質問させてください。
彼女とPCを兼用(別ユーザー)にしているのですが、彼女が今日、PCを使おうと開いたときにウィルスが反応したらしいです。(そのまま、メールチェックだけしてやめたらしいですが)
私が帰宅後、確認のためにPCを立ち上げたとき、ノートンが反応し、ウィルスが見つかりました。詳細は下記のURLです。
http://www.symantec.com/region/jp/avcenter/venc/ …
ウィルス名はinfostealerという、パスワードなどを盗み出すウィルスのようですが、削除の仕方が良くわかりません。
1.システムの復元機能を無効にします (Windows Me/XP)。
2.ウィルス定義を最新版に更新します。
3.システム全体のスキャンを実行し、検出されたファイルをすべて削除します。
4.レジストリに追加されたすべての価を削除します。
5.Win.ini ファイルを編集します。
6.System.ini ファイルを編集します。
7.Temporary Internet Files フォルダのすべてのファイルを削除します。
1~3まではできたのですが、4は指定されたフォルダを探しても、書き留めたウィルスは見つかりません。
この場合、3で削除に成功したということでしょうか?
5と6はXPの方法が書いてないのですが、XPの場合、どう削除すればいいのでしょうか?
あと、全てのパスはやはり変えるべきですか?それとも、PCに記憶させておいたパスのみ変えておけば大丈夫ですか?
アドバイスお願いします。
No.4ベストアンサー
- 回答日時:
No.1です。
『お礼』に書かれた内容は読ませていただきました。>質問なのですが、
>>今回のケースだと、PC内に入り込んだ脅威は実際に活動を始める直前にノートン製品の常駐保護が発見し、活動は未然に防がれている可能性が非常に高いと思われます
>その根拠というか、どういうところからそう思われるのでしょうか?
>infostealerはパスワードを盗み、Hacktool.RootkitはPCをコントロールする・・みたいなことがノートンで書かれていたのですが・・・。
今回のように、システムに常駐する形で活動し、情報を漏洩するタイプのものについては、実際にそれが常駐するなどして活動を開始してしまった場合、ウイルス対策ソフト上からは直接削除や検疫(隔離)は出来ないことが多いのです。実行されるとか他のプログラムによって利用されている、あるいはシステムに組み込まれるなどしてしまっているものについては、実行されているプログラムを停止するとかをユーザー自身が手動で行わないと処理出来ないことが殆どです。
言い換えると…ウイルス対策ソフトの常駐保護が警告を出してきて、そのものがオンデマンドで簡単に処理出来る場合には、その際に検出されたものについては対策ソフトの常駐保護が未然にその活動を防いだ、と考えるのが筋なのだと私は思います。
ただし…お話によると、今回は別の感染が後で見つかった、ということですので、それについては残念ながら後手に回った、と考えることが出来るかと思います。
>1つはinfostealer.GamaniaでもうひとつはHacktool.Rootkitというのが見つかりました。その2つを削除してから反応はなくなりましたが。
後で全体スキャンによって見つかったこれらについては…既に活動が行われた可能性が高いと思います。つまり、今回のケースでは、ノートン製品をもってしても全ての感染を食い止めることが出来なかったと言えます。
rootkit系の感染が見つかった、ということは、巧妙に悪意のあるプロセスが隠蔽されていた可能性が高く、これが元で根本的な感染の発見が遅れたのだろうと思われます。
今回の場合については、単に常駐保護によってInfostealerが発見されたことだけ取れば、Infostealerそのものの活動は未然に防がれている可能性が高いです。で、
http://www.symantec.com/region/jp/avcenter/venc/ …
に従って作業した、ということなので、その時点で全体スキャンも行った、結果として検出されたものも処理された、と私には思われました。
その時点で、Hacktool.Rootkitなど他の感染については一切記されてなかったので当面の危険は少ないだろう、という判断に至った次第です。
一応、怪しいものが常駐保護で見つかった場合に、出来るだけ早期に他の感染がないかどうかを全体スキャンでチェックしておく必要はあるかと思いますが、ことトロイ系に関しては、見つかっても削除、検疫といった処理が全く出来ないものが確認されたときに初めて、感染が深刻であるかどうかの判断が出来るのではないかと思います。
繰り返しになりますが…常駐保護がトロイの木馬を検出したからといって、100%それが即危険だ、という判断をすべきではない、という考え方自体には変わりはありません。
ブラウザによってはからずも悪意のあるサイトにアクセスしてしまい、結果トロイの木馬系のファイルが読み込まれれば、対応していればウイルス対策ソフトの常駐保護機能は警告を出します。その時点ですぐに処理が出来れば大きな危険はありません。その辺は一般的なウイルスと同様です。体内に入ってもそれが活動して発病しない限りは即大きな問題とはならないのです。
ただし…実際のところ、いかにノートン製品が優れた対策ソフトであっても、特に非常に種類の多いトロイの木馬系の感染全てを検出し、食い止めるのは不可能です。ノートン製品に限らず、一般的なウイルス対策ソフトの力では防ぐことの出来ない感染は数多く存在します。
