オンアクセススキャンメッセージ

オンアクセススキャナログファイル内容

2009/04/09	16:33:31	削除 	NT AUTHORITY\SYSTEM	C:\WINDOWS\System32\svchost.exe	C:\System Volume Information\_restore{C6184AA9-7E80-4D4A-95AA-3A8AB0DDE4F9}\RP259\A0054999.dll	Generic.dx (トロイの木馬)

【VB】ウイルスバスター2007 Part34【TrendMicro】

「{C6184AA9-7E80-4D4A-95AA-3A8AB0DDE4F9}」で検索してひっかかったもの．ちなみに _restore 以下での発見は「システムの復元」に使われる領域内からの発見だと，別のページで知った．

502 ：名無しさん＠お腹いっぱい。：2007/07/05(木) 16:04:32
TROJ_VUNDO.AWAってのを食らったみたいだ。
対応パーターンファイルが昨日なので検出されたみたいだ。
今もＰＣの調子がおかしいてことはコイツがシステムを改変してしまったってこと？

"時刻","検索の種類","種類","ウイルス名","ファイル名","ウイルス検出時の処理","駆除できない場合の処理"
"12:38","リアルタイム検索","ファイル","TROJ_VUNDO.AWA","C:\WINDOWS\system32\ssqnomm.dll","隔離 済み(安全です)",""
"14:49","手動検索","ファイル","TROJ_VUNDO.AWA","C:\System Volume Information\_restore{C6184AA9-7E80-4D4A-95AA-3A8AB0DDE4F9}\RP525 \A0149390.dll","隔離 済み(安全です)",""

http://www.23ch.info/test/read.cgi/sec/1182599999/502

「TROJ_VUNDO.AWA」に関するトレンドマイクロの情報

• 影響を受けるソフトウェア
  • Windows 98, ME, NT, 2000, XP, Server 2003
• 「TROJ_VUNDO.AWA」の動作は以下のとおりです。
  • システムに自身をインストール
  • IE(Internet Explorer)のBHO(Browser Helper Object)として自身を登録
  • 広告を表示
• 侵入方法
  • 他の不正プログラムを介して侵入
  • 他の不正プログラムにダウンロードされ侵入
  • 他の不正プログラムにより作成
• 感染確認方法
  • レジストリ値を追加
  • レジストリキーを追加
• レジストリの改変
  • あり
• セキュリティホールの利用
  • なし

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_VUNDO.AWA&VSect=P

regedit で調べてみたこと

トレンドマイクロによると「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7C24493F-3D23-4258-9426-42C5FC3B8211}」が作られているはずらしい．辿ってみたところ，このキーはなかった．

結論

放置．気が向いたら調べ直す．