こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

AGOBOT.AGAが何度も発見されます

使用OSはWinsows2000 SP4(Windows Updateで最新パッチ適用済)。その他、ウィルスバスター2005、Ad-Aware SE、Spybot-S&D、SpywareBlasterを定期的にアップデートして使用しています。
インターネットには、CATVで接続しています。
3月7日14時頃から、WORM_AGOBOT.AGAを1時間おきぐらいにウィルスバスターがリアルタイム検索で発見し、隔離処理することを繰り返すようになりました(ログでは「隔離済み(安全です)」)。ちなみにその時間帯には、メールの送受信は行っていませんでした。
隔離処理後に、ウィルスバスターでウィルス検索を実行しても、何も発見されません。また、レジストリは改変されていないようでした。タスクマネージャのプロセスでも、winserv.exeは見つかりませんでした。
しかし、Symantec Security Checkでウィルスチェックしたところ、C:\WINNT\system32\sys.exeがBackdoor.Trojanに感染していました。タスクマネージャのプロセスでみると、sys.exeが稼動しています。
レジストリには、感染ファイルを参照しているレジストリ値はありませんでした。
そこで、セーフモードで感染ファイルのsys.exeを削除し、ゴミ箱も空にしました。インターネット一時ファイルとCookieも削除しました。
再起動後に、ウィルスバスターとSymantec Security Checkでウィルス検索を実行したところ、ウイルスは発見されませんでした。
ところがその後も30分~1時間おきに、ウィルスバスターのリアルタイム検索でWORM_AGOBOT.AGAが発見され、隔離処理することを繰り返しています。
このWORM_AGOBOT.AGAは、いったいどこから送り込まれてくるのでしょうか?考えられる対策は一通りやってみたつもりですが解決せず、本当に困っています。
アドバイスをよろしくお願いします。

投稿日時 - 2005-03-09 12:29:38

QNo.1259292

すぐに回答ほしいです

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(2)

ANo.2

レジストリの改修はしましたか?

いくらファイルを削除しても、アクセスするたびに侵入するための命令文が残っている限りは、
アクセスするたびに侵入してくると思います。

WORM_AGOBOT.AGA Solution(説明・英語)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FAGOBOT%2EAGA&VSect=Sn

シマンテックで検出したウィルスについては次の通りです。

Backdoor.Trojan
http://www.symantec.com/region/jp/avcenter/venc/data/backdoor.trojan.html

ですから、僕の考える現象としては次の順序で入っていると思います。

Backdoor.TrojanがWORM_AGOBOT.AGAの侵入の手助けをして、ウィルスバスターが検出して隔離していると考えます。

ですから、Backdoor.Trojanの対策をして、その後WORM_AGOBOT.AGAの対策を実行してみてください。

投稿日時 - 2005-03-09 13:47:45

補足

申し訳ありません。
Backdoor.Trojanに感染していたファイルは、sys.exeではなくC:\WINNT\system32\sks.exeでした。

投稿日時 - 2005-03-09 20:40:28

お礼

早速のご回答有難うございます。なぜかしばらくこのページを開くことができず、お礼が遅くなってしまいました。
トレンドマイクロ WORM_AGOBOT.AGA Solution(説明・英語)
シマンテック Backdoor.Trojan
上記の駆除方法に記載されているレジストリで、感染ファイルを参照している値はありませんでした。
しかし再度詳しく検索すると、Backdoor.Trojanに感染していたsks.exeファイルがHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SockDfdzのImagePathにレジストリ値として設定されていました。これも削除しても良いのでしょうか?
よろしくご教示をお願いします。
あと、繰り返しWORM_AGOBOT.AGAのファイルが発見されるドライブを共有する設定にしていましたので、とりあえず「共有しない」設定にしてみました。
これも、有効な対策になるでしょうか?

投稿日時 - 2005-03-09 20:45:43

ANo.1

過去の記事に類似したのがありました。
参考となれば幸いです。

http://oshiete1.goo.ne.jp/kotaeru.php3?q=863918

参考URL:http://oshiete1.goo.ne.jp/kotaeru.php3?q=863918

投稿日時 - 2005-03-09 13:02:58

お礼

早速のご回答有難うございます。なぜかしばらくこのページを開くことができず、お礼が遅くなってしまいました。
お教えいただいた過去の記事を読ませていただきました。繰り返しWORM_AGOBOT.AGAのファイルが発見されるドライブを共有する設定にしていましたので、とりあえず「共有しない」設定にしてみました。これで侵入されないようになれば良いのですが・・・。

投稿日時 - 2005-03-09 20:22:34

あなたにオススメの質問