- ベストアンサー
朝になるとDOS.AGOBOT.HMが・・・
昨日の朝一番、メール受信できたのですが、次に送受信を行うと、できなくなっており、プロバイダの問題かと思って、しばらく放置していましたが、その後もできませんでした。 ウィルス感染かと思い、ウィルス対策のHPの行ったところ表示できず・・・。 結局てんやわんやの末、オンラインスキャンで、DOS.AGOBOT.HMを発見。削除しましたが、再起動する→また作られるの繰り返しで、結局、システムの復元を利用し、おととい朝に戻しました。 ところが、今日、PCを立ち上げ、ネットにつなぐと・・・またメールが見れません。 そしてDOS.AGOBOT.HMが・・・。 ウィルス対策ページに書いてあったWORM_AGOBOT.HMはオンラインスキャンで発見できませんでした・・・。 (オンラインスキャンを使用した理由はノートンが期限切れになっておりまして・・・。GW中に新いソフトを購入予定です。) どなたか、よい方法を教えてください。
- pandakopanda
- お礼率83% (20/24)
- ウィルス・マルウェア
- 回答数6
- ありがとう数8
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
Lost_Edenさんの下記ご指摘、非常に重要と思います。 >WindowsUpdateが必須である >それとXPならまずOS自体のファイヤウォールをオンにする >ファイヤウォールソフトをインストールすべきだ 今後とも仲良くさせてください。よろしくお願いします。 なお、同様のご質問が下記にあるので、現在そちらに対応中です。 pandakopandaさんも、よろしければ、そちらに合流してください。 http://oshiete1.goo.ne.jp/kotaeru.php3?qid=843741 「それは困る」という場合は、ご遠慮なく、こちらに書いてください。 また、「Stingerv2.2.1」は「Stingerv2.2.2」(4.28)にVerUpされています。 http://www.nai.com/japan/security/stinger.asp 「Stingerv2.2.2」で回復したという方のレポートもあります。 その他、気になること ☆システムレストアの無効化 http://www.nai.com/japan/security/DisableSysRestore.asp それまでの復元ポイントが消えてしまうので、迂闊にお勧めでき無いと考え、やむを得ず、Hostsファイルの「削除」でなく、「修正」という面倒な作業をお勧めしていることご理解ください。 ☆IRCチャネルを介して繁殖 マカフィのサイトの「感染方法」で「IRCチャネルを介して繁殖します。」と書かれています。 http://www.nai.com/japan/security/virPQ.asp?v=W32/Polybot.l!irc IRCをやっておられますか? http://irc.nahi.to/what.html ☆W32/Polybot.l!ircは、感染システムの「sound」という言葉を含むすべてのファイルを隠蔽します。 http://www.nai.com/japan/security/virPQ.asp?v=W32/Polybot.l!irc このウィルスに感染しながら気が付かないことがありえます。
その他の回答 (5)
私の書き方が少し悪かったようです。 heto2さんが気分を悪くされたのならお詫びします。 ネットワーク感染型のウイルスですので、 WindowsUpdateが必須であること。 それとXPならまずOS自体のファイヤウォールをオンにするか、 ファイヤウォールソフトをインストールすべきだと思いました。 まずどうやれば最短で負担が少なく駆除完了できるか? を考慮して投稿した結果、言葉足らずな内容でした。
お礼
ありがとうございました。今回は、結局、初期化という形となりましたが、ウィルス対策を考える(よい?)機会となりました。ものすごく怖い思いもしましたが・・・。 今後は、対策は、常に万全であるように心がけたいと思っています。
- heto2
- ベストアンサー率43% (227/525)
WindowsXPには強力な復旧機能があります。 パソコン起動時に必要なファイルが無いのを見つけるとそのファイルを復旧します。 hostsファイルの場合、ユーザーが追記する可能性のあるファイルですから、C:\System Volume Informationフォルダから復旧している可能性があります。 調べてみなければ判らないことですが、もしこのフォルダにあるhostsファイルがウィルスに汚染されたファイルであればパソコンを再起動するたびに汚染されたファイルを呼び戻してしまうのかもしれません。 トレンドマイクロには「ファイルを削除してから再起動してください。」と書かれていますが、HostsEditというソフトを使って、編集後保存する方法を試してみてください。 http://www.vector.co.jp/soft/win95/net/se248258.html 1.起動して上の方の「hostファイル編集」をクリック 2.行頭が「#」で始まる行はコメント文ですので触る必要ありません。 3.「127.0.0.1 localhost」以外の行を全て削除 4.下の右側にある「書き込み」をクリックして「終了」 5.パソコンを再起動 6.HostsEditでファイルの状態を確認 7.オンラインスキャンを実行 これでも状況が改善されない場合は、トレンドマイクロの下記コメントに該当すると思います。 「このファイルは「AGOBOT」ワームの活動により作成されるものなので「AGOBOT」ワームが存在する可能性が非常に高いです。」 システムの復元を無効にし、hostsファイルを削除したのち、アンティウィルスソフトのサイトへアクセスして、下記ソフトをダウンロードして実行してみてください。 「マカフィーStingerv2.2.1」 「トレンドマイクロ ダメージクリーンナップサービス」 なお、「いくら頑張って手動削除しても~」というご指摘がありますので、これ以上の回答は遠慮させていただきます。
こんばんは。 まずウイルスバスターの評価版をインストールしてはいかがですか?30日間お試しが可能です。 後から正規版にアップグレードできますのでインストールしても無駄にならないと思います。 いくら頑張って手動削除してもWindowsUpdateでセキュリティホールを防がないとまた入られてしまいます。 ファイヤウォール機能のあるウイルスバスターをインストールしてアップデート行い、 最新版にしてから「検索実行」をして下さい。 ウイルスが隔離されてしまったら次にWindowsUpdateです。
- heto2
- ベストアンサー率43% (227/525)
わからないことが幾つかあるので、補足説明お願いします。 1.OSは? 2.HOSTSファイルは拡張子無しで検索されましたか? 「HOSTS」はありますが、「HOSTS.txt」というファイルはありません。 「HOSTS.txt」で検索しても何も見つからないと思います。 3.Winny、WinMX、KaZaa等を使っておられますか? 4.この掲示板への書き込みは別のパソコンを使っておられるのですか? 5.メールは受信できないが、インターネットには接続可能ですか? 貴方のパソコンは非常に危険な状態にあります。 ウィルスが駆除されるまで、駆除目的以外、インターネットからは切断してください。 貴方の知らないうちに、貴方のパソコンからウィルスメールが乱発されている可能性があります。 貴方のパソコンが外部からリモートコントロールされている可能性もあります。
補足
丁寧で迅速な回答ありがとうございます。 1 のOSはXPです。 2 は、手動で、SYSTEM32のDRIVERSから、削除しました。昨日から、何回かやっています。その際削除したファイルすべてに「HOSTS」の文字のありました。(オンラインスキャンで感染が報告されたファイルを削除したという意味です。) 3 はよくわかりません。ごめんなさい。 4 この掲示板には問題のパソコンを使っています。 もう一度、5時過ぎに、システムの復元をしてから動かしています。 5 メールを受信できなくなったあと「HOSTS」の文字のある感染ファイルを削除すると、メールが起動します。その際、ネットには接続されたままです。(切断などはされません) よろしくお願いします。
- heto2
- ベストアンサー率43% (227/525)