結果として、今回はそういうケースに該当する感染だったのだろうと思われます。追加で分かった状況からして、他の感染がまだ隠れている疑いも濃くなりましたので、No.2さんに同じくリカバリとパスワード関係を出来る限り変更されることをお勧めします。
この種の難しい感染を未然に防ぐための方法についても、全くない訳ではありません。100%、という訳にも行かないのでしょうが…かなりリスクを軽減することは可能だと思います。次の2つのページを参考にしてください。
http://www.higaitaisaku.com/korobanu.html
http://www.geocities.jp/iespyad_jpn_manual/quick …
取り分け、初期設定のままのIEであらゆるサイトにアクセスしてしまうことについては、今回のようなケースを引き起こす原因になるだろうと思われます。アダルト系、アングラ系に加え、海外のサイトにアクセスする場合でもIEのセキュリティ設定は『高』がお勧めです。でなければ、もっと柔軟にセキュリティ設定の切り替えが出来るタブブラウザ、あるいはIEに依存しないFirefoxやOperaのようなブラウザを常用されることをお勧めします。
また、ファイアウォールは適切に設定しておくことが必要です。数年前までは必須と言えなかったファイアウォールですが、昨今のネット事情では一般ユーザーの利用するパソコンであっても、開放されたポートから乗っ取りが図られるケースは決して少なくありません。お使いのノートン製品がInternet Securityであれば十分な防御が図られますが、AntiVirusだとすると全ての不正アクセスを防止出来るとは言えないと思います。(Norton AntiVirusにはファイアウォール的な機能も付属していますが…
標準の状態では全ての不要なポートが閉じられてはいない可能性が高いです。設定次第でより安全にも出来るかも知れませんが…その設定はかなり高度な知識が要求されると思うので、Internet Securityなどファイアウォール込みの製品に切り替えられるのが得策です。でなければ、ファイアウォール機能のついたルーターを併用されることです。)
ありがとうございました。
一応、ノートンのインターネットセキュリティを利用していたので、安全だと思っていたのですが・・・。
あれから、またスキャン(3日連続)しましたところ、infostealerがまた発見されました。
結果、私の知識で現状維持のままこれ以上の削除は不可能orリカバリーしたほうが早いと判断しましたので、結局、金曜の晩、土曜日1日を使って初期化しました。
色々とアドバイスありがとうございました。
No.3
- 回答日時:
No2ですけれど、ちょっと怖いですね。
思い切ってリカバリした方が安全かな?リカバリ後は、パスワードは変更してしまうのですけれど。
ノートンだけでは検知漏れしてしまう可能性があるので、思い切って今回はリカバリして、
パスワード変更して様子見てください。
え~~・・・怖い??どの辺が怖いですか?
リカバリも考えていますが、色々と準備が要るので、時間が掛かります。(2日ぐらい必要)
早急にリカバリが必要ですかね?
ご回答ありがとうございます。
No.2
- 回答日時:
隠しファイルの表示をしてから、ウイルス検索してますか?
パソコンの場合には、初期値では隠しファイルは表示してないです。
隠しファイルを表示した状態でウイルス駆除をしないと、無意味です。
そして、出来る限りはウイルスが検知された場所のファイル名を明記してください。
処置の方法に違いがあります。
単に一時ファイルを削除するだけで終了するものや、隠しファイルを表示しないとわからないもの、
いろいろとありますので、確認された場所について明示するようにしてください。
Windows高速化への道
拡張子の表示、隠しファイルの表示
http://www003.upp.so-net.ne.jp/shigeri/technique …
C:\WINDOWS\Config\SVhost32.exe
C:\WINDOWS\Download\SVhost32.exe
C:\WINDOWS\system32\dllf.dll
C:\WINDOWS\Config\SVhost32.exe
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run\hy
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run\fzg
表示されたのは以上です。
削除できたと思ったのですが、次の日にPCを開けたらまた反応が出まして、スキャンを掛けたところ、2つ見つかりました。
1つはinfostealer.GamaniaでもうひとつはHacktool.Rootkitというのが見つかりました。
その2つを削除してから反応はなくなりましたが。
どう思われますか?
No.1
- 回答日時:
取り敢えず、対処は成功しているように思います。
>1~3まではできたのですが、4は指定されたフォルダを探しても、書き留めたウィルスは見つかりません。
>この場合、3で削除に成功したということでしょうか?
そうだと思います。
PC起動時に見つかったものは、本格的に活動を開始する前に常駐保護が見つけて活動が抑制され、その後の処理で潜伏していたものも含めて削除が完了したと見ます。
ちなみに4の作業は、実体のあるファイルではなく、ファイルの起動に使われるレジストリキーに対する対処です。先述した通り、本格的に活動を開始する前にノートン製品がそれを差し止めたため、生成されるべきレジストリキーが出来ていなかったのでしょう。なければそれで構わないでしょう。
>5と6はXPの方法が書いてないのですが、XPの場合、どう削除すればいいのでしょうか?
気にしなくて構いません。Win.iniやSystem.iniによってプロセスをOSに組み込む手法は9x系の古いタイプのOSで使われるもので、XPや2000では『サービス』という別の手法が用いられます。サービスに関する設定は4の中に出てくる
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
で規定されますので、ここのチェックが済んでいればXP/2000の場合の対処はOKです。
>あと、全てのパスはやはり変えるべきですか?それとも、PCに記憶させておいたパスのみ変えておけば大丈夫ですか?
基本的には、あらかじめ記憶させておいたものだけではなく、感染する直前にPC上で入力したパスワード関係は全て変更しておくのが望ましいです。
ただし今回のケースだと、PC内に入り込んだ脅威は実際に活動を始める直前にノートン製品の常駐保護が発見し、活動は未然に防がれている可能性が非常に高いと思われますので、今回見つかったものに関してはパスワードなどの変更は必要ないように思われます。
ありがとうございます。
一応、パスワードは全て変更したのですが、次の日にPCを開いたらまたノートンが反応しまして、スキャンを掛けると2つ見つかりました。
1つはinfostealer.GamaniaでもうひとつはHacktool.Rootkitというのが見つかりました。その2つを削除してから反応はなくなりましたが。
質問なのですが、
>今回のケースだと、PC内に入り込んだ脅威は実際に活動を始める直前にノートン製品の常駐保護が発見し、活動は未然に防がれている可能性が非常に高いと思われます
その根拠というか、どういうところからそう思われるのでしょうか?
infostealerはパスワードを盗み、Hacktool.RootkitはPCをコントロールする・・みたいなことがノートンで書かれていたのですが・・・。
それと、このウィルスをどこから入ったかわかりませんが、万が一、私の情報が盗まれると仮定するならば、情報はウィルスを作った本人へ渡っているのでしょうか?それとも、winnyみたいに、不特定多数の人が入手できるような感じになるのでしょうか?
アドバイスお願いします。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- Windows 10 windows10このPCをリセットするを選択し、すべて削除を選択した場合C以外のドライブも初期化? 2 2022/11/10 14:24
- その他(Microsoft Office) PCのHDの空きを増やすために,ONE driveのフォルダーを限定しましたが,容量が増えません? 4 2022/08/04 14:12
- その他(ブラウザ) IE・edgeで日増しに観られるサイトが減ってくる。 1 2022/10/04 22:40
- マルウェア・コンピュータウイルス FlashPlayerの削除とマルウェア感染について 5 2023/02/23 20:52
- Visual Basic(VBA) エクセルのマクロについて教えてください。 2 2023/07/06 17:46
- Excel(エクセル) Excelを開くとエラーが出る 2 2022/10/03 16:13
- 画像編集・動画編集・音楽編集 動画のトリミング 結合 削除が可能なフリーソフト 2 2022/05/02 22:08
- Visual Basic(VBA) エクセルのマクロについて教えてください マクロを実行すると メッセージボックスが表示されて okをク 4 2023/07/05 19:32
- Windows 8 カスペルスキー削除後の外付HDD不具合 3 2023/03/06 06:41
- Google Drive Googleドライブで削除できないファイルがある。 5 2023/05/11 09:39
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
デスクトップに変なファイルが...
-
PC右下に変な画面
-
改変されたレジストリを修復したい
-
トロイの木馬とDxDiag.exeの場...
-
拡張子JPGやGIFのファイルにも...
-
ctfmon.exeについて
-
トロイの木馬に感染したが、フ...
-
Everything というフリーソフト...
-
マカフィーで必要なファイルが...
-
VPNでエロサイトばっかり見てる...
-
まじで助けてください 凄い恥ず...
-
至急!!!!!ラインポイント!
-
ドグ
-
パソコンのデスクトップ画面に...
-
iPhoneでアダルトサイトを見て...
-
ウィルスチェック・フルスキャ...
-
Trojan:Script/Wacatac.H!ml っ...
-
pcについての質問です。wavessy...
-
パソコンのプロセスの重複起動...
-
McAfee マカフィー ウィルスス...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
拡張子JPGやGIFのファイルにも...
-
デスクトップに変なファイルが...
-
winlogon.exeとservices.exeの...
-
ctfmon.exeについて
-
教えて下さい。
-
Backdoor.Trojanが削除できない?
-
Backdoor.SubSevenというウイル...
-
突然「守りたい情報の送信を中...
-
デスクトップが真っ白になって...
-
PCが勝手に再起動するため、ウ...
-
トロイの木馬
-
トロイの木馬とDxDiag.exeの場...
-
メールの添付にウイルスが見つ...
-
ウイルス感染の確認と削除方法...
-
ウイルスソフトが隠しファイル...
-
改変されたレジストリを修復したい
-
Adware.180SearchとAdware.SAHA...
-
Backdoor.Troja...
-
クレズと言うウィルスに感染し...
-
「ウイルスバスター2008」...
おすすめ情報