ウィルスの削除の仕方

Question

質問させてください。
彼女とＰＣを兼用（別ユーザー）にしているのですが、彼女が今日、ＰＣを使おうと開いたときにウィルスが反応したらしいです。（そのまま、メールチェックだけしてやめたらしいですが）
私が帰宅後、確認のためにＰＣを立ち上げたとき、ノートンが反応し、ウィルスが見つかりました。詳細は下記のＵＲＬです。
http://www.symantec.com/region/jp/avcenter/venc/data/jp-infostealer.html

ウィルス名はinfostealerという、パスワードなどを盗み出すウィルスのようですが、削除の仕方が良くわかりません。

１．システムの復元機能を無効にします (Windows Me/XP)。 
２．ウィルス定義を最新版に更新します。 
３．システム全体のスキャンを実行し、検出されたファイルをすべて削除します。 
４．レジストリに追加されたすべての価を削除します。 
５．Win.ini ファイルを編集します。 
６．System.ini ファイルを編集します。 
７．Temporary Internet Files フォルダのすべてのファイルを削除します。

１～３まではできたのですが、４は指定されたフォルダを探しても、書き留めたウィルスは見つかりません。
この場合、３で削除に成功したということでしょうか？
５と６はＸＰの方法が書いてないのですが、ＸＰの場合、どう削除すればいいのでしょうか？

あと、全てのパスはやはり変えるべきですか？それとも、ＰＣに記憶させておいたパスのみ変えておけば大丈夫ですか？

アドバイスお願いします。

ryu-fiz · Accepted Answer

No.1です。『お礼』に書かれた内容は読ませていただきました。

>質問なのですが、
>>今回のケースだと、PC内に入り込んだ脅威は実際に活動を始める直前にノートン製品の常駐保護が発見し、活動は未然に防がれている可能性が非常に高いと思われます

>その根拠というか、どういうところからそう思われるのでしょうか？
>infostealerはパスワードを盗み、Hacktool.RootkitはPCをコントロールする・・みたいなことがノートンで書かれていたのですが・・・。

今回のように、システムに常駐する形で活動し、情報を漏洩するタイプのものについては、実際にそれが常駐するなどして活動を開始してしまった場合、ウイルス対策ソフト上からは直接削除や検疫（隔離）は出来ないことが多いのです。実行されるとか他のプログラムによって利用されている、あるいはシステムに組み込まれるなどしてしまっているものについては、実行されているプログラムを停止するとかをユーザー自身が手動で行わないと処理出来ないことが殆どです。

言い換えると…ウイルス対策ソフトの常駐保護が警告を出してきて、そのものがオンデマンドで簡単に処理出来る場合には、その際に検出されたものについては対策ソフトの常駐保護が未然にその活動を防いだ、と考えるのが筋なのだと私は思います。

ただし…お話によると、今回は別の感染が後で見つかった、ということですので、それについては残念ながら後手に回った、と考えることが出来るかと思います。

>１つはinfostealer.GamaniaでもうひとつはHacktool.Rootkitというのが見つかりました。その2つを削除してから反応はなくなりましたが。

後で全体スキャンによって見つかったこれらについては…既に活動が行われた可能性が高いと思います。つまり、今回のケースでは、ノートン製品をもってしても全ての感染を食い止めることが出来なかったと言えます。

rootkit系の感染が見つかった、ということは、巧妙に悪意のあるプロセスが隠蔽されていた可能性が高く、これが元で根本的な感染の発見が遅れたのだろうと思われます。

今回の場合については、単に常駐保護によってInfostealerが発見されたことだけ取れば、Infostealerそのものの活動は未然に防がれている可能性が高いです。で、
http://www.symantec.com/region/jp/avcenter/venc/data/jp-infostealer.html
に従って作業した、ということなので、その時点で全体スキャンも行った、結果として検出されたものも処理された、と私には思われました。
その時点で、Hacktool.Rootkitなど他の感染については一切記されてなかったので当面の危険は少ないだろう、という判断に至った次第です。

一応、怪しいものが常駐保護で見つかった場合に、出来るだけ早期に他の感染がないかどうかを全体スキャンでチェックしておく必要はあるかと思いますが、ことトロイ系に関しては、見つかっても削除、検疫といった処理が全く出来ないものが確認されたときに初めて、感染が深刻であるかどうかの判断が出来るのではないかと思います。

繰り返しになりますが…常駐保護がトロイの木馬を検出したからといって、100%それが即危険だ、という判断をすべきではない、という考え方自体には変わりはありません。
ブラウザによってはからずも悪意のあるサイトにアクセスしてしまい、結果トロイの木馬系のファイルが読み込まれれば、対応していればウイルス対策ソフトの常駐保護機能は警告を出します。その時点ですぐに処理が出来れば大きな危険はありません。その辺は一般的なウイルスと同様です。体内に入ってもそれが活動して発病しない限りは即大きな問題とはならないのです。

