worm.win32.Otwycal.cが見つかりました。

a-squaredでクイックスキャン（もしくはスマートスキャン）したところ、win32.Otwycal.cというワーム？が見つかりました。見つかった場所は、
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\dllcache\explorer.exe
の２ヶ所です。
ネットで検索しても、英語や中国語のサイトがひっかかるだけで、役に立つ情報は見つかりませんでした。

とりあえずa-squaredで削除しましたが、削除できていなかったようで、今度は検疫（隔離）したところうまくいったのか、
C:\WINDOWS\explorer.exeはありましたが、更新日時が 2007 6/13 22:22 から 2004 4/9 18:48になっていました。
C:\WINDOWS\system32\dllcache\explorer.exe
は、\dllcacheというフォルダが最初から見つかりませんでした。

その後、今度はディープスキャンしたところ、
C:\system volume Information\_restore{英数字の羅列}\RP274に\A0091109.exeと\0091110.exeが見つかりました。
この２つを検疫し、その後に２度Ｃドライブをスキャンしましたが、このワームは見つからなくなりました。

これでもう問題はなくなったのでしょうか？
拡張子が.exeということは、ダブルクリックして実行しない限り、問題は発生しないのでしょうか？
ウイルスバスター2007ではまったくこのワームは見つかりませんでしたが、a-squaredでディープスキャン中に急にウイルスバスターから「WORM_ANTINNY.JPが見つかりました。隔離しましたので、安全です」と表示がでました。
見つかった場所は、C:\DOCUME~1\ユーザー名\LOCALS~1\Temp\a2arechiveです。
直前にウイルスバスターでスキャンしましたが、その時は何も見つかりませんでした。

まったくどういうことか理解できず、対処法もわからず困っています。
長文で読みにくいですが、対処法やアドバイスをお願いします。

No.1 回答者： FMVNB50GJ 回答日時： 2008/04/17 06:07

不正プログラムが外部に何らかの通信するならばバスターのログを確認するとか。

P2Pソフトをやっていたらやめることです。

対処法といってもセキュリティソフトがやるものでしょうし、ユーザーとしてはパソコンの変化をよく観察することではないですか。
それと感染したということは経路があること。心当たりがあるのでは。

誤検出を除けば、セキュリティに不備があることではないですか。
駆除してもその不備は消えませんよ。

リカバリは基本的な解決。
データの管理と保存はセキュリティの基本です。
駆除お宅に助けを求めるな別のサイトに投稿しては。

この回答へのお礼

ログを確認しても問題は無く、感染した経路もまったく心当たりが無いわけではないですが、日々感染しないように気をつけていました。

しかしどうも誤検出のようでした。
シマンテックなどのオンラインスキャンではまったく問題ありませんでした。

回答ありがとうございました。

お礼日時：2008/04/20 13:14

No.2 ベストアンサー 回答者： ryu-fiz 回答日時： 2008/04/17 16:39

2chのa-squared Freeスレッドでも話題に上っていましたが、win32.Otwycal.cは…誤検出のようです。

隔離すべきではなかったと思われます。

a-squaredは比較的この種の誤検出が多いソフトとして知られています。利用に際してはその辺を十分に注意しないといけません。今回のように重要なシステムファイル、あるいは既存のアプリケーションソフトの構成ファイルがいきなり問題ありとして検出された場合には即座に隔離や削除をせず、VirusTotalのようなサイトで該当ファイルを検査してから最終判断を下すようにすべきでしょう。

http://www.virustotal.com/jp/

>とりあえずa-squaredで削除しましたが、削除できていなかったようで、今度は検疫（隔離）したところうまくいったのか、
>C:\WINDOWS\explorer.exeはありましたが、更新日時が 2007 6/13 22:22 から 2004 4/9 18:48になっていました。

最初はWindowsのシステムファイル保護のおかげでファイルの削除が防がれていたようですが、強引な削除が繰り返された結果、もともとのバージョンのexplorer.exeが古いバージョンと置き換わったようです。

何らかのバグ修正によってバージョンの上がったexplorer.exeが古いバージョンと置き換わったことで、システムが不安定になる可能性もあります。隔離済みのバージョンを復元するべきではないでしょうか。

とは言え、Windowsには強力なシステムファイル保護が機能していますので、単に隔離したものを元に戻そうとしても上手く行かないかも知れません。ですので念のために『検疫』から『レストア』を行う前に、『コピーの保存』をクリックして、隔離されたファイルのコピーをデスクトップなど適当な場所に保存しておくことをお勧めします。

そして、レストアを行う場合はシステムをセーフモードで再起動後に行ってみてください。システムファイル保護はセーフモードでは働かないようですので、システムファイルの置き換えや削除が可能な場合があります。

もし、既に同名のファイルが存在していて復元出来ない、という表示が出てレストア出来ない場合には、先ほど『コピーの保存』を利用して保存しておいたexplorer.exeを"C:\WINDOWS"フォルダ上に貼り付けて置き換えを行ってください。

同様に"C:\WINDOWS\system32\dllcache"にも元のexplorer.exeを復元しておくのが良いと思います。

なお、a-squared Free利用中にウイルスバスターによる検出が発生したとのことですが…これについては、誤検出かどうかは簡単に断言出来ません。ただ、各対策ソフトが検出可能なものは異なることはままありますし、圧縮ファイルの取り扱いの違いも影響して、今回のような検出が起こることは結構あるように思われます。

いずれにしても、圧縮ファイルの中からの検出と考えられます。現状感染による何らかの症状が出ていないのなら、気にしても仕方がないと思います。別のオンラインスキャンなどを利用してより詳しく調べる、という手はと考えられるかも知れませんが、その手のもので圧縮ファイルをきちんと調べるのは難しいことが多く、結局やっても良く分からないということになりかねません。現状としては気にしないのが一番精神衛生上もよろしいかと思います。

この回答へのお礼

おっしゃる通り、誤検出のようでした。

virustotalでスキャンしてもウイルス・ワームと判定されず、念のためにシマンテック、カスペルスキー、F-Secureでオンラインスキャンしましたが、見つかったのはトラッキングクッキーとウイルスバスターの隔離フォルダ内にあったウイルスのみでした。

レストアは問題なく実行できました。

a-squaredでのスキャン中に検出されたウイルスに関しても、おっしゃるように圧縮ファイルによるもののようです。
Ｎドライブ内にかなりの数の圧縮ファイルがあり、そのスキャン中だった時に検出したと記憶しています。

今回の件でいろいろネットで調べている時にたまたま、a-squaredは性能がとても良く、ad-awareなどと比べると検出率（というのか単純に性能というのかわかりませんが）は比べようもない、といったサイトを見つけ、a-squaredを過信していました。誤検出とは考えもしませんでした。

普段からウイルス（特にトロイの木馬やワーム）には気をつけていましたが、入手先不明のファイルもあり、今後はもっと気をつけようと思います。
大変助かりました。
ありがとうございました。

お礼日時：2008/04/20 13:25