e-surveiller1.2が削除出来ない＆ブラウザーの設定が変更されます

Question

PC初心者です。過去2回質問させて頂き、皆様のお陰で
問題を解決してきましたが、下記2点についてご教授
頂きたく再度ご質問致します。
*************************************************
【症状】
１、ブラウザー(sleipnir)のオートコンプリートを
　　設定しているが、設定が解除されてしまう。
２、e-surveiller1.2が何回削除してもスキャンすると
　　復活している。（zerospywareでスキャン→削除）

【環境】
OS:WindowsXP homeSP2
browser：sleipnir1.66
firewall：ZoneAlarm/5.5.109.000
antivirussoft：avast!4.6home
antispywearsoft：spybot S&D
                 Microsoft antispywear
　　　　　　　　 Ad-Aware
                 zero-spyware

【更新】
Windows、アンチウィルス、アンチスパイソフト
については全て更新して最新の状態です。
*************************************************
以上、説明不十分なところがあるかと思いますが
ご指摘頂きましたら、追加にてご報告致します。
以上、宜しくお願い致します。

doki2 · Accepted Answer

結論から申し上げると「zerospywear」の誤検出です。
「e-surveiller」には感染していないと思います。

検出例で説明すると下記のようになります。

☆「KillBit」

　「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility」というレジストリキーに

　「{02607DF4-D40B-4FFB-B054-1CAC03468E28}」というサブキーを登録し

　「Compatibility Flags"=dword:00000400」という値を設定することを

　「KillBitを設定する」といいます。

　これによって有害なActiveXコントロールの動作を封じることができます。
　
　「{02607DF4-D40B-4FFB-B054-1CAC03468E28}」は確かに有害なプログラムのIDですが、このキーがあるだけでスパイウエア発見というのは間違っています。
　そのうえこれはどこかのアドウエア関連のIDで「e-surveiller」には全く関係ありません。
　
☆「Spybot-S＆D」の免疫設定

　「KillBit」は、もともとマイクロソフトが使っていた手法ですが、「SpywareBlaster」がこの手法を使って有名になり、その後、「Spybot-S＆D」が「免疫」機能　として採用しています。
　kazuMさんの場合も多分「Spybot-S＆D」によって設定されたものと思います。
　
★「zerospywear」のこと

　登場当初、このソフトはインチキソフトと決め付けられていました。
　ありもしないスパイウエアを「見～つけた～」といってユーザーをびっくりさせていたのです。
　しかし、その後改善されインチキソフトのリストから除外されたのですが、どうやらそのころの残骸が残っていたようです。

　参照：Rogue/Suspect Anti-Spyware Products
　http://www.spywarewarrior.com/rogue_anti-spyware.htm#products

以上、泰山鳴動して「e-surveiller」という鼠が一匹出てきたというわけです。

「e-surveiller」という鼠は、kazuMさんをして、ウィルス対策ソフトの導入に踏み切らせた殊勲者と考えれば腹も立たないと思います。

sleipnirについては私にはわかりません。

別のカテゴリーで質問してみてください。

コンピューター [家庭向け] > ソフトウェア > ブラウザ

lesson · Answer

>e-surveiller

まずこれの情報です。
http://www.shareedge.com/spywareguide/product_show.php?id=396
性質から考えて、ネットバンキングとかやっている方のPCからはパスワード流出の危険もありますからパスワード変更も考えてください。

それから、zero-spywareですが、他の常駐型スパイウェア対策ソフトと競合するようなので、これでせっかく防御できるものもできなくなっているのかもしれません。
過去ログを参照ください。

http://oshiete1.goo.ne.jp/kotaeru.php3?q=1453833

参考URL：http://oshiete1.goo.ne.jp/kotaeru.php3?q=1453833

lesson · Answer

>e-surveillerを削除するにはどうすればいいのでしょうか？

また少し調べてみたところ、symantec社のウイルスデータベースに「Remacc.Surveil」という名前で駆除法とともにありました。
http://www.symantec.com/region/jp/avcenter/venc/data/remacc.surveil.html

symantecのオンラインウイルススキャンを実行してウイルスの名前と感染ファイルを確認し、それをセーフモードで手動削除して再起動。
そのあとまたsymantecのスキャンをかけてみてください。
別の名前ですが、PandaとE-Trustでもこのウイルスの情報があるのでこちらのオンラインスキャンもかけてみるのがいいでしょう。見つかってもまだ英語のデータしかないでしょうけど。

http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://www.pandasoftware.jp/scripts/panda/VB_Bridge4.dll?VBPROG=user_call&PG=home.xsl&IF=TOP

