リカバリしても、Backdoorウイルスが検出されます。

Question

ウイルスセキュリティの手動ウイルス検査で「Backdoor.Win32.Dumador.gv」というウイルスが検出され、「駆除」された旨表示されましたが、不安だったのでリカバリしましたが、また検出・駆除されました。

「Backdoor.Win32.Dumador.gv」とはどんなウイルスなのか。駆除されれば他に何もしなくて大丈夫なのか。どうしてリカバリしても検出されるのか。どなたかご教授ください。

ちなみにリカバリはCDでなく、リカバリ領域によるものです。（関係あるのでしょうか）

よろしくお願いします。

ryu-fiz · Accepted Answer

４番目に回答した者です。

前回の回答と180度異なる見解ですが…ウイルスセキュリティの誤検出である疑いも高いと思われます。リカバリの見直し云々はちょっと待ってください。

Dumador=Dumaruは非常に感染力の高いウイルスです。もしこれに本当にやられていたとするなら、検出されるファイルの数は相当数存在しないとおかしいです。で、そちらで検出されているものが１個とかだと…誤検出の疑いが高いように思われます。

https://www.sourcenext.com/faq/action/faqdetails?kind=technical&no=VS-00621
この内容に従い、隔離されたファイルを復元してからVirusTotalに送って検査してもらってください。

http://www.virustotal.com/jp/

Backdoor.Win32.Dumador.gvは本来はKasperskyの命名の筈です。Kasperskyが検出しないとしたら誤検出でしょうね。もちろん、それ以外のエンジンの結果も参考になると思いますが。

誤検出確定なら、次のURLを参考に除外すればよいでしょう。
https://www.sourcenext.com/faq/action/faqdetails?kind=technical&no=VS-00620

ウイルスセキュリティに限らず、誤検出が発生する可能性はあります。例えば、これまで一切ノーマークだったファイルがいきなり検出される事態になった時には、誤検出を疑ってかかるのが良いかも知れません。特に、プリインストールされたアプリケーションソフトの関連ファイルやドライバ、それ以外にも一般にWindows標準のものとして知名度の高いシステムファイルが検出された場合には要注意です。

vinale2007 · Answer

問題が起きてリカバリーする場合はすべてのドライブをリカバリーしないと駄目だとパソコンの説明書に書いてありますよ。私も少し前にメールからではなくやられましたがリカバリーCDですべてのドライブをやりました。Dドライブに保存してリカバリーをするのはウイルスの場合良くないようですね。

wamos101 · Answer

こんにちは。

当方はクラッカーコミュティー潜入調査や対策ソフトの多角的性能テストなどをしております。

リカバリを行っても再度検出されるようであれば、

1　リカバリプログラムでパーティション操作ができるようであれば一旦
 　Cパーティションを削除してから新たに作成し直してからリカバリ。

2　リカバリプログラムにパーティション操作機能がないならWinの機能
 　(ディスクの管理)を使ってやるか、市販のパーティション操作ソフト
 　を使う。

注意：パーティション操作はデータ損失を伴うので自分のデータ類を
　　　予め外部ストレージなどに退避させておくこと。


なお、そのMalwareに関してはSunbelt CounterSpyで対応してるようです。また、LiveCDなどで削除すればうまくいく可能性はあるかもしれません。



以上は自己責のもとでお願いします。

niryo · Answer

～XPを使っているとして書きます。～

最新のサービスパックやウイルス対策ソフトを入れる前にインターネットに接続しませんでしたか？
もしそうであれば、それが感染原因です。
（ルーターを使っていない場合に限りますが）

リカバリ前に、こちらからサービスパック3をダウンロードし、USBメモリやCDなどに保存してください。
http://www.microsoft.com/downloads/details.aspx?familyid=5B33B5A8-5E76-401F-BE08-1E1555D4F3D4&displaylang=ja

