Aｃtual Spy 2.8 について

最近Aｃtual Spy 2.8がアンチスパイソフトで検出されます。
隔離した後フルスキャンしても何も検出されませんが、
次の日はまた検出されます。（再起動後かもしれません。）
場所は、
hkey_local_machine \microsoft\windows\currentversion\policies\explorer\run
です。

本体がどこにあるのか？又はどこかのサイトで貰うのか？
どの程度有害なのか教えて下さい。
よろしくお願いします。

No.8 ベストアンサー 回答者： doki2 回答日時： 2006/07/10 14:49

調べてみました・・・

最近、例のレジストリキーが偽アンティスパイウエアソフト等の「騙し商法」によく使われるようになっていることがわかりました。

Troj/Zlob-RJ
http://www.sophos.com/security/analyses/trojzlob …

Trojan.Zlob.D
http://www.symantec.com/region/jp/avcenter/venc/ …

TROJ_ZLOB.ZQ
http://www.trendmicro.com.au/consumer/vinfo/ency …

しかも、このキーは「HijackThis」では「O4」で検出されません。

「HijackThis」といえばスパイウエアの検出に世界中のフォーラムで使われているツールです。

「HijackThis」がスキャン対象にしていないキーを使う例が、今後、増えるものと思われます。

☆ソフォスのフォーラムで、現在進行中の例です。

http://www.sophos.com/security/analyses/trojzlob …

Running Processで「Ztob」系のファイルが４つ検出されているんですが、回答者は気がついていないようです。

C:\WINDOWS\System32\ishost.exe
C:\WINDOWS\System32\isnotify.exe
C:\WINDOWS\System32\issearch.exe
C:\WINDOWS\System32\ismon.exe

☆Silent Runner　を使って検出した例です。

http://www.lavasoftsupport.com/index.php?showtop …

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"ishost.exe" = "ishost.exe" [null data]
"kernel32.dll" = "C:\WINDOWS\System32\isnotify.exe" [file not found]
"issearch.exe" = "issearch.exe" [null data]

☆このキーに登録されて悪用されるファイル

mssearchnet.exe
mscornet.exe
nvctrl.exe
dcomcfg.exe

☆Noahdfearさんのページにこのキーの悪用例のリストがあります。

http://noahdfear.geekstogo.com/keys.htm

ishost.exe
issearch.exe
kernel32.dll
kernel32.dll
notepad.exe
notepad2.exe
nvctrl.exe
paint.exe
wininet.dll
winlogon.exe

ということで、marmeeさんのおかげで私も少し賢くなりました。

ありがとうございました。

この回答への補足

リンク見たらこのキーに登録される悪質なものが結構あるんですね。
時々チェックしないといけませんね。
でもペストパトロールが毎回検出するので大丈夫かな。（空っぽでも検出するから・・・(^^)）
ただ悪意のあるものがあると、除外出来ませんね。

補足日時：2006/07/10 20:13

この回答へのお礼

何度もお手数かけます。
いろいろ調べて下さってありがとうございます。

お礼日時：2006/07/10 20:16

No.9 回答者： sapoten 回答日時： 2006/07/10 21:34

＃７です。

なんでしょうねぇ～、、、

該当キーはあるけど、中身が無い(ように見える)。けど、毎回再起動後にキーが出来る。
となると、「値が隠蔽されている?」とか考えちゃいます。
「Aｃtual Spy 2.8 か、どうか」ではなく、「何かしら居るのかな?」などと。
「キーは残っているけど。で、他のキーに関しては、怪しいものは隠れているのか、または、他に怪しげなキーは作られないのか」とか疑問に思いつつ。

いっぺん、下記サイトで調査してもらっては?　「案ずるより産むが易し」かな、と。
http://www.higaitaisaku.com/index.html
超有名どころの掲示板、アダ被の「PCトラブル質問掲示板 」。
良く知りませんが、＃８様には向こうでも会えるかもです。
あっちの掲示板の過去ログをチラリと見て、雰囲気と手順を知っておいてください。

(すみませんが、＃７の「"1"にしても」は"0"に戻しといて下さい。または、削除でも良いと思います。削除して、また出来ているようなら、こっちに関係あるかもしれないですけど)

この回答へのお礼

回答ありがとうございます。
多少の疑問は残りますがちょっと安心しました。
紹介のサイトも言って見たいと思います。
これまで回答頂いた皆様本当にありがとうございました。そろそろ締め切ろうかと思います。
また何かあったらよろしくお願いします。

お礼日時：2006/07/11 06:54

No.7 回答者： sapoten 回答日時： 2006/07/10 09:15

何でしょうねぇ～^ ^; ＃５です。

ちなみに、その
"NoCDBurning"=dword:00000000
って、
"NoCDBurning"=dword:00000001
にしても、再起動後は、元に戻ってます?

