか? >ウイスルバスター2004やPest Patrolでは何も検出しませんが 参考URLのオンラインウイルススキャンも お試しになってはいかがでしょうか? 非常駐型の無料検知ソフトもご紹介しておきます。 他社製品では発見出来るかもしれませんので...。 あとは、Hijack Thisというソフトで、 システム状態のレポートを 作成してこちらの補足に貼り付けると、 詳しい方から的確な回答を頂けるかもしれません。 基本的な使用方法は↓をご覧下さい。 http://www.vintage-solutions.com/Japanese/Antivirus/Super/ http://www.dream-seed.com/server/hijackthis.html ただ、本当にトロイの木馬だとすれば、 一刻を争う事態であまりのんびりとは出来ません。 未知の脅威に遭遇した場合は、 再インストールしてしまった方が安心で確実です。 中途半端な対応をしてしまうと、 被害を広げる事になって取り返しがつきません。 周りに攻撃を仕掛けたりするタイプだと、 odasakaさんが加害者扱いされる恐れすらあります。 >ウイスルバスター2004、BlackICE、WinWrapper3で送受信をブロックしていますが ファイアウォールソフトは1つだけ使用が基本です。 数が多ければ良いというものでもありません。 開発メーカーが、その組み合わせでの 動作保証でもしていない限り避けるべきです。 それぞれの正常な動作が妨げられて、 かえってセキュリティを下げる事にもなりかねません。 大抵、XP付属のファイアウォールも 無効にする様に取説では指示していると思います。 どうしても複数のファイアウォールを 併用したい場合はルータを導入すべきです。
その他の回答 (1)
- HAL007
- ベストアンサー率29% (1751/5869)
>>SHELL32.DLLとcomctl32.dllが関連するトロイの木馬型ウィルス情報 →http://www.nai.com/japan/security/virA2000.asp?v=APStrojan.pz 他多数→http://www.infoseek.co.jp/OTitles?lk=noframes&nh=10&svp=SEEK&svx=460100&col=OW&nc=1&qt=comctl32.dll+%A5%C8%A5%ED%A5%A4%A4%CE%CC%DA%C7%CF&qp=0&lg=ja >>GEARASPI.DLL これはDriveImage2002をインストールしていませんか?
お礼
回答ありがとうございます。 誰からか分からないメールは開くことはありませんし、ましてや添付ファイルを開くことなど考えられませんので、2000年に発見されたAPStrojan.pzではないと思います。 また、DriveImage2002は初めて聞くソフトで、インストールはしていません。 レジストリなどの修正で駆除するのは無理なようなので、OSを再インストールすることにしました。 お手数をおかけしました。
関連するQ&A
- トロイの木馬について
こんにちは! 先ほど、youtube以外の動画サイトで映画を見ていたら、 「トロイの木馬が検出されました。トロイの木馬を自動的にブロックしました。」 という表示が出たんですが、トロイの木馬に感染してしまったかすごく心配なんですが、大丈夫でしょうか??? ウイルス感染しているか確かめるにはどうしたらいいでしょうか?? 初心者なので、できれば詳しく書いていただけると嬉しいです。 よろしくお願いします!
- ベストアンサー
- ウィルス・マルウェア
- トロイの木馬について
こんばんは、先程テレビのニュースで財務省のパソコンがトロイの木馬に感染して情報が流失したとありました。 ネットのウィルスについては全くの無知ですが、トロイの木馬は私のパソコンのウィルスチェックにも度々検出されブロックされています。 素朴な疑問なのですが、財務省のパソコンにはウィルスチェックソフトは入ってないという事なのでしょうか? それとも、私のパソコンのウィルスチェックにひっかかるトロイの木馬とはまた別の種類で強力なトロイの木馬というウィルスがあるのでしょうか…? 詳しい方、ご回答お願い致します。
- ベストアンサー
- ウィルス・マルウェア
- トロイの木馬に感染しました
トロイの木馬に感染しました いつの頃からか、USBを取り外そうとしても、「Shell32.dll.Control._RunDLL hotplug.dll の実行中に、例外が発生しました。」というダイヤログが出て、 USBを取り外せなくなりました。 そこでウイルスのチェックをすると、 ============================== 「感染 C:WINDOWS\System\32\ierdfgh.exe;”トロイの木馬PSW.OnlineGames.2.S”;”ウイルス隔離室へ移動” 警告 ファイル,”感染”;”結果”」 =============================== とダイヤログが出て、その下に22個ぐらいの項目(ファイル)について「隔離室へ移動」と出ました。 (それなのに、やはり、USBを取り外そうとする時には、「Shell32.dll.Control._RunDLL hotplug.dll の実行中に、例外が発生しました。」 というダイヤログが出ます。) そこで質問ですが、「Shell32.dll.Control._RunDLL hotplug.dll の実行中に、例外が発生しました。」というダイヤログとトロイの木馬とは関係があるのでしょうか。 また、このトロイの木馬とは、パソコンにとってどのような悪い影響があるのでしょうか。 あまり、パソコンに詳しくないのですが、パソコンを工場出荷時の状態に戻そうと考えていますが、このパソコンには、元からリカバリCDがなく、 HDDの中にリカバリファイル(?)を持っているようなのですが、このリカバリファイルは、感染はしていないのでしょうか。 どのようにして、もとの正常な状態に戻せばよいのでしょうか。
- ベストアンサー
- ウィルス・マルウェア
- トロイの木馬?
こんばんは。mitoizumiです。 知り合から、会社のPCが「トロイの木馬」に感染しているかも・・・と相談を受けました。 環境は、 ルータ→HUB→Win98×6台,Win2000pro×2台 ↓ HUB→Win98×3台,Win2000pro1台 全てに『ウィルスバスター2002』インストール です。 VBのファイヤーウォールログを見ると、Win2000の3台だけ『トロイの木馬』に感染したような形跡があるそうです。 ログは 送信先プロトコル:TCP 送信元IPアドレス:問題のPCのローカルIPアドレス 送信元ポート:139 送信先IPアドレス:LAN内の別のPCのIPアドレス 送信先ポート:1120もしくは1243 説明:1120=NetBus 1243=SubSeven です。現象は2000に限ったもので、Win98のログには何も記されていません。 3台の2000のうち1台はメーラーを使用していませんが、3ヶ月前に導入した直後から、ほかの2台は昨年の7月(!)からログがあります。 ウィルス検索ではなにも引っかからず、途方にくれている模様です。 VBは、トロイが使用するポートをほかのプログラムが使った場合もトロイとして検出するそうですが、その場合は一体どのようなプログラムが使用しているのでしょうか・・・。 2000のみというのも気になります。 回答や調査方法、アドバイスをよろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- トロイの木馬に感染したかもしれません
トロイの木馬に感染したかもしれません。 使用セキュリティソフト avast!home edition、spybot PC windows xp 昨夜、起動直後にavastで3つの ~\Temporary Internet Files\Content.IE5\VL8Q1IHR\~ がトロイの木馬として検出され、削除。 が、その後の3回の再起動のうち2回で同ディレクトリで同ウイルス検出。 avastの完全チェックを行うと、また検出…… その時点で一時ファイルを全て削除しましたが、何回か再起動するとまたパラパラと検出されました。 セーフモードで完全チェックを行うと、今度は検出なし。 その後は数回の再起動を行っても異常なし… が、やはり心配。 それでネットで知った「コマンドプロンプト→netstat -a」を再起動後に試してみたら、以下のような表示が…… 一回目 TCP **:1062 118.214.147.235:https ESTABLISHED TCP **:1067 219.232.241.91:domain SYN_SENT 二回目 TCP **:1040 61.160.254.250:http ESTABLISHED TCP **:1047 61.160.254.250:http ESTABLISHED TCP **:1048 61.160.254.250:http ESTABLISHED TCP **:1051 61.160.254.250:http ESTABLISHED TCP **:1054 ty-in-f100.1e100.net:http ESTABLISHED TCP **:1055 ty-in-f100.1e100.net:http ESTABLISHED TCP **:1063 118.214.147.235:https ESTABLISHED TCP **:1064 219.232.241.91:domain SYN_SENT ESTABLISHED も SYN_SENT も、トロイの木馬の危険ありですよね……? ……ここまでやって、どうすればいいかわからなくなってしまいました。 これはやはり、トロイの木馬が駆除しきれていないと考えるべきでしょうか? また、そうなら駆除のやり方を(できれば手動でできるような)教えていただけませんか? よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- トロイの木馬の除去について
こんにちは。トロイの木馬について質問お願い致します。家のパソコンにトロイの木馬が入っているようで、シマンテックのオンラインウイルスチェックをしても、検出されません。2台うちにありまして、そのうちの1台が感染してるようなのです。どちらとも、ウイルスバスター(体験版)をいれているので、ファイヤーウォールのログを見ると、「トロイの木馬ブロック」とでてます。このログは、自分のコンピュータから出るトロイの木馬をブロックしているということと聞いたのですが、そうなると、やはり感染しているのだと思いました。何か、レジストリにトロイの木馬が潜んでいて、それを消せばいいとかなんとかとも聞いたのですが、何か、いい解決策があれば、ご教授よろしくお願いいたいます。新しい、ウイルスソフトを買うということも考えましたが、予算の都合で、今はできないので、なるべくお金がかからない方があればいいのですが、何かヒントでもあれば、よろしく御願い致します。
- ベストアンサー
- ウィルス・マルウェア
- トロイの木馬ブロック・送信? ウイルスバスター2003です。
