ウイルスデータベースについて

ウイルスバスター2005でウイルス検出をしたらウイルスが見つかったので詳細情報を見たところ、全て英語で説明が書かれていました。　そのあとでウイルスデータベースからそのウイルス名を検索したら、今度は一件も引っかかりませんでした。

このようなウイルスはなんなのでしょうか？？

No.8 ベストアンサー 回答者： ramuramunew 回答日時： 2005/10/10 19:22

No3 & No5& No6です。

ウィルス駆除手順です。
中に不要と思われる作業があるかもしれませんが念のため一通り実施して下さいね。

(1)以下のＵＲＬを参照して「システムの復元」を一旦破棄します。
http://www.trendmicro.co.jp/esolution/solutionDe …

(2)タスクマネージャでプロセスを停止します。
　1.　CTRL+SHIFT+ESCを押してタスクマネージャを起動します。
　2.　プロセスタブをクリックします。
　3.　表示されるイメージ名の中から以下の名前を探して停止します。
　　　＜探す名前＞
　　　　sp2update.exe
　　　　msresearch.exe
　　　　window.exe
　　　　※似た名前で正規のファイルもあるので綴りをよく確認して下さい。

　　　＜停止方法＞
　　　見つけたファイル名の上で右クリックし、「プロセスの終了」をクリックします。
　4.　「×」でタスクマネージャを閉じます。

(3)レジストリエディタでウィルスによって改変された値を修正します。
　1.　「スタート」⇒「ファイル名を指定して実行」をクリックします。
　2.　入力欄に「regedit」と入力し、「ＯＫ」をクリックします。
　3.　以下のＵＲＬの手順で念のためレジストリのバックアップを取って下さい。
　　　http://www.trendmicro.com/jp/security/general/re …
　4.　レジストリの値を確認し、改変されていたら修復を行いますが、作業前に以下のＵＲＬを
　　　参照してみて下さい。
　　　http://www.trendmicro.com/jp/security/general/re …
　5.　以下の順にレジストリエディタ画面左側のフォルダを展開します。
　　　HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run　
　6.　Runまで展開したら、そのファイルを選択した状態で画面右側に目を移して
　　　以下の値を探します。
　　　sp2update.exe　
　　　msresearch.exe
　7.　値が見つかったらその名前の横のアイコンの上で右クリックします。
　8.　表示されたメニューから「削除」をクリックします。
　9.　次にもう一度画面左に戻り以下のフォルダを展開します。
　　　HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
　10.　Runまで展開したら、そのファイルを選択した状態で画面右側に目を移して
　　　以下の値を探します。
　　　window.exe
　11.　値が見つかったらその名前の横のアイコンの上で右クリックします。
　12.　表示されたメニューから「削除」をクリックします。
　13.　削除が完了するか、該当の値がなかった場合はレジストリエディタを
　　　「×」で閉じます。（見つからない場合は改変がなかったということです）

(4)感染ファイルを探して削除します。
　マイコンピュータ→コントロールパネル→フォルダオプション→表示タブをクリックします。
　1.　「すべてのファイルとフォルダを表示する」にチェックを入れます。
　2.　「登録されているファイルの拡張子は表示しない」のチェックを外します。
　3.　「保護されたオペーレーションシステムファイルは表示しない」のチェックを外します。
　4.　「適用」ボタンをクリックして、作業を確定します。
　5.　「スタート」⇒「検索」⇒「ファイルやフォルダの検索」をクリックします。
　6.　「ファイルとフォルダ全て検索」を選択します。
　7.　ファイル名の入力欄に以下のファイル名を入力して検索します。
　　　sp2update.exe
　　　msresearch.exe
　　　window.exe
　8.ファイルが見つかったらそのファイル名の上で右クリックし、削除します。
　9.ファイルの削除が完了するか見つからなかった場合には検索ウィンドウを
　　「×」で閉じます。

(5)ウィルスバスターで手動検索をかけて下さい。
　検索で何も見つからなければとりあえず駆除は完了です。
　何か検出されるようでしたら補足して下さい。

(6)途中設定を変更した「復元ポイントの無効」や「ファイルの表示設定」を
　元に戻して下さい。

尚、TROJ_SMALL.IDについては手動削除を省きましたが、ウィルスの動作として
ＩＥのセキュリティ設定を下げることがあるようです。あくまで念のためにですが、
以下のＵＲＬを参照して設定を規定に戻された方が宜しいかもしれません。
（カスタマイズされていた場合は確認の上変更されていたらその設定に手動で戻して下さい。）
http://www.trendmicro.com/jp/security/general/wi …

駆除については以上です。
なれないと分かりにくいと思いますので、何か不明な点がありましたら質問して下さい。

※先ほどバックアップをとったレジストリ情報はしばらく取っておいて
　何も問題がないようでしたら削除して大丈夫です。

この回答への補足

丁寧な解説を本当にありがとうございます!!!

まず、手順の(1)を実行してみて、それから(2)に移りました。
タスクマネージャを開いてイメージ名を探したところ、「sp2update00.exe」というものがあったんですが、これは「sp2update.exe」と同じものととっていいのでしょうか？

あと、「msresearch.exe」と「window.exe」というイメージ名はいくら探しても見つかりません…。

なぜなのでしょうか？

補足日時：2005/10/10 19:52

No.10 回答者： noname#40123 回答日時： 2005/10/10 22:58

ファイルが見つからないと言うことについては、次のことをしてください。

隠しファイルの表示

マイコンピュータ→コントロールパネル→フォルダオプション→表示タブをクリック
１．「すべてのファイルとフォルダを表示する」にチェック
２．「登録されているファイルの拡張子は表示しない」のチェックを外す
３．「保護されたオペーレーションシステムファイルは表示しない」のチェックを外す
「適用」ボタンをクリックして、作業を確定する。


それから、「システムの復元」の機能を停止してください。
それをしないとウィルスが、逃げ込む場所を提供することになりますので。

システムの復元を無効にする方法

１．スタート→コントロールパネル→システム→システムの復元タブをクリックします。
２．「システムの復元を無効にする」にチェックを入れ「OK」をクリックします。
３．「システムの復元を無効にしますか？」というメッセージが表示されたら「はい」をクリックします。


以上のことをして、再度ウィルスの検索と駆除をしてください。

No.9 回答者： ramuramunew 回答日時： 2005/10/10 20:41

No3 & No5& No6& No8です。

＞sp2update00.exe
調べてみたところTROJ_WEASYW.Aのようですのでプロセスを停止して下さい。
それから以下の手順を追加して下さい。
＜レジストリの削除＞
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
を展開して値「sp2update00.exe」が見つかりましたら削除して下さい。

＜ファイルの削除＞
ファイル検索に「sp2update00.exe」も加えて下さい。
ファイルが見つかりましたら削除して下さい。

＞「msresearch.exe」と「window.exe」というイメージ名はいくら探しても見つかりません…。
なぜなのでしょうか？

タスクマネージャのプロセスは実行中のファイルが表示されています。
msresearch.exeとwindow.exeはウィルスバスターの手動検索で既にファイルを隔離されてＰＣ内に存在しないためプロセスもないものと思われます。
同じくレジストリの修正の手順やファイル削除の手順のところでも
探して頂いているものが見つからないこともあるかと思いますが、その場合には気にせず次の手順に進んで下さい。

万が一感染ファイルが復活している（再度ウィルスによって呼び込まれている）と困るので全ての駆除手順をして頂いていますが、基本的にはファイルが隔離されているはずですので見つからなければ大丈夫です。

この回答へのお礼

長々と何度も何度も丁寧な説明をありがとうございました!!

早速、書かれた通りの手順を再度実行してみます。


日頃、セキュリティ対策を怠っていたツケが出たのだと痛感しています。
これからは出来る限りの感染防止を心がけたいと思います。

本当にありがとうございました。
わからないこと・不明な点があったらまた是非質問させて頂きます!!

お礼日時：2005/10/10 21:05

No.7 回答者： noname#40123 回答日時： 2005/10/10 18:47

＞でもこれは「隔離」されただけであって、先に検出されたウイルスはまだ駆除されていないのですよね、

＞やはり完全に「駆除」しなければこのパソコンは危ないのでしょうか？

一応隔離されているので、そのウィルスに関しては、活動はしないでしょう。
でも、レジストリを改修しない限りは、再び同様のウィルスに感染する可能性はあります。
単に、ウィルスファイルを削除したから、ウィルスの駆除は終了したと考えるのは、残念ながら危険です。

ウィルスによっては、単にウィルスファイルを削除することで駆除を終了するタイプも存在しますけれど、
今回のウィルスに関しては、すべてレジストリを改変するタイプのウィルスのですので、
そのレジストリを改修する必要はあります。

この回答へのお礼

ご返答、ありがとうございました。

レジストリの改修をして初めて「ウイルスの駆除」、ということになるのですね。。。

はい、参考になりました。

お礼日時：2005/10/10 20:06

No.6 回答者： ramuramunew 回答日時： 2005/10/10 18:11

こんにちは。

No3 & No5です。

分かりにくい表現をしてしまってすみません。
ファイルの見つかった場所とは「パス」のことで、例えばC:\WINDOWS\msresearch.exe
ならばC:\WINDOWS\（Ｃドライブの中のWINDOWSフォルダの中）の意味です。
「パス」というと分からない方がいらっしゃるので「場所」と書きましたが
逆に分かりにくかったですね（汗

ウィルスの駆除手順についてですが、TROJ_SMALL.IDについては感染ファイルのパスが
Tempフォルダなので隔離に成功していれば恐らく大丈夫だと思います。
ですのでそれ以外のウィルスについてこれから駆除作成を作成してUPします。
（文章が長くなりますので一旦切ります）

1時間以内にはUPできると思いますので少々お待ち下さいませ。

No.5 回答者： ramuramunew 回答日時： 2005/10/10 16:46

No3です。

ファイルの隔離について
＞二回目の時に成功した、ととっていいのでしょうか？

そうだと思います。
2度目のスキャンの際にウィルスバスターが感染ファイルの処理に成功したのでしょう。

＞「隔離に成功」していれば、その英語で書かれている「レジストリの操作」というのは行わなくていいのですか？　

感染ファイルが見つかった場所によります。
例えばシステムフォルダから発見された場合などは、ファイルの隔離に成功する前に既にレジストリを改変されてしまっている場合があります。ですのでもしシステムフォルダから見つかっている場合には念のためレジストリの改変がないか確認する必要があります。

＞ウイルスによってレジストリの値が勝手に変更されたりしていたら、どうやってその事がわかるのでしょうか？

ウィルス情報の手動削除手順を見れば分かります。
各ウィルス情報の駆除手順の中にそのウィルスが改変する可能性のあるレジストリについて情報がありますので、それにしたがって確認をして改変がされていたら修復を行います。

********************************************************

尚対応としてですが、今回はウィルスバスターがファイルの隔離に成功していて、更にその後はリアルタイム検索での検出はない（ですよね？）ようですので、まずは一度手動削除をトライされて様子を見られてはいかがでしょう？

もし駆除をされるようであれば、ＯＳのバージョン、感染ファイル名（各ウィルスごとに教えて下さい）、そのファイルが検出された場所を教えてもらえれば手順を翻訳しますよ。

※私の経験では今回検出されているウィルスはそんなに悪質な駆除の難しいウィルスではないような気がします。

この回答への補足

貴重なご意見、ありがとうございます！

「隔離」はされましたが駆除手順を教えていただければ実行してみたいでよろしくお願いします。

まず使っているOSは、WINDOWS xp Home Editionです。

ウイルスについては、
まずTROJ_DLOADER.AADは→C:\WINDOWS\sp2update.exe
というファイル名で見つかりました。
あの、質問なんですけど、「ファイルが検出された場所」というのは何なのでしょうか。（すみません、どうやって調べればいいのかわかりません。）

次にTROJ_WEASYW.Aは→C:\WINDOWS\msresearch.exe
というファイル名で、

TROJ_SMALL.IDは→C:\Documents and Settings\Owner\Local Settings\Temp\i34.tmpと、
C:\Documents and Settings\Owner\Local Settings\Temp\i36.tmpと、
C:\Documents and Settings\Owner\Local Settings\Temp\i40.tmp
という三つのファイル名でした。

そしてTROJ_MITGLIDER.Bは→C:\WINDOWS\System32\window.exeというファイルです。

長々とどうもすみません。。

補足日時：2005/10/10 17:33

No.4 回答者： noname#40123 回答日時： 2005/10/10 09:11

No3の方が海外のトレンドマイクロサイトから情報を探してくれたようですが、このようなことはあります。

要するに、国内では発見例がほとんど無いので、日本のウィルスデータベースに載っていないだけです。
また、ウィルスパターンには登録されているが、公開していないウィルスの情報もあります。

ですから、他の会社のウィルスの情報でも、同様に国内のサイトにはなくて、海外のサイトに情報があったり、
他社のサイトに、名前が載っていてそれからウィルスの対処方法がわかることはあります。

亜種ですが、対処方法は似ている場合もありますが、全く違う場合もあるので
その対処方法は、それぞれのウィルスの情報に従って駆除する必要があります。

僕の見たところでは、「ダウンローダー」というウィルスが発見されているので、
ウィルスがウィルスの侵入を手助けしていて、ウィルスの感染の連鎖をしているのです。

厳しいことを言うようですが、現状では、ウィルスの駆除は難しいと考えてリカバリをすることを勧めます。
メールや、データ類を移動して、HDDのフォーマットをした上で再度OSを入れ直してください。

この回答への補足

貴重なご意見、ありがとうございました。

OSをインストールし直した方がいいということですよね。　今の私の知識ではとても出来そうにありません。。が、とにかくありがとうございます。

今の段階でウイルス検出をしたところ、検出はされませんでした。でもこれは「隔離」されただけであって、先に検出されたウイルスはまだ駆除されていないのですよね、やはり完全に「駆除」しなければこのパソコンは危ないのでしょうか？

補足日時：2005/10/10 10:19

No.3 回答者： ramuramunew 回答日時： 2005/10/10 05:04

こんにちは。

＞「亜種」とは
既存のコンピューターウィルスを、手を加えて作りなおしたものです。

ウィルスバスターで検出したウィルスですが、ウィルスバスターの処理はどうなっていましたか？
感染ファイルが隔離されているかログを確認してみて下さい。
もしファイルの隔離に失敗しているようなら駆除が必要になりますので、
その場合には一つ一つ手動で駆除するか、面倒ならリカバリーをするかの
選択になると思います。

尚、もう調べられたかもしれませんが、確認してみたところTROJ_DLOADER.AADは
アメリカ、カナダのトレンドマイクロのサポートページにウィルス情報がありました。
（アメリカ、カナダが一番早くウィルス情報が公開されるので）

他のウィルスについても日本のページに公開されていましたが、今のところ
英語の情報のみになるようです。
各ウィルス情報のページのSOLUTIONタブを開くと駆除手順がのっています。
（英語ですが・・・。）
レジストリの操作などもあるので慣れていない方が駆除をするのは結構大変ですが、
トライされるようでしたら補足で書いてもらえれば駆除手順を翻訳しますよ。
（その場合にはＯＳのバージョンとウィルスバスターが検出した感染ファイル名を補足して下さい。）

ただしレジストリの修復は操作を間違えると最悪の場合Windowsが
起動しなくなる可能性もありますのであくまで自己責任で実施してもらう覚悟が必要ですが。

TROJ_DLOADER.AAD
http://www.trendmicro.com/vinfo/virusencyclo/def …

TROJ_WEASYW.A
http://www.trendmicro.com/vinfo/virusencyclo/def …
TROJ_SMALL.ID
http://www.trendmicro.com/vinfo/virusencyclo/def …
TROJ_MITGLIDER.B
http://www.trendmicro.com/vinfo/virusencyclo/def …

この回答への補足

丁寧なご解説、ありがとうございました!!
アメリカ、カナダのページで見つけられるのですね。

実はウイルス検出の際のログなのですが、間違って消去してしまいました。
でも内容はコピーしてあります。全てのウイルスについて、「隔離されました」という表示が出てました。

ただここでもまた質問なのですが、まず最初に「リアルタイム検索」をした時に、「隔離できませんでした」という表示が出たのです。
その後「手動検索」を行ったところ、全く同じ名のウイルス（ファイル名も同じ）が今度は「隔離されました」という表示になったのです。
これは最初の時は隔離に失敗して二回目の時に成功した、ととっていいのでしょうか？


「隔離に成功」していれば、その英語で書かれている「レジストリの操作」というのは行わなくていいのですか？　
ウイルスによってレジストリの値が勝手に変更されたりしていたら、どうやってその事がわかるのでしょうか？

補足日時：2005/10/10 10:15

No.2 回答者： takatosen 回答日時： 2005/10/10 02:25

こちらで検索してみてください。

http://www.trendmicro.co.jp/vinfo/

とりあえず「TROJ_WEASYW.A」以外は見つかりました。
このまま名前をダイレクトに入れても見つかりませんが、たとえば「TROJ_LOADER」とか「LOADER」で検索すると出てきます。
ドット以下の記号まで同じなのは見つかりませんでしたが、たぶんその亜種だと思います。

トレンドマイクロ社のウィルス情報でも、残念ながら同じものはありませんでした。

この回答への補足

ご返答、どうもありがとうございました。

すみません、お手数なのですが、亜種というのは何なのでしょうか？

確かにドット以下の記号まで、全く一致するものは見つからないのですね。
ドット以下の記号が異なっていても、その「亜種」ならば、例えば「TROJ_DLOADER.AAD」というウイルスなら「TROJ_DLOADER.ACT」という名のウイルスの対処法で対処することが可能なのでしょうか？

補足日時：2005/10/10 02:50

No.1 回答者： 12m24 回答日時： 2005/10/10 01:43

　答え：わかりません

　・・・・では答えにならないので、ウィルス名はわかりますでしょうか？

この回答への補足

説明不足ですみません。

TROJ_DLOADER.AAD
TROJ_WEASYW.A
TROJ_SMALL.ID
TROJ_MITGLIDER.B

という名のウイルスが検出されました。

補足日時：2005/10/10 01:57