ウイルスの侵入？

Question

Windows vistaで光回線にしました。
光にしてすぐ、ウイルスバスターでスキャンする度に
スパイウェアのみ（Cookie各種）がいくつも検出されるようになりました。
何かウイルスが入ってるのではと疑い、エフセキュアのオンラインスキャンを行ったところ、
「w32/Zlob」なるトロイと思われるウイルスが発見されました。

しかし、他のオンラインスキャンでは「w32/Zlob」は検出されません。
そこで、発見されたトロイらしきファイルを確認してもらいましたが、結果はウイルスではなく誤検出ではないかということでした。

確かに、多少PCが重くなった気はするものの、明らかな不具合もありません。
しかし急に、そして、いまだにスパイウェアが大量に検出するようになったことが気になります。

ADSLからウイルスバスターを使っていてもこんなことはありませんでしたし、
同じ光を使用している友人も「そんなことは自分のPCではない」と言います。
スパイウェアはネットをする上で当然でてくるもので、気にするなということを言われましたが、
今まで同じソフトで防げていただけに不快です。

やはりウイルスが潜んでいるということではなかったのでしょうか。
原因も分からず対処に悩んでいます。

ryu-fiz · Accepted Answer

寝る前にチェックしたら…なんかヤバそうなことになりそうな気配が。。

>ご説明いただいたレジストリキーを検索したところ、F-Secure ウイルス情報のレジストリキーと一致したものがありました。
>もちろん自己責任で行いますが、
>これは一致したものを削除するだけでいいということでしょうか？

５番さんへの補足に横レスで申し訳ありませんが…

レジストリキーとクラスIDを以下に生成します。

    * HKEY_CLASSES_ROOT\CLSID\
    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objecta
    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects

あくまでもここで示されたキー『の下部に』作成する、ということに過ぎないことに注意、です。

件のページ上で示されたキーそのものが悪質な訳ではありません。これらのキーはその多くが初めから存在しているものです。悪質なものはこれらキーの末端に、悪質なキーを付け加えるのです。勘違いしないでください。

例えば…"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run"をまるごと削除しようとしたりは、絶対にしないでください。

対策ソフトメーカーのウイルス情報は重要な情報源ですが…生半可な知識で読み誤るとえらいことになりかねません。現状だと、質問者さんはあまりこの情報を頼りにどうこうしない方が良いかも知れないと思います。

>発見されたトロイらしきファイルを確認してもらいましたが、結果はウイルスではなく誤検出ではないかということでした。

では、そのファイルがどこにあるものかはきちんと把握しておられる訳ですか？だったら、そのファイルをVirusTotalに送り、検査してもらってください。そして、検査結果が出たら、そのページのURL、つまりアドレスを補足していただけないでしょうか？

ryu-fiz · Answer

VirusTotalの検査結果ページ、貼っていただき感謝です。
ですが…残念なことにページそのものが失効してしまい、こちらでチェックすることが適いませんでした。。（以前は同様な手法で、第三者が検査結果を読み解くことも出来たのですが、先方の事情なんでしょうか。現状では出来ないようです。）

さてと、どうしましょうか。。問題のファイルの存在場所がお分かりなようですので、その場所を含めたフルパスでファイル名を補足していただけるとあるいは何とかなるかも知れません。

フルパスとは (full path)： - IT用語辞典バイナリ
http://www.sophia-it.com/content/%E3%83%95%E3%83%AB%E3%83%91%E3%82%B9

要するに"C:\～"とか"D:\～"とかからはじめて、ということです。

Zlob系の感染、といっても亜種、つまり似て異なるものが多数存在しますので、Sophosのアドバイザリの名称と合致しないだけでZlobではないとは言い切れないと思われます。

にしても弱ったなぁ…何とか不安を解消してあげようと思ってはいるんですが、なかなか上手く行きませんねぇ。

でも、今のところ見つかっているのがその一つだけ、ということだと誤検出の疑いが濃厚だと思うのですが。Zlobが本当に活動を開始したのであれば感染は複合化するのが自然の流れと思われ、その場合には見つかる感染は一つじゃ済まないだろうな、と思われますので。

gh8gh8 · Answer

No.6の御丁寧な回答の通りです。私の書き方が少々雑だったかもしれません。F-Secure ウイルス情報のレジストリ自体はもともとWindowsに含まれていて、その下（クリックして開く窓）に怪しいレジストリキーが見つかるかどうかを調べます。今回のケースでは、感染の判断のやりやすさから、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]に注目してください。[run]をクリックして開いた窓に、インストールした記憶の無いソフトの名称が見つかれば、感染しているであろうと判断します。[run]の下で見つかった怪しいファイル名は、PC起動時に自動的に起動する悪玉ファイルを指示しているので、その名称でPC内を検索してください。他のレジストリキーも同様にチェックしてください。
私見ですが、[ダウンロードされるスパイウエアの名称]や[生成されるファイルの名称]はヒットしなかったようですから、未感染であろうと推測します。感染するとベンダーのウイルス情報の複数項目にヒットします。今回はあまり慌てずに、No.7で紹介のページでチェックしてください。