ただし…実際のところ、いかにノートン製品が優れた対策ソフトであっても、特に非常に種類の多いトロイの木馬系の感染全てを検出し、食い止めるのは不可能です。ノートン製品に限らず、一般的なウイルス対策ソフトの力では防ぐことの出来ない感染は数多く存在します。

結果として、今回はそういうケースに該当する感染だったのだろうと思われます。追加で分かった状況からして、他の感染がまだ隠れている疑いも濃くなりましたので、No.2さんに同じくリカバリとパスワード関係を出来る限り変更されることをお勧めします。

この種の難しい感染を未然に防ぐための方法についても、全くない訳ではありません。100%、という訳にも行かないのでしょうが…かなりリスクを軽減することは可能だと思います。次の２つのページを参考にしてください。

http://www.higaitaisaku.com/korobanu.html
http://www.geocities.jp/iespyad_jpn_manual/quick_guide/txt.html

取り分け、初期設定のままのIEであらゆるサイトにアクセスしてしまうことについては、今回のようなケースを引き起こす原因になるだろうと思われます。アダルト系、アングラ系に加え、海外のサイトにアクセスする場合でもIEのセキュリティ設定は『高』がお勧めです。でなければ、もっと柔軟にセキュリティ設定の切り替えが出来るタブブラウザ、あるいはIEに依存しないFirefoxやOperaのようなブラウザを常用されることをお勧めします。

また、ファイアウォールは適切に設定しておくことが必要です。数年前までは必須と言えなかったファイアウォールですが、昨今のネット事情では一般ユーザーの利用するパソコンであっても、開放されたポートから乗っ取りが図られるケースは決して少なくありません。お使いのノートン製品がInternet Securityであれば十分な防御が図られますが、AntiVirusだとすると全ての不正アクセスを防止出来るとは言えないと思います。（Norton AntiVirusにはファイアウォール的な機能も付属していますが…
標準の状態では全ての不要なポートが閉じられてはいない可能性が高いです。設定次第でより安全にも出来るかも知れませんが…その設定はかなり高度な知識が要求されると思うので、Internet Securityなどファイアウォール込みの製品に切り替えられるのが得策です。でなければ、ファイアウォール機能のついたルーターを併用されることです。）

yoshi-thk · Answer

No2ですけれど、ちょっと怖いですね。思い切ってリカバリした方が安全かな？
リカバリ後は、パスワードは変更してしまうのですけれど。

ノートンだけでは検知漏れしてしまう可能性があるので、思い切って今回はリカバリして、
パスワード変更して様子見てください。

yoshi-thk · Answer

隠しファイルの表示をしてから、ウイルス検索してますか？
パソコンの場合には、初期値では隠しファイルは表示してないです。

隠しファイルを表示した状態でウイルス駆除をしないと、無意味です。
そして、出来る限りはウイルスが検知された場所のファイル名を明記してください。
処置の方法に違いがあります。

単に一時ファイルを削除するだけで終了するものや、隠しファイルを表示しないとわからないもの、
いろいろとありますので、確認された場所について明示するようにしてください。

Windows高速化への道
拡張子の表示、隠しファイルの表示
http://www003.upp.so-net.ne.jp/shigeri/technique/technique5.html

ryu-fiz · Answer

取り敢えず、対処は成功しているように思います。

>１～３まではできたのですが、４は指定されたフォルダを探しても、書き留めたウィルスは見つかりません。
>この場合、３で削除に成功したということでしょうか？

そうだと思います。
PC起動時に見つかったものは、本格的に活動を開始する前に常駐保護が見つけて活動が抑制され、その後の処理で潜伏していたものも含めて削除が完了したと見ます。

ちなみに４の作業は、実体のあるファイルではなく、ファイルの起動に使われるレジストリキーに対する対処です。先述した通り、本格的に活動を開始する前にノートン製品がそれを差し止めたため、生成されるべきレジストリキーが出来ていなかったのでしょう。なければそれで構わないでしょう。

>５と６はＸＰの方法が書いてないのですが、ＸＰの場合、どう削除すればいいのでしょうか？

気にしなくて構いません。Win.iniやSystem.iniによってプロセスをOSに組み込む手法は9x系の古いタイプのOSで使われるもので、XPや2000では『サービス』という別の手法が用いられます。サービスに関する設定は４の中に出てくる
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
で規定されますので、ここのチェックが済んでいればXP/2000の場合の対処はOKです。

>あと、全てのパスはやはり変えるべきですか？それとも、ＰＣに記憶させておいたパスのみ変えておけば大丈夫ですか？

基本的には、あらかじめ記憶させておいたものだけではなく、感染する直前にPC上で入力したパスワード関係は全て変更しておくのが望ましいです。

ただし今回のケースだと、PC内に入り込んだ脅威は実際に活動を始める直前にノートン製品の常駐保護が発見し、活動は未然に防がれている可能性が非常に高いと思われますので、今回見つかったものに関してはパスワードなどの変更は必要ないように思われます。

ウィルスの削除の仕方

No.1です。

No2ですけれど、ちょっと怖いですね。

隠しファイルの表示をしてから、ウイルス検索してますか？

取り敢えず、対処は成功しているように思います。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング