ここから本文です

トロイの木馬等のウイルスに感染しました 海外サイトから拾ってしまったと思われ...

x0_********さん

2008/12/2815:52:45

トロイの木馬等のウイルスに感染しました
海外サイトから拾ってしまったと思われます。
PCはXPでマカフィーを入れているのですが、海外サイトを閲覧中
「トロイの木馬を削除しました」
というポップが出ました。

(一瞬のことだったので、実際の表示は“隔離”だったかもしれません)

マカフィーを確認したところ、トロイの木馬は隔離されていたのですが
Generic PUP.zという名前のプログラムが「完全に削除出来ません」と出ていました。
場所はC:\Program Files\ShopGuide\shpsv.dllと出ていたのですが、直接削除しようとしても出来ませんでした。

翌朝、IEを開いたところ英語の警告文?が出てきて、それがTrojan:Win32/FakeXPA.というウイルスだとわかったので、
インターネット一時ファイルを削除し、そのサイトを見る前の日にシステム復元をしました。

後日トレンドフレックスのオンラインスキャンをしたところ、
ウイルスTROJ_VUNDO.DJHが2箇所から
スパイウェアADW_REWARDNETとAdware_BHJK_Webguide
が発見され、このオンラインスキャンで駆除しました。
もう一度スキャンしてもウイルスは発見しませんでした。


カスペルスキーのオンラインスキャンでは
C:\Documents and Settings\○○\Local Settings\Temporary Internet Files\Content.IE5\J11OTNQR\InstallAVg_770522151155[1].exe
感染: Trojan-Downloader.Win32.FraudLoad.veti

C:\Documents and Settings\○○\Local Settings\Temporary Internet Files\Content.IE5\LBMDI1UB\InstallAVg_770522151155[1].exe
感染: Trojan-Downloader.Win32.FraudLoad.veti

C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll
感染: not-a-virus:AdWare.Win32.MyWay.aj

C:\System Volume Information\_restore{EB1F2FB1-04C4-4326-B758-F69885982815}\RP1078\A0107697.exe
感染: Trojan-Downloader.Win32.FraudLoad.veti

C:\System Volume Information\_restore{EB1F2FB1-04C4-4326-B758-F69885982815}\RP1079\A0108355.exe
感染: Trojan-Downloader.Win32.FraudLoad.veti

C:\System Volume Information\_restore{EB1F2FB1-04C4-4326-B758-F69885982815}\RP1079\A0108365.dll
感染: Trojan.Win32.Monder.afwb

と出ました。


シマンテックのオンラインスキャンでは
C:\Documents and Settings\○○\Local Settings\Temp\AcrE4F6.tmp は Bloodhound.Exploit.196 に感染しています。
と出たので、こちらは直接削除しました。

初めてのウイルスでいい対処方法がわかりません。
今は復元を無効にしています。
リカバリー以外で何か対処法はありませんでしょうか?
ソフトも色々あって、どれを使えばいいかわかりません。

よろしくお願いします。

補足リカバリは、パソコンの所有者である父が嫌がっているのでそれ以外の方法を教えていただければ嬉しいです。
リカバリするように説得はしましたが、所有者でない私には権限がありませんので…申し訳ないです。

閲覧数:
9,253
回答数:
5
お礼:
25枚

違反報告

ベストアンサーに選ばれた回答

cra********さん

2008/12/2820:02:22

その「パソコンの所有者である父」というのは
子供の、x0_0xhitugivkadukiさんに
PCだけ買い与えて、何の管理もしない
「ハゲおやじ」ということかーっ(-_-#)
弱みを握られているのね(i_i)

本当は、「リカバリ」が最良策ですね
それも受け入れないなら、「ハゲおやじ」に出費させて
信頼できそうな「プロの駆除業者」に依頼を説得してください

それも認めないなら、駆除ツールで自己解決するしかないね
本来、その「ハゲ」にやらせたいけど
できそうもない「能無しハゲ」の場合は
x0_0xhitugivkadukiさんが、試行する必要があります
あなたが、できる限り情報を提示してくれたので
何とかなるかもしれません

1)C:\Program Files\ShopGuide\shpsv.dll は
Unlockerで削除してみましょう(JP対応してます)
Unlocker使用方法:
http://fine.tok2.com/home/heto2/0404Unlocker/0001.htm

2)Trojan:Win32/FakeXPA とは、Microsoftの命名ですが
それは、昨今流行している「偽セキュリティソフト」の呼称です
http://onecare.live.com/standard/ja-jp/virusenc/VirusEncInfo.htm?Vi...

3)カスペルスキーのオンラインスキャン結果は
下記、3項目は、システムの復元を無効にしているので的確な対応です
上記、3項目の、
InstallAVg_770522151155[1].exe
InstallAVg_770522151155[1].exe
deSrcAs.dll
は、「Antivirus 2009(360)」というフェイクのインストーラー関連です
--------------
駆除方法
まず、IE7の場合、インターネットオプション→詳細設定→リセット
でIE7の設定を初期状態に戻します
IE6の場合、アドオンを全て、無効にして、一時ファイル、Cookie
を削除してください

ツール駆除します
1)ダウンロード直リンク:実行せずPCに保存後、実行
必ず、上から実行してPC再起動、
改善されれば以降ツール実行の必要なし
「Malwarebytes' Anti-Malware」
http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe
使用方法:
インストール後
Updateタブで
Check fot Update
Scannerタブで
Performe Quick Scan にチェック
Scan
エラーが出てもOKで続行
The Scan Completed---
OK
Show Results
全てにチェックされているのを確認して、Remove Selected
削除ログが表示されるので閉じる
EXIT→PC再起動

2)「VundoFix」:OSフォルダ、レジストリ修復特化
http://www.atribune.org/ccount/click.php?id=4
Scan for VUNDOボタンをクリック→指示に従う
PC再起動

3)「VirtumundoBeGone」:悪質BHO修復特化
必ず、<セーフモード>で実行すること
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
実行→Continue→Start→はい(Y)
削除ログが出るので閉じてPCを再起動

unagiinu_hamamatsuさんが教えてくれた
「SmitFraudFix(要セーフモード実行」)」
「SUPERAntiSpyware」も、有効に働くツール候補です

改善されても、されなくても
カスペルスキーエンジンの検知、駆除を実行する
IEを使用、ActiveXのインストール、実行を許可すること
@nifty Online Scanner(Kaspersky OEM)
http://www.nifty.com/security/vcheck/kav/kavwebscan.html
スキャン後、PCを再起動で状態を判断してください

改善されない場合は、ハゲに出費させて「駆除業者依頼」
無料で済ませたいなら「リカバリ」ですね
それでもダダこねたら「ハゲ頭」にPCを叩きつけて
x0_0xhitugivkadukiさんが自力でPCを入手するしかありません(T_T)

質問した人からのコメント

2008/12/29 23:42:54

皆様、回答有難うございました。

マカフィーでセーフモードでスキャンしGeneric PUP.zを無事隔離→削除出来ました。
deSrcAs.dllはコンパネにMy Way Search Assistantがあり無事削除することが出来ました。
試してきた全てのスキャン、@nifty Online Scannerでウイルスは見つかりませんでした。
本当に感謝してもしきれません。

ベストアンサーを選ぶのを悩みましたが、crara6さんのお言葉が大変嬉しかったので選ばせていただきました。
本当にありがとうございました。

ベストアンサー以外の回答

1〜4件/4件中

並び替え:回答日時の
新しい順
|古い順

una********さん

編集あり2008/12/2820:47:27

(1)リカバリが確実
とりあえず、システムの復元を無効状態にしているのなら、C:\System Volume Information以下のウイルスは検出されなくなっているはずです。

(2)人力でウイルス駆除をしてくれる所を探してください。タウンページ等で「有償の」パソコン修理業(ソフトウェアに強いところね)に依頼してみればできるかもしれません。
アダ被に依頼する方法もありますが、あなた自身も様々なツールを使ったりしてログをとったりしないといけないので、ちょっと大変な作業です(正直、リカバリのほうがらくだと思います)
http://bbs.higaitaisaku.com/cbbs.cgi

