リカバリしても、Backdoorウイルスが検出されます。

Question

ウイルスセキュリティの手動ウイルス検査で「Backdoor.Win32.Dumador.gv」というウイルスが検出され、「駆除」された旨表示されましたが、不安だったのでリカバリしましたが、また検出・駆除されました。

「Backdoor.Win32.Dumador.gv」とはどんなウイルスなのか。駆除されれば他に何もしなくて大丈夫なのか。どうしてリカバリしても検出されるのか。どなたかご教授ください。

ちなみにリカバリはCDでなく、リカバリ領域によるものです。（関係あるのでしょうか）

よろしくお願いします。

ryu-fiz · Accepted Answer

４番目に回答した者です。

前回の回答と180度異なる見解ですが…ウイルスセキュリティの誤検出である疑いも高いと思われます。リカバリの見直し云々はちょっと待ってください。

Dumador=Dumaruは非常に感染力の高いウイルスです。もしこれに本当にやられていたとするなら、検出されるファイルの数は相当数存在しないとおかしいです。で、そちらで検出されているものが１個とかだと…誤検出の疑いが高いように思われます。

https://www.sourcenext.com/faq/action/faqdetails?kind=technical&no=VS-00621
この内容に従い、隔離されたファイルを復元してからVirusTotalに送って検査してもらってください。

http://www.virustotal.com/jp/

Backdoor.Win32.Dumador.gvは本来はKasperskyの命名の筈です。Kasperskyが検出しないとしたら誤検出でしょうね。もちろん、それ以外のエンジンの結果も参考になると思いますが。

誤検出確定なら、次のURLを参考に除外すればよいでしょう。
https://www.sourcenext.com/faq/action/faqdetails?kind=technical&no=VS-00620

ウイルスセキュリティに限らず、誤検出が発生する可能性はあります。例えば、これまで一切ノーマークだったファイルがいきなり検出される事態になった時には、誤検出を疑ってかかるのが良いかも知れません。特に、プリインストールされたアプリケーションソフトの関連ファイルやドライバ、それ以外にも一般にWindows標準のものとして知名度の高いシステムファイルが検出された場合には要注意です。

ryu-fiz · Answer

>サービスパック３を事前に入れる方法をとったあと、それでも検出されれば、virus totalに送ってみようと思います。

個人的には12番さんの回答とは相反する意見です。リカバリ直後に全く同一の感染１件のみが、しかもただネットワーク越しに繋いでいるだけで、というパターンが３度以上もきっちり同じく発生する…そんな偶然が続くのはおかしいと思うのは私だけでしょうか？

しかも…

http://www.microsoft.com/japan/technet/security/alerts/dumaru.mspx

Dumador=Dumaru感染は、メール添付されたファイルの実行による感染と報告されています。つまり、リカバリ直後にそうしたメールの添付ファイルを開かないと感染に至る可能性というのはまずない、と考えられる訳です。

こうなるとますます、誤検出の疑いが高くなります。個人的にはむやみにリカバリを何度も繰り返すことは不要で、VirusTotalでのファイル検査を優先して行うのが最善の策だと感じます。といっても…質問者さんはおそらくリカバリしてしまうんでしょうが。。

wamos101 · Answer

#2です。

>サービスパック３を事前に入れる方法をとったあと、それでも検出されれば、virus totalに送ってみようと思います。

はい、それが手堅いです。あと、質問される場合は検出パスを書かれたほうがいいです。

>確かにウイルスソフトを入れる前にネット接続しました。

これはいけません。そもそもリカバリはオフラインでやるのが鉄則ですし、アップデートなどネット接続の必要がある場合は少なくともルータやPFWをオンにしておかないと駄目です。

Kindon98 · Answer

5番ですけど、ネタ元を確認したら、どうもはっきりしないうえに、私自身の過去レスでも、リカバリ領域への感染はないのではないかという立場をとっており、リカバリのメカニズムを考えても、ウィルスが残るという説を自分なりにうまく説明できません。
事例としてはありますけど、単なるリカバリの不具合といえなくもなく、正直な意見ではないんじゃないかというのが感想です。
誰かがきちんと説明していただくまで、申し訳ないですけど、５番の回答はなしとさせていただきます。
９番に関しては、現象の有無しにかかわらず、機械ものは壊れますから、リカバリディスクは作っておいたほうが良いので、これは一応生かしておいてください。

mama_ane · Answer

ウイルスセキュリティの誤検出に一票

質問者の返信待たずに少ない情報であれこれ詮索して
リカバリ領域抹消などは取り返しのつかない事態を招きます
…質問者さん姿無いですがどうされたんでしょうね？

リカバリ領域は通常Windows側からアクセス出来ない仕組みになっているはず
ユーザーですらアクセス出来ない領域に.exe感染もまず無いですよね
普通にリカバリを実行出来たのならリカバリ領域感染していないと思われます
http://ja.wikipedia.org/wiki/%E3%83%AA%E3%82%AB%E3%83%90%E3%83%AA%E3%83%BC%E9%A0%98%E5%9F%9F
感染していないのを確認後・・・
マニュアル参照してリカバリディスク制作をお勧めします


それにウイルスセキュリティの検出って信用に値するんですか？
このサイトでもかなり評判の悪いソフトでしたよね
ちなみにウイルスセキュリティの誤検出と思われるQ&A
(各種ログに感染らしき形跡無しです)
http://bbs.higaitaisaku.com/cbbs.cgi?mode=all&number=99436&type=0&space=0&no=0
Dumador…PE感染型なら検出数は数百～以上に上ります
まずウイルスセキュリティも汚染してまともに動きません


★質問者さんはまずANo.6の指示に従って
・ウイルスセキュリティで検出されたファイルを以下のサイトで調べてください
http://www.virustotal.com/jp/
上記で何も検出されなければまず大丈夫(安全)


こういった無料の一般ユーザー参加のQ&Aは利用者の自己責任になります
(間違った回答に従ってトラブル招いても質問者さんの自己責任)
場合によってはPCメーカーのサポートを利用した方が良いです
とくにリカバリに関する内容なら各メーカーによって仕様様々なので尚更です

Kindon98 · Answer

7番さんの回答で思い出しましたが、私が参考にした資料ではリカバリCDでは完全にフォーマットできないので、残る場合もあるとなっていました。
それで、完全を期すなら、リカバリー前に抹消ソフトで完全に消してしまったほうが良いかもしれません。（抹消ソフトに関してはフリーが多く存在する）

もちろん６番さんが言い直されたように誤検出も十分あり得ます、うちでもウィルスバスターの御説に従って削除したら、いくつかのソフトが起動できなくなることがあり、それに関してはパスするようにしています。

ただ、４番でアドバイスされたように

＞今回のようなケースがあることを想定すれば、ハードディスクリカバリを採用する機種においても、システムに問題のない段階で付属ユーティリティによるリカバリディスク作成が出来るならば行っておいた方が良いような気がしますね。

セキュリティに限らず、HDDの突然死など珍しくもないので、今回誤検出なら、即刻ディスクは作ったほうが良いと思います。

FMVNB50GJ · Answer

リカバリによってCがリカバリされ、Dがある場合にDに潜伏していたとか？

マイコンピューターを開くとハードディスクドライブはひとつですか。
ひとつならリカバリして残ることはないと思いますが。

リカバリ後、以前と同じようなことをして感染したということもあると思います。

また、検出場所がどこでどのファイルを検出したのか詳細を補足してはどうですか。

hw20060404 · Answer

ウィルス駆除に関しては他の回答者の言うとうりです。
リカバリ領域に関する問題
参考http://www.sd-dream.com/pasocompass/040301INeedCleanInst.html
ここの解説によるとWindowsの通常版、OEM版(DSP版)、アップグレード版のみがクリーンインストール可能
リカバリディスク・リカバリ領域利用した場合は工場出荷時にもどす
プログラムの実行みたいに書かれています。リカバリＣＤ・ＤＶＤなら感染の危険性は皆無ですがＨＤＤ領域からリカバリ実行する場合（自分のイメージはバックアップソフトのイメージバックアップと一緒で出荷時のデータが保存されているので大丈夫と素人考えで思ってました）が質問者の例みるとありうるのかな？
専門家ではないのでたんなる感想です。

