PC初心者です。過去2回質問させて頂き、皆様のお陰で
問題を解決してきましたが、下記2点についてご教授
頂きたく再度ご質問致します。
*************************************************
【症状】
1、ブラウザー(sleipnir)のオートコンプリートを
  設定しているが、設定が解除されてしまう。
2、e-surveiller1.2が何回削除してもスキャンすると
  復活している。(zerospywareでスキャン→削除)

【環境】
OS:WindowsXP homeSP2
browser:sleipnir1.66
firewall:ZoneAlarm/5.5.109.000
antivirussoft:avast!4.6home
antispywearsoft:spybot S&D
Microsoft antispywear
         Ad-Aware
zero-spyware

【更新】
Windows、アンチウィルス、アンチスパイソフト
については全て更新して最新の状態です。
*************************************************
以上、説明不十分なところがあるかと思いますが
ご指摘頂きましたら、追加にてご報告致します。
以上、宜しくお願い致します。

A 回答 (7件)

結論から申し上げると「zerospywear」の誤検出です。


「e-surveiller」には感染していないと思います。

検出例で説明すると下記のようになります。

☆「KillBit」

 「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility」というレジストリキーに

 「{02607DF4-D40B-4FFB-B054-1CAC03468E28}」というサブキーを登録し

 「Compatibility Flags"=dword:00000400」という値を設定することを

 「KillBitを設定する」といいます。

 これによって有害なActiveXコントロールの動作を封じることができます。
 
 「{02607DF4-D40B-4FFB-B054-1CAC03468E28}」は確かに有害なプログラムのIDですが、このキーがあるだけでスパイウエア発見というのは間違っています。
 そのうえこれはどこかのアドウエア関連のIDで「e-surveiller」には全く関係ありません。
 
☆「Spybot-S&D」の免疫設定

 「KillBit」は、もともとマイクロソフトが使っていた手法ですが、「SpywareBlaster」がこの手法を使って有名になり、その後、「Spybot-S&D」が「免疫」機能 として採用しています。
 kazuMさんの場合も多分「Spybot-S&D」によって設定されたものと思います。
 
★「zerospywear」のこと

 登場当初、このソフトはインチキソフトと決め付けられていました。
 ありもしないスパイウエアを「見~つけた~」といってユーザーをびっくりさせていたのです。
 しかし、その後改善されインチキソフトのリストから除外されたのですが、どうやらそのころの残骸が残っていたようです。

 参照:Rogue/Suspect Anti-Spyware Products
 http://www.spywarewarrior.com/rogue_anti-spyware …

以上、泰山鳴動して「e-surveiller」という鼠が一匹出てきたというわけです。

「e-surveiller」という鼠は、kazuMさんをして、ウィルス対策ソフトの導入に踏み切らせた殊勲者と考えれば腹も立たないと思います。

sleipnirについては私にはわかりません。

別のカテゴリーで質問してみてください。

コンピューター [家庭向け] > ソフトウェア > ブラウザ
    • good
    • 0
この回答へのお礼

早速のご返答誠にありがとございます。
お蔭様で安心して寝られそうです。
過去にNAVを使用して非常に重くなった経験が
あったので敬遠してきましたが、今時のPCだと
ストレス感じないですね。。
今回はお二方の協力を頂いて大変心強かったです。
また、いろいろ自分なりに調べて為になりました。

また、機会がありましたら、宜しくお願い致します。
それでは失礼します。

お礼日時:2005/08/17 17:11

「zerospywear」で検出されたレジストリキーの内容を調べる必要があります。



1.デスクトップ等わかりやすい場所に「TEST」というフォルダを作ります。
2.「TEST」フォルダを開き右クリックして「新規作成」でテキストドキュメントを選択。
3.「新規テキスト ドキュメント.txt」を「TEST.bat」という名前で保存します。
この時点では「TEST.bat」は空白の状態です。

4.下記「はじめ」~「終わり」をコピーして「TEST.bat」を上書き保存してください。

:~~~~~~~~~~「はじめ」~~~~~~~~~~
regedit /e /a tempA.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{02607DF4-D40B-4FFB-B054-1CAC03468E28}"
type tempA.txt > tempB.txt

regedit /e /a tempA.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{02C20140-76F8-4763-83D5-B660107B7A90}"
type tempA.txt >> tempB.txt

regedit /e /a tempA.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{23273a1c-c870-43c4-a3e3-67dc98630ac6}"
type tempA.txt >> tempB.txt

regedit /e /a tempA.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{6ed16eff-3b18-11d6-9139-00e02964e8e3}"
type tempA.txt >> tempB.txt

regedit /e /a tempA.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{e8edb60c-951e-4130-93dc-faf1ad25f8e7}"
type tempA.txt >> tempB.txt

regedit /e /a tempA.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{ceb29da4-7afa-4f24-b3cd-17351d590df0}"
type tempA.txt >> tempB.txt

regedit /e /a tempA.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{8522F9B3-38C5-4AA4-AE40-7401F1BBC851}"
type tempA.txt >> tempB.txt

notepad tempB.txt
:~~~~~~~~~~「終わり」~~~~~~~~~~

5.「TEST.bat」をダブルクリックして実行すると結果がメモ帳で表示されます。
6.結果を補足欄に貼り付けてください。

この回答への補足

【tempA】
REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{8522F9B3-38C5-4AA4-AE40-7401F1BBC851}]
"Compatibility Flags"=dword:00000400

【tempB】
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{02607DF4-D40B-4FFB-B054-1CAC03468E28}]
"Compatibility Flags"=dword:00000400

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{02C20140-76F8-4763-83D5-B660107B7A90}]
"Compatibility Flags"=dword:00000400

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{23273a1c-c870-43c4-a3e3-67dc98630ac6}]
"Compatibility Flags"=dword:00000400

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{6ed16eff-3b18-11d6-9139-00e02964e8e3}]
"Compatibility Flags"=dword:00000400

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{e8edb60c-951e-4130-93dc-faf1ad25f8e7}]
"Compatibility Flags"=dword:00000400

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{ceb29da4-7afa-4f24-b3cd-17351d590df0}]
"Compatibility Flags"=dword:00000400

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{8522F9B3-38C5-4AA4-AE40-7401F1BBC851}]
"Compatibility Flags"=dword:00000400


以上、ご判断ご指示宜しくお願い致します。

補足日時:2005/08/17 15:17
    • good
    • 0
この回答へのお礼

ご指導有難うございます。
ご指導の通り実行しましたところ「TEST」フォルダー
内に「tempA.txt」と「temp.B」のテキストファイルが
出来ましたので「補足欄」にでご報告致します。
宜しくお願いします。

お礼日時:2005/08/17 15:17

doki2さん、フォローありがとうございます。


私はsymantecの情報しかあまり確認していなかったのでレジストリの点までよく考えていませんでした。

補足に書いてもらったキーをみたところ、どうもこのウイルスもいたようですね。
http://www.symantec.com/region/jp/avcenter/venc/ …

わかりやすいように、トレンドマイクロのデータも載せます。
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

「トロイの木馬」は感染したファイルごと削除するのが基本で、改変されたレジストリの削除もすることになりますが、このウイルスなら指示通りにすれば処理可能と思われます。
が、doki2さんが教えてくださった内容によれば実際には新種か亜種の可能性もあり、そうなるとまだ油断はできません。symantec、トレンドマイクロのデータが2002年のものなので、本当に古いままのタイプかどうかです。
ひととおりスキャンと駆除ができたら、こちらのClamwinをダウンロードしてスキャンしてみてください。これは常駐しない型のウイルス対策ソフトで、他のソフトと併用しても不具合が起きない上に検出力もかなりだし、駆除も可能なので予備の対策ソフトとして有効なものです。
http://ringonoki.net/tool/antiv/clamwin.html

海外製ですが使い方はそう難しくはありません。ただスキャンにかかる時間はかなり長いので環境によっては4~5時間も覚悟しましょう。

まずはClamwinダウンロード・アップデートができたらLANを抜いてネットから遮断した状態でスキャンと駆除を試してください。
トロイなら自動削除はできないと思いますが、感染場所と名前がわかれば手動処理可能です。感染がみつかったファイルはセーフモードで削除してごみ箱に移してみて、ごみ箱からは削除せずしばらくは異常がないか様子をみてください。
あと、駆除ができたと思ってもネットにつなぐようになったらファイアウォールのログも見て、不審な通信がされていないかチェックしましょう。

ウイルスを見つけてもあわてずに対処するように構えてみてください。最新のウイルスならともかく発見から1年以上たったようなウイルスは結構対処法もあるので駆除かリカバリーか判断するのも楽です。リカバリー決めるのが楽というのも変でしょうが。
かくいう私も今日自宅のPCでウイルス感染みつけて手動駆除しました。こういう人間のアドバイスがどこまであてになるかわかったもんじゃありませんね(爆)

この回答への補足

遅くなりました。
教えていただいたClamwinでスキャンしましたが
何も発見されませんでした。
Clamwinでスキャンする前にNorton・zerospywearで
スキャンしましたが何も発見されていません。。
何故なんでしょうか・・・?
現在、症状としてはsleipnir1.66のオートコンプリート
機能を設定しても再立上げするとキャンセルされる
症状だけです。。
この症状については、別の原因という事が考えられる
のでしょうか?
何度もすみませんがご教授頂けると幸いです。

補足日時:2005/08/16 23:03
    • good
    • 0
この回答へのお礼

早速のご指導有難うございます。
ご指示頂いたsoftでスキャンしてみます。
時間かかるとのことなので、終了しだい結果報告しますので
宜しくお願いします!

お礼日時:2005/08/16 19:42

>全てレジストリーにあるらしいのですが



レジストリ上にあるというより、ウイルスがレジストリを改変しているということでは?
このウイルスの情報を見るとファイルを削除後に、改変されたレジストリを手動でまた書き換えることがあるようですが、ファイルを削除したあとにオンラインスキャンをかけるとそのウイルスが「Recycled」のフォルダから検出されているなら、これは「ごみ箱」に移したウイルスを検出しているためで、通常は「ごみ箱」に入れたならなにもできない状態のはずなので、あとはしばらくの間そのファイルを「ごみ箱」から削除はせずに様子をみておくものです。完全に削除してしまうと、そのファイルがPCのシステムに必要なものだった場合に動作しなくなる危険もあるからです。
オンラインスキャンで「ごみ箱」以外から検出されなければいいのですが、レジストリの変更は危険もあるので、先の紹介ページの説明がよくわからないというのであれば無理にはやらないほうが安全かもしれません。

それと、お使いのセキュリティソフトがavast!、ZoneAlarmとフリーソフトでまかなっておられるようですが、フリーソフトはただでさえサポートがないので自分でほとんどのことを解決する必要がありますし、海外製ソフトならウイルス名や症状から検索して調べるにも英語力も求められます。
また、avast!のAlwil Softwareもそうですが、各メーカーごとに同じウイルスでも呼び名が違っていることも多いので、今後もフリーのセキュリティソフトをお使いの予定でしたら情報検索と解析も挑戦しましょう。
海外にしか情報がないと思われたウイルスでも少し調べれば別の名前で日本語のデータベースもみつかることが多いので、自分のスキルアップにもなりますよ。

どうしても英語や解決には自信がないのでしたら、日本のメーカーがサポートつきで販売している製品版ソフトを使うのが確実です。
symantecやトレンドマイクロなど大手のメーカーのウイルス情報をよく調べると、それぞれのウイルスの他のメーカーでの呼び名も載せていることが多いので、このあたりも覚えておくといいでしょう。
私でも英語は駄目ですがここまではこれたんですから。
    • good
    • 0
この回答へのお礼

詳しいご説明有難うございます。ご返答遅くなり
申し訳ありません。
doki2さんへの補足情報として記載させて頂いた状態
で現在止めております。
お忙しい所恐縮ですがご指導頂けると幸いです。
●NortonInternetsecurity2005導入しました。
●導入後のzerospywearでは何も発見されてません

お礼日時:2005/08/16 18:26

応答が途絶えているようなので、横から失礼します。



No.1 lesson さんへの回答

>競合の件

 私の場合マカフィーがメインですが、eWido、StartupMonitor、Microsoft AntiSpyware等の常駐ソフトを併用して大きな問題は発生していません。
 油断は禁物ですが、何も異常が無ければ「zero-spyware」の併用は問題ないと思います。
 また、特定のツールを使いこなすというのはいいことだと思います。
 
>現在、ネットバンキング等は行っていません。

 ネットショッピングもやっていない。
 ネット上でカード決済をしたことが無い。
 パソコンに重要な情報を保存していないのであれば、これも、問題ないと思います。
 
No.2 lesson さんへの回答

>全てレジストリーにある

 「Remacc.Surveil として検出されたすべてのファイルを削除します。」とありますからレジストリだけではないはずです。
 
 検出された情報をできるだけ詳細に報告しなければlesson さんもお答えのしようが無いと思います。
 ただし、公表したくない部分を隠したいという場合、それはkazuMさんのご自由です。
 
★何回削除してもスキャンすると復活

 ActiveXコントロールという特殊な設定を使って、復活させる場合がありますが、これまでの情報ではわかりません。

★インターネットから切断

 「e-surveiller」はあなたのパソコンを監視し、リモートコントロールできるソフトのようですから、インターネットから切断した状態での修復作業が必要です。

★DCOMを無効にする

 分散コンピューティングで使われる機能ですが、悪用されると危険ですので、無効にしておいたほうが安全だと思います。
http://service1.symantec.com/SUPPORT/INTER/tsgen …
4aefaadc9d7b2aef8825694c005b6a08/dec52497dd48831c49256d78003b3738?OpenDocument

