トロイの木馬検出後の安全確認と履歴削除

McAfee のVirusScan Enterprise 8.7.0iを導入済みのＰＣにてＵＳＢメモリー使用時にトロイの木馬を検出させてしまい
隔離されたトロイの木馬を消す方法を教えてください

トロイの木馬検出後ＵＳＢメモリーは抜き取りオンデマンドスキャン を実行して脅威は見つかっていません
質問１
この時ＰＣは安全な状態と思ってよいのですか？

質問２
Quarantine Managerのポリシーをひらいてマネージャータブをクリックした欄の中の隔離期日のところにある
トロイの木馬欄を右クリックで削除すればトロイの木馬はどこにも隔離されていないのですか？

質問３
トロイの木馬を検出させてしまった事実を消し去りたいのですが、その他に実行することはありますか？

以上3個の質問を教えていただける方おりましたらどうぞよろしくお願いします。

No.3 ベストアンサー 回答者： Niwatori-Sanpo 回答日時： 2012/02/03 14:09

＞McAfee のVirusScan Enterprise 8.7.0iを導入済みのＰＣにて

　まず、オイラは企業向けの製品らしい Enterprise バージョンを使用
したことがないので、この回答は外している可能性があることをお断り
しておきます。　まぁ参考程度に受け取っていただければ幸いです。


＞質問１
＞この時ＰＣは安全な状態と思ってよいのですか？

　オンデマンドスキャンを実行したのは PC に対してですよね？

　オンアクセススキャン（常駐監視によるリアルタイムスキャン？）で
見逃さず検出して隔離もしてくれたのですから、とりあえず PC 自体は
守られ、現在は安全な状態になっていると思います。
　それが仕事だし、性能の良くないセキュリティソフトは危険な活動を
検知することなく見逃してしまうハズです。

　ただし、USB メモリの方には危険なプログラムが残っている可能性が
高いでしょう。


＞質問２
＞Quarantine Managerのポリシーをひらいてマネージャータブをクリック～
＞～右クリックで削除すればトロイの木馬はどこにも隔離されていないの～

　もし削除できるなら、そういう認識で良いと思います。

　オイラは外部接続の記憶媒体で検出された経験が無いのでよく分かり
ませんが、PC内に潜んでいなければ削除できないような気もします。
　ただ、McAfeeによる「隔離」という処置が本件トロイの木馬を自分の
PC内に取り込んで機能しないようにすることなら、削除できるかも知れ
ません。
　そのマネージャータブという履歴（ログ？）の中には隔離されている
場所（フォルダ）が表示されていないのでしょうか？


　ところで、もし不安なら、他社提供のオンラインスキャンを利用して
セカンドオピニオンによる診断を受けてみては如何でしょう。

駆除ツールのダウンロード
https://www.ccc.go.jp/flow/03/322.html

オンラインスキャンによるクロスチェック
https://www.ccc.go.jp/flow/03/340.html


＞質問３
＞トロイの木馬を検出させてしまった事実を消し去りたいのですが、

　履歴（検出ログ）は、たぶん消去できないと思います。　少なくとも
個人用製品では消去できないようです。


＞その他に実行することはありますか？

　USB メモリの方をどうするかですが、この際フォーマットしてしまう
のが一番でしょう。
　また、外部記憶媒体挿入時の自動実行／自動再生を無効にする対策が
未だ実行されていない場合は、処置しておくことをお勧めします。

USBメモリの自動再生／自動実行
http://www.hitachi.co.jp/hirt/publications/hirt- …

USBメモリの自動再生を無効にする
http://www.ocn.ne.jp/security/anshin/basic/secur …


　それから、余計なお世話かも知れませんが、それが業務用の PC なら
ネットワーク管理者？に報告する必要があるんじゃないかと思います。

参考URL：http://okwave.jp/qa/q6971996.html

この回答へのお礼

回答ありがとうございました
判りやすい説明身にしみます。
オンラインスキャンを実施した結果4個のスパイウエアと思われるものが
検出されて削除を行いました。
とりあえずＰＣの安全性はかなり手ごたえを感じましたので
質問を閉めたいとおもいます。

お礼日時：2012/02/04 00:27

No.2 回答者： XBG 回答日時： 2012/02/01 20:53

>McAfee のVirusScan Enterprise 8.7.0iのオンデマンドスキャン を実行して脅威は見つかっていない状態ではウイルス感染はないと考えられないのでしょうか？

オンデマンドからですと完全にないとは考えられません。

>会社のパソコンということもあり新規にいろいろソフトを導入するのは不可能な状態なんです

会社と交渉するなりなんなりして、できる限り出費を抑えて導入しましょう。
無料のアンチウイルスソフトもあるのですから。

>あとＵＳＢでトロイの木馬を検出しましたといわれたときは
>もうすでにＰＣに感染しているものなのですか？

多くの場合感染までは検出できません。
感染している場合というのはNo.1の方が触れられている通りWindowsのレジストリなどが変更されており、少なからずシステム上に常駐している状態、と考えてまず間違いありません。

該当するトロイの木馬の駆除が終わったら、そのプログラムが書き換えたレジストリを元に戻す必要があります。

これはほんの1つのステップですが、「レジストリ エディタ」を開き、駆除したプログラムの名前でデータを検索します。該当するものがあれば、それを右クリック―「削除」してみてください。
一応これでスタートアップの指定は解除できます。

他にシステムの変更が生じている場合はそれらごとに対処が必要ですので、難しかったら無理をせず製造元や近くのPC DEPOTなどに相談したほうが良いです。

この回答へのお礼

詳しい回答ありがとうございました。
やはりオンデマンドスキャンだけでは確実でないのですか・・・
まずは無料のアンチウイルスソフトをダウンロードして確認してみます。

お礼日時：2012/02/02 03:19

No.1 回答者： goold-man 回答日時： 2012/02/01 08:27

＞トロイの木馬を消す方法

トロイの木馬はたくさんあります。
一例：Troj/Banload-J
参考URL
一例：TROJ_DELF.UY（トロイの木馬型）別名 デルフ, Download.Trojan, Downloader.c, Win32/Stwoyle.F

手動削除手順（一例）

不正プログラムのファイル名を確認
最新のバージョン（エンジンやパターンファイル）を導入したウイルス対策ソフト（アンチウィルス及びスパイウェア・アドウェア対策）でスキャン
XPなどの場合、不正プログラムのBrowser Helper Objectの登録を削除
起動中のInternet Explorerのプログラムを全て終了
「スタート」「ファイル名を指定して実行」「COMMAND」
「regsvr32 /u 」（半角スペース）「不正プログラムのファイル名」「Enter」
表示されたら「OK」
コマンドプロンプトを終了
不正プログラムの自動起動設定を削除
regedit.exeを使用してレジストリの値およびキーを削除

不正プログラムが追加したレジストリキーも削除

最新のバージョンを導入したウイルス対策ソフトでウイルス検索を再度実行

XPなどでは「_restore」フォルダからウイルスが発見される場合「システムの復元」を一時「無効」にしないと削除、再起動で復活する。

ブラウザの一時ファイルからも発見される場合
Internet Explorer アイコン右クリック「インターネットのプロパティ」「全般」「インターネット一時ファイル」「ファイルの削除」クリック「すべてのオフラインコンテンツを削除する」チェックを入れ「はい」　


＞安全な状態と思ってよいのですか
＞トロイの木馬を検出させてしまった事実を消し去りたい

レジストリ値やキーに潜む場合、「システムの復元」で復活する場合、一時ファイルにある場合などあり、完全に削除するには工場出荷状態にすべきです。
データをバックアップし、リカバリ。（ふつうはシステムファイルに感染するが、USBメモリーから感染したということで、データに感染している可能性もあり得る）

参考URL：http://q.hatena.ne.jp/1147187413

この回答へのお礼

早速の回答ありがとうございました。
しかしながら私にはレジストリとかちょっと難しい回答でしたがいろいろ検索して
調べてみたいと思います

最新のバージョンのウイルス対策ソフトでウイルス検査を実行とありますが
McAfee のVirusScan Enterprise 8.7.0iのオンデマンドスキャン を実行して脅威は見つかって
いない状態ではウイルス感染はないと考えられないのでしょうか？
会社のパソコンということもあり新規にいろいろソフトを導入するのは不可能な状態なんです

あとＵＳＢでトロイの木馬を検出しましたといわれたときは
もうすでにＰＣに感染しているものなのですか？

お礼日時：2012/02/01 13:56