• ベストアンサー
  • すぐに回答を!

ウィルススキャンでは検出できない何かが通信しています。

windows2000 SP4を使っています。調子が悪くなったのでクリーンインストールを行ったところ、ネットにつないだ瞬間(LANドライバを入れてNTTフレッツADSLの接続設定を行い回線をつないだ瞬間)から勝手に何かが通信を行っています。 ウィルスソフトを持っていないので、トレンドマイクロ、シマンテックのオンラインスキャンをしたところ (1)DOS_AGOBOT.GEN  (C:WINNT/SYSTEM32/DRIVERS/ETC/HOST) (2)WORM_AGOBOT.SZ  (C:WINNT/SYSTEM32/WINHELP32.EXEとSYSTEMCFG.EXE) (3)BKDR_SDBOT.DP  (C:WINNT/SYSTEM32/MSCONFG.EXE) (4)WORM_SDBOT.BR  (C:WINNT/SYSTEM32/WINGAMED.EXE) が検出されたのでトレンドマイクロのページの対処方法に従い、SAFEモードで起動し、感染したファイルを削除し、レジストリの ・HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices ・HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run ・HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run に存在した感染したファイルのついた値を削除しました。 再起動をかけ、もう一度ネットにつなぐとまだ勝手に通信が行われています。そのためもう一度オンラインスキャンをかけたのですが感染ファイルは発見されませんでした。 Macafeeのスティンガーや、SPYBOTでもスキャンしてみましたがなにも検出できませんでした。 どこに原因があるのかわかりません。皆様、対処方法など知恵をお貸しください。

共感・応援の気持ちを伝えよう!

  • 回答数5
  • 閲覧数293
  • ありがとう数8

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.3
  • de_vo
  • ベストアンサー率28% (148/523)

#1です。 間違えました評価版でしたm(__)m

参考URL:
http://download.zonelabs.com/bin/free/jp/products/zapTrial.html

共感・感謝の気持ちを伝えよう!

質問者からのお礼

見事に通信を行っている犯人が見つかりました。 winsys32.exeとsystemc32.exeが怪しく、winsys32は検索でウィルス情報が出ていたので削除、systemc32.exeは情報が見つからなかったのでブロックさせたところ勝手に通信をすることはなくなりました。zonealarm君はガンガンブロックしまくってます(笑)。 今のところ無事に(?)解決しました。ありがとうございます。

関連するQ&A

  • ウィルス感染BKDR_SDBOT.DP

    今日PCをリカバリーしてウィルスバスターにて検索スキャンした所BKDR_SDBOT.DPというウィルスがC:\WINDOWS\SYSTEM32\MSCONFIG.EXEから検出されました。トレンドマイクロのHPでみるとレジストリーキーの削除となっておりますが場所: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices 値 : Microsoft Update = "navmgrd.exe" 場所: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run 値 : Microsoft Update = "navmgrd.exe" 場所: HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run 値 : Microsoft Update = "navmgrd.exe" レジストリーにnavmgrd.exeはありません。どう削除したらよいか教えて下さい。

  • 以前の質問を見ても解決できないWORM_WINUR.C

    QNo.871519の「ウイルス?助けてください!!」 という質問と同じ状況になってしまいました。 (WORM_WINUR.Cでの被害です) 同じ状況なので、同じように C:\windows\winrun.exe C:\winnt\winrun.exe を手動にて削除と消去する。 regedit.exeで HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 「値:Windir = "C:\windows\winrun.exe」を削除 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 「値:Sysdir = "C:\winnt\winrun.exe"」を削除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 「値:winrun = "C:\windows\winrun.exe"」を削除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 「値:winur = "C:\winnt\winrun.exe"」を削除 という処理を行おうとしたのですが、肝心のファイルが レジストリエディタで開いても、隠しファイルも全て表示しても存在しません。 RUNのなかにあるのは、cffmon.exe と MsnMsgr というファイルしか見つかりません。 OSはXPなのですが、どうすればよいのでしょう? 教えてください。お願いします。

  • Trojan.Win32.FTP Attackが検出されたのですが・・・

    CAの無料スパイウェアスキャンで Trojan.Win32.FTP Attack というものが検出されました。 hkey_local_machine \software\microsoft\windows\currentversion\runといところから検出されたのですが、 CAの紹介サイトではHKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\reminderと掲載されていました。 これは誤検出というものなんでしょうか? OS Windows XP SP2 スパイウェア対策はヤマダ電機のオンラインスキャンをかける程度で対策ソフトは入れていませんでした。 よろしくお願いいたします。

その他の回答 (4)

  • 回答No.5

クリーンインストールをした時点で、SP4はインストールされてないんじゃないでしょうか? その時ネットに繋がっているならば、それだけでBlasterにやられちゃいますよね。 後からWindowsUpdateでSP4を当てても、感染したままと云う事になります。 私も以前その状態で感染したことがあります。 参考URLの方法で回避できました。 参考URLを参照してみてください。 外していたらごめん。

参考URL:
http://www.microsoft.com/japan/technet/security/virus/blasterE_nt4w2k.asp

共感・感謝の気持ちを伝えよう!

質問者からのお礼

あ、すみません。そうですよね。SP4はあたってませんね。とりあえず、blasterは検出されてませんが今後クリーンインストールするときに起こりえることですので注意いたします。 お答えいただきありがとうございました。

  • 回答No.4
  • emden
  • ベストアンサー率34% (148/425)

最初に感染されたウイルス/ワームはいずれもセキュリティホールを利用するタイプのようです。ファイアーウォールなし、セキュリティアップデートもなしでネットに接続すれば、こうなるのは、よくある話です。 不安でしたらもう一度クリーンインストールして、ネットに接続する前に、ファイアウォールをインストールし、ネットに接続し、Windowsupdateを実施、ウイルス対策ソフトをインストールしてアップデート実施で良いと思います。 ウイルス/ワームによる通信ならウイルス対策ソフトが検出してくれますし、そのほかのアプリによる許可されてない通信はファイアーウォールがチェックしてくれます。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

実はクリーンインストールを行う前に全てのexeファイルにウィルスが感染していたことがあり、最小限のプログラムだけで復旧を考えていました。ブラウザ等を立ち上げることなく、ただコネクトするだけで感染してしまうとは物騒な世の中になったものです。ISPに問題があるのでしょうかね。今は明らかにセキュリティ対策の弱いISP使ってますから。 次回から気をつけます。ありがとうございました。

  • 回答No.2
  • popesyu
  • ベストアンサー率36% (1782/4883)

ウィルスではなくてWindowsのAUTOUPDATEとかその類のものではないのでしょうか? それが何か確認したいのなら1番さんの仰る通り、ファイヤーウォールを入れれば宜しいかと。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

状況詳細はNo3にて。 確かに通信を繰り返していたプログラムはレジストリではwindows updateの項目に入っていました。これが正しいプログラムなのかどうかよくわかりませんがautoupdateは私には邪魔なので気にせず削除しちゃいました。この2つのプログラムについてご存知でしたら補足いただけるとありがたいです。 ご尽力いただきありがとうございました。

  • 回答No.1
  • de_vo
  • ベストアンサー率28% (148/523)

ZoneAlarmというソフトを導入されたらどうでしょう? ソフトがネットに接続しようとする度に確認の窓が開きます。 私はトライアルバージョンを使っていますが便利だと思いますよ。

参考URL:
http://download.zonelabs.com/bin/promotions/jp/zap/google.html

共感・感謝の気持ちを伝えよう!

質問者からのお礼

No3にてお礼いたします。

関連するQ&A

  • 初歩的な事ですみませんが

    XPセットアップ時の名前の変更をしたいのですが(ネットワークに表示される名前) たしかファイル名指定-regedit-HKEY_LOCAL_MACHINE-SOFTWARE-MICROSOFT-WINNT-CURRENTVERSIONの中あたりだったと思うのですが、 よろしくお願いします。

  • eTrust PestPatrolでスパイウエアを検出、対処方法がわかりません

    eTrust pestpatrol 2005を使って、スパイウエアのチェックを 行ったら、次の3つが検出されました。 HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\streams\185 HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\streams\184 HKEY_CURRENT_USER\software\microsoft\windows\currentversion\internet settings\zonemap\domains\media-motor.net これは、本当にスパイウエアなのでしょうか? Ad-Aware 、Spybotも使いましたが、何も検出されませんでした。 どう対処したらいいかよくわからず、困っています。 教えてください。よろしくお願い致します。

  • svchst.exeについての質問です。

    最近、「svchst.exe」がパソコン起動時に、設定を不正変更しようとしていて困っています。今のところ、ウイルスバスターが防いでくれています。 ネットで検索したところ、どうもウイルスらしいのですが、ウイルスバスターで検索をしてもヒットしないのでまだ感染はしていないということでしょうか? どうしたら「svchst.exe」が消えてくれるのかわからない状態です。 レジストリエディタで「svchst.exe」を探してみたら【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run】に[c:\WINDOWS\system32\svchst.exe]がありました。 これを削除すればいいのでしょうか? わかりづらい点あるかもしれませんが、よろしくお願いします。

  • レジストリの変更で不具合が起こる可能性

    自分はレジストリをいじったことはほとんどないのですが、レジストリを変更したことによって不具合が起こる可能性はあるのでしょうか?OSはWindows7です。 例えば、自分は現在次のレジストリを変更しています。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun また、レジストリ関連でもう一つ質問したいのですが、レジストリの作成、追加・削除方法は次の通りで合っていますか? 追加する場合、 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutoRun"=91 削除する場合、 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutoRun"=- これをそれぞれメモ帳に書いて、「.reg」ファイルとして保存する。 これらのレジストリを適用する場合、「.reg」ファイルをダブルクリックする。 回答よろしくお願いします。

  • Trojan.Blusodによって壊された部分を修復するには?

    Trojan.Blusodによって壊れてしまった部分を修復したいのですが。 下記の方法を教えてください。 必要な場合は、次のレジストリエントリを以前の値へ復元します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier\"InstallationID" = "[ランダムな CLSID]" HKEY_CURRENT_USER\Control Panel\Desktop\"ConvertedWallpaper" = "%System%\ph[ランダムな文字].bmp" HKEY_CURRENT_USER\Control Panel\Desktop\"SCRNSAVE.EXE" = "%System%\blph[ランダムな文字].scr" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"NoDispBackgroundPage" = "0" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"NoDispScrSavPage" = "0" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\"DisableSR" = "0" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr\"Start" = "0" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr\"ImagePath" = "*system32\DRIVERS\sr.sys*" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr\Parameters\"FirstRun" = "0" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\"Start" = "0" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\"ImagePath" = "*system32\DRIVERS\sr.sys*" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters\"FirstRun" = "0" HKEY_CURRENT_USER\Control Panel\Colors\"Background" = "0 0 255" HKEY_CURRENT_USER\Control Panel\Desktop\"ScreenSaveActive" = "1" HKEY_CURRENT_USER\Control Panel\Desktop\"TileWallpaper" = "0" 症状としてはトロイが入ったためにまずシステムの復元ができなくなりその後壁紙の変更ができず壁紙に Warning! Spyware detected on Your computer!・・・・・・・・・・・・etcというJoke Bluescreenが出たままになってます。ノートン(期限が切れている)のウィルススキャンによって探してもらったのですが駆除ができなかったのでカスペルスキーによって駆除しました。が依然として壁紙の変更やスクリーンセーバーは壊されたままです。リカバリーをすれば直ると思いますがインストールしたソフトがもう手元にないものもあり何とかこの状態で修復しなければなりません。どなたかよいアドバイスをお願い致します。 OS Windows XP Home Editionです

  • レジストリの値について

    最近、PCを起動したらNortonのプロセスの ccApp.exeがうまくあがらないので、 レジストリエディタを見てみたらHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 配下にServicesという名称で、 C:\WINNT\system32\1.tmpへパスをはっているものがあります。 これって必要なものなのでしょうか? 現在system32配下には1.tmpは見えないのですが。 ちなみにウィルススキャンしてもなにもでてきません。 OSはwindows2000SP4、 ウィルスソフトはNortonAntiVirus2006です。

  • ユーザごとでキーボードマップを変える

    ユーザごとでキーボードマップを変えるために以下のことを考えました。 (i)ログオン後に変更したHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard LayoutのScancode Mapを再取得する (ii)Winlogon.exe(前述のレジストリを読み込んでいるプログラム)が起動する前にレジストリを変更する (i)については全く見当がつかないのであきらめました。 (ii)について二通りのやり方を試しましたが失敗しました。 ・HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runにレジストリを追加するプログラムを追加 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runならシェルが起動する前に実行してくれるのでできるのではと思ったが、これも失敗) ・ログオンスクリプトから起動 当方Windows Vista SP2です。 よろしくお願いします。

  • ちょっと気になる

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runの中身にあるものすべて削除していいのですか? 削除してはいけないものもあるんですか?

  • Spybotでスキャンした後に・・・

    既出でしたら申し訳ありません。 質問ですが、スキャン後に下記の様な結果が毎回出ます。 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-21-1337047737-2646722632-2268318136-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (レジストリ変更, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 これは、削除しても良いのでしょうか? 初心者なので良く分かりません。 どなたか良いアドバイスをお願いします。

  • XPデフォルトフォントの復元の仕方。

    XPデフォルトフォントの復元の仕方。 誤ってXPに標準で入っているフォントを削除してしまいました。 レジストリエディタから復元できるそうで、 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Fonts をたどっていたのですが、 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion は見つかるのですが以降の[Fonts]部分が見つかりません。 原因などご存知の方いらっしゃいましたらアドバイスよろしくお願いいたします。 また、ほかに復元などの方法をご存知の方も宜しくお願いいたします。