トロイの木馬が削除できません

No.1のJohn_Papaです。 まだこの質問は締め切られてないんですね。 昨日配信のニュース 「わずか1カ月間に国内の1250サイト以上感染 - 「Gumblar」が猛威」 http://www.security-next.com/011513.html カスペルスキーでは、 「従来のガンブラーと比較して、調査を阻害するような機能が強化されていることが確認されています。このため、現時点ではほとんどのウィルス対策ソフトが対応できていない状態であり、十分な注意が必要です。 カスペルスキー製品では、現在出まわっている 新型 Gumblar に対応していますので、感染の確認ならびに駆除を行うには、評価版をご利用ください。」と呼びかけている。

チェックスクリプトを書いてみました。 ---------------------------------------------------------------------------------------------------- agc.phpについて このスクリプトはGumblar.xというウィルスのサーバ側のチェックプログラムです。 PC側の汚染は、各種ウィルスチェッカでできると思いますが、このウィルスはサーバに設置された各種HTML・javascript・PHPに寄生します。 このagc.phpはウィルスの駆除はしませんが、簡易チェックをするためのツールです。 汚染された可能性のあるファイルを検査して表示します。Gumblar.xが持つ特徴的な部分に対してチェックをしていますので、完全ではないかもしれませんが警告が出たら入れ替えるか疑ってみてください。 ■とても大事なことです このスクリプトはPHPでできています。私自身プログラマではないので気の利いたコードではないと思います。 ですが、このスクリプトの性格上、これに悪意のある改ざんをされると、とんでもない事になります。 このような理由で、配布は禁止します。唯一 http://www.amadare.co.jp からダウンロードした物だけが信頼性がある物と考えてかならずここからダウンロードしてください。 リンクはフリーでかまいません。アーカイブを配布することはご理解の上、ご遠慮ください。 ■設置方法 FTPなどでagc.phpをサーバにアップしてください。できればindex.htmlがある階層がいいですね。 そしてブラウザから、 設置したドメイン/agc.php にアクセスしていただければ完了です。

No.1のJohn_Papaです。 対処方を書き忘れていました。 対処法は、Gumblar別名ＧＥＮＯウイルスに準じます。 「GENOウイルスまとめ」 http://www29.atwiki.jp/geno/ 「通称「GENOウイルス」・同人サイト向け対策まとめ」 http://www31.atwiki.jp/doujin_vinfo/ ＰＣに発症する症状も様々で、全く気付けないものも有ったようです。 レンタルホームページサーバー管理会社のＰＣが感染し、そのＰＣで改ざん対応や点検を行ったため、多くのサーバー利用者が未感染でホームページを改ざんされたケースが有りました。 また、Gumblarウイルスは1週間程度で新しいものが発生し、セキュリティソフトが全種を検出可能かどうかはわかりません。 自分のＰＣのGumblar感染のチェックとして、コマンドプロンプトを起動し、netstat /b というコマンドを実行されることを推奨いたします。 このコマンドは、どのプログラムがどのポートを使ってネット接続したかを表示します。 IEXPLORE.EXEとかalg.exeとかセキュリティソフトのアップデートなど既知のソフト以外が接続していないか簡易的に調べる事ができます。ＧＥＮＯウイルス感染ＰＣにてcmd（コマンドプロンプト）が起動できない症例が有ったのは、このチェックを妨害する目的であったろうと推測します。 netstat /b 5 とすると５秒ごとに自動更新します。Ｃドライブのルートにnetstat.txtというログを取るには、netstat /b 5 >c:\netstat.log とし、この場合はコマンドプロンプトウインドにはデータ表示されるべきものがc:\netstat.logに書き込まれウインドには表示されません。終了は[Ctrl]+[C]を押します。 ＰＣ起動中に何度か繰り返し、これで、ネット接続するプロセスがわかりますので、インターネットで検索して正常と判断できるものばかりであれば、ＰＣに感染が無い可能性は高くなります。サイトの管理会社と連絡を取り協力して再改ざんが起こらないように対策を進めてください。 不明なプロセスが見つかる場合、たとえば、http://www.processlibrary.com/ja/などのプロセス検索サイトで検索して全く不明のプロセスとか危険性の高い物が見つかるようだと、セキュリティソフトでも検出できないようですからリカバリー（クリーンインストール）しか手立てが無いと思われます。 そのプロセスのファイルをVirustotal　http://www.virustotal.com/jp/　にアップロードして、対応可能なセキュリティソフトがあるかどうかくらいは解かります。

No.1のJohn_Papaです。 追加コメントしておきます。 昨日のニュースに、Gumblarドメインが復活して活動中であることが掲載されておりました。 http://www.computerworld.jp/topics/vs/167069.html 今年の春、改ざんされたサイトを閲覧した際に感染したＰＣが発症（ＩＤ・パスワード盗難）を免れていたとしても、未処置のまま使い続けていたら発症（ＦＴＰ管理サイトの改ざん）する可能性があります。 つまり、最近感染したのではなく半年ほど前の感染が原因という事も有り得ます。 No.1に記載したスクリプトは、今までのものとは全く違います。 かつての、JSRedir-Rではセキュリティソフトavast!が非常によく検出していたのですが、 今回のスクリプトではavast!は無反応、Virustotalにて 　AntiVir HEUR/HTML.Malware 　Kaspersky Trojan-Downloader.JS.Gumblar.x 　McAfee-GW-Edition Heuristic.HTML.Malware の３社が検出できるのみでした。 　K7AntiVirus（ウイルスセキュリティＺＥＲＯ）では検出できておりません。 http://www.virustotal.com/jp/analisis/40d3c14b4a14c824b2f57186ed1140a45a295f22d3cf09f1667197fa6816f4be-1257497300

http://okwave.jp/qa5422697.html の#1以外をご覧になってください。

◆Windowsの復元機能を使えば解決すると思います。 具体的には セーフモードでのシステムの復元方法 http://www.higaitaisaku.com/safemode.html パソコンとモデムの接続端子(どちらか片方)をはずしてから、 スタート→プログロム→アクセサリー→システムツール→システムの 復元→コンピュータを以前の状態に復元するにチェックを入れる→ 正常に機能していた日を選択→次に→OK→自動的に再起動して Windowが開く 私はこの方法でウィルスなどから３回助けられました。 試してみる価値はあると思います。 やる前にデータのバックアップはしておいて下さい。 前もって復元ポイントを作っておかないと復元できないので、ＯＳの 細かい設定変更、アプリケーションのインストール前には 必ず復元ポイントを作成して下さい。(復元を何度もやると不具合の 原因になるので、リカバリするしか解決できない時だけ利用して下さい) それと、ルータはウィルスなどの進入防止になるので、使用 した方がいいですよ。 最近の投稿を読むと、システムの復元を否定する内容が見られますが、 私の場合は不具合は起こらず３回助けられました。 また、私のシステムの復元のアドバイスを実行して４人の方から お礼メールが届きました。必要以上に心配することはないと思います。 (ただし、１００％成功するわけではないので、だめだった場合はリカバリの 覚悟をしておいて下さい。私の成功率予想は９０％。)

少々補足しておきますが、質問者さんがご利用のウイルス対策ソフトはソースネクストのウイルスセキュリティで、このソフトの検出名称は、カスペルスキーの命名によるものも非常に多いです。ただしそれは、検出名を拝借しているに過ぎません。検出能力そのものはカスペルスキーよりはるかに劣ると言われており、その辺には注意しないといけません。 つまり、ウイルスセキュリティで検出出来ない感染も、カスペルスキーなら見つかる可能性は少なくないということです。ですが、見つかってもそれが単純かつ完全に処理出来るかどうかは断言出来ないので、カスペルスキー製品やオンラインスキャンを利用することに固執して、対応が遅れることは絶対に避けなくてはいけません。 とは言え、当方はウイルスセキュリティが利用するに値しないソフトであるとも言うつもりはありません。 昨今の感染は以前のものよりも深刻になってますが、OSやアプリケーションソフトのウイークポイントを効果的に突くものが大多数を占めます。 そうしたウイークポイントのカバーをウイルス対策ソフトに一手に引き受けさせるという対策法に無理があるということなのであり、ウイークポイントそのものをきちんと解消していくこと、あるいはそのために必要な情報をきちんと知るようにすることを怠らなければ、多少対策ソフトの能力が低くても十分に感染を防ぐことは可能であると考えます。 前回の回答で示したような感染対策を十分に講じた上でなら、ウイルスセキュリティの継続利用にけちをつけるつもりはありません。

Gumblarについて少しだけ検索してみました。 被害が多発する「Gumblarウイルス」への対策を実施しよう http://internet.watch.impress.co.jp/cda/special/2009/05/21/23523.html Gumblar絡みのサイト改ざんの原因は、FTPサーバのIDやパスワードの漏洩であるという記述があります。そちらのPCもそうした感染に遭い、IDやパスワードが漏洩している可能性が大だと思われます。 パスワードが漏洩した状態では、いくら修正をかけても改ざんはなくなりません。サイトは一旦即時閉鎖されるべきでしょう。 >ウイルスセキュリティで格納しているフォルダーもスキャンしても 異常は見られません。 おかしいな、と思ったら、PC全体のスキャンを。これ基本かつ常識です。少なくとも今回の事例では、ソース改ざんはFTPサーバ上で行われている可能性が高く、その場合にはいくらローカルに保存されたソースを調べても意味がありません。 そうではなく、パスワード漏洩に繋がる感染を見つけ、除去する方向で行くべきです。とは言え、常駐保護によって検出されていないのですから、ウイルスセキュリティでは対応が出来ない感染かも分かりません。 感染確認のためには、カスペルスキーもしくはF-Secureのオンラインスキャンを補完的に使われるのがお勧めです。 http://www.kaspersky.co.jp/virusscanner http://www.f-secure.com/ja_JP/security/security-lab/tools-and-services/online-scanner/index.html ただし今回の場合、何らかの感染に遭っているのがほぼ確実だと見られますし、Gumblarの一種であるGENOウイルスに関しては、除去が困難であるという報告もあります。この種の感染は一般的にも事後処理が難しいことが少なくないので、早い段階でリカバリを決断されるのも選択肢の一つだと考えます。 リカバリ後は速やかにWindows Updateを受け、また感染の原因となりやすいFlash PlayerやAdobe Readerなどのアプリケーションソフトを最新のものに更新することが必須です。このようにして、再感染を防ぐ手段を十分講じた上でFTPサーバのパスワード変更を必ず行ってください。 パスワード変更が行われないと、サイト改ざんはなくならないと思われますが、感染が残るPC上から変更を行っても、新しいパスワードが漏洩しては元の木阿弥です。 こうした昨今の深刻な感染を防ぐために、きちんとした知識を身に付けられるべきでしょう。次のサイトの初心者向けコンテンツから理解を。 国民のための情報セキュリティサイト http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.htm ちなみに…記されたURLへのアクセスを試しに行いました（感染対策は何十にも十二分に施した上でですので、他の方が安易にマネをされることはご遠慮ください）。404ページの表示後、しばらくしていきなりAdobe Readerが起動し、何らかのPDFファイルを表示しようとしました。当方のAdobe Readerは最新版に更新した上で、JavaScriptを無効化してありましたのでこれ以上何も起こりませんでしたが…いかにもGumblar系っぽい所作だったことを報告しておきます。

.htaccess.phpですか、如何にも怪しいネーミングですね。 このファイルにアクセスすると暗号化されたscriptを吐き出してきますね。 それで、KasperskyがTrojan-Downloader.JS.Gumblar.xだと警告するのでしょう。 FTPアップロード直後はKasperskyの警告が無いのなら、WEBサイト側で書き換えられていると考えるのが妥当でしょう。 サイト管理もしくはFTPのID・パスワードが盗まれているということにもなるでしょう。 あなた以外にID・パスワードを知っている人物がいれば、その人を含めてチェックする必要があるでしょう。 管理があなただけなら、ＰＣがKasperskyでも見つけられないウイルスに感染しているかも知れません。 以下に、吐き出されるスクリプトの最初と最後の２行づつを記載しておきます。覚えが有りますか？ 無ければ「サイト改ざん」攻撃を受けているという事です。 ＞// 404 <script> ＞I9Ni=24;if(prompt)I9Ni='';gwG=unescape('%'+I9Ni); ＞（ここは暗号化部分。危険回避のため、省略） ＞eval(unescape(SVx9b.replace(/[:Il]/g,gwG))); ＞//</script> 正規の内容ならスクリプトを暗号化する理由があるのでしょうか。