Trojan-Downloader.Win32.Agent.bbfの対処法

2006年11月後半から、HijackThisのログは全く問題が無いのに症状が治まらないマルウェアが流行しています。
これは、Windowsの正規のファイルを書き換えるもので、これらのTrojanが原因です。

Trojan-Downloader.Win32.Agent.bbfと同様に、Trojan-Downloader.Win32.Agent.ayyも対処できます（かつ兄さん情報）
その場合はこのページの「Win32.Agent.bbf」を「Win32.Agent.ayy」に読み替えて下さい。

症状

症状としては、「ネット観覧中に勝手に、SystemDoctor、WinAntiVirus、drivecleanerなどのインチキセキュリティソフトのダウンロードページに飛んでしまう」など、今ではちょっと懐かしい感じさえ覚えるいわゆる「アドウェア」です。そのため、訴訟を怖れてか正規ファイルを書き換える前にキチンとバックアップを取ってくれています。

従って、eScanの力を借りて感染ファイルを特定さえできれば対処法はそれほど難しいものではありません。「感染ファイルを削除して正規ファイルを元に戻す」だけです。

感染ファイル特定

前に書いた様に、HijackThisのログでは感染の有無を確認することができません。確認にはeScanを使います。

eScanによるウイルススキャンログの取得

上のリンクから、eScanのログを取って下さい。感染していれば、ログに「Trojan-Downloader.Win32.Agent.bbf」として表れます。例えば、

C:\PROGRA~1\Apoint\Apoint.exe = Virus "Trojan-Downloader.Win32.Agent.bbf"
C:\PROGRA~1\Sony\HOTKEY~1\HKserv.exe = Virus "Trojan-Downloader.Win32.Agent.bbf"
C:\WINDOWS\System32\ezSP_Px.exe = Virus "Trojan-Downloader.Win32.Agent.bbf"
C:\PROGRA~1\ATITEC~1\ATICON~1\atiptaxx.exe = Virus "Trojan-Downloader.Win32.Agent.bbf"
C:\PROGRA~1\DRAG'N~1\BinFiles\DragDrop.exe = Virus "Trojan-Downloader.Win32.Agent.bbf"
C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE = Virus "Trojan-Downloader.Win32.Agent.bbf"
C:\PROGRA~1\QUICKT~1\qttask.exe = Virus "Trojan-Downloader.Win32.Agent.bbf"
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe = Virus "Trojan-Downloader.Win32.Agent.bbf"
C:\WINDOWS\System32\ezSP_Px.exe = Virus "Trojan-Downloader.Win32.Agent.bbf"
C:\Program Files\Apoint\Apoint.exe = Virus "Trojan-Downloader.Win32.Agent.bbf"
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe = Virus "Trojan-Downloader.Win32.Agent.bbf"
C:\Program Files\Common Files\Microsoft Shared\IME\IMJP9\IMJPMIG.EXE = Virus "Trojan-Downloader.Win32.Agent.bbf"
C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe = Virus "Trojan-Downloader.Win32.Agent.bbf"
C:\Program Files\QuickTime\qttask.exe = Virus "Trojan-Downloader.Win32.Agent.bbf"
C:\Program Files\Sony\HotKey Utility\HKserv.exe = Virus "Trojan-Downloader.Win32.Agent.bbf"
C:\Program Files\Sony\SonicStage\SsAAD.exe = Virus "Trojan-Downloader.Win32.Agent.bbf"
C:\RECYCLER\S-1-5-21-2547554780-3116431947-88828735-1007\Dc9\Security Center\UsrPrmpt.exe = Virus "Trojan-Downloader.Win32.Agent.bbf"
C:\WINDOWS\system32\ezSP_Px.exe = Virus "Trojan-Downloader.Win32.Agent.bbf"

などです。こちらの例での感染ファイルは、

C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\IME\IMJP9\IMJPMIG.EXE
C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Sony\HotKey Utility\HKserv.exe
C:\Program Files\Sony\SonicStage\SsAAD.exe

になります。

対処法

順を追って駆除を行います。

準備

まず、デフォルトで表示されなくなっている隠しフォルダを表示する設定を行います。

全ファイル＆フォルダの表示設定

次に、必要なツールをダウンロードして使い方を把握しておきます。

感染ファイルの削除

以下の作業はセーフモードで行います。ネットに接続できなくなるのでこのページおよび感染ファイル名（パスも含む）をプリントアウトするかメモしておいて下さい。

Windowsをセーフモードで起動する

セーフモードで起動したら、まずATF-Cleanerを使ってキャッシュ等の「ゴミ」を削除します。「Select All」をクリックして実行し、すべて空にします。

次にBeginnerToolを使ってeScanで特定したファイルを削除します。上の例だと、

C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\IME\IMJP9\IMJPMIG.EXE
C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Sony\HotKey Utility\HKserv.exe
C:\Program Files\Sony\SonicStage\SsAAD.exe

を削除です。

正規ファイルの復元

次にバックアップされている正規ファイルを正常な位置に復元します。
バックアップは、正規にファイルがあった位置に「bak」というフォルダが作成され、その中にあります。つまり、

C:\WINDOWS\System32\ezSP_Px.exe

の正規ファイルは、

C:\WINDOWS\System32\bak\ezSP_Px.exe

に、

C:\Program Files\Common Files\Microsoft Shared\IME\IMJP9\IMJPMIG.EXE

の場合は、

C:\Program Files\Common Files\Microsoft Shared\IME\IMJP9\bak\IMJPMIG.EXE

にあります。エクスプローラなどを使って、「bak」フォルダの中から外に出して（正規の位置に戻して）やります。

以上で作業は終了です。通常モードでPCを再起動して下さい。

更新履歴

2006.12.7 Trojan-Downloader.Win32.Agent.ayyにいての記述を追加
2006.11.27 ママ姐さんの回答からページ作成

【文頭に戻る】