(ちなみに、誤検出かどうかで言えば、そのキーだけで Aｃtual Spy 2.8　と判断したCAの検出結果は、宜しくないと思います。けれど、現状では、「じゃあ、なんで、このキーが毎回出来るわけ?」って答えが出て来てないんです^ ^; あと、＃５でも述べましたが、OSとPCの型番は今後も伏せておくのでしょうか? )

この回答への補足

OSとPCの型番は伏せてる分けではありません。書き忘れでした。(^^)
Windows XP Home SP2
NEC PC-VL570AD です。
NoCDBurningについては再起動後は書き換えたままです。
「じゃあ、なんで、このキーが毎回出来るわけ?」ここが気になるんですよね。
６＃さんの回答を見ると削除すると出ないみたいですよね。
OSの違いでしょうか？

補足日時：2006/07/10 19:54

この回答へのお礼

遅くなりました。
何度もありがとうございます。

お礼日時：2006/07/10 20:03

No.6 回答者： doki2 回答日時： 2006/07/10 07:21

試してみました。

例のレジストリキーを削除　＞　パソコンを再起動

例のレジストリキーはありませんでした。

下記、試して見てください。

１．インターネットの回線を切断。
２．ペストパトロールをアンインストール
３．例のレジストリキーを削除
４．パソコンを再起動

その結果、例のレジストリキーが現れなければペストパトロールがおかしいということになります。

これでも、例のレジストリキーが現れるようであれば、スタートアップに登録されている他のプログラムがこのキーを登録していることになります。

「Autoruns」を使って調べてみてください。

「Autoruns V 8.42」詳解
http://fine.tok2.com/home/heto2/0401Autoruns/mok …

この回答への補足

1.2.3.4.とやって見ました。
例のレジストリキーはあります。プログラムはありません。
Autorunsで調べても登録されたプログラムはありませんでした。
やはりペストパトロールの誤検出？そう思いたいですね。

補足日時：2006/07/10 19:48

この回答へのお礼

何度もお手数かけます。
ありがとうございます。

お礼日時：2006/07/10 19:53

No.5 回答者： sapoten 回答日時： 2006/07/09 22:26

＃３です。

該当するものが何も無いことは、心配する事柄ではないと思います。

今日は該当キーを既に隔離(修正、または、削除)していらっしゃるのでしょうから、明日また見てください。
または「バックアップ機能」や「リカバリー機能」ようなものがあり、隔離したものを元に戻せるなら、それでも良いです。

該当キーを利用するのは、そのソフトだけではありませんが、CAはこのキーだけを理由に Aｃtual Spy 2.8 と判断しているのだと思います。
このキーを利用しているソフトが、「ほんとうに Aｃtual Spy 2.8 なのか?」、異なる場合は、「そのソフトは安全なものか?」を判断して下さい。

該当キーの「データ」に記されているファイル名が何か確認して下さい。
そのファイル名を元に、該当ファイルを探し、このファイルの存在するフォルダ名や、右クリックメニューの「プロパティ」→「バージョン情報」などから、判断して下さい。見に覚えのあるソフトなら、それだけで十分だと思います。
これだけでは不安な場合、そのソフトに常駐機能の「オン・オフ」があるなら、常駐をオフにして、該当キーをチェックしてみて下さい。

自身で判断できない場合は、該当キーをエクスポートし、「補足」欄などに貼り付けてください。
(エクスポートしたファイルの右クリックメニューから「編集」で開けます)
(これを元に調査してくれる回答者がいるかもしれませんが、OSやPCの型番を提示するなどの配慮はあるべきと思います)

安全なものであった場合は、「Aｃtual Spy 2.8」とする検出結果は誤検出と判断し、以後、同様の検出結果であれば気にする必要はないと思います。
検出されるレジストリキーが増えた場合は、都度チェックして下さい。

この回答への補足

常駐をオフにして再起動し該当キーをチェックして見ました。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
の中には既定とあるだけでプログラムはありません。
この状態でペストパトロールでスキャンすると検出します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorerには
"NoCDBurning"=dword:00000000　
がありますが関係ありませんよね。
ペストパトロールの誤検出でしょうか？

補足日時：2006/07/10 06:58

この回答へのお礼

何度もありがとうございます。

お礼日時：2006/07/10 06:59

No.4 回答者： doki2 回答日時： 2006/07/09 16:57

＊長いレジストリキーの検索には下記のツールが便利です。

☆コピペで楽々　～レジストリジャンプ～

http://fine.tok2.com/home/heto2/0500MiniTool/050 …

>hkey_local_machine \microsoft\windows\currentversion\policies\explorer\run

　正しくは下記のキーのことだろうと思います。
　HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run

　このキーにプログラムを登録してパソコンの起動時にプログラムを自動実行させることができますが、通常はこのキーでなく下記のキーが使われます。

　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　レジストリエディターで下記のキーを開いて、プログラムが登録されているかどうか調べてみてください。

　おそらく何も書き込まれていないと思います。
　HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run

　多分、このキーを削除すればウィルス騒ぎは収まると思います。

☆念には念を入れて・・・
　
　レジストリエディターでこのキーを選択して右クリック、メニューの「エキスポート」を選択してデスクトップにでも保存しておいてしばらく様子を見てください。

　もし、異常があればバックアップしたレジストリファイルを右クリックして「結合」を選択すれば元通りになります。

☆内緒の話

　「HijackThis」に表示されない「Run」設定ということで少しばかり血が騒ぎました。

　さては「Rootkit」？？？　こうなると実際に「Actual Spy」をインストールして調べるしかありません。

　しかし、「BlackLight」「RootkitRevealer」「RootKit Hook Analyzer」で調べてもそれらしい形跡はありません。

　「Actual Spy」を弄り回しているうちに、メニューの「Settings」「Startup Option」で「Start at the system loading」にチェックを入れると例のキーが追加され、「application=C:\Program Files\ASMonitor\ASMonitor.exe」が登録されることがわかりました。

　ＣＡはこのキーを検出したようですが、トレンドマイクロ、シマンテックはこのキーへの登録に気がついていないようです。

　「HijackThis」でもRunning processesには表示されますが、「O4」には出てきません。

　「Autoruns」は、見事、このキーを検索して表示してくれます。

　さらに、「Actual Spy」で「Start at the system loading」のチェックをはずすと例のキーから、「application=C:\Program Files\ASMonitor\ASMonitor.exe」が削除され空のレジストリキーだけが残ることがわかりました。

☆「Actual Spy」

　「プログラムの追加と削除」できれいにアンインストールができます。使い方さえ間違わなければ行儀のいいプログラムだと思いました。

この回答への補足

回答ありがとうございます。
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run
確かに↑でした。
ＣＡのペストパトロールを使用しています。Aｃtual Spy 2.8はインストールしていません。又ファイル、フォルダー、他のレジストリキー
も見つかりません。
もちろん「プログラムの追加と削除」にもありません。
いろいろ試したら再起動するとこのキーが現れます。削除しても再起動
すると又現れます。
ちょっとおかしいのですが、ペストパトロールで該当キーを検出して、
隔離や削除せずにレジストリエディタでこのキーを確認すると、Aｃtual Spy 2.8はHKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run
に無いのです。ペストパトロールで該当キーを隔離するとrunが消えます。
これはペストパトロールの不具合でしょうか？

補足日時：2006/07/09 21:30

この回答へのお礼

確認してたら遅くなりました。
回答ありがとうございます。

お礼日時：2006/07/09 21:33

No.3 回答者： sapoten 回答日時： 2006/07/09 08:19

何と言うソフトで検出されたか記されていませんが、CAのペストパトロールをお使いですか?

検出されたものは上記の一点ですか?
「隔離した後」ということは、ファイルも存在したということでしょうか?
最初にそれが検出されたときと、現在とでは、検出結果は異なりますか?

レジストリエディタが使えるのなら、該当キーをチェックして下さい。
使用したスパイウェア対策ソフトの名前が不明なので何とも言えませんが、対処法など記されていたのなら、それに従い、該当ファイルの削除等を行ってください。
CA以外のソフトウェアをご使用で、且つ、質問者様の使用しているメーカーのサイトに有用な情報がない場合、下記の「参考URL」を参考にして下さい。

参考URL：http://www3.ca.com/securityadvisor/pest/pest.asp …

この回答へのお礼

回答ありがとうございます。
検出したソフトはCAのペストパトロールです。
検出されたものは一点だけです。ファイルは存在せずレジストリキーのみです。
現在は該当キーはありません。ペストパトロールも検出しません。
ここ一週間で５回検出して隔離してます。
リンクを見ましたが該当ファイル、フォルダー等何も見つからないので不安です。

お礼日時：2006/07/09 20:40

No.2 回答者： hamahamachan 回答日時： 2006/07/09 08:17

http://www.trendmicro.co.jp/vinfo/virusencyclo/d …
または
http://www.symantec.com/region/jp/avcenter/venc/ …

に出ているのがおっしゃっているActualSpyだと思います。ウイルスバスターやノートンのオンラインスキャンで、確認してください。それでもし検出されるなら、上記サイトを参考に処理してみてください。

でも、本当にインストールされていたならば、気持ち悪いのでリカバリがいいかと思います、私も。

この回答へのお礼

回答ありがとうございます。
二つのリンク見ましたが該当するキーやフォルダー等見当たりません。
バージョンの違いでしょうか？
リカバリ考えて見ます。

お礼日時：2006/07/09 20:24

No.1 回答者： junra 回答日時： 2006/07/08 22:46

http://translation.infoseek.co.jp/?ac=Web&lng=en …
キーロガーですので入力情報がすべて筒抜けです。
機器本体の情報は把握されます、今も調べてたらダウンロードされそうになりました。
心配でしたらＯＳをインストールしなおしてきれいにされてはいかがですか

この回答へのお礼

回答ありがとうございます。
キーロガーですか？怖いですね。
原因がわからないので不安です。最悪はリカバリーも考えて見ます。

お礼日時：2006/07/09 20:14