(3)vundo系とのことなので、駆除が完全にできるかは不明ですが
☆SmitFraudFix
http://wiki.higaitaisaku.com/wiki.cgi?page=SmitfraudFix+%A4%CE%BB%C...
必ず【Windowsをセーフモードで】起動します←重要
☆SUPERAntiSpyware
http://www.softnavi.com/superantispyware.html
☆Malwarebytes' Anti-Malware
インストール・アップデート手順は下記URL
http://www.ecowings.com/photo1013.html を参考に
以下、最新にした後の駆除手順です。
1.「Scanner」タブをクリック
2.「Perform quick scan」(初期設定)を選択
3.「Scan」ボタンをクリック
4.スキャン終了後「Show Results」をクリック
5.全項目にチェックが入っているのを確認して「Remove Selected」をクリック

この3つで駆除できるかもしれません。
なお、全てadministrator権限のあるアカウントで作業してください。

追記)
一カ所見落としていました。
>インターネット一時ファイルを削除し、そのサイトを見る前の日にシステム復元をしました。
システムの復元をしているのなら、ブラウザ起動と同時に発動するDLLは動かなくなっているはず(BHO感染していない状態)
IEのキャッシュ削除をして
C:\Documents and Settings\○○\Local Settings\Temporary Internet Files\Content.IE5\J11OTNQR\InstallAVg_770522151155[1].exe
C:\Documents and Settings\○○\Local Settings\Temporary Internet Files\Content.IE5\LBMDI1UB\InstallAVg_770522151155[1].exe
を削除。

C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll
これは
http://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=166
を見るとコントロールパネル内の[プログラムの追加と削除]でコンパネからの削除が可能。
---
・My Way Search Assistant
・My Search Bar
・MyWay Speed Bar
・My Web Search
などの名前。また、Fun Web Products Easy Installerを入れられることがあるので、これもコンパネから削除。
---
もし、プログラムの追加と削除項目がなく、アンインストールできないのなら
HiJackThisをインストール (Download HiJackThis Installer)
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijack...

セーフモードでWindowsを起動し、HiJackThis起動してスキャンしたら
R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll
O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll
の二つ(もしくはC:\Program Files\MyWaySA\を含むエントリ)にチェックしてFix(エントリがなければ無視して構いません)
その後、通常モードで起動したらC:\Program Files\MyWaySA\フォルダごと削除してみてください。

tra********さん

2008/12/2817:12:17

今回の場合は、あなたにとって不本意かも知れないですが、すぐにリカバリした方がよいです。

というのは、システムの復元のファイルにもウイルスが入っているし、
不正なアドウェアが残っていて、それもきちんと処置してないようです。

一度全部リセットする意味で、パソコンをリカバリしてください。

リカバリしないで、処置しようしたら、別のウイルスに入り込まれて、
最終的にはあなたがコントロールできないような状態になるでしょうね。

pok********さん

2008/12/2816:23:46

まずマイクロソフトから「悪意のあるソフトウェアの削除ツール」を入手してください。
http://www.microsoft.com/downloads/details.aspx?FamilyId=AD724AE0-E...

その後、セーフモードで起動し、
「マカフィー」及び「悪意のある~」で完全スキャンを行ってください。

セーフモードでの手動スキャンを実行する方法
http://www.mcafee.com/Japan/mcafee/support/faq/answer_f_spec.asp?wk...

tom********さん

2008/12/2816:04:59

完全に除去するならウイルス本体をもう一度捕まえてきてリバースエンジニアリングで解析し、何をされたか調べるのが確実です
普通はシステムの再インストールをします

みんなで作る知恵袋 悩みや疑問、なんでも気軽にきいちゃおう!

Q&Aをキーワードで検索:

Yahoo! JAPANは、回答に記載された内容の信ぴょう性、正確性を保証しておりません。
お客様自身の責任と判断で、ご利用ください。
本文はここまでです このページの先頭へ

「追加する」ボタンを押してください。

閉じる

※知恵コレクションに追加された質問は選択されたID/ニックネームのMy知恵袋で確認できます。

不適切な投稿でないことを報告しました。

閉じる