★プログラムの追加と削除
 「e-surveiller」という項目が無いか調べてください。
 
以下、できるだけ、詳しく情報提供してlesson さんの回答を待つようにしてください。

この回答への補足

★プログラムの追加と削除
 当該項目は見当たりません。
【現状】
antivirussoft:Internetsecurity2005(最新更新済)
のみ起動状態。
その他フリーのzonealarm,avast!,spywear対策soft
については、とりあえず全て止めてあります。
Internetsecurity2005でスキャンしたところ何も
発見されていません。

Internetsecurity導入前にzerospyにて発見された
spywearについて下記ご参照下さい。
●HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{5F426A93-0821-47D2-A126-5A48A874B289}
●HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{02C20140-76F8-4763-83D5-B660107B7A90}
●HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{23273a1c-c870-43c4-a3e3-67dc98630ac6}
●HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{6ed16eff-3b18-11d6-9139-00e02964e8e3}
●HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{e8edb60c-951e-4130-93dc-faf1ad25f8e7}
●HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{ceb29da4-7afa-4f24-b3cd-17351d590df0}
●HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{8522F9B3-38C5-4AA4-AE40-7401F1BBC851}

以上になります。
以上、現状になりますので今後の対応等、ご教授
頂きたくお願い申し上げます。

補足日時:2005/08/16 18:07
    • good
    • 0
この回答へのお礼

ご返答遅くなり申し訳ありません。所用で外出して
おりました。norton internet security2005を購入
し今導入しました。
現状のご報告については、追加ご報告致します。
初心者の為皆様には大変ご迷惑をお掛けします。

お礼日時:2005/08/16 18:06

>e-surveillerを削除するにはどうすればいいのでしょうか?



また少し調べてみたところ、symantec社のウイルスデータベースに「Remacc.Surveil」という名前で駆除法とともにありました。
http://www.symantec.com/region/jp/avcenter/venc/ …

symantecのオンラインウイルススキャンを実行してウイルスの名前と感染ファイルを確認し、それをセーフモードで手動削除して再起動。
そのあとまたsymantecのスキャンをかけてみてください。
別の名前ですが、PandaとE-Trustでもこのウイルスの情報があるのでこちらのオンラインスキャンもかけてみるのがいいでしょう。見つかってもまだ英語のデータしかないでしょうけど。

http://www3.ca.com/securityadvisor/virusinfo/sca …
http://www.pandasoftware.jp/scripts/panda/VB_Bri …

参考URL:http://www.symantec.com/region/jp/avcenter/venc/ …
    • good
    • 0
この回答へのお礼

度々、申し訳ありません。
早速、ご教授頂きました上記サイトでスキャンした
ところ、出てきました。全てレジストリーにある
らしいのですが、セーフモードで起動して手動削除
して宜しいのでしょうか?

お礼日時:2005/08/16 11:47

>e-surveiller



まずこれの情報です。
http://www.shareedge.com/spywareguide/product_sh …
性質から考えて、ネットバンキングとかやっている方のPCからはパスワード流出の危険もありますからパスワード変更も考えてください。

それから、zero-spywareですが、他の常駐型スパイウェア対策ソフトと競合するようなので、これでせっかく防御できるものもできなくなっているのかもしれません。
過去ログを参照ください。

http://oshiete1.goo.ne.jp/kotaeru.php3?q=1453833

参考URL:http://oshiete1.goo.ne.jp/kotaeru.php3?q=1453833

この回答への補足

競合の件ですが・・・
Microsoft anti spywareを常駐させており、
スキャン時のみzero-spywareを起動しておりますが
やはり問題なのでしょうか?
spybot,Ad-aware,Microsoft anti spywareでは毎回
何も発見できず、zero-spywareのみで発見している
ので個人的には信用しているんですが・・・。
e-surveillerを削除するにはどうすればいいのでしょうか?
お知恵をお貸し下さい。お願いします。

補足日時:2005/08/16 10:18
    • good
    • 0
この回答へのお礼

早速のご指導有難うございます。
e-surveillerの情報につていは、自分でも確認していました。
現在、ネットバンキング等は行っていません。

お礼日時:2005/08/16 10:13

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

今、見られている記事はコレ!

おしトピ編集部からのゆる~い質問を出題中

お題をもっとみる


このカテゴリの人気Q&Aランキング

おすすめ情報

カテゴリ