ryu-fiz · Answer

Virus Total
http://www.virustotal.com/jp/

ryu-fiz · Answer

>インターネットオプション上のCookieの受け入れ設定を確認したいのですが見当たりません。
>初心者で申し訳ないですが、どこにのっているか教えてください。

次のURL参照。

Cookie をブロックまたは許可する - Windows Vista ヘルプ
http://windowshelp.microsoft.com/Windows/ja-JP/help/ff035adb-411d-40f3-8f9f-23e158f7b8be1041.mspx

誰でも最初は初心者ですが…いつまでも初心者のままでいると、いざというときに何も出来ないし、分からないですよ。自分の歩幅でしか出来ないでしょうが、それでも必要な知識は得て行くように。

"vista 使い方"でGoogle検索して見つけた参考URLです。

Windows Vista ヘルプと使い方
http://windowshelp.microsoft.com/Windows/ja-JP/default.mspx

Vistaの使い方・基本操作
http://asugi23.web.infoseek.co.jp/bigc/big64.htm

Windows Vistaの使い方
http://www.bcu-v-tips.com/

gh8gh8 · Answer

漠然と不安がっていては何も解決しませんから、ここ↓をご覧下さい。
　　　http://www.f-secure.co.jp/v-descs/v-descs3/zlob.htm
F-Secure ウイルス情報として、ダウンロードされるスパイウエアの名称、生成されるファイルの名称、加えられるレジストリキーが掲載されていますので、PC内を検索してください。何かがヒットすれば感染の疑いが濃厚、何もヒットしなければ誤検出だと思います。
レジストリキーの検索にはレジストリエディタ（regedit）を使ってください。
レジストリエディタは、レジストリを直接編集するためのツールで、Windowsに標準でインストールされています。
　　　http://www.higaitaisaku.com/regedit.html

ryu-fiz · Answer

>光にしてすぐ、ウイルスバスターでスキャンする度に
>スパイウェアのみ（Cookie各種）がいくつも検出されるようになりました。

光接続にしたこと自体で、検出されるCookieが増えるということはどう考えてもあり得ないと思うのですが。

光接続を導入する前後に、何らかの必要があってインターネットオプション上でCookieの受け入れ設定を変更されたりしたのではないかと思われます。

ご自身で変更された記憶がなくても、例えばの話、光接続の設定を業者か誰かに依頼していると思うので、その際に何か設定の変更が行なわれた可能性があるように当方では考えます。

風のうわさに聞いたのですが…

http://www.affiliateportal.net/xoops/modules/newbb/viewtopic.php?topic_id=1873&forum=1&post_id=10301

Vistaでは初期設定ではCookieの受け入れが無効に設定されているのだとか。

その一方で、Cookieを受け入れるように設定しないと所定の動作が得られないサイトも数多く存在しますので、その関係で受け入れ設定が変更されたのではないでしょうか。

>やはりウイルスが潜んでいるということではなかったのでしょうか。

ウイルス等の悪質な感染を契機にCookieの検出が増えたとか、そういう話はあまり聞いたことがないです。いずれにしても、Cookieはスパイウェアの範疇に入るとは言われるものの、ユーザーがそれによって致命的な実害を受けるケースはほとんどないと言って良いです。

やさしいセキュリティ講座(8) トラッキングCookie
http://eazyfox.homelinux.org/Security/Beginner/beginner08.html

soyokaze5 · Answer

>Windows vistaで光回線にしました。
> スパイウェアのみ（Cookie各種）がいくつも検出されるようになりました。

ウイルスバスター2009使用。
Vista SP2 で IE8 にしたら、Cookie は表示され無くなました。
参考までに。
Cookie は、ほとんど心配することは無いです。

redirect · Answer

マルウェアを集めてテストなどをしている者です。

Tracking Cookieの類なら特に心配な状況ではないです。

>そこで、発見されたトロイらしきファイルを確認してもらいましたが、

誰に？

ウイルスの侵入？

寝る前にチェックしたら…なんかヤバそうなことになりそうな気配が。

VirusTotalの検査結果ページ、貼っていただき感謝です。

No.6の御丁寧な回答の通りです。

Virus Total

>インターネットオプション上のCookieの受け入れ設定を確認したいのですが見当たりません。

漠然と不安がっていては何も解決しませんから、ここ↓をご覧下さい。

この回答への補足

>光にしてすぐ、ウイルスバスターでスキャンする度に

この回答への補足

>Windows vistaで光回線にしました。

マルウェアを集めてテストなどをしている者です。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング