- ベストアンサー
未知のトロイの木馬と大量の不正アクセス
トロイの木馬に感染し、困っています。外部に不正に送信しようとしています。 見た目の現象としては、何もしていないのにCATVモデムのLANとDATAランプが1秒間に数回、同期して点灯します。パソコンの電源を落としても同じです。 ウイスルバスター2004のファイアウォールログを見ると、パソコンの電源を入れたときにプロトコルIGMPの送信がブロックされています。 その後、プロトコルUDPでの送信や、プロトコルTCPやUDPの受信をブロックしています。 また、ホームページを見ているときに、かなり大量のプロトコルTCPやUDPの受信をブロックしています。 IPアドレスやポート番号はバラバラです。 ウイスルバスター2004やPest Patrolでは何も検出しませんが、いっしょにインストールしているBlackICEの「プログラムの実行制限」を有効にしてアプリケーションを起動すると、「トロイの木馬が検出されました」という画面が表示されます。 検出されるファイルは、SHELL32.DLLとcomctl32.dllです。 ポームページで調べても該当するものはなく、未知のトロイの木馬のようです。 BlackICEが検出したSHELL32.DLLとcomctl32.dllは、大量の不正アクセスが始まった3日後に作成されています。 また、GEARSEC.EXE、GEARASPI.DLL、GEARASPIWDM.SYSというファイルが、大量不正アクセスが始まった日に作成されており、これらのファイルも怪しいと思っています。 これらの情報から、レジストリなどの修正で駆除することは可能でしょうか? 今はウイスルバスター2004、BlackICE、WinWrapper3で送受信をブロックしていますが、OS(Windows XP)を再インストールしなければ駄目でしょうか? どうしたらよいかアドバイスをお願いいたします。
- odasaka
- お礼率95% (23/24)
- ウィルス・マルウェア
- 回答数2
- ありがとう数4
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
Googleで検索したところ、 GEARSEC.EXEはiTunes関連の様ですが、 その日にインストールなさいませんでしたか? >ウイスルバスター2004やPest Patrolでは何も検出しませんが 参考URLのオンラインウイルススキャンも お試しになってはいかがでしょうか? 非常駐型の無料検知ソフトもご紹介しておきます。 他社製品では発見出来るかもしれませんので...。 あとは、Hijack Thisというソフトで、 システム状態のレポートを 作成してこちらの補足に貼り付けると、 詳しい方から的確な回答を頂けるかもしれません。 基本的な使用方法は↓をご覧下さい。 http://www.vintage-solutions.com/Japanese/Antivirus/Super/ http://www.dream-seed.com/server/hijackthis.html ただ、本当にトロイの木馬だとすれば、 一刻を争う事態であまりのんびりとは出来ません。 未知の脅威に遭遇した場合は、 再インストールしてしまった方が安心で確実です。 中途半端な対応をしてしまうと、 被害を広げる事になって取り返しがつきません。 周りに攻撃を仕掛けたりするタイプだと、 odasakaさんが加害者扱いされる恐れすらあります。 >ウイスルバスター2004、BlackICE、WinWrapper3で送受信をブロックしていますが ファイアウォールソフトは1つだけ使用が基本です。 数が多ければ良いというものでもありません。 開発メーカーが、その組み合わせでの 動作保証でもしていない限り避けるべきです。 それぞれの正常な動作が妨げられて、 かえってセキュリティを下げる事にもなりかねません。 大抵、XP付属のファイアウォールも 無効にする様に取説では指示していると思います。 どうしても複数のファイアウォールを 併用したい場合はルータを導入すべきです。
その他の回答 (1)
- HAL007
- ベストアンサー率29% (1751/5869)
>>SHELL32.DLLとcomctl32.dllが関連するトロイの木馬型ウィルス情報 →http://www.nai.com/japan/security/virA2000.asp?v=APStrojan.pz 他多数→http://www.infoseek.co.jp/OTitles?lk=noframes&nh=10&svp=SEEK&svx=460100&col=OW&nc=1&qt=comctl32.dll+%A5%C8%A5%ED%A5%A4%A4%CE%CC%DA%C7%CF&qp=0&lg=ja >>GEARASPI.DLL これはDriveImage2002をインストールしていませんか?
お礼
回答ありがとうございます。 誰からか分からないメールは開くことはありませんし、ましてや添付ファイルを開くことなど考えられませんので、2000年に発見されたAPStrojan.pzではないと思います。 また、DriveImage2002は初めて聞くソフトで、インストールはしていません。 レジストリなどの修正で駆除するのは無理なようなので、OSを再インストールすることにしました。 お手数をおかけしました。
お礼
回答ありがとうございます。 レジストリなどの修正で駆除するのは無理なようなので、OSを再インストールすることにしました。 お手数をおかけしました。 なお、ファイアウォールソフトは1つだけ使用が基本というのは私も承知していますが、ウイルスバスター2004だけのときに感染しましたので、その後BlackICE、WinWrapper3をインストールしてみました。 私の環境ではウイルスバスター2004、BlackICE、WinWrapper3ともに正常に動作し、強力に不正アクセスをブロックしています。 OS再インストール後もこの3つをインストールするつもりです。