ワームウィルスに感染しているようなのですが・・

はじめまして。
3月14日前後に英語で変なメールが６件ほど来たのがきっかけで、ウィルス対策を考えていたところです。
Windowsの更新はまめにしているのですが、ＰＣにウィルスソフトを入れていなかったことに気づいたのです・・。(^_^;)
今はじめてトレンドマイクロ社のオンラインスキャンを試してみたのですが、WORM_ANTINNY.Aというウィルスに感染していることが分かりました。
今あるこのウィルスを駆除するにはどうすればいいでしょうか？オンラインチェックは駆除まではしてくれないんですよね。（画面に駆除可能は“いいえ”と出ています。これは、このウィルス自体が駆除可能でないという意味なのでしょうか・・？）

ウィルスソフトをまだ決めかねているのですが、そうも言ってられなくなりました。
でもソフトにはウィルス対策にファイアウォール機能もついていたり、、また調べているとスパイウェアというものも必要なのではないか・・とも思えてきました。
（まだ勉強不足でよく分からないのですが・・）
こちらの環境はノートパソコンでWinMe、無線LANで使用しています。ルーターは付けていますが機能として働いているかよく分かりません。
ソフトはあまり重くならないものがいいかと考えています。
調べた結果、あまりここでは見かけないですが、NECやキャノン製品もいいのでは・・と考えています。

とりあえず今なにをすればいいでしょうか？
44個ウィルスが見つかりました！

No.12 ベストアンサー 回答者： morinokoneko 回答日時： 2004/03/24 04:24

#11です

＞あと気になるのが、再起動したときにスキャンが実行されることと、マイドキュメントにWinny2b71とWinny114という圧縮フォルダが残っているということです。
（Winny2b71のフォルダもあります。この下にWinny2\upにウィルスが隔離されているようなのですが、これは削除した方がいいのでしょうか？削除したいけど隔離情報としてあるので、どうすればいいものかと思っているのですが・・。）

どうも体験版が正常動作していないようです
私が体験版を利用したときには再起動したときスキャンにはなりませんでしたから。
一度VB2004をアンインストールして再インストールされても良い感じです
体験版のアンインストールはしたことがないので
自己責任でお願いします

しかしながら繰り返しになりますが
一日あればリカバリ-が出来ます
リカバリ-をされてはどうでしょうか
大切なものだけをバックアップを取りあとはPCサポ－トセンタ-に方法を教えてもらってください
無線LANの設定を最初からやりなおしをしないといけませんが。ルータの初期化はしなくてよいのですから
一日あれば初心者でも出来ると思います
（私のような知識がないものでも自分でやりましたが
一日で出来ました＾＾）

マイドキュメントに残っていることは私にはわかりません
それと隔離状態の場合はそのまま放置でもいいですが
削除していただいてかまいません

あと製品版に移行したら無料でサポ－トがうけられますので宜しければご検討ください

ウイルスバスタークラブセンターお問い合わせ
http://www.trendmicro.com/jp/support/vbc/inq/ove …

No.15 回答者： heto2 回答日時： 2004/03/30 10:14

>「Ad-aware 6」「Spybot-S＆D」も日本で拡散されているスパイウエアには殆どノータッチです。

ごめんなさい。
「日本で」を「日本だけで」と読み替えてください。
あえて、名前を挙げませんが、「Ad-aware 6」や「Spybot-S＆D」なら完全にスパイウエアとみなされるプログラムが日本には幾つかあります。
日本人向けのアダルトサイトでよくあるスパイウエアも「Ad-aware 6」や「Spybot-S＆D」では駆除できないものが幾つかあります。

SpywareInfo等、欧米のBBSには色々なウィルス被害が報告され、それを見て「Ad-aware 6」や「Spybot-S＆D」は駆除対象に取り入れます。
これらのBBSに投稿する日本人は殆どいないので「日本だけで」流行っているスパイウエアは殆ど駆除対象に取り上げられないという状態になっているんでしょう。

「被害対策の部屋」というのがありますが、ここでよく取り上げあげられるのが「Ad-aware 6」や「Spybot-S＆D」では駆除できないスパイウエアです。
「HijackThis」というツールを使って検証しています。

>SpywareBlaster

このソフトはActiveXを使ってインストールされるスパイウエアを無効にします。
レジストリに「KillBit」をいうのを書き込んで、そのプログラムが呼び出されても起動できないようにします。
常駐するタイプではありませんからメモリーに負担をかけません。
ただし、全てのスパイウエアをブロックできるわけではありません。

>ウィルスバスターが重い

よく聞く話ですね。
ファイアウォール機能を停止して、他のファイアウォールソフトをインストールして改善できるかもしれません。
また、ルーターが有効ではないかと思います。
私は、ZoneAlarm（Free）＋ルーターにしています。
http://www.zonelabs.com/store/content/company/pr …

WindowsのUpdateもお忘れなく。

No.14 回答者： heto2 回答日時： 2004/03/25 07:31

☆ウィルスとは？　スパイウエアとは？

残念ながら、明確な定義や区分はまだ無いといっていいでしょう。
強いて言えば、コンピューターに不正に侵入して不正な行為をするものをウィルスといい、
合法または不明確な方法でコンピューターに侵入してプライバシーを侵害したり、その疑いのあるものをスパイウエアといえばいいでしょうか。

詳しくは下記参照ください。

ウィルス
http://www.atmarkit.co.jp/fsecurity/rensai/anti_ …

スパイウエア（「Spybot-S＆D」のサイト）
http://www.safer-networking.org/index.php?page=d …

ユーザ側から見ると、従来、ウィルスはアンティウィルスソフト、スパイウエアはアンティスパイソフトを使ってその対策を講じていました。

最近になり、アンティウィルスソフトがスパイウエアをスキャン対象に取り入れています。
その結果、ウィルスとスパイウエアの区別がますますわからなくなっています。

☆決定的な違い

しかし、決定的に違う部分があります。
それは、アンティウィルスソフトの場合、ウィルスについては駆除・削除の手段が用意されていますが、スパイウエアについては手作業での削除を強制していることです。
ウィルスは非合法なものだから削除する手段を提供する、しかし、スパイウエアは必ずしも非合法と断定できないのでユーザーが勝手に削除してくださいということでしょうか？
しかも、手作業での削除というのは決して、簡単ではなく安全でもありません。

一方アンティスパイソフトは検出された項目を簡単な操作で安全に駆除してくれます。

☆広義のウィルスの数

アンティウィルスソフトだけを使っている場合下記の数式が成り立つと思います。

「広義のウィルスの数＝狭義のウィルスの数＋スパイウエアの数」

「狭義のウィルスの数」はアンティウィルスソフトによって駆除され、どんどん減ります。
もし削除方法が難解で「スパイウエアの数」が減らない場合、極端に言えば次のようになってしまいます。

「広義のウィルスの数＝０＋スパイウエアの数」

>なぜスパイウェアだと思われるのですか？
狭義のウィルスには破壊活動をするものが沢山あります。
もし４１の狭義のウィルスがコンピューターに入ればそのうちのいくつかが破壊活動を始める可能性が非常に高いと思います。
破壊活動が始まるとそのコンピューターは瞬く間にクラッシュしてしまいます。
クラッシュしないまでも、ウイルスが存在するだけで、メモリを消費され、パフォーマンスが極端に低下する等の現象が出てくるはずです。
４１の「狭義のウィルス」があって、コンピューターが大した支障もなく動いているというのは私には想像出来ません。
一方スパイウエアの場合は５０や１００の項目が検出されても珍しくはありません。

>体験版のNODアンチウィルスソフト
アンインストールしかないと思います。
正規のバージョンをインストールする際、アンインストールするよう指示があると思います。
また、他のメーカーのアンチウィルスソフトを導入する場合、体験版が残っているとトラブルの原因となります。

☆ウィルスに出会わない方法

危険なサイトへアクセスしない。
メールの添付ファイルを開かない。
ファイル交換ソフトを使わない。

正規のアンチウィルスソフトを導入し、全ドライブスキャンを掛けてみてください。

また、インターネットでの安全対策として、アンティウィルスソフト、アンティスパイソフトだけでなくファイアウォールの導入、WindowsのUpdateが非常に重要なこともご認識ください。

☆おまけ

マイクロソフトからこんなツールも公開されています。試してみてください。
（私もまだ使ってないのでご質問にはお答えできません。）
Microsoft Baseline Security Analyzer
日本語版 Microsoft Baseline Security Analyzer 1.2 早期提供のお知らせと利用上の注意点
公開日 : 2004 年 1 月 20 日
http://www.microsoft.com/japan/technet/treeview/ …

以上、長文ごめんください。

No.13 回答者： heto2 回答日時： 2004/03/24 11:11

>44個ウィルスが見つかりました！

殆どウイルスでなくスパイウエアだと思います。
「Ad-aware 6」「Spybot-S＆D」でスキャンした後もういちどオンラインスキャンを掛けて見ることをお勧めします。

主だったウィルスの駆除には次のソフトがお勧めです。
「トレンドマイクロ ダメージクリーンナップサービス」
http://www.trendmicro.co.jp/esolution/solutionDe …

AVERTウイルス駆除ツール
http://www.nai.com/japan/security/stinger.asp

残ったものについては手作業しかないと思います。

また、「Starter」というソフトを使う方法もあります。
http://www.simtel.net/product.download.mirrors.p …

他の方も仰るようにWinnyは、おやめになった方がいいでしょう
これをやっている限りこの種のトラブルが付きまといます。

アンティウイルスソフトもWinny関連に対応するかどうかもわかりません。
メール等の小さなファイルはリアルタイムでブロックできるでしょうが、
Winny関連の圧縮ファイルまでリアルタイムでチェックするかどうかは疑問です。

「Ad-aware 6」「Spybot-S＆D」も日本で拡散されているスパイウエアには殆どノータッチです。

この回答への補足

色々ありがとうございました。締め切ろうと思ったのですが、ちょっと気になったことがあったので、もし見られたら回答がほしいのですが。。
＞「Ad-aware 6」「Spybot-S＆D」も日本で拡散されているスパイウエアには殆どノータッチです。
・・の意味がいまいち分かりません。「Ad-aware 6」「Spybot-S＆D」も今日本にあるスパイウェアには対応していないということでしょうか？
SpywareBlasterによる感染予防はした方がいいんですね？
ウィルスソフトのスパイウェアの検知とファイアウォール機能がついている高くて重いものを入れなくても、例えばウィルスソフトだけのを導入してSpywareBlasterを入れておくとか・・？
ウィルスバスターが重いだけに悩みます。。

補足日時：2004/03/29 09:41

この回答へのお礼

＞殆どウイルスでなくスパイウエアだと思います。
スパイウェアがどういうものなのか、まだ調べられていないのですが、ウィルスが検出されたときには“WORM_ANTINNY.A”とあったのでウィルスだと思いましたが、なぜスパイウェアだと思われるのですか？

ウィルスは駆除できた（つもり）なのですが、今は起動時にスキャンディスクが起動してしまうということを調べています。相談センターで聞くと、今入れている体験版のNODアンチウィルスソフトが常時スキャン？しているからなにやらロックがかかってスキャンディスクが起動するのでは、といわれました。アンインストールすると問題ないでしょうと・・。
でもそうするとウィルスソフトがまたなくなってしまうので、どうしたものかと考えているところです。(^_^;)
（NODアンチウィルスソフトが起動時に動かないようになるにはどうすればいいのか調べているのですが、分かりません・・）

お礼日時：2004/03/24 11:33

No.11 回答者： morinokoneko 回答日時： 2004/03/24 03:02

#10です

＞HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\ContainingTextMRU）に”ぬるぽ”などといっしょにありました。

これさっきの回答破棄してください
多分ですが　オ―トコンプリ－トがオンになっているのではないでしょうか
IE6.0でのオ―トコンプリ－ト無効はツ―ル→オプション→コンテンツタブでオ―トコンプリ－ト→3つのチェックをはずし
フォ―ムのクリアとパスワードのクリアをクリックしてください

参考URLは Windows NT/2000のものなんですが
http://oshiete1.goo.ne.jp/kotaeru.php3?q=320690
上のURLではそうなっているんです

MEですから　同じかどうか定かではありませんが。
ちなみに私MEさわったことありません

よってまずWin.iniファイルの編集やってください
そのあとSpyware除去でもしてみてください
とれたらいいですが以下Spybotのぺ―ジをよみますと
http://216.239.57.104/search?q=cache:_VNSpN-Vjwc …

なんか検出されないのかなあと思ったりしてます＾＾；

ということで実力は私はここまでです
すでにお手上げ状態です
申し訳ないんですが　これで出来ない場合
あきらめてください

そうか識者の登場を待ってください

この回答へのお礼

色々と本当にありがとうございました。
今からまたトレンドマイクロ社のオンラインスキャンを試してみます。
あと気になるのが、再起動したときにスキャンが実行されることと、マイドキュメントにWinny2b71とWinny114という圧縮フォルダが残っているということです。
（Winny2b71のフォルダもあります。この下にWinny2\upにウィルスが隔離されているようなのですが、これは削除した方がいいのでしょうか？削除したいけど隔離情報としてあるので、どうすればいいものかと思っているのですが・・。）

スパイウェアは、また後日ためしてみます。
本当にありがとうございました！

お礼日時：2004/03/24 03:21

No.10 回答者： morinokoneko 回答日時： 2004/03/24 02:15

#9です

＞（Runは"run"でした）
に“ara-key”というデータはありませんでした。
（runのフォルダに色々とはありましたが・・。）
なかったのだから削除はしなくていいんですよね？

runの中をみてないなら削除せず　そのまま次へ作業でいいです

＞そのかわりレジストリの検索をするとHKEY_USERSの下
（HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\ContainingTextMRU）に”ぬるぽ”などといっしょにありました。
これは、どうすればいいのでしょう？無視ですか？

コレ自信ないんですが以前他の回答者さんにおしえてもらったんですが　多分　検索したからのこったのでは
ありませんか
ツ―ル→オプション→インタ―ネット一時ファイルで
cookieの削除　一時ファイルの削除　履歴のクリアを
ひとつづつクリックして適用でいいとおもうんです
過去記事で　ぬるぼ　ぐらいうてば　正確な解答はでてくるとおもいます

このあと、Win.iniファイルの編集やってください

この回答へのお礼

ツ―ル→オプション→インタ―ネット一時ファイルで
cookieの削除　一時ファイルの削除　履歴のクリアをしましたが、確認するとまだあります。過去ログも探しましたがでてきませんでした。。
だいじょうぶかな～。(^_^;)
もう少し探してみます。

お礼日時：2004/03/24 02:33

No.9 回答者： morinokoneko 回答日時： 2004/03/24 01:33

＃8です

＞値:“ara-key= ＜ワームのファイルの場所＞ -StartUp”の＜ワームのファイルの場所＞というのは、こちらが入力するところではないのですね・・。

そうです　値を消したらいいだけです
英語では詳しく書いているんですが日本語の
トレンドマイクロ社は翻訳者があまり丁寧にしていないんです（ごめんなさい　トレンドマイクロの翻訳係さん＾＾；）

＞ソフトはやはりトレンドマイクロ社がおすすめなのでしょうか？

OSがMEですよね　だからNIS2004もVB2004もあまり
不具合が報告をこちらでもされているので
どうしようもないんですが　トレンドマイクロでいいのではありませんか　。　トレンドマイクロとシマンテックの
比較ですが　トレンドマイクロのほうが電話応対や
メ―ルはサポ－トが丁寧です

シマンテック社はときとして1ヶ月放置されたこともあり
永久未解決状態もございました。。

シマンテックの良さというのは駆除方法のHPが
充実しているだけではないでしょうか


＞スパイウェアについてもどういうものかよく分かっていないのですが、存在するというのは怖いですね・・。
そういうチェックもできるものがあるんですね。

そうです　ありますからご利用ください
繰り返して貼っておきます

ＳpybotとAd-aware(スパイウェア除去　無料です）SpywareBlaster(
無料でスパイウェアが予防されるソフトです）
以下をご覧になってＤＬをお勧めします
但しＳpybotはウイルスセキュリテイ2004とは干渉があり一部の機種で併用ができません
よってウイルスセキュリテイ2004を導入されていたらインスト‐ルはやめてください
http://higaitaisaku.web.infoseek.co.jp/menu5.html

＞ メールに関しては、MicrosoftOutlookです。OEの方が主流なのでしょうか・・？

OEでないのであれば過去記事は無視してください
主流というかユ―ザが多いかなという感は個人的には
します

この回答へのお礼

遅くにお返事ありがとうございます。
がんばってます・・。
今、レジストリエデイタの処理をしてみたのですが、
HKEY_LOCAL_MACHINE
　＋Software
　　＋Microsoft
　　　＋Windows
　　　　＋CurrentVersion
　　　　　＋Run
（Runは"run"でした）
に“ara-key”というデータはありませんでした。
（runのフォルダに色々とはありましたが・・。）
なかったのだから削除はしなくていいんですよね？

そのかわりレジストリの検索をするとHKEY_USERSの下
（HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\ContainingTextMRU）に”ぬるぽ”などといっしょにありました。
これは、どうすればいいのでしょう？無視ですか？

もしまた見ましたらお返事お願いいたします。
このまま、Win.iniファイルの編集をしてもいいものか、、悩んでいます。

お礼日時：2004/03/24 01:54

No.8 回答者： morinokoneko 回答日時： 2004/03/24 00:31

#7です

＞ということは、やはり少し重い（遅い？）ですがトレンドマイクロ社の方が性能がいいということになるのでしょうか・

今回のワ―ムに関してはそういえるとはおもいます
が　得手不得手はどこの会社でもあるのです
ですから通常は検出されたところのウイルス駆除をみて
自分の対策しているソフトでできないばあいは
アンインスト―ルして　他のセキュリテイソフトをいれるという形にはなるんだろうなあと思っています
通常は別名と書いていますので駆除方法のデ―タをみれば
わかるんです。ワ―ムの名前はセキュリテイベンダ-では一致していないからです


＞復元の無効とレジストリの処理などはしないといけないようですね

そうです

＞レジストリ処理の"ara-key" = "<ランダムにコピーされたファイル>"のランダムにコピーされたファイルが分からないのです。
何で検索すれば分かるでしょうか？

繰り返しになりますが
レジストリエデイタでの操作 を一部ご案内します
スタ－ト→ Regedit と打ってEnterを押す
レジストリエデイタが起動します
HKEY_LOCAL_MACHINE
　＋Software
　　＋Microsoft
　　　＋Windows
　　　　＋CurrentVersion
　　　　　＋Run

＋をクリックしますと展開します
＋Runをクリックすると右パネルに
値:“ara-key= ＜ワームのファイルの場所＞ -StartUp”
があります
この値があれば右クリックして削除してください
なければ　削除しようがないのでかまいません


Win.iniファイルのことも以下URLからみてください
http://www.symantec.co.jp/region/jp/sarcj/data/w …

どの道私は思いますが　今のセキュリテイの考えでは
これからもどんどん感染しますので
早めに製品版に移動してください

またウイルス対策ソフトでは駆除できないスパイウェアが
存在しますし　あなたのばあい　多分スパイウェアも
あるだろうとは推測が出来ます

スパイウェアの駆除も結構大変なときもあるので
OS初期化したほうがいいのではありませんか

Windows Updateを真面目にしてOE　IEをデフォルトで利用しないことなど頭のすみにいれておいてください

OE6.0の場合　表示→レイアウトでプレビュ-ウインドウを
表示するにチェックを外してください

ツ―ル→オプション→プレビュ―ウインドウで表示するメッセ―ジを自動的にDLするのところをチェックを外してください

読み取りで全てテキスト形式で読み取るにチェックをいれてください

この回答へのお礼

お返事ありがとうございます。
値:“ara-key= ＜ワームのファイルの場所＞ -StartUp”の＜ワームのファイルの場所＞というのは、こちらが入力するところではないのですね・・。
何を入力すればいいんだろうと悩んでました。

まずは復元の無効からしていきたいと思います。

スパイウェアについてもどういうものかよく分かっていないのですが、存在するというのは怖いですね・・。
そういうチェックもできるものがあるんですね。

まずはウィルスの駆除をしたいと思います。
ソフトはやはりトレンドマイクロ社がおすすめなのでしょうか？
今回のことから、軽いに越したことはないのですが、きちっと駆除することはもちろん、サポートもしっかりしてもらえるところでないと・・と思いました。

メールに関しては、MicrosoftOutlookです。OEの方が主流なのでしょうか・・？

お礼日時：2004/03/24 01:00

No.7 回答者： morinokoneko 回答日時： 2004/03/23 23:02

すみません　私＃5と6で＃3です　とかいてみましたが

＃4でした　訂正してお詫びします

それと追加ですが2社とも体験版が検出してくれるかどうかは定かでないです　あらかじめご了承ください

この回答へのお礼

返信ありがとうございます。
ＮＯＤ３２アンチウィルスの方でもこのウィルスは検出したのですが、駆除後のリストアに残っている分に関しては、検出しませんでした。
トレンドマイクロ社の無料オンラインスキャンは検出してくれました。
ということは、やはり少し重い（遅い？）ですがトレンドマイクロ社の方が性能がいいということになるのでしょうか・・。
ＮＯＤ３２アンチウィルスをアンインストールして、トレンドの体験版でもインストールしようかと思っていたのですが、やはり復元の無効とレジストリの処理などはしないといけないようですね。
でもどうしても、レジストリ処理の"ara-key" = "<ランダムにコピーされたファイル>"のランダムにコピーされたファイルが分からないのです。
何で検索すれば分かるでしょうか？

お礼日時：2004/03/24 00:01

No.6 回答者： morinokoneko 回答日時： 2004/03/23 22:58

#3です　訂正です

これはレジストリ操作＋Win.iniファイルを操作しなけえればなりませんhttp://www.symantec.co.jp/region/jp/sarcj/data/w …
上の情報によりますとWin.iniファイルに次のセクションを追加するからです

これあなたが導入した体験版NOD32アンチウィルスで検出
されないのではないでしょうか

私は一番最初にすすめたのはなぜシマンテックと
トレンドマイクロかといったのはこの2社だけが
、WORM_ANTINNY.Aを検出するのかなと思ったからです

しかしながらご希望がつよかったため
他の会社になりましたが　上記の方法でもオンラインスキャンでひっかかったのであればNOD32アンチウィルスを
アンインスト―ルして
以下2社のいずれかを体験版を導入すべてであるとはおもいます

トレンドマイクロ社の無料オンラインスキャンをご案内します
http://www.trendmicro.co.jp/hcall/index.asp

シマンテックセキュリテイチェック
http://www.symantec.com/region/jp/securitycheck/ …