w32.spybot.wormとadware.2searchに感染したパソコンについて相談です。

w32.spybot.wormとadware.2searchに感染したパソコンについて相談です。
知人の職場で、上記２つのウイルスが検出されました。数十台がネットワークでつながっている状態で、複数のパソコンがウイルスに感染している模様です。

現在のところ、データだけを何処か（ＵＳＢ接続のＨＤＤなど）に退避してから該当パソコンをリカバリする予定だそうです。感染が確認されてない（Nortonでウイルスが確認されない）パソコンについては、引き続いてそのまま使用する予定とのことです。また、サーバについても今のところ感染が確認されていないため、そのまま使用するとのことです。

以下、質問です。

１．ウイルスだけを簡単に駆除する方法はありますか？
　レジストリエディタを使ってということができる方がその職場にはいません。お願いできる業者も近くにいません。信頼できる駆除ツールなどで対応ができれば、業務を止めずに済みます。

２．該当パソコン及びネットワーク上にあるデータ（文書など）はどのように扱えばよいですか？
　ＵＳＢ接続のＨＤＤやＤＶＤ－Ｒなどのメディアを使って、データだけをコピーし、感染していないパソコンで使うのは問題ないでしょうか？

大変困っています。よろしくお願いいたします。

No.4 ベストアンサー 回答者： undetect 回答日時： 2009/04/12 21:54

私は対策ソフトやセキュリティーツールなどをいろいろ試したりしています。

まあ、基本的に感染マシンはリカバリかけたほうがいいでしょうね。で、退避したデータは修復後スキャンにかけてから移す。これは当たり前。あと、USBメモリに関しても駆除が確認できてからじゃないと再利用は危険。

一つはネットワークワーム型ボットのようですが、この程度のやつにやられるということは基本対策が疎かになっているということでしょう。

この回答へのお礼

回答ありがとうございます。

>退避したデータは修復後スキャンにかけてから移す。

ウイルス対策ソフトの入っているパソコンでチェックしてからですね。
そのようにします。ありがとうございます。

>基本対策が疎かになっている

まったくです。
聞いた限りでは、単純にクライアントに１つずつノートンを入れているんじゃないかと思いますが、それも入っていたり居なかったりだそうです。考えられない。
なんていうか、もう、酷い。

お礼日時：2009/04/12 23:16

No.6 回答者： ryu-fiz 回答日時： 2009/04/14 02:09

んー、Adware.2Searchに関してはDLL、OCXファイルの解除だけにとどまらないようですね。

とすれば有効なツールとしては、ESET UnDLLが使えるかも。

参考URLです。
http://ziddy.japan.zdnet.com/qa4587150.html
http://ziddy.japan.zdnet.com/qa4587469.html

Select infected DLLクリック後に、ファイルの種類を"All Files"に切り替えればOCXファイルやEXEファイルも指定出来ます。

残存するレジストリキーのクリーニングには、CCleanerか、Windows Live OneCare PCセーフティ クリーンアップスキャンが有効でしょう。

http://eazyfox.homelinux.org/SecuTool/CCleaner/C …
（CCleanerインストール時は、『CCleanerをYahoo!ツールバーに登録』のチェックを外すこと）

http://onecare.live.com/site/ja-jp/center/cleanu …

No.5 回答者： ryu-fiz 回答日時： 2009/04/14 02:00

リカバリが最も望ましい、という点では私も同意見ですが…一応。

http://www.sophos.co.jp/security/analyses/viruse …
w32.spybot.wormがW32/Rbot-AUFの別名として取り上げられてますので、ソフォスが提供する駆除ツールが有効かも知れません。

http://www.sophos.co.jp/support/disinfection/rbo …

http://www.symantec.com/ja/jp/security_response/ …

Adware.2Searchに関しては、dll及びocxファイルの登録を解除するというのが肝になってますが…これにはレジストリエディタは不要です。

http://www.sophos.co.jp/support/knowledgebase/ar …

OCXファイルに関しても同様な手法で解除出来ます。解除出来れば対策ソフトでの処理も可能になるでしょう。

http://www.sophos.co.jp/support/knowledgebase/ar …
こういうツールを使えばより単純な作業で解除が可能かも知れませんが…このツールの実行にはVisual Basicランタイムのインストールが必須です。

もし、単に実行するだけのツールをお望みなら、今回はご期待に添えないような感じです。可能性のありそうなツールとしては、Norman Malware Cleanerが最も近い感じですが…対応種が飛躍的に増えた反面、最近のバージョンでは誤検出が発生する可能性もやや増えており、更にその場合には一旦削除されたものの修復が困難になる場合が考えられますので、現時点では積極利用がお勧め出来ません。

No.3 回答者： goold-man 回答日時： 2009/04/12 20:16

NO1追加

2
データは多分大丈夫です。
ウィルス・スパイウェア・アドウェアなどは感染するとシステムファイルやレジストリに潜む（名前を変えたりもする）ものが多いようです。
但し、完全に安全とは言えません。**のセキュリティの脆弱性を見つけて感染したり、Offic*のマクロを利用したり、メールの添付ファイルに感染したり、フリーソフトのダウンロード時にプログラムファイルに感染、一緒にダウンロードすることがありますし、USBフラッシュメモリーを媒介し感染することもありますから。（exeが危ない）

この回答へのお礼

回答ありがとうございます。
伏せ字にされるとよくわからないのですが、OSのセキュリティの脆弱性を見つけてと言うことでしょうか。

今回は、タイトルにも揚げている２つのウイルスについてなので、オフィスのマクロは無関係かと考えています。
問題にしているパソコンでは、その２つのウイルス以外は検出されていません。また、ＵＳＢメモリ経由で感染するウイルスが検出されたパソコンは、ネットワークから切り離されて修復中だそうです。

今回の２つのウイルスについて、該当パソコンで作業したファイルを別のパソコンで使用した際に感染が拡大することはあるでしょうか？

お礼日時：2009/04/12 21:04

No.2 回答者： goold-man 回答日時： 2009/04/12 20:05

NO1追加

adware.2searchの駆除
（1）システムの復元機能を無効
（2）ウィルス定義を最新版に。
（3）Internet Explorerをすべて閉じます。
（4）.dll または ocx ファイルの登録を解除。
（5）システム全体のスキャンを実行
（6）レジストリに追加されたすべての価を削除します
参考URLをご覧ください。
　（5）はセキュリティ対策ソフトのアンチウィルスソフトで駆除できない場合、専門のスパイウェア・アドウェア対策ソフト（フリーソフト）を導入、最新版アップデートし、検査、削除すべきかもわかりません。
http://www.symantec.com/ja/jp/security_response/ …

http://detail.chiebukuro.yahoo.co.jp/qa/question …

http://detail.chiebukuro.yahoo.co.jp/qa/question …


http://www.pctools.com/jp/mrc/infections/id/Adwa …
　Spywa*e Doctorと言うソフトも疑問があります。（根拠は覚えていませんが、有料版を買わす為の偽のソフトまたは誤検出が多いソフトと言うのを見たことがあります）
http://kikitai.teacup.com/kotaeru.php3?q=2485645

http://www.pctools.com/jp/spyware-doctor/

参考URL：http://www.symantec.com/ja/jp/security_response/ …

No.1 回答者： goold-man 回答日時： 2009/04/12 19:37

w32.spybot.wormの駆除方法

（1）「システムの復元」を「無効」。（Me、XP、Vista）
（2）セキュリティ対策ソフトをアップデートし、ウイルス定義を最新版に更新。
（3）システムの完全スキャン。検出されたファイルをすべて削除。
（4）レジストリへ追加された値を削除。
（5）スタートアップフォルダの 0 バイトファイルを削除。
（6）SharedAccess サービスを再有効化（2000、XP のみ）
具体的には参考URLをご覧ください。
特に（4）のレジストリキー操作は間違えぬよう印刷してコピペは正確に。（間違えるとOSが起動しなくなる場合があります）

セキュリティ対策ソフトは何ですか？
感染経由はわかりますか？（二次被害を防ぐ）

参考URL：http://www.symantec.com/ja/jp/security_response/ …

この回答へのお礼

回答ありがとうございます。
質問本文にも書かせていただきましたが、レジストリエディタを使ってということができる方がその職場にはいませんので、この方法は採れません。この行程（特にレジストリ関係）を自動化したツールがあればいいのにと思うのですが、見つけることができませんでした。

セキュリティ対策ソフトは、Nortonの何かだそうです。
会社での導入用のモノかもしれません。

感染経路についてはよくわかっていません。
ウイルス対策についてはあまりきちんとしていないところのようで、USBメモリ経由で感染する別のウイルスも見つかっているそうです。
これを機にしっかりしてくれたらいいのですが。

お礼日時：2009/04/12 21:00