スパイウェア Error Safe が本当に駆除出来ているのか判らない

不注意から Error Safe というスパイウェアを手動でダウンロードしてしまった事に気付き、すぐに スタート→コントロールパネル→プログラムの追加と削除 の手順で Error Safe を削除しました。
その後 Noeton Antivirus 2005 でシステムの完全スキャンを行ったところ、「ウィルス以外の脅威を検出しました」というメッセージが出て、まだ Error Safe が残っている事が判りました。
ノートンではスパイウェアの検出は出来ても削除が出来ないようなので、Spybot S&D 1.4 というフリーの駆除ツールをダウンロードして Error Safe と、一緒に見つかった他のスパイウェアを全て駆除しました。
その直後、タイミングのいい事にノートンのウィルス定義ファイルが最新の物に自動更新されたため、最終確認のつもりで再度システムの完全スキャンを行いました。
すると、駆除した筈の Error Safe がまたしても検出されたのです。

これはノートンの誤作動なのでしょうか。
それとも駆除されたと見せかけて、いまだスパイウェアが潜んでいるという事なのでしょうか。
前者だった場合、この誤表示は直す方法はあるのでしょうか。
そしてもし後者だった場合、どう対処すれば良いのでしょう。
Spybot で再度チェックしてみたのですが、スパイウェアは何ひとつ見当たらず、これ以上どうすればよいのか判らず困っております。
どうかお知恵をお貸し下さい。

No.5 ベストアンサー 回答者： mama_ane 回答日時： 2006/05/18 15:29

hpodvd09.log

~DF22AF.tmp
消せなくても問題無いファイルですが…セーフモードで行いましたか？
ちなみにほっといてもいずれ消えますからこのファイルは忘れていいです。


で・・・本題。

>セキュリティリスク発生源
>C:\RECYCLER\S-1-5-21-2543948700-2509041174-3130192720-1007\Dc89.UERSS_0001_N69M0703\setup.exe,

C:\RECYCLER＝ごみ箱です。(無害)
空にして処理してください。

※「C:\RECYCLER」でYahooやGoogleで検索してみましょう。
　


エクスプローラーも開く必要無いです。
もちろんレジストリ処理も必要ないです。

この回答へのお礼

お返事ありがとうございます。
ごみ箱を空にしてから再度ノートンのスキャンを行ったところ、今度は何も検出されませんでした。
お陰さまで問題を解決する事ができました。本当にありがとうございました。

お礼日時：2006/05/18 22:08

No.6 回答者： chiyogami01 回答日時： 2006/05/18 15:32

もう殆ど問題ないほど作業が進行したと思いますが。

＞アクセサリの中のエクスプローラをクリックすると、マイドキュメントが開きますよね？
マイドキュメントのどこにアドレスをコピーする部分があるのかが判らなくて、行き詰ってしまっています。
ツールバーの下にアドレス(D)ってありますか？
その右にマイドキュメントってアドレスボックス（でよかったかな、名前）に表示されてるでしょう。
その「マイ　ドキュメント」という文字を選択して消して、
指示にあったアドレスをコピペです。

なお、これはシマンテックの指示の削除なので実際はなにもないかもしれません。
ノートンのログから削除したなら、まず大丈夫ですが。

この回答へのお礼

お返事ありがとうございます。

＞ツールバーの下にアドレス(D)ってありますか？

いいえ、ツールバーの下にアドレスボックスらしきものは見当たりません。スタート→すべてのプログラム→アクセサリ→エクスプローラの手順で開いているのですが、私の方で何かやり方を間違っているのかもしれません。
幸いNO.5のアドバイスを実行したところ、問題は解決する事ができました。
色々教えて頂き勉強になりました。本当にありがとうございました。

お礼日時：2006/05/18 22:18

No.4 回答者： mama_ane 回答日時： 2006/05/18 13:51

>セキュリティリスク発生源:

>C:\Documents and Settings\nt\Local Settings\Temp\NI.UERSS_0001_N69M0703\setup.exe,説明: ファイル
>C:\Documents and Settings\nt\Local Settings\Temp\NI.UERSS_0001_N69M0703\setup.exe は セキュリティリスク 脅威です。

Tempフォルダですね。
ここもインターネット一時ファイルと同じようなもんです。
残っているのはレジストリでもなんでも無く「setup.exe」ファイル単体で
ErrorSafe をインストールした「実行ファイル」です。

ダウンロード＞実行した時のが一時フォルダに入ったまま残ってしまってたのでしょう。
このファイル自体はWクリック＞実行しない限り悪さしませんが…。。。



通常モードでも削除出来ると思いますが念のため・・・

1/
PCをセーフモードで起動して下さい
http://higaitaisaku.com/safemode.html


2/
Tempフォルダを空にします。(Tempフォルダは捨てないで下さい)
[スタート] ＞ [ファイル名を指定して実行] ＞「%Temp%」と入力するとTempフォルダが表示されます。
「Ctrl」＋「A」でファイルすべて反転させて削除して下さい。
※この時フォルダ内が空になったか確認して下さい。


再起動します。



以上で終わりです。



ちなみにNO3でお勧めのアプリ「CCleaner」でもTempフォルダクリア出来ますけどね。
今後PCお掃除に必要だと思えばこの機会にインストールされるのも良いかもしれません。
この辺はお好きなように・・・です。

この回答への補足

誠に申し訳ありません。No.2の所に追記した通り、最新のノートンログと昨日のログを間違ってアップしてしまいました。大変失礼を致しました。
なお、教えて頂いた方法でTempフォルダを空にしようとしたのですが、削除できないファイルが二つありました。

hpodvd09.log
~DF22AF.tmp

「削除できません。他の人またはプログラムに使用されています」と表示されるのですが、何に使用されているのかが判りません(私はTempフォルダを空にする作業以外、他の作業は何もしていません)

補足日時：2006/05/18 15:05

No.3 回答者： chiyogami01 回答日時： 2006/05/18 13:24

専門用語って難しいですね。

＞次のファイルおよびフォルダへナビゲートして削除します
これはその下にずらずら書いてあるアドレスを１こずつ、アクセサリの中にあるエクスプローラを起動してアドレスの所にコピペして探して削除しなさい。です。

ノートンが吐いたログを元に原因ファイルを手動削除、
レジストリにも不正なエントリを追加されているみたいなので、下記のツールでクリーンアップをしてください。
http://cowscorpion.com/Cleaner/ccleaner.html

問題点ボタン→全てのサーチ設定→問題点をスキャン→問題を解決

すっきりしますよ。

この回答への補足

丁寧な説明をありがとうございます。しかし実を申しますと、まだどういう状況なのか理解できないでいます。
アクセサリの中のエクスプローラをクリックすると、マイドキュメントが開きますよね？
マイドキュメントのどこにアドレスをコピーする部分があるのかが判らなくて、行き詰ってしまっています。
教えて頂いたツールはダウンロードしたのですが、上記の作業が終っていないまま使っていいものか判らないので、まだクリーンアップはしておりません。

補足日時：2006/05/18 14:58

No.2 回答者： mama_ane 回答日時： 2006/05/18 08:36

ErrorSafe はそんなに駆除のやっかいなマルウェアじゃないです。

プログラムの追加と削除からアンインストール＆Spybotで片づくはずで…。

ノートンで検出している場所(フォルダ)がどこか？が問題です。


多い例がこちら「_restore」フォルダ
「システムの復元ポイントバックアップ」からの検出です。
この場合復元掛けない限り無害です。


★システムの復元機能を一旦無効にして再度復元ポイントを作成してみてください。
http://service1.symantec.com/SUPPORT/INTER/tsgen …
http://wiki.higaitaisaku.com/wiki.cgi?action=ID& …

★それとインターネット一時ファイルの削除も。
http://support.microsoft.com/default.aspx?scid=k …


その後で再度ノートンでスキャン


それでもErrorSafeが検出される場合はノートンのログを見せて下さい。
※Norton AntiVirus のスキャンログ出力方法…参照
http://wiki.higaitaisaku.com/wiki.cgi?action=ID& …

この回答への補足

回答ありがとうございます。
教えて頂いたサイトに行き、説明に従ってシステムの復元機能の無効化と復元ポイント再作成、インターネット一時ファイルの削除を行いました。
その後ノートンのスキャンを行ったのですが、やはりErrorSafe が検出されてしまいました。
下記はその直後にとったノートンのログです。どうか宜しくお願い致します。

カテゴリ: 脅威警告
日付,機能,脅威名,適用した処理,項目の種類,発生先,疑わしい動作,ウイルス定義のバージョン,製品バージョン,ユーザー名,コンピュータ名,詳細
2006/05/17 11:20:24,ウイルススキャナ,ErrorSafe,何も処理しませんでした,ファイル,適用なし,適用なし,200605100019,11.0.16.2,user,FM-AE9DF34D30D3,"脅威カテゴリ: セキュリティリスク発生源: C:\Documents and Settings\nt\Local Settings\Temp\NI.UERSS_0001_N69M0703\setup.exe,説明: ファイル C:\Documents and Settings\nt\Local Settings\Temp\NI.UERSS_0001_N69M0703\setup.exe は セキュリティリスク 脅威です。"

補足日時：2006/05/18 12:54

この回答へのお礼

申し訳ありません。間違えて昨日のログをアップしてしまいました。
一番新しいノートンのログはこちらです。

カテゴリ: 脅威警告
日付,機能,脅威名,適用した処理,項目の種類,発生先,疑わしい動作,ウイルス定義のバージョン,製品バージョン,ユーザー名,コンピュータ名,詳細
2006/05/18 10:43:59,ウイルススキャナ,ErrorSafe,何も処理しませんでした,ファイル,適用なし,適用なし,200605170020,11.0.16.2,user,FM-AE9DF34D30D3,"脅威カテゴリ: セキュリティリスク発生源: C:\RECYCLER\S-1-5-21-2543948700-2509041174-3130192720-1007\Dc89.UERSS_0001_N69M0703\setup.exe,説明: ファイル C:\RECYCLER\S-1-5-21-2543948700-2509041174-3130192720-1007\Dc89.UERSS_0001_N69M0703\setup.exe は セキュリティリスク 脅威です。"

お礼日時：2006/05/18 13:53

No.1 回答者： chiyogami01 回答日時： 2006/05/18 08:08

ErrorSafeの一部ファイルが残っているか、レジストリにエントリが残っていてそれにノートンが反応したのでは？

Spybotで反応しないのに…というのはよくあることです。
一応対策を。
http://www.symantec.com/region/jp/avcenter/venc/ …

そして違うスパイウェア対策ソフトで試してみてください。
http://www.higaitaisaku.com/adaware.html

この回答へのお礼

早速の回答ありがとうございます。
教えて頂いたサイトに行き対策方法を読んでみたのですが、「次のファイルおよびフォルダへナビゲートして削除します。」というのが、どういう事なのか理解できず、行き詰ってしまいました。
別のスパイウェア対策ソフトも教えてくださって、ありがとうございます。
時間のある時にダウンロードして、重ねてチェックしてみようと思います。

お礼日時：2006/05/18 12:48