こんなことって有り得るんですか？

　先日から幾度と無く「Exploit-MhtRedir.gen」が入り込んできて困っています。同じような質問をしてすみません。でも質問内容が違うのでお答えいただきたいです。どうやらスパイウェアではなくウイルスだそうなのでこちらで質問させていただきます。（トロイの木馬です）
　数日前、スパイウェアブラスターを導入しようとして海外のサイトからダウンロードしました。それでインストールしましたが何だか見れないサイトがあったりと不具合が生じたのでアンインストールしました。すると、急にマカフィーウイルススキャンが、
　「トロイの木馬を発見しました。駆除できません」
と警告してきました。そこで隔離しようとしたのですがそれもできませんでした。その検出場所がインターネット一時ファイルの中だったのでインターネットキャシュのクリアで削除しました。するとその翌日こんどはなんでもない日本のサイトを閲覧していたらまた同じような警告がでました。詳細を表示しようとしたら、なぜか表示できませんでした。どうやら場所はまたしてもインターネット一時ファイルの中だったようですが、侵入してきた原因がわかりません。
　ウィンドウズのアップデートはちゃんとやっています。また、ファイヤウォールのログにも怪しいものはありませんでした。削除後改めてマカフィーでスキャンしても何もみつかりませんでしたし、いろいろなオンラインスキャンをしても見つかなかったのでＰＣ内には何も無いと思います。
　何でもないサイトを閲覧中にウィンドウズのアップデートもしているＰＣにウイルスが進入することってありえるのでしょうか？
　削除方法などではなく、そんなことが有り得るのかわかる人はいますか？有り得るのなら今後の進入を防ぐためになにをしたらよろしいでしょうか？

No.7 ベストアンサー 回答者： ryu-fiz 回答日時： 2006/04/03 21:02

マカフィーの"Exploit-MhtRedir.gen"に関する記述

http://www.mcafee.com/japan/security/virE2004.as …
を読んでみました。

この検出の正体はウェブページを表示するために記述されたコードの一部です。従って、これそのものは大した悪事を働きません。行うことと言えば、InternetExplorerの既知の脆弱性を利用して悪質なファイルをこっそりとダウンロードさせようとするだけ。しかも脆弱性解消のためのセキュリティパッチがきちんと適用されていれば、お使いのPCには全く悪い影響は与えないものです。でも、悪質なコードであることは間違いないですから、マカフィーはしっかりと検知します。

>何でもないサイトを閲覧中にウィンドウズのアップデートもしているＰＣにウイルスが進入することってありえるのでしょうか？

それでは逆にお伺いしますが、このような悪質なコードが記述されているサイトが『何でもないサイト』と言えるでしょうか？私にはそうは思えませんが。

特に海外のサイトに多いのですが、一見して全く危険がなさそうなサイトでもこのような検出が見られることがあります。サイトそのものがハッキングされた可能性もありますが、たまたまサイトに掲載されている広告バナーがそういう感染に遭っていて、悪質なものとして検出されることもあるようです。

こうしたコードが検出されないようにするためには、結局のところそういうものが検出されるようなサイトにアクセスしないこと、ということになるかも知れません。

少なくとも、JavaScriptやActiveXが有効のままのIEでは検出されつづけるでしょう。IEのJavaScriptやActiveXを無効にしたIE、またはIEに依存しないFirefoxやOperaのようなブラウザでアクセスすれば、コードは検出されないかも知れません。（もしかしたら、ということであって、抑制できないかも知れませんが）

では打つべき手は全くないのか、というと…IE-SPYADの導入によってそうしたコードを読み込むのを抑制できるかも知れません。（これも可能性はなくはない、ということだけ）
http://www.geocities.jp/iespyad_jpn_manual/quick …

でも、質問文をきちんと読んでみると…それだけではある種の危険を回避することは難しいかな、という気がします。

>数日前、スパイウェアブラスターを導入しようとして海外のサイトからダウンロードしました。それでインストールしましたが何だか見れないサイトがあったりと不具合が生じたのでアンインストールしました。

