こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

トロイの木馬の削除の仕方を教えてください

トロイの木馬に感染しました。NTTのウイルスセキュリティを導入し駆除しましたが、「対処ができないウイルスに感染しているファイルがあります。隔離又は削除してください」という表示が出ます。
ファイル名:twex.exe(場所C:\WINDOWS\SYSTEM32\)
脅威名:TROJ_GEN0X0414S
種類:Generic というものでした。

ネットで調べてトレンドマイクロのサポートページを基に、Ctrl+Alt+Delでタスクマネージャー、プロセスを表示しましたが、ファイルが見当たりません。
また、エクスプローラーで上記「場所」SISTEM32の中を検索機能を使って検索しても「twex.exe」というファイル名が見当たりません。
 それで、(1)感染しているファイルの探し方と、(2)見つかった場合の対処法を教えてください。
 なお、パソコンはwindows XPです。また、パソコン操作は苦手ですので素人にもわかるように教えてください。
 よろしくお願いします。

投稿日時 - 2009-09-13 14:04:34

QNo.5286202

すぐに回答ほしいです

質問者が選んだベストアンサー

 お使いのセキュリティソフトは恐らく Trend Microのウィルスバスター
系統ではないかと思います。

http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1412819179


>パソコン操作は苦手ですので素人にもわかるように

 質問者さんが何処まで処置済みかは別にして、上記サイトの回答にある
手順を WinXPで具体化すると、以下のような感じでしょうか。


>(1)感染しているファイルの探し方

1 デスクトップ上の「マイコンピュータ」アイコンをダブルクリックし
  C:ドライブのアイコンをダブルクリックして C:\ドライブを開く
  Windows フォルダから SYSTEM32 フォルダまで同様にして開く

  或いはタスクバー左のスタートを左クリック→「エクスプローラ」を
 起動し、同じ要領で SYSTEM32 フォルダまでを開く


2 「表示」メニュー → 「並び替え」で「名前」と「昇順」にチェック


3 次に「ツール」メニューから「フォルダオプション」を開く
  「表示」タブをクリックして「詳細設定」枠内の…、

 ファイルとフォルダの表示
  ◎すべてのファイルとフォルダを表示する

 …にチェックを入れ、また、

 □登録されている拡張子は表示しない
 □保護されたオペレーティング システム ファイルを表示しない

 …のチェックを外す


 以上は質問者さんも既に実行済みの可能性が高いですが、これで全ての
ファイルが表示されるようになるはずです。
 ただし、感染したマルウェアの種類によっては見つからないことも多い
のが現実のようです。
 その場合、上記サイトを参考にした対応では無理と言うことでしょう。


>(2)見つかった場合の対処法

1 PCをセーフモードで起動する
  お使いの PC の機種によって違いがあるようなのですが、一般的には
 電源を投入してモニター画面にメーカーのロゴが表示されているうちに
 「F8」キー連打によって起動するのが普通で、多少のコツが必要です。

  因みに「F2」キーの連打は、一般的に BIOS メニューが起動します。


2 全出 「(1)感染しているファイルの探し方」の説明と同じ手順により
 C:\Windows\System32 を開いて「twex.exe」が見つかったら(フォルダ
 オプションによりファイル名の表示をアルファベット順にしているので
 探し易いはず)、該当ファイル上で右クリックして、表示メニューから
 削除する


 以上です。しかし、これで改善するかどうかはやってみなければ分かり
ません。
 どうしても「twex.exe」というファイルが見つからない場合は、別解と
して、次のオンラインスキャンも試してみることを提案しておきます。

Panda ActiveScan(スパイウェアの検出に強いらしい)
http://www.ps-japan.co.jp/homeuser/content0001.html

参考URL:http://yam5.com/yama/newpage128.html

投稿日時 - 2009-09-13 18:50:37

お礼

Niwatori-Sanpoさんご回答ありがとうございました。
参考URLのパソコン画面と、我が家のパソコン画面が同じ表示でした!!誤検出のアプリケーションだったということですよね。
ひとまず安心しました。
感染ファイルの探し方や対処法までとてもわかりやすく説明していただき、とても感謝しています。
本当にありがとうございました。

投稿日時 - 2009-09-13 23:47:39

このQ&Aは役に立ちましたか?

3人が「このQ&Aが役に立った」と投票しています

回答(6)

ANo.6

ハイ(ミドル?)テク ウイルス キタコレ (ワラ

ルートキッズにあぷだてに、検出回避に、キスレコダ
やるじゃん。怖い時代になってきたねぇ。

>見つかった場合の対処法を教えてください。
PC買い替え

投稿日時 - 2009-09-14 17:47:01

お礼

ホント怖いです。
ご回答ありがとうございました。

投稿日時 - 2009-09-14 22:07:30

 No.3です。

>誤検出のアプリケーションだったということですよね。

 いえいえ、誤検出かどうかは分かりません。

 参考 URLにあるの画面と同じ画面というのは、質問者さんの PC にも
「TROJ_GEN.0X0414S」を誤検出するというソフト「レジスター 1.3」や
yamaのソフトウェアがインストールされていると言うことですか?