Kindon98 · Answer

4番さんが触れられていますけど、既にリカバリ領域がやられたと考えた方がよいと思います。
このリカバリ領域の感染に関しては比較的詳しく解説をしているサイトが有るのですけど、ここの複数の会員がそのサイトの運営者に暴言を吐いたため、リンク禁止＆転記禁止、（とばっちりで私も）出入り禁止になってしまっているので紹介できませんが、一番確実なのはリカバリCDを入手されて、それでHDDをフォーマットしてWindowsのインストールになるかと思います。

手順はまずバックアップ（これも感染している可能性が高いので、セキュリティソフトを入れるまで触らない）、CDから起動してHDDの領域削除とフォーマット、Windowsの再インストール、セキュリティソフトの再インストール、バッチを充ててから、バックアップデータの検疫、問題なければ戻す。
リカバリ領域への感染は私も盲点ですけど、紹介できない某サイトに依れば、あり得るという事で、複数の訪問者が体験していました。

機種を明記していただければ、リカバリCDに関して調べてみますけど、どういった機種ですか？

ryu-fiz · Answer

>「Backdoor.Win32.Dumador.gv」とはどんなウイルスなのか。

最初、Googleで調べても情報が少なくて困りました。Dumadorという名称に絞って調べたところ、この名称は一般にはDumaruという呼び方をされるものの別名であることが分かりました。

http://www.symantec.com/region/jp/sarcj/data/w/w32.dumaru@mm.html
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PE%5FDUMARU%2EA&VSect=T

コンピュータ内の全てのドライブに感染し、exe形式のファイルを上書きするかたちで改変することがあるようです。となると…リカバリ領域のファイルにも感染が及んでいる可能性も十分にあり得ますし、その場合、このままでは感染ファイルの正常化が難しいと考えられます。（シマンテックなどがDumaru駆除ツールを用意していますが…リカバリ領域を含むドライブ上で改変を受けたシステムファイルなどを復旧することはDumaruについては出来ないようです）

対処法ですが…メーカーからリカバリディスクを購入出来るのであれば、それを使ってリカバリを行うのが最も推奨されます。必要なデータはバックアップしておき、リカバリ後の環境にウイルス対策ソフトを導入した後で検査後にバックアップデータを戻すと良いと思います。

リカバリディスクの購入が困難な場合は、業者に有償で対処してもらうことも考慮に入れたほうがよろしいでしょう。

今回のようなケースがあることを想定すれば、ハードディスクリカバリを採用する機種においても、システムに問題のない段階で付属ユーティリティによるリカバリディスク作成が出来るならば行っておいた方が良いような気がしますね。

リカバリしても、Backdoorウイルスが検出されます。

４番目に回答した者です。

>サービスパック３を事前に入れる方法をとったあと、それでも検出されれば、virus totalに送ってみようと思います。

#2です。

ウイルスセキュリティの誤検出に一票

7番さんの回答で思い出しましたが、私が参考にした資料ではリカバリCDでは完全にフォーマットできないので、残る場合もあるとなっていました。

リカバリによってCがリカバリされ、Dがある場合にDに潜伏していたとか？

ウィルス駆除に関しては他の回答者の言うとうりです。

4番さんが触れられていますけど、既にリカバリ領域がやられたと考えた方がよいと思います。

>「Backdoor.Win32.Dumador.gv」とはどんなウイルスなのか。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング