No.8ベストアンサー
- 回答日時:
調べてみました・・・
最近、例のレジストリキーが偽アンティスパイウエアソフト等の「騙し商法」によく使われるようになっていることがわかりました。
Troj/Zlob-RJ
http://www.sophos.com/security/analyses/trojzlob …
Trojan.Zlob.D
http://www.symantec.com/region/jp/avcenter/venc/ …
TROJ_ZLOB.ZQ
http://www.trendmicro.com.au/consumer/vinfo/ency …
しかも、このキーは「HijackThis」では「O4」で検出されません。
「HijackThis」といえばスパイウエアの検出に世界中のフォーラムで使われているツールです。
「HijackThis」がスキャン対象にしていないキーを使う例が、今後、増えるものと思われます。
☆ソフォスのフォーラムで、現在進行中の例です。
http://www.sophos.com/security/analyses/trojzlob …
Running Processで「Ztob」系のファイルが4つ検出されているんですが、回答者は気がついていないようです。
C:\WINDOWS\System32\ishost.exe
C:\WINDOWS\System32\isnotify.exe
C:\WINDOWS\System32\issearch.exe
C:\WINDOWS\System32\ismon.exe
☆Silent Runner を使って検出した例です。
http://www.lavasoftsupport.com/index.php?showtop …
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"ishost.exe" = "ishost.exe" [null data]
"kernel32.dll" = "C:\WINDOWS\System32\isnotify.exe" [file not found]
"issearch.exe" = "issearch.exe" [null data]
☆このキーに登録されて悪用されるファイル
mssearchnet.exe
mscornet.exe
nvctrl.exe
dcomcfg.exe
☆Noahdfearさんのページにこのキーの悪用例のリストがあります。
http://noahdfear.geekstogo.com/keys.htm
ishost.exe
issearch.exe
kernel32.dll
kernel32.dll
notepad.exe
notepad2.exe
nvctrl.exe
paint.exe
wininet.dll
winlogon.exe
ということで、marmeeさんのおかげで私も少し賢くなりました。
ありがとうございました。
この回答への補足
リンク見たらこのキーに登録される悪質なものが結構あるんですね。
時々チェックしないといけませんね。
でもペストパトロールが毎回検出するので大丈夫かな。(空っぽでも検出するから・・・(^^))
ただ悪意のあるものがあると、除外出来ませんね。
No.9
- 回答日時:
#7です。
なんでしょうねぇ~、、、該当キーはあるけど、中身が無い(ように見える)。けど、毎回再起動後にキーが出来る。
となると、「値が隠蔽されている?」とか考えちゃいます。
「Actual Spy 2.8 か、どうか」ではなく、「何かしら居るのかな?」などと。
「キーは残っているけど。で、他のキーに関しては、怪しいものは隠れているのか、または、他に怪しげなキーは作られないのか」とか疑問に思いつつ。
いっぺん、下記サイトで調査してもらっては? 「案ずるより産むが易し」かな、と。
http://www.higaitaisaku.com/index.html
超有名どころの掲示板、アダ被の「PCトラブル質問掲示板 」。
良く知りませんが、#8様には向こうでも会えるかもです。
あっちの掲示板の過去ログをチラリと見て、雰囲気と手順を知っておいてください。
(すみませんが、#7の「"1"にしても」は"0"に戻しといて下さい。または、削除でも良いと思います。削除して、また出来ているようなら、こっちに関係あるかもしれないですけど)
回答ありがとうございます。
多少の疑問は残りますがちょっと安心しました。
紹介のサイトも言って見たいと思います。
これまで回答頂いた皆様本当にありがとうございました。そろそろ締め切ろうかと思います。
また何かあったらよろしくお願いします。
No.7
- 回答日時:
何でしょうねぇ~^ ^; #5です。
ちなみに、その
"NoCDBurning"=dword:00000000
って、
"NoCDBurning"=dword:00000001
にしても、再起動後は、元に戻ってます?
(ちなみに、誤検出かどうかで言えば、そのキーだけで Actual Spy 2.8 と判断したCAの検出結果は、宜しくないと思います。けれど、現状では、「じゃあ、なんで、このキーが毎回出来るわけ?」って答えが出て来てないんです^ ^; あと、#5でも述べましたが、OSとPCの型番は今後も伏せておくのでしょうか? )
この回答への補足
OSとPCの型番は伏せてる分けではありません。書き忘れでした。(^^)
Windows XP Home SP2
NEC PC-VL570AD です。
NoCDBurningについては再起動後は書き換えたままです。
「じゃあ、なんで、このキーが毎回出来るわけ?」ここが気になるんですよね。
6#さんの回答を見ると削除すると出ないみたいですよね。
OSの違いでしょうか?
No.6
- 回答日時:
試してみました。
例のレジストリキーを削除 > パソコンを再起動
例のレジストリキーはありませんでした。
下記、試して見てください。
1.インターネットの回線を切断。
2.ペストパトロールをアンインストール
3.例のレジストリキーを削除
4.パソコンを再起動
その結果、例のレジストリキーが現れなければペストパトロールがおかしいということになります。
これでも、例のレジストリキーが現れるようであれば、スタートアップに登録されている他のプログラムがこのキーを登録していることになります。
「Autoruns」を使って調べてみてください。
「Autoruns V 8.42」詳解
http://fine.tok2.com/home/heto2/0401Autoruns/mok …
この回答への補足
1.2.3.4.とやって見ました。
例のレジストリキーはあります。プログラムはありません。
Autorunsで調べても登録されたプログラムはありませんでした。
やはりペストパトロールの誤検出?そう思いたいですね。
No.5
- 回答日時:
#3です。
該当するものが何も無いことは、心配する事柄ではないと思います。
今日は該当キーを既に隔離(修正、または、削除)していらっしゃるのでしょうから、明日また見てください。
または「バックアップ機能」や「リカバリー機能」ようなものがあり、隔離したものを元に戻せるなら、それでも良いです。
該当キーを利用するのは、そのソフトだけではありませんが、CAはこのキーだけを理由に Actual Spy 2.8 と判断しているのだと思います。
このキーを利用しているソフトが、「ほんとうに Actual Spy 2.8 なのか?」、異なる場合は、「そのソフトは安全なものか?」を判断して下さい。
該当キーの「データ」に記されているファイル名が何か確認して下さい。
そのファイル名を元に、該当ファイルを探し、このファイルの存在するフォルダ名や、右クリックメニューの「プロパティ」→「バージョン情報」などから、判断して下さい。見に覚えのあるソフトなら、それだけで十分だと思います。
これだけでは不安な場合、そのソフトに常駐機能の「オン・オフ」があるなら、常駐をオフにして、該当キーをチェックしてみて下さい。
自身で判断できない場合は、該当キーをエクスポートし、「補足」欄などに貼り付けてください。
(エクスポートしたファイルの右クリックメニューから「編集」で開けます)
(これを元に調査してくれる回答者がいるかもしれませんが、OSやPCの型番を提示するなどの配慮はあるべきと思います)
安全なものであった場合は、「Actual Spy 2.8」とする検出結果は誤検出と判断し、以後、同様の検出結果であれば気にする必要はないと思います。
検出されるレジストリキーが増えた場合は、都度チェックして下さい。
この回答への補足
常駐をオフにして再起動し該当キーをチェックして見ました。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
の中には既定とあるだけでプログラムはありません。
この状態でペストパトロールでスキャンすると検出します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorerには
"NoCDBurning"=dword:00000000
がありますが関係ありませんよね。
ペストパトロールの誤検出でしょうか?
No.4
- 回答日時:
*長いレジストリキーの検索には下記のツールが便利です。
☆コピペで楽々 ~レジストリジャンプ~
http://fine.tok2.com/home/heto2/0500MiniTool/050 …
>hkey_local_machine \microsoft\windows\currentversion\policies\explorer\run
正しくは下記のキーのことだろうと思います。
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run
このキーにプログラムを登録してパソコンの起動時にプログラムを自動実行させることができますが、通常はこのキーでなく下記のキーが使われます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
レジストリエディターで下記のキーを開いて、プログラムが登録されているかどうか調べてみてください。
おそらく何も書き込まれていないと思います。
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run
多分、このキーを削除すればウィルス騒ぎは収まると思います。
☆念には念を入れて・・・
レジストリエディターでこのキーを選択して右クリック、メニューの「エキスポート」を選択してデスクトップにでも保存しておいてしばらく様子を見てください。
もし、異常があればバックアップしたレジストリファイルを右クリックして「結合」を選択すれば元通りになります。
☆内緒の話
「HijackThis」に表示されない「Run」設定ということで少しばかり血が騒ぎました。
さては「Rootkit」??? こうなると実際に「Actual Spy」をインストールして調べるしかありません。
しかし、「BlackLight」「RootkitRevealer」「RootKit Hook Analyzer」で調べてもそれらしい形跡はありません。
「Actual Spy」を弄り回しているうちに、メニューの「Settings」「Startup Option」で「Start at the system loading」にチェックを入れると例のキーが追加され、「application=C:\Program Files\ASMonitor\ASMonitor.exe」が登録されることがわかりました。
CAはこのキーを検出したようですが、トレンドマイクロ、シマンテックはこのキーへの登録に気がついていないようです。
「HijackThis」でもRunning processesには表示されますが、「O4」には出てきません。
「Autoruns」は、見事、このキーを検索して表示してくれます。
さらに、「Actual Spy」で「Start at the system loading」のチェックをはずすと例のキーから、「application=C:\Program Files\ASMonitor\ASMonitor.exe」が削除され空のレジストリキーだけが残ることがわかりました。
☆「Actual Spy」
「プログラムの追加と削除」できれいにアンインストールができます。使い方さえ間違わなければ行儀のいいプログラムだと思いました。
この回答への補足
回答ありがとうございます。
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run
確かに↑でした。
CAのペストパトロールを使用しています。Actual Spy 2.8はインストールしていません。又ファイル、フォルダー、他のレジストリキー
も見つかりません。
もちろん「プログラムの追加と削除」にもありません。
いろいろ試したら再起動するとこのキーが現れます。削除しても再起動
すると又現れます。
ちょっとおかしいのですが、ペストパトロールで該当キーを検出して、
隔離や削除せずにレジストリエディタでこのキーを確認すると、Actual Spy 2.8はHKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run
に無いのです。ペストパトロールで該当キーを隔離するとrunが消えます。
これはペストパトロールの不具合でしょうか?
No.3
- 回答日時:
何と言うソフトで検出されたか記されていませんが、CAのペストパトロールをお使いですか?
検出されたものは上記の一点ですか?
「隔離した後」ということは、ファイルも存在したということでしょうか?
最初にそれが検出されたときと、現在とでは、検出結果は異なりますか?
レジストリエディタが使えるのなら、該当キーをチェックして下さい。
使用したスパイウェア対策ソフトの名前が不明なので何とも言えませんが、対処法など記されていたのなら、それに従い、該当ファイルの削除等を行ってください。
CA以外のソフトウェアをご使用で、且つ、質問者様の使用しているメーカーのサイトに有用な情報がない場合、下記の「参考URL」を参考にして下さい。
参考URL:http://www3.ca.com/securityadvisor/pest/pest.asp …
回答ありがとうございます。
検出したソフトはCAのペストパトロールです。
検出されたものは一点だけです。ファイルは存在せずレジストリキーのみです。
現在は該当キーはありません。ペストパトロールも検出しません。
ここ一週間で5回検出して隔離してます。
リンクを見ましたが該当ファイル、フォルダー等何も見つからないので不安です。
No.2
- 回答日時:
または
http://www.symantec.com/region/jp/avcenter/venc/ …
に出ているのがおっしゃっているActualSpyだと思います。ウイルスバスターやノートンのオンラインスキャンで、確認してください。それでもし検出されるなら、上記サイトを参考に処理してみてください。
でも、本当にインストールされていたならば、気持ち悪いのでリカバリがいいかと思います、私も。
回答ありがとうございます。
二つのリンク見ましたが該当するキーやフォルダー等見当たりません。
バージョンの違いでしょうか?
リカバリ考えて見ます。
No.1
- 回答日時:
キーロガーですので入力情報がすべて筒抜けです。
機器本体の情報は把握されます、今も調べてたらダウンロードされそうになりました。
心配でしたらOSをインストールしなおしてきれいにされてはいかがですか
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- セキュリティソフト Win10のセキュリティー対策について、あるソフトがネットにアクセスしようとする。妨害するソフトは? 1 2022/05/29 01:04
- ノートパソコン ハードディスクが壊れたPCのオークションへの出品の仕方を教えてください 9 2022/11/16 08:13
- その他(病気・怪我・症状) 抗原検査で2回陰性 咳があったので PCR検査依頼中 要請になる確率はどれぐらい 3 2022/05/28 06:33
- Windows 10 windows10まで進めない 4 2022/07/23 01:13
- その他(IT・Webサービス) 2点の住所を入力して直線距離を算出する方法・サイト 1 2023/02/22 16:52
- マルウェア・コンピュータウイルス FlashPlayerの削除とマルウェア感染について 5 2023/02/23 20:52
- 防犯カメラ・監視カメラ・小型カメラ MP4の再生 3 2022/05/03 18:10
- フリーソフト 編集ソフトのムービーメーカーについて教えてください 3 2023/02/25 16:20
- ハッキング・フィッシング詐欺 Windows11 PCの不具合 4 2023/03/03 22:06
- アート・エンタメ Melodyne5 エッセンシャル 使い方を教えて 1 2022/06/09 17:03
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
Androidでセキュリティパッチレ...
-
Windows Defender 「許可された...
-
宛先が、recipients not specif...
-
パソコンのマカフィーリブセー...
-
【超至急】コンピューターウイルス
-
ウイルスバスターは必要か
-
iPhoneのウイルスについて。 OS...
-
「ご注意ください:緊急のお知...
-
Twitchを見てたら何故か無期限B...
-
Trojan:Script/Wacatac.H!ml っ...
-
iPad がウイルスに感染と思う。...
-
トロイの木馬が検出されました。
-
CDやDVDにコンピューターウイル...
-
何故か本日からMcAfee の警告が...
-
大学生です。授業でUSBメモリを...
-
ノートPCにネット上の画像を保...
-
原神を起動したらmhyprot3とい...
-
biosにウイルスが感染していた...
-
iPhoneカレンダーウイルス感染...
-
10年以上前にトロイの木馬が入...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ウイルスバスターは必要か
-
Windows Defender 「許可された...
-
Trojan:Script/Wacatac.H!ml っ...
-
トロイの木馬型スパイウェアに...
-
iPhoneのウイルスについて。 OS...
-
PCのセキュリティソフトはどこ...
-
windows defenderで質問です。 ...
-
こんな警告が出ます ウイルス感...
-
ウイルス対策ソフトって有効で...
-
ウイルスソフト
-
トロイの木馬はWi-Fiルータを通...
-
宛先が、recipients not specif...
-
パソコンのマカフィーリブセー...
-
biosにウイルスが感染していた...
-
CDやDVDにコンピューターウイル...
-
atruic serviceというマルウェア
-
トロイの木馬は何故感染?
-
ノートPCにネット上の画像を保...
-
トロイの木馬が検出されました。
-
Twitchを見てたら何故か無期限B...
おすすめ情報