参考URL：http://www.symantec.com/region/jp/avcenter/venc/data/remacc.surveil.html

doki2 · Answer

応答が途絶えているようなので、横から失礼します。

No.1 lesson さんへの回答

>競合の件

　私の場合マカフィーがメインですが、eWido、StartupMonitor、Microsoft AntiSpyware等の常駐ソフトを併用して大きな問題は発生していません。
　油断は禁物ですが、何も異常が無ければ「zero-spyware」の併用は問題ないと思います。
　また、特定のツールを使いこなすというのはいいことだと思います。
　
>現在、ネットバンキング等は行っていません。

　ネットショッピングもやっていない。
　ネット上でカード決済をしたことが無い。
　パソコンに重要な情報を保存していないのであれば、これも、問題ないと思います。
　
No.2 lesson さんへの回答

>全てレジストリーにある

　「Remacc.Surveil として検出されたすべてのファイルを削除します。」とありますからレジストリだけではないはずです。
　
　検出された情報をできるだけ詳細に報告しなければlesson さんもお答えのしようが無いと思います。
　ただし、公表したくない部分を隠したいという場合、それはkazuMさんのご自由です。
　
★何回削除してもスキャンすると復活

　ActiveXコントロールという特殊な設定を使って、復活させる場合がありますが、これまでの情報ではわかりません。

★インターネットから切断

　「e-surveiller」はあなたのパソコンを監視し、リモートコントロールできるソフトのようですから、インターネットから切断した状態での修復作業が必要です。

★DCOMを無効にする

　分散コンピューティングで使われる機能ですが、悪用されると危険ですので、無効にしておいたほうが安全だと思います。
http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/
4aefaadc9d7b2aef8825694c005b6a08/dec52497dd48831c49256d78003b3738?OpenDocument

★プログラムの追加と削除
　「e-surveiller」という項目が無いか調べてください。
　
以下、できるだけ、詳しく情報提供してlesson さんの回答を待つようにしてください。

lesson · Answer

>全てレジストリーにあるらしいのですが

レジストリ上にあるというより、ウイルスがレジストリを改変しているということでは？
このウイルスの情報を見るとファイルを削除後に、改変されたレジストリを手動でまた書き換えることがあるようですが、ファイルを削除したあとにオンラインスキャンをかけるとそのウイルスが「Recycled」のフォルダから検出されているなら、これは「ごみ箱」に移したウイルスを検出しているためで、通常は「ごみ箱」に入れたならなにもできない状態のはずなので、あとはしばらくの間そのファイルを「ごみ箱」から削除はせずに様子をみておくものです。完全に削除してしまうと、そのファイルがPCのシステムに必要なものだった場合に動作しなくなる危険もあるからです。
オンラインスキャンで「ごみ箱」以外から検出されなければいいのですが、レジストリの変更は危険もあるので、先の紹介ページの説明がよくわからないというのであれば無理にはやらないほうが安全かもしれません。

それと、お使いのセキュリティソフトがavast!、ZoneAlarmとフリーソフトでまかなっておられるようですが、フリーソフトはただでさえサポートがないので自分でほとんどのことを解決する必要がありますし、海外製ソフトならウイルス名や症状から検索して調べるにも英語力も求められます。
また、avast!のAlwil Softwareもそうですが、各メーカーごとに同じウイルスでも呼び名が違っていることも多いので、今後もフリーのセキュリティソフトをお使いの予定でしたら情報検索と解析も挑戦しましょう。
海外にしか情報がないと思われたウイルスでも少し調べれば別の名前で日本語のデータベースもみつかることが多いので、自分のスキルアップにもなりますよ。

どうしても英語や解決には自信がないのでしたら、日本のメーカーがサポートつきで販売している製品版ソフトを使うのが確実です。
symantecやトレンドマイクロなど大手のメーカーのウイルス情報をよく調べると、それぞれのウイルスの他のメーカーでの呼び名も載せていることが多いので、このあたりも覚えておくといいでしょう。
私でも英語は駄目ですがここまではこれたんですから。

lesson · Answer

doki2さん、フォローありがとうございます。
私はsymantecの情報しかあまり確認していなかったのでレジストリの点までよく考えていませんでした。

補足に書いてもらったキーをみたところ、どうもこのウイルスもいたようですね。
http://www.symantec.com/region/jp/avcenter/venc/data/backdoor.netdex.html