 そのアプリケーションに心当たりがあるなら、確かにここに書かれて
いることに該当していると思います。

 ただし、そうであるにしても誤検出を主張しているのはソフト制作側
であり、あくまでトレンドマイクロ側が当該ソフトの中にトロイの如き
挙動を認めてソフト制作側からの濡れ衣主張を却下するなら、どちらの
主張に与するかというその後の対応は、質問者さんの判断に委ねられる
でしょう。

 ボットウイルスかどうかは何とも言えませんが、もしその類だったら
あんまりのんきなことも言っていられません。
 system32 フォルダの中に No.4さんご指摘の変身ファイルが存在して
いないか確認し、見つかったら削除に努めることをお勧めします。
 その場合、もし「レジスター 1.3」を使用しているなら、その継続は
諦めざるを得ないと思います。

投稿日時 - 2009-09-14 06:56:32

お礼

恐ろしいことになったと混乱しています。
リカバリーしたいと思います。
ご助言ありがとうございました。

投稿日時 - 2009-09-14 22:05:26

ANo.4

No.3へのお礼に対して
sima3_2009さん、酷なことを書くようですが、
「参考URLのパソコン画面と、我が家のパソコン画面が同じ表示でした!!誤検出のアプリケーションだったということですよね。」
とんでもない早とちりです。
ファイル名:twex.exe(場所C:\WINDOWS\SYSTEM32\)は、誤検出という事は無く、検出された時点でアウト!です。

『検索しても「twex.exe」というファイル名が見当たりません。』
ごもっともです。
今年の1月時点で
http://www.TrendMicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FZBOT%2EAFT&VSect=Td
という内容です。
>「この不正プログラムは、ルートキット機能を持ち、ファイルおよびプロセスの隠蔽を行ないます。」
また、
>「不正プログラムは、システムのプロセスに常駐する過程で正規のプロセスの "WINLOGON.EXE" および "SVCHOST.EXE" に自身を組み込みます。 」
ということから、感染を推測することはできます。本体をチェックできないからTSPY_ZBOT.AALと同一と断定できず、Generic
http://esupport.TrendMicro.co.jp/Pages/JP-2059770.aspx
の名前で表示している訳ですね。
ファイルの"WINLOGON.EXE" および "SVCHOST.EXE" が感染している訳ではありません。Windows起動時の仕組みを変えているのです。

だから、NTTのウイルス対策ソフト(TrendMicroのOEM)が『対処ができないウイルスに感染しているファイルがあります。』
と、白旗を揚げているのです。

別の海外セキュリティサイトには、ウイルス対策ソフトを検出して、自分自身を適応変化させるとか、インターネットアップデート機能があるなどと書かれていました。
ダウンロード機能を持ち、他のマルウェアをダウンロードして機能を向上できます。
キー入力を監視するキーロガー機能を持ち銀行への接続を監視したり、ボットネットへ参加する機能を持っているようです。
BOTNETとは、
https://www.ccc.go.jp/bot/index.html

以下、別のサイトにあった、twex.exeがとりうる別名です。
44256586.EXE
06831387.DLL
06831387.DLL
40291092.DAT
40291092.DAT
91524992.SVD
91524992.SVD
52684205.EXE
52684205.EXE
77938746.EXE
77938746.EXE
21262557.EXE
21262557.EXE
VRT94.TMP
VRT94.TMP
VRT1.TMP
VRT1.TMP
VRT39.TMP
VRT39.TMP
VRT15.TMP
VRT15.TMP
ZEUS_BINARY_06547E5E6A33131FBFB5B5E0771FA12C.EXE
ZEUS_BINARY_06547E5E6A33131FBFB5B5E0771FA12C.EXE
UPDATE.EXE
UPDATE.EXEを
52126478.SVD
52126478.SVD
67786541.EXE
67786541.EXE

銀行口座のID・パスワードが盗まれるのはあなたの被害で済むでしょうが、BOTNETはみんなの迷惑です。

確実な対処方法は、フォーマット&再インストール(リカバリー)です。
納得いかないと思いますので、明朝TrendMicroのサポートに、この件を確認してください。
リンク先のサイバークリーンセンターの
駆除ツール「CCCクリーナー」も、TrendMicroのOEMですが、これが効果があるかどうかはわかりません。
https://www.ccc.go.jp/flow/index.html

投稿日時 - 2009-09-14 02:21:47

お礼

ご連絡ありがとうございました。おそろしくなりました。
すぐ、リカバリーしたいと思います。
ありがとうございました。

投稿日時 - 2009-09-14 22:02:24

ANo.2

こちらを使ってみてください。

http://www.bitdefender.jp/scan8/ie.html

投稿日時 - 2009-09-13 14:40:56

補足

ご心配いただいたウイルス感染は、どうもウイルス対策ソフトの誤検出だったようです。
one-momentさんにpcスキャン利用の仕方をお尋ねしましたが、当面しなくてすみそうです。
ご心配をおかけしましたm(_ _)m。

投稿日時 - 2009-09-13 23:48:48

お礼

ご回答ありがとうございました。
早速利用してみようと思い、利用規約を読みましたが、有料と書いてありましたので、ちょっとためらっているところです。
無料のPCスキャンを利用ためには、利用規約に同意して、30日トライアルのダウンロードをすればよろしいのでしょうか?
本当に何もわからず初歩的な質問で申し訳ありません。
よかったら、また教えてください。

投稿日時 - 2009-09-13 22:43:22

ANo.1

>見つかった場合の対処法を教えてください

以下のサービスを利用するのがベストです
(ソフトウェアサポート リカバリー)
http://www.yamada-denki.jp/sevice/d_support/pc005.html

投稿日時 - 2009-09-13 14:22:27

お礼

ご回答ありがとうございました。
こういうサービスがあることを知りませんでしたので、とても参考になりました。
もう少し、自分でできるところまでやってみて、ダメだった時は、このサービスを利用したいと思います。
ありがとうございました。

投稿日時 - 2009-09-13 22:23:22

あなたにオススメの質問