今、ウイルスバスター2003のファイヤーウォールの履歴を見ると 以下のような記述がありました。 トロイの木馬ブロック 9:30:34 受信/送信・・・・・・・送信 プロトコル・・・・・TCP 送信元IPアドレス・・・自分PC 送信元ポート・・・・2781と2746 送信先ポート・・・・7777 などなど・・・。 これはどういった意味なのでしょうか? 私のPCから誰かにウイルスを送信しようとしていたのですか? だったら、このPCがウイルスに感染?? すみませんが、教えてください。
- ベストアンサー
- ウィルス・マルウェア
- トロイの木馬(ウイルス)にかかって困っています。
トロイの木馬について質問です。 先日トロイの木馬に感染しました。 感染に気づいたのは友人からの知らせです。 私のアドレスから迷惑メールと思われるメールが来ると知らせがあり、 送信ボックスを調べたところ、覚えのないメールが数通送信されていました。 送られていた相手にはすぐに知らせ、他人には迷惑はかからなかったのですが、 その後ウイルスチェックをしたところトロイの木馬を検出しました。 すぐに削除しようとしたのですが、×マークが出てしまい処理が未完了に。 しかし、再度ウイルスチェックをかけ検出しようとしたのですが、 二回目は検出できず、「破損しているデータがあります」という内容のメッセージがでただけになってしまいました。 ここで質問なのですが、 1、もし、破損しているものがトロイの場合、もう加害者はアクセスできなくなるのでしょうか? 2、トロイを削除しても、一度アクセスを許してしまっているので再度侵入は可能でしょうか? 3、私の家では他に同じネットワーク経由でPCを使用しています。他のPCには影響はあるのでしょうか? あまり知識がなく、素人なので侵入された時点でどこまで影響があるのかわかりません… 今は感染したPCだけネットにつないでいない状況なのですが… とても困っています。親切な方回答いただければ幸いです。
- ベストアンサー
- ネットワーク
- トロイの木馬を遮断とは?
XP、アンラボのV3ウイルスブロックインターネットセキュリティ使用です。 WindowsUPDATEはOKです。ウイルスソフトの更新もOKです。 ----------------------------------------------- 昨日、トロイの木馬 kibuv.worm.A(TCP/9604)のインターネットアクセスを遮断しましたとでました。 詳細を見ると、プログラムは、Messenger\msmsgs.exeでした。 Messengerは使っていないので、遮断しているのですが、完全に遮断できてるとは言いがたいです。 聞くところによると、トロイの木馬は、密かにパソコンに隠れていて、何か、プログラムを実行したり、特定の日にちになると、実行されるといいますが、 やはり、パソコンに感染しているのでしょうか?ウイルススキャンをしても検出はされませんでした。アップデートもしました。 宜しくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- トロイの木馬?
こんばんは。いつもお世話になっております。 今回はトロイの木馬についてお伺いします。 今日、あるサイトを見ていたときに、突然 「トロイの木馬をブロックし、削除しました」と表示が出ました。 正確に言うと、別のサイトのリンクバナーをクリックした先のサイトで感染しました(感染しかけた?) 慌ててログを確認すると、 ファイル名:generic dropper. eu トロイの木馬 となっていました。 自分でも、トロイの木馬というのはどういうものなのか調べた結果、ファイルなどに偽装してそれをあけた瞬間に活動し始めるものみたいだということを知りました。 それとひとつ疑問に思うことがあります。 私はただサイトを閲覧していただけで、ファイルも何もダウンロードした記憶はありません。それなのにトロイの木馬に感染する事はあるのでしょうか? ファイルは削除され、スキャンをしても何も検出されるものはなく、大丈夫だと思いますが、ネットショッピングをよくするので、個人情報が漏れるということになると心配でたまりません。 使っているウイルスバスターはマカフィです。 ちなみに、検索したときに表示されるサイトの安全度は「安全」でした。(バナーの貼ってあるサイト) 皆様のご回答、お待ちしています。
- 締切済み
- ウィルス・マルウェア
お礼
回答ありがとうございます。 レジストリなどの修正で駆除するのは無理なようなので、OSを再インストールすることにしました。 お手数をおかけしました。 なお、ファイアウォールソフトは1つだけ使用が基本というのは私も承知していますが、ウイルスバスター2004だけのときに感染しましたので、その後BlackICE、WinWrapper3をインストールしてみました。 私の環境ではウイルスバスター2004、BlackICE、WinWrapper3ともに正常に動作し、強力に不正アクセスをブロックしています。 OS再インストール後もこの3つをインストールするつもりです。