わかりやすいように、トレンドマイクロのデータも載せます。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_NETDEX.A

「トロイの木馬」は感染したファイルごと削除するのが基本で、改変されたレジストリの削除もすることになりますが、このウイルスなら指示通りにすれば処理可能と思われます。
が、doki2さんが教えてくださった内容によれば実際には新種か亜種の可能性もあり、そうなるとまだ油断はできません。symantec、トレンドマイクロのデータが2002年のものなので、本当に古いままのタイプかどうかです。
ひととおりスキャンと駆除ができたら、こちらのClamwinをダウンロードしてスキャンしてみてください。これは常駐しない型のウイルス対策ソフトで、他のソフトと併用しても不具合が起きない上に検出力もかなりだし、駆除も可能なので予備の対策ソフトとして有効なものです。
http://ringonoki.net/tool/antiv/clamwin.html

海外製ですが使い方はそう難しくはありません。ただスキャンにかかる時間はかなり長いので環境によっては4～5時間も覚悟しましょう。

まずはClamwinダウンロード・アップデートができたらLANを抜いてネットから遮断した状態でスキャンと駆除を試してください。
トロイなら自動削除はできないと思いますが、感染場所と名前がわかれば手動処理可能です。感染がみつかったファイルはセーフモードで削除してごみ箱に移してみて、ごみ箱からは削除せずしばらくは異常がないか様子をみてください。
あと、駆除ができたと思ってもネットにつなぐようになったらファイアウォールのログも見て、不審な通信がされていないかチェックしましょう。

ウイルスを見つけてもあわてずに対処するように構えてみてください。最新のウイルスならともかく発見から1年以上たったようなウイルスは結構対処法もあるので駆除かリカバリーか判断するのも楽です。リカバリー決めるのが楽というのも変でしょうが。
かくいう私も今日自宅のPCでウイルス感染みつけて手動駆除しました。こういう人間のアドバイスがどこまであてになるかわかったもんじゃありませんね（爆）

doki2 · Answer

「zerospywear」で検出されたレジストリキーの内容を調べる必要があります。

１．デスクトップ等わかりやすい場所に「TEST」というフォルダを作ります。
２．「TEST」フォルダを開き右クリックして「新規作成」でテキストドキュメントを選択。
３．「新規テキスト ドキュメント.txt」を「TEST.bat」という名前で保存します。
この時点では「TEST.bat」は空白の状態です。

４．下記「はじめ」～「終わり」をコピーして「TEST.bat」を上書き保存してください。

:～～～～～～～～～～「はじめ」～～～～～～～～～～
regedit /e /a tempA.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{02607DF4-D40B-4FFB-B054-1CAC03468E28}"
type tempA.txt > tempB.txt

regedit /e /a tempA.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{02C20140-76F8-4763-83D5-B660107B7A90}"
type tempA.txt >> tempB.txt

regedit /e /a tempA.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{23273a1c-c870-43c4-a3e3-67dc98630ac6}"
type tempA.txt >> tempB.txt

regedit /e /a tempA.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{6ed16eff-3b18-11d6-9139-00e02964e8e3}"
type tempA.txt >> tempB.txt

regedit /e /a tempA.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{e8edb60c-951e-4130-93dc-faf1ad25f8e7}"
type tempA.txt >> tempB.txt

regedit /e /a tempA.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{ceb29da4-7afa-4f24-b3cd-17351d590df0}"
type tempA.txt >> tempB.txt

regedit /e /a tempA.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{8522F9B3-38C5-4AA4-AE40-7401F1BBC851}"
type tempA.txt >> tempB.txt

notepad tempB.txt
:～～～～～～～～～～「終わり」～～～～～～～～～～

５．「TEST.bat」をダブルクリックして実行すると結果がメモ帳で表示されます。
６．結果を補足欄に貼り付けてください。

e-surveiller1.2が削除出来ない＆ブラウザーの設定が変更されます

>e-surveiller

この回答への補足

>e-surveillerを削除するにはどうすればいいのでしょうか？

応答が途絶えているようなので、横から失礼します。

この回答への補足

>全てレジストリーにあるらしいのですが

doki2さん、フォローありがとうございます。

この回答への補足

「zerospywear」で検出されたレジストリキーの内容を調べる必要があります。

この回答への補足

結論から申し上げると「zerospywear」の誤検出です。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング