Ad-Aware se でSpywareNoというレジストリが検出されます。

Ad-Aware Spy-bot Spyware-Blaster Microsoft-AntiSpyware を入れているにもかかわらず、タイトルの状況になりました。
「Ad-Awareだけ」が検出し、削除しても再起動で復活します。以下のページにあるような、広告がでることもなく修復すべきレジストリも存在しないのです。

スパイウエアガイド
http://www.shareedge.com/spywareguide/product_sh …

誤検出と思っていいのでしょうか？

Ad-Awareの検出ログです。
Name:SpywareNo
Rootkey: HKEY_USERS
Object: S-1-5-21-473787788-279390729-1809912948-1005\software\microsoft\windows\currentversion\ext\stats\{72267f6a-a6f9-11d0-bc94-00c04fb67863}

Name:SpywareNo
Rootkey: HKEY_CURRENT_USER
Object: software\microsoft\internet explorer\desktop\components
Value: GeneralFlags

ご存知の方おられましたら、お教え頂ければありがたいです。

No.1 ベストアンサー 回答者： ryu-fiz 回答日時： 2006/02/12 01:59

私自身はSpywareNonの実体をきちんと把握している訳ではありませんが…参考までに。

"72267f6a-a6f9-11d0-bc94-00c04fb67863"でGoogle検索してみたところ、日本語でヒットするのは『アダルトサイト被害対策の部屋』の過去ログでした。
http://www.higaitaisaku.com/kakolog/cbbs.cgi?mod …
これを見た感じ、どうやら検出されてるものの実体はアクティブデスクトップのオブジェクトのようです。
OSの設定上アクティブデスクトップを使わないようにしていれば、実際にこれが表示されることはないのでしょうが、決して誤検出ではないと思います。

デスクトップの何も無いところを右クリックして、画面のプロパティを表示し、『デスクトップ』タブを開いて、怪しいオブジェクトがないかどうか確認してみてください。あったらその画面上から削除可能だと思います。

オブジェクトを削除したら、再度Ad-Awareでスキャンして検出されたものを削除後、システムを再起動してもう一度スキャンし、復活してないか一度確認してみてください。

…復活してるようなら、お手持ちの対策ツールでは検出出来ないマルウェアが隠れている可能性が高いです。
http://www.higaitaisaku.com/
『被害対策』を最初からやってみることをお勧めします。

この回答への補足

アドバイスありがとうございます。
アクティブデスクトップのオブジェクトということから思い当たったのですが、私は「壁紙舘」の「デスクトップカレンダー」を使っています。
そこで、デスクトップのプロパティから壁紙を「なし」に設定＞再起動後、再スキャンを行ったところ何も検出されなくなりました。
デスクトップにカレンダーを表示する動作が、SpywareNoの広告表示と類似しているため、Ad-awareで検出されたものと思われます。
「壁紙舘」自体、メジャーなサイトだと思いますので信頼していますが、しばらく壁紙を「なし」にして様子を見てみます。
それにしても、かなり以前から「デスクトップカレンダー」を利用させていただいていますが、何も検出されなかったということは、検索ファイルが追加されたのでしょうか？
的確なアドバイスに感謝しています。

壁紙舘
http://www.kabegamikan.com/

補足日時：2006/02/12 18:44

No.3 回答者： ryu-fiz 回答日時： 2006/02/12 22:37

No.1です。

補足いただきどうもです。

一応、あちらのサイトでデスクトップカレンダーを作成、保存して（設定はしませんでしたが）ソースの内容を見てみましたが…コードその他に問題になりそうな要素はないみたいです。
（場合によっては、特定のサイトに自動的に接続して何か送信したり…ということも考えられないではなかったので）

http://www.kabegamikan.com/cgi/calendar/desktop. …
の内容を参考にしてデスクトップカレンダーの表示に使われるオブジェクト＝htmlファイル、そして同名のフォルダに入った画像ファイルをご自身で確認することは可能だと思いますので、気になったらhtmlファイルをメモ帳などのテキストエディタで開いてみてください。

アクティブデスクトップが絡んでたことは間違いないようですが…結局は誤検出、ということになるようですね。

まぁ、今回検出された"72267f6a"から始まるCLSIDをGoogleなどで検索した結果として表示される情報は、海外サイトのものまで含めても殆どがデスクトップを乗っ取るマルウェアに関するものばかりです。そういう意味では悪用され易い技術ではあると思うし、現に悪用されるケースも多そうです。
それに…この技術を良い形で実用化している例があまりないみたいですからね(^^;
デスクトップカレンダーの登録の方法も一般的な手法とは思えないですしね。アクティブデスクトップの利用法について書かれたページ自体が意外と少ないみたいですが、標準的な登録方法は、
http://www.fwindows.com/tips/tips001117.htm
みたいなのだと思うんですけどね。

ただし、だからといって…あのCLSIDを一くくりに"SpywareNo"のオブジェクトと決め付けて検出するAd-Awareの定義は適当とは言えないのかも知れませんね。

私自身はエキスパートではないので何か見落としてるかも知れないですが…自分の目からみた感じではこのデスクトップカレンダーの利用には取りあえず問題はないと思います。現状、Ad-Awareの設定でその検出をIgnoreList（無視リスト）に追加するようにしておいても良いかな、と思います。具体的な手法については、
http://eazyfox.homelinux.org/SecuTool/ADaware/Ad …
を参考にしてください。

ただし、先述したように悪用され易い技術です。もし、何らかの感染が原因でデスクトップの表示に明らかな問題が出たりした場合は、必要に応じてその設定の解除が必要になるかも知れませんので、一応その辺は頭の隅っこにおいといた方が良いと思います。

この回答へのお礼

再度詳細なご説明をいただきありがとうございます。
ずっと以前からデスクトップカレンダーを使用していましたが、不審な動作はまったくありませんでした。
今回のAd-Awareの定義ファイルのアップデート後に初めて"SpywareNo"として検出され、びっくりした訳です。
誤検出と思うか、検出漏れを防いでくれる思うか・・・微妙なところですね。
カレンダー表示は、毎日自動的に年月日を教えてくれる便利な機能なので、アクティブデスクトップの脆弱性を理解しながら使わせていただこうと思います。
訂正→　壁紙舘ではなく、壁紙館でした。

お礼日時：2006/02/13 18:29

No.2 回答者： hoihence 回答日時： 2006/02/12 16:07

セーフモードでのスキャンは試したでしょうか。

この回答へのお礼

お答えありがとうございます。
No.1さんで補足させていただいたように、「デスクトップカレンダー」表示が原因のようです。

お礼日時：2006/02/12 18:54