1.DOS_AGOBOT.HMが単体で入っている場合 Hostsファイルを修復するだけで正常に戻るはずですが、パソコンを再起動すると再発するというのは、スタートアップで何かが設定されている。または、「システムの復元」機能が働いているのかもしれません。 2.Hosts ファイルの修復 XPの場合下記の場所に保存されています。 C:\WINDOWS\system32\drivers\etc\HOSTS 見つからない場合はエキスプローラの検索で「HOSTS」を探してください。 テキストファイルですので、メモ帳で編集できます。 「#」で始まる行はコメント文ですからさわらないようにしてください。 LAN設定での特殊な設定がある場合、管理者に聞いてください。 下記の行を除く全ての行を削除します。 127.0.0.1 localhost 以上でアンティウィルスソフトのサイトへアクセスできると思います。 3.「システムの復元を無効にする」 詳細下記参照してください。 http://www.nai.com/japan/security/DisableSysRestore.asp ただし、この操作で、それまでの復元ポイントが全て消えてしまいます。 また、ウィルスの駆除作業終了後、「システムの復元を有効にする」を実行してください。 4.WORM_AGOBOT.HMの駆除 WORM_AGOBOT.HMの影響を受けている可能性があります。 トレンドマイクロまたはマカフィで駆除ツールをダウンロードしてスキャンすることをお勧めします。 トレンドマイクロ 「トレンドマイクロ ダメージクリーンナップサービス」 が対応しているとかかれていますが、 「トレンドマイクロ ダメージクリーンナップサービス対応可能ウイルス一覧」にも 「前パターンバージョンからの新規対応、修正一覧」にもこのウィルスの名前がありません。 単なる記載漏れかもしれません。 http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700 マカフィのサイトで、別名「W32/Polybot.gen!irc」として紹介されています。 http://www.nai.com/japan/security/virPQ.asp?v=W32/Polybot.l!irc マカフィのサイトで「Stingerv2.2.1」をダウンロードしてスキャンしてください。 http://www.nai.com/japan/security/stinger.asp 「駆除できるウイルス」の一覧に「W32/Polybot.gen!irc」はありませんが、プログラムをダウンロードして「List Virus」をクリックすると、これも含まれています。 スキャン終了後「File」>「Save report to file」で「stinger.txt」にスキャン結果が保存されます。 ☆Scan Now このボタンをクリックするとスキャンが始まります。 「Stop」で中止できます。 ☆Preference オプションを設定できます。初期値のままでいいと思います。 ☆List Virus スキャン対象とするウィルスが一覧表示されます。 ☆Directories to scan スキャン対象とするディレクトリーが一覧表示されます。 「Add」 スキャン対象とするディレクトリーを追加できます。 「Browse」 ディレクトリーを選択してフォルダ参照画面が表示されます。 「Browse」 ディレクトリーを選択してスキャン対象から除外できます。 5.パソコンを再起動 6.「システムの復元を有効にする」を実行 7.システムフォルダ(C:\WINDOWS\system32)に下記ファイルが無ければ修復されたと考えていいと思います。 SOUNDMAN.exe d}qzxu3zYF.exe d}qzxu3zYF.exe
補足
HOSTSファイルなんですが・・・。テキストファイルが見当たりません。 きのう、感染と出たファイルは削除したので、その中に、テキストファイルもあったかもしれません・・。(しかもゴミ箱からも削除をしてしまいました。致命的な失敗なのでしょうか・・・) あきれるほどの素人だと思うのですが、この場合はどう対処したらよいのでしょうか・・。 先ほど、ネットをつけっぱなしで、帰宅したところ、また、メールが受信できない状態になっていました・・。 ・・よろしくおねがいします。
お礼
ありがとうございました。お返事が遅くなってしまったのは、結局、初期化という形をとったため、作業が難航してしまいました・・・。hoto2さんが、おっしゃったように、リモートコントロールという状態にあったのか、ネットにつなぐと、わからないファイルが増えていき、さらに、ネットにつないだまま削除しようとすると、「ほかの人がこのファイルを使っているため削除できません」というようなメッセージが出てきました。ネット切断の後、削除しましたが、もう、怖くて、すぐに、初期化へと踏み切りました。 hoto2さんのおっしゃることを29日時点ですべてやっておりましたので、諦めがつきました。 IRCはやっておりませんし、何が原因でこうなったかも結局わかりません。 しかし、今後は、ウィルス対策を真剣に考えていこうと思いました。ほんとにありがとうございました。