もし本当にSpywareBlasterの働きによって、普段閲覧されているサイトが全く閲覧出来なくなるようなことが起きているとしたら…それはSpywareBlasterの不具合、と考えるべきじゃないと思います。
言い換えれば、そうしたサイトにはセキュリティ上何らかの問題があるのだ、ということです。

逆に言えば、これまで質問者さんが閲覧してきたサイトには今まで知る由もなかった何らかの危険が隠されていた可能性が高いように思われます。

http://www.higaitaisaku.com/
のようなサイトをご覧になり、今一度ご自分のウェブ閲覧のスタイルを見直していただきたいと思います。

まぁ、今回ご質問にある検出は致命的でも何でもないので、『検出されても気にしない』と思えば…そうなってしまうのかも知れないですね。

この回答への補足

　僕が不思議に思っているのは見たサイトが本当になんでもないちゃんとしたサイトだったからです。なぜならそのサイトとは
　http://www.higaitaisaku.com/
そのものだったからです。このサイトで過去ログを見ていたら急に警告がでました。こんなに有名なサイトがそんなわけはないと思うのですが・・・。さすがにこのサイトがハッキングを受けているとは考えにくいです。インターネット上にうようよしていたウイルスが入り込んだなんてことがないのならば一体どういうことなんでしょうか？

補足日時：2006/04/03 21:16

この回答へのお礼

非常にわかりやすく一つ一つの質問に答えていただけて非常にありがたいです。ありがとうございます！！！（－－）

お礼日時：2006/04/03 21:23

No.9 回答者： ryu-fiz 回答日時： 2006/04/03 21:48

なるほど…そういうことでしたか。

もしかすると、質問中に症状を説明する目的でリンクされたアドレスがアクセスすると明らかに危険なものであったため、それをマカフィーが危険とみなして検出した、ということなのかも知れません。

自分ではマカフィーを使ったことはないし、自分で使ってる対策ソフトがそのような警告を出したこともないのですが…ある種の『過剰反応』と言えるのかも。

そのような状況でしたら、今回の検出に関しては『そういうもんなんだ』と理解された上で深刻に考えないようにするしかないのかも知れませんね…。

シマンテックの製品がUNIX互換OSにしか影響のないUnix Penguinを検出することがこの掲示板でも度々質問に上りますが…それに近いものを感じます。
何か検出されると皆震え上がると思いますが…検出名を頼りに参考ページを調べて正体を知ると『なぁんだ』となることもたまにはあります。
今回もどうやらそういうケースのようですよ。

この回答へのお礼

非常に安心できました！！とてもありがたいです！！回答ありがとうございました！！（－－）/

お礼日時：2006/04/03 22:08

No.8 回答者： pc-2198ax 回答日時： 2006/04/03 21:38

> 設定を最高にすると何が不具合が生じないでしょうか？（サイトが見れないとか）

それは設定変更後結果によって考える事
設定変更に因って PC がおかしく成る事は通常有りませんから！
デフォルト設定では甘いでしょう！！！

No.6 回答者： pc-2198ax 回答日時： 2006/04/03 19:58

ウィルス対策ソフトを常駐させていますか？

又常駐させているので有れば設定を見直しセキュリティーを最高に設定し直す

この回答への補足

マカフィーを常駐させています。設定を最高にすると何が不具合が生じないでしょうか？（サイトが見れないとか）

補足日時：2006/04/03 20:25

この回答へのお礼

ご回答ありがとうございます！！！（－－）

お礼日時：2006/04/03 20:27

No.5 回答者： kazuhisa01 回答日時： 2006/04/03 15:42

連続投稿と長文、申し訳ありません。

> 「どこか知らないところで貴方がクリックしている可能性があります」ということは個人的に安全だと思っているが、実はウイルスに感染しているサイトであるということでしょうか？
理解する上で間違わないで下さい。
「サイトがウィルスに感染しているのではなく、サイトがウィルスに感染するスイッチとなっている」です。
個人的に安全と思っているだけでは、一般的に安全ということにはなりません。
貴方が言っている通り、個人的です。
個人的という範囲には差異があり、知識が豊富な人にとっては釣りサイトも安全と思う人もいれば、知識がない人にとっては広告サイトが表示されてしまうだけで安全じゃないって思う人もいます。

> するとまたそのサイトにいくと「感染しているファイルのサイトを踏んでしまった場合に行動を起こす」のでしょうか？
可能性としては高いと言えます。
ウィルスを作成した本人でない為わからないのですが、サイトを表示したと同時に動くのか、アクセスがあった時点で動くのか・・・
ウィルスのタイプによっても様々です。

なので最初に書いたと思いますが、早期リカバリが必要になってくるかもしれません。

この回答への補足

リカバリーですか・・・。最終手段ですね。感染していないか確認するすることは出来ないのでしょうか？いろいろスキャンをしましたが検出されませんでした（スパイボット等も）インターネット一時ファイル内のものはスキャンされないのでしょうか？入り込んだときには警告がでましたが・・・・。その警告がでたときは削除できませんでした。だからその後インターネットキャッシュのクリアで削除したつもりですが・・・。さっきマカフィーでウイルスから守られているかチェックする、というのをしてみましたが、同じような現象がおきて、そのテストウイルスもインターネット一時ファイルに入って削除できませんでした・・・。これはＰＣの設定上そうなってしまうのでしょうか？どなたかわかりますか？

補足日時：2006/04/03 20:17

この回答へのお礼

何度も親切なご回答本当にありがたいです！！もっといろいろ情報をお教えいただきたいぐらいです。よろしくお願いします！！

お礼日時：2006/04/03 20:24

No.4 回答者： kazuhisa01 回答日時： 2006/04/03 14:38

> はぁ・・・するとまたすぐに進入してくるということですか？

すぐに進入されるということはないと思いますが、ウィルスがどのような周期で動くかわからないのでなんとも言えません。
> これといって目だった現象は見られないのですが・・・・。
ウィルスには表でわかる物と裏でひそかに動く物があります。
レジストリに書かれて定期的に動く物であれば目立った現象は見れません。
> 感染ファイルの場所はインターネット一時ファイルのようですが害があるんでしょうか？
インターネット一時ファイルに感染ファイルがあるということは、どこか知らないところで貴方がクリックしている可能性があります。
> インターネット一時ファイルの中でなにか行動していたりするでしょうか？
インターネット一時ファイルファイルの中で何か行動していることはまずないと思いますが、感染しているファイルのサイトを踏んでしまった場合に行動を起こします。
> また、「ブラウザを特定サイトにリダイレクトする機能がある」ということは普通にネットをしていてなにか変化がみられるのでしょうか？
このウィルスに感染した経験がない為、これと言う答えが出せないのが現状です。

＊＊＊＊＊＊＊ここから下はあくまで予測の範囲です。＊＊＊＊＊＊＊
IE等のブラウザを起動した時に、回線状態（無線の場合は電波）は問題ないのにサイトの表示が全くされないと言うことはありませんか？
もしかしたら、その現象が「ブラウザを特定サイトにリダイレクトする機能がある」という現象かもしれません。
また、スパムウェアが入っていないにも関わらず、普通のサイトを閲覧中に広告サイトや訳のわからない英語のサイトが出てくるかもしれません。
他には、いつも見ているサイトに行っても違うサイトに飛ばされるなんてこともあるかもしれません。
※最後に書きますが、これは予測です。このような現象が起こったら疑ってみて下さいということです。
※上記の現象が起こらないから大丈夫だと、安心するのは早いかもしれません。なるべく早く、ウィルスによる影響の確証を得てください。

この回答への補足

サイトの表示が全くされないという現象がありましたが、スパイウェアブラスターをアンインストールしたら改善されたようでした。広告サイトや英語のサイトは出ません。
「どこか知らないところで貴方がクリックしている可能性があります」ということは個人的に安全だと思っているが、実はウイルスに感染しているサイトであるということでしょうか？するとまたそのサイトにいくと「感染しているファイルのサイトを踏んでしまった場合に行動を起こす」のでしょうか？

補足日時：2006/04/03 14:46

この回答へのお礼

非常に丁寧なご説明、ご回答ありがとうございます。

お礼日時：2006/04/03 14:51

No.3 回答者： takagari 回答日時： 2006/04/03 13:48

#1です

専用駆除ツールが出ているみたいですよ
http://www.kakaku.com/info/200505/antivirus.html

他のアンチウィルスソフトを使っていても使用できるようなので
もう一度試されてみてはいかがでしょうか？

あまりお力になれずにすみません

この回答への補足

オンラインゲームもたまにするのですが、大丈夫でしょうか？（リネージュではありません）レジストリの改ざんをやられていたら、確認する方法があるのでしょうか？お願いします。

補足日時：2006/04/03 13:57

この回答へのお礼

わかりやすいご回答ありがとうございました。

お礼日時：2006/04/03 13:59

No.2 回答者： kazuhisa01 回答日時： 2006/04/03 13:37

トロイの木馬（他、多数のウィルス）に関しての基本的な知識として、Windowsの弱いところを狙って感染してきます。

WindowsUpdateを更新して最善の状態であっても、それを乗り越えてくるのがウィスルです。
そのため、完璧なウィスル対策をしていてもウィルスに感染する可能性は十分にありえると思ってください。

既出かもしれませんが、下のサイトで駆除（対策）を行ってください。
http://www.pandasoftware.jp/scripts/panda/vb_bri …
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

Exploit-MhtRedir.genについて　※長いです。
Exploit-MhtRedir.genには、ブラウザを特定サイトにリダイレクトする機能がある。
多くのユーザーがハッキングされて感染したサイトを参照し、感染が拡大した可能性が考えられる。
また、最近ではMytob亜種が多く発見されている。
この亜種は、大手ウイルスベンダーの最新ウイルス定義ファイルを通過することを確認した上でばらまかれており、日々の定義ファイルでは間に合わないケースも考えられる。
マカフィーユーザーには、亜種発生後、数分で公開しているExtraDATのダウンロードを推奨している。
ExtraDATの入手・・・一番下にあり。（製品登録が必要かも）
http://www.mcafee.com/japan/about/bitvalley16.as …

あくまで一時的な駆除のようです。
ウィスルがレジストリに書き込まれて、定期的に発動するプログラムの場合、ピンポイントで削除するのは難しいと思われます。
早いうちにリカバリ（クリーンインストール）を行ったほうがいいと思います。
※データの退避は、どうしても必要なデータ以外は行わないほうが無難！

長文になり失礼しました。
お役に立てれば幸いです。

この回答への補足

はぁ・・・するとまたすぐに進入してくるということですか？これといって目だった現象は見られないのですが・・・・。感染ファイルの場所はインターネット一時ファイルのようですが害があるんでしょうか？インターネット一時ファイルの中でなにか行動していたりするでしょうか？また、「ブラウザを特定サイトにリダイレクトする機能がある」ということは普通にネットをしていてなにか変化がみられるのでしょうか？お願いします。

補足日時：2006/04/03 13:39

この回答へのお礼

丁寧なご回答ありがとうございます。

お礼日時：2006/04/03 13:44

No.1 回答者： takagari 回答日時： 2006/04/03 13:20

駆除をするのにシステムレストアの無効化をしないといけないらしいですよ

http://www.mcafee.com/japan/security/DisableSysR …

まだ試されていないようでしたら試してみてはいかがでしょうか？

参考URL：http://www.mcafee.com/japan/security/virE2004.as …

この回答への補足

システムレストアの無効化はしました。何でもないサイトを閲覧中にウィンドウズのアップデートもしているＰＣにウイルスが進入することってありえるのでしょうか？もう駆除は完了したと思います。

補足日時：2006/04/03 13:24

この回答へのお礼

回答ありがとうございます。お礼の欄で申し訳ありませんが、ひとつ追加で質問させてください。インターネットキャッシュ内にいるウイルスはなにか行動することができるのでしょうか？インターネットキャッシュ内にいるかぎりこれといって害はないのでしょうか？

お礼日時：2006/04/03 13:32