#ただし、手元にあるXPがサービスパック0の状態（つまりサ-ビスパック1より古い）場合はサービスパック2も事前にダウンロード。
http://www.microsoft.com/downloads/details.aspx?familyid=049C9DBE-3B8E-4F30-8245-9E368D3CDB5A&displaylang=ja


そして、リカバリ後、ネットにつなぐ前にサービスパックを入れてください。

ryu-fiz · Answer

>「Backdoor.Win32.Dumador.gv」とはどんなウイルスなのか。

最初、Googleで調べても情報が少なくて困りました。Dumadorという名称に絞って調べたところ、この名称は一般にはDumaruという呼び方をされるものの別名であることが分かりました。

http://www.symantec.com/region/jp/sarcj/data/w/w32.dumaru@mm.html
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PE%5FDUMARU%2EA&VSect=T

コンピュータ内の全てのドライブに感染し、exe形式のファイルを上書きするかたちで改変することがあるようです。となると…リカバリ領域のファイルにも感染が及んでいる可能性も十分にあり得ますし、その場合、このままでは感染ファイルの正常化が難しいと考えられます。（シマンテックなどがDumaru駆除ツールを用意していますが…リカバリ領域を含むドライブ上で改変を受けたシステムファイルなどを復旧することはDumaruについては出来ないようです）

対処法ですが…メーカーからリカバリディスクを購入出来るのであれば、それを使ってリカバリを行うのが最も推奨されます。必要なデータはバックアップしておき、リカバリ後の環境にウイルス対策ソフトを導入した後で検査後にバックアップデータを戻すと良いと思います。

リカバリディスクの購入が困難な場合は、業者に有償で対処してもらうことも考慮に入れたほうがよろしいでしょう。

今回のようなケースがあることを想定すれば、ハードディスクリカバリを採用する機種においても、システムに問題のない段階で付属ユーティリティによるリカバリディスク作成が出来るならば行っておいた方が良いような気がしますね。

Kindon98 · Answer

4番さんが触れられていますけど、既にリカバリ領域がやられたと考えた方がよいと思います。
このリカバリ領域の感染に関しては比較的詳しく解説をしているサイトが有るのですけど、ここの複数の会員がそのサイトの運営者に暴言を吐いたため、リンク禁止＆転記禁止、（とばっちりで私も）出入り禁止になってしまっているので紹介できませんが、一番確実なのはリカバリCDを入手されて、それでHDDをフォーマットしてWindowsのインストールになるかと思います。

手順はまずバックアップ（これも感染している可能性が高いので、セキュリティソフトを入れるまで触らない）、CDから起動してHDDの領域削除とフォーマット、Windowsの再インストール、セキュリティソフトの再インストール、バッチを充ててから、バックアップデータの検疫、問題なければ戻す。
リカバリ領域への感染は私も盲点ですけど、紹介できない某サイトに依れば、あり得るという事で、複数の訪問者が体験していました。

機種を明記していただければ、リカバリCDに関して調べてみますけど、どういった機種ですか？

hw20060404 · Answer

ウィルス駆除に関しては他の回答者の言うとうりです。
リカバリ領域に関する問題
参考http://www.sd-dream.com/pasocompass/040301INeedCleanInst.html
ここの解説によるとWindowsの通常版、OEM版(DSP版)、アップグレード版のみがクリーンインストール可能
リカバリディスク・リカバリ領域利用した場合は工場出荷時にもどす
プログラムの実行みたいに書かれています。リカバリＣＤ・ＤＶＤなら感染の危険性は皆無ですがＨＤＤ領域からリカバリ実行する場合（自分のイメージはバックアップソフトのイメージバックアップと一緒で出荷時のデータが保存されているので大丈夫と素人考えで思ってました）が質問者の例みるとありうるのかな？
専門家ではないのでたんなる感想です。

FMVNB50GJ · Answer

リカバリによってCがリカバリされ、Dがある場合にDに潜伏していたとか？

マイコンピューターを開くとハードディスクドライブはひとつですか。
ひとつならリカバリして残ることはないと思いますが。

リカバリ後、以前と同じようなことをして感染したということもあると思います。

また、検出場所がどこでどのファイルを検出したのか詳細を補足してはどうですか。

Kindon98 · Answer

7番さんの回答で思い出しましたが、私が参考にした資料ではリカバリCDでは完全にフォーマットできないので、残る場合もあるとなっていました。
それで、完全を期すなら、リカバリー前に抹消ソフトで完全に消してしまったほうが良いかもしれません。（抹消ソフトに関してはフリーが多く存在する）

もちろん６番さんが言い直されたように誤検出も十分あり得ます、うちでもウィルスバスターの御説に従って削除したら、いくつかのソフトが起動できなくなることがあり、それに関してはパスするようにしています。

ただ、４番でアドバイスされたように

＞今回のようなケースがあることを想定すれば、ハードディスクリカバリを採用する機種においても、システムに問題のない段階で付属ユーティリティによるリカバリディスク作成が出来るならば行っておいた方が良いような気がしますね。

セキュリティに限らず、HDDの突然死など珍しくもないので、今回誤検出なら、即刻ディスクは作ったほうが良いと思います。

mama_ane · Answer

ウイルスセキュリティの誤検出に一票

質問者の返信待たずに少ない情報であれこれ詮索して
リカバリ領域抹消などは取り返しのつかない事態を招きます
…質問者さん姿無いですがどうされたんでしょうね？

リカバリ領域は通常Windows側からアクセス出来ない仕組みになっているはず
ユーザーですらアクセス出来ない領域に.exe感染もまず無いですよね
普通にリカバリを実行出来たのならリカバリ領域感染していないと思われます
http://ja.wikipedia.org/wiki/%E3%83%AA%E3%82%AB%E3%83%90%E3%83%AA%E3%83%BC%E9%A0%98%E5%9F%9F
感染していないのを確認後・・・
マニュアル参照してリカバリディスク制作をお勧めします


それにウイルスセキュリティの検出って信用に値するんですか？
このサイトでもかなり評判の悪いソフトでしたよね
ちなみにウイルスセキュリティの誤検出と思われるQ&A
(各種ログに感染らしき形跡無しです)
http://bbs.higaitaisaku.com/cbbs.cgi?mode=all&number=99436&type=0&space=0&no=0
Dumador…PE感染型なら検出数は数百～以上に上ります
まずウイルスセキュリティも汚染してまともに動きません


★質問者さんはまずANo.6の指示に従って
・ウイルスセキュリティで検出されたファイルを以下のサイトで調べてください
http://www.virustotal.com/jp/
上記で何も検出されなければまず大丈夫(安全)


こういった無料の一般ユーザー参加のQ&Aは利用者の自己責任になります
(間違った回答に従ってトラブル招いても質問者さんの自己責任)
場合によってはPCメーカーのサポートを利用した方が良いです
とくにリカバリに関する内容なら各メーカーによって仕様様々なので尚更です

リカバリしても、Backdoorウイルスが検出されます。

問題が起きてリカバリーする場合はすべてのドライブをリカバリーしないと駄目だとパソコンの説明書に書いてありますよ。

この回答への補足

こんにちは。

～XPを使っているとして書きます。

>「Backdoor.Win32.Dumador.gv」とはどんなウイルスなのか。

4番さんが触れられていますけど、既にリカバリ領域がやられたと考えた方がよいと思います。

４番目に回答した者です。

ウィルス駆除に関しては他の回答者の言うとうりです。

リカバリによってCがリカバリされ、Dがある場合にDに潜伏していたとか？

7番さんの回答で思い出しましたが、私が参考にした資料ではリカバリCDでは完全にフォーマットできないので、残る場合もあるとなっていました。

ウイルスセキュリティの誤検出に一票

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング