この動作はウィルスによるものでしょうか？NOD32

昨日、ホームページ（音楽関係）のを開いたら、ページを開いた後動かなくなり。mediaplayerがHP上にあったので、これで遅くなってるんだな、と思ってたら、「ウイルスを隔離しました。」が表示。隔離終了後、パソコンが動かなくなり、再起動しました。以降、パソコンの電源を入れて普段のスタート画面になると、毎回ウイルスの警告が出るようになってしまいました。ウイルスの警告はいつも３回出ます。
（１回目と2回目は同じ内容）
ファイル：ｈｔｔｐ://waigua9999.com/images/1.gif
ウイルスの可能性 : NewHeur_PE ウイルス
コメント：このオブジェクトは、悪意のあるコードを含んでおり削除することができます。
（→隔離、切断にチェックして、終了）
（３回目）
C:\DOCUME~1\Owner\LOCALS~1\Temp\IXP000.TMP\rundll32.exe
Win32/TrojanDropper.Small.APR トロイ
アプリケーションの新規作成時にイベントが発生しました。C:\WINDOWS\system32\pic.gifファイルは隔離されました。
（→警告ウィンドゥにチェックを入れて→終了）
（その後）
小さなウィンドウ（例えば：「保存しますか？」「はい」「いいえ」の）が出てきて。
「（赤色に白文字の×）无法解文？件。很可能是由于内存不足（用于交？文件的磁？空？不足）或CAB文件已?坏」（読めない）「OK」が表示されます。私は右上の×（閉じる）を押しています。
パソコンはWindowsXP　ソフトはNOD32を使っています。
電源入れるたびに、この表示が出ることはウィルスに感染してることでしょうか？ウィルス対策ソフトを入れているのに、、それとも、何かの無害なファイルが電源を入れるとHPに行って、ウィルスをダウンロードしようとしているのでしょうか？

No.7 ベストアンサー 回答者： sinosihen 回答日時： 2007/01/29 10:02

ご使用の状況ですと、一番は再インストールのように思います。

私自身PC４台に別々のウイルス対策ソフト(avast、NOD32、ノートンアンチウイルス、カスペKIS）を入れていますけれども、必ずスパイウエアソフトなどで何重にも防御をしています。1つのソフトでは物足りません。

＞削除するファイルですがDocume~1も見つからず、NODの隔離情報の所から右クリックで削除してしました。
メモリに感染していないかは、どのように調べたら良いでしょうか？
削除するファイルですがDocume~1も見つからず、NODの隔離情報の所から右クリックで削除してしました。

オプションファオルダの表示にすべてのファイルを示すにしても見つからなかったと云うことは名称が変更されていると思います。またセーフモードでNOD32精密な検査をすると、初めにメモリに完成しているかどうか表示されす。

＞ローカルディスク（C:）に見かけないファイル（例えば、名前2089.32　種類32ファイルとか9986.531とか、数字の組み合わせの違うファイルが10個できています。更新日時は感染後の日時からです）

svchost.exeはウイルスの可能性があります。私ならそれらをよく調べて削除しますが、すっきりするのはリカバリでしょう。

この回答へのお礼

お返事ありがとうございます。

メモリの検査ありがとうございます、書いていただいたセーフモードで検査しましたがメモリへの感染はありませんでした^^

おっしゃるようにsvchost.exeとsvchost.picがウィルスから来ているようでした、元からあるものとは別に、自分のユーザー名のフォルダからスタート時に動いているものがあり、こDOSプログラムへのショートカット（svchost）、PFファイル、VBscriptEncoded Script File、TMPファイルを削除したら次からウイルスの警告や変なウィンドゥが出ることがなくなりました。しかし、このexeファイルの大元がどこにあるのかが突き止められませんでした。本来のものに組み込まれてたのかな？
なんとなくこれでいいのかな？？と思いながら操作していたこともあり、リカバリを行いました。今はさっぱりしました^^

アンチウィルスソフトはNODを継続することにしました、また別にファイヤーウォールのソフトを探していこうかなと考えています。レジストリの監視など普段目にしない言葉もあり、もうちょっとウィルスに関心を持とうかななんて思いました。

まさかこんなにきちんと教えてくださるなんて思っていなかったので、とても嬉しです。ありがとうございました(*^ｏ^

お礼日時：2007/01/29 23:53

No.6 回答者： yoshi-thk 回答日時： 2007/01/29 09:25

今までのやりとりを見ていて思ったのですが、ウイルス対策について、全然出来てない状態でウイルス感染しているのです。

というのは、MicrosoftUpdateを実行してないし、NOD32の有効期限は切れたままにしているということから
何もウイルス対策してないのと、大差はないです。

他の方もアドバイスしているように、すぐにリカバリして、新しいウイルス対策ソフトを入手してください。
そして、MicrosoftUpdateを実行してください。

NOD32は、更新切れしていた当初はウイルス防御をしていたようですが、
元のウイルス情報が古いので新しいウイルスには無力に等しいです。

今の状態では、自分のパソコンにウイルスを入れていて、その状態を放置してそのままにしているのに等しいです。
場合によっては、あなたのパソコンから他のパソコンにウイルスが広まっている可能性もあるのです。

すぐにリカバリして、改めてウイルス対策を施した上で、ネットを利用してください。
現状で改善する可能性はないです。

この回答へのお礼

そうですね、ごそごそさわってて他の人にウィルスがかかってはいけませんよね。今はリカバリ済みました。ご意見ありがとうございました。

お礼日時：2007/01/30 00:00

No.5 回答者： ryu-fiz 回答日時： 2007/01/29 02:36

>パッチが出てないなんてひどいですね。

いえ、パッチはちゃんと出てます。紹介した記事はこの脆弱性が判明した当時のものですから。
http://www.microsoft.com/japan/technet/security/ …

５ヶ月もWindowsUpdateを行っていないのはどうしてでしょう？NOD32も期限切れだと言うし、こういう状態で格別な注意も払わずに海外のサイトに行くべきじゃないと私には思われます。自殺行為です。

あからさまに危険そうなページにだけ悪質な感染源がある訳じゃありませんし。

最新ではないNOD32とWindowsの検索機能だけで問題解決は難しいでしょう。完全に後手に回ってることからも、改めてリカバリを推奨いたします。

この回答へのお礼

パッチあったのですねありがとうございます。

海外のサイト→そうですよね。。まさか、自分が。なんて思っていたので。ファイアーウォールとアンチウイルスソフト（更新申し込みしました）を備えてから、海外のサイトに行こうと思います^^v

そうですね、今回私が行ったHPは普通によくある音楽ファイルを販売しているような感じで、特に怪しさは特に感じませんでした。

今は無事リカバリ済みました。お返事ありがとうございます^^

お礼日時：2007/01/29 23:14

No.4 回答者： sinosihen 回答日時： 2007/01/28 22:55

その後、どのような経過でしょうか。

どのようなウィルスか、またウイルスでないのか見極める為に初心者はサポートにＴＥＬするのが最善策です。自動で削除できるものと、手動でしか削除できない厄介者もありまが、駆除できないことはありませんので心配する必要はありませんし、最悪の時は再インストールすることができます。

まず、ＮＯＤ３２を起動してウイルスログ、システムツールで隔離情報を見て下さい。ファイルを探ってて、C:\DOCUME~1\Owner\LOCALS~1\Temp\IXP000.TMP\rundll32.exeを見つけて削除して下さい。メモリに感染してないか見て下さい。

さらにIMON設定で詳細スキャナ・アクションとたどり・そのファイル設定が隔離か、アクション選択になっているではないでしょうか。めんどくさければ、ウイルスを駆除削除にしておくことです。
ブラウザは何でしょうか。まさか、firefoxのcookie等ではないですよね。

どのウイルス総合ソフトも完全ではありませんから、何重にも防御の為に、ファイアール、いくつかのスパウウエアソフトの導入を。

もう少しその後の詳しい情報を。

この回答への補足

ありがとうございます。
削除するファイルですがDocume~1も見つからず、NODの隔離情報の所から右クリックで削除してしました。
メモリに感染していないかは、どのように調べたら良いでしょうか？
ブラウザは普通のInternetExplorer　更新Ver　SP2　です。

その後ですが　今までは説明の所に2回同じものが表示されてから、（3回目）と書きましたが、現在同じものが3回出て4回目でTory（3回目）の表示がでるようになりました。
先ほど気が付いたのですが、ローカルディスク（C:）に見かけないファイル（例えば、名前2089.32　種類32ファイルとか9986.531とか、数字の組み合わせの違うファイルが10個できています。更新日時は感染後の日時からです）
またパソコンの動作も若干遅いように感じます、クリックしたウィンドウが開くのが1テンポ遅れる。

検索で、ファイル名空欄、更新日時27日（感染日）から今日までで調べたら、感染した時間の所にMS-DOSプログラムへのショートカット（svchost）、PFファイル、VBscriptEncoded Script File、TMPファイルが見つかりました。これらは削除してしまっても良いでしょうか？TMPファイルが多い中目立ちました。
またSystemフォルダもこの15分後に更新されていましたが、中を見たところ（素人見でえすが）27日に更新したファイルは見当たりませんでした。

今は（svchost）についてインターネットで調べています。
もし何かお気づきの点がありましたら、教えてください。

補足日時：2007/01/29 02:29

No.3 回答者： ryu-fiz 回答日時： 2007/01/28 19:29

>電源入れるたびに、この表示が出ることはウィルスに感染してることでしょうか？ウィルス対策ソフトを入れているのに

トロイの木馬に分類されるものは非常に種類が多く、一般的なウイルス対策ソフトの多くでは取りこぼしが出ます。そういう意味では、どれを使っても100%安全とは言えません。

多分、現状では大本となる感染が見つかってはいないのでしょう。隠れた大本の感染が末端のプログラムを生成、起動しようとする段階でNOD32が検知して食い止めている状態ではないかと。

大本となる感染を見つけて対処しない限り、この状態は続くでしょう。起動時に生成されるマルウェアについてもNOD32が発見出来ているものが全てである確証はないと思われます。

>「（赤色に白文字の×）无法解文？件。很可能是由于内存不足（用于交？文件的磁？空？不足）或CAB文件已?坏」（読めない）「OK」が表示されます。

中国産マルウェアの可能性が高いですね。中国、韓国語圏で作成されたマルウェアは欧米圏で開発されることが多い各種対策ソフトにおいて苦手となることが多いと見られます。厄介ですね。

>パソコンはWindowsXP

最新のサービスパック2は適用されているのでしょうか？でないとしたら…少々危険ではないかと。

>昨日、ホームページ（音楽関係）のを開いたら、ページを開いた後動かなくなり。mediaplayerがHP上にあったので、これで遅くなってるんだな、と思ってたら、

WindowsMediaPlayerの既知のセキュリティ上の弱点＝脆弱性が利用された可能性が高いです。例えばこういうの。

http://itpro.nikkeibp.co.jp/article/NEWS/2006120 …

この脆弱性が発見されたのはXP SP1のサポートが終了した後ですから、SP2を当てていない環境下ではこの感染を防ぐことは難しいと思われます。
NOD32はヒューリスティック検出に定評のあるソフトですが…今回はそれを過信した結果の感染だと言えそうです。もし私の読み通りだったとすれば（あるいはそうでなくても）考え方を変えないと、今後も同じような目に遭う可能性は十分あると思います。

NOD32においては、最近のバージョンアップにより新機能が追加されました。
http://canon-sol.jp/supp/nd/wndt7006.html

これを利用することでより効果的に隠れた感染を見つけることが出来る可能性もありそうですが…100%確実とは言えません。他のツールを併用しても対処は相当難しそうですので、やはりリカバリが望ましいと思います。

繰り返しになりますが…ウイルス対策ソフトの性能を過信しないことです。感染のリスクを回避するための方法を組み合わせることが望ましいと私自身は思っています。次の２つのページを参考にしてください。
http://www.higaitaisaku.com/korobanu.html
http://www.geocities.jp/iespyad_jpn_manual/quick …

初期設定のままのIEであらゆるサイトにアクセスすることは大きなリスクを伴います。最低でもそのことは理解すべきです。

この回答への補足

質問ですが、現在ウイルスに感染している時でもWIndowsのアップデートはしても良いものでしょうか？よろしくお願いします。

補足日時：2007/01/29 01:51

この回答へのお礼

アドバイスありがとうございます。
はい、パソコンはWindows XP　サービスパック2ですが、５ヶ月ぐらい前にwindowsのアップデートをしたままで最近はしていません。
まさかmediaplayerに脆弱性があるなんて驚きました。しかもパッチが出てないなんてひどいですね。WindowsMediaPlyaerの調べてくださってありがとうございます。

実はNODの更新が去年の１２月半ばで切れ、今のは最新のバージョンではなく、次もNODにするか他のものにするか迷っている時に起きました。
参考のホームページもありがとうございます。

今はとりあえず消えてしまったら困るデータをCD-Rにバックアップしたところです。ハードディスクも考えましたが、既にハードディスクに入っているものが影響を受けると困るので、パソコンに接続するのは控えました。
リカバリは最後の手段としてとっておこうかと思いますvそんな悠長なこと言っていられないかな？

お礼日時：2007/01/29 01:50

No.2 回答者： s-e-kun 回答日時： 2007/01/28 14:51

記載事項を読むとスタートアップに何らかの改変をもたらせられたとお見受けするのですが、確かNOD32はレジストリーの監視が出来なかったように記憶してるので（違うかもしれません）起動後にメモリーに読み込まれてそれをNODが検知してるのではないでしょうか？一度セーフモードでのスキャンか、システム構成ユウティリティーから→スタートアップをすべて無効にしてNODでの再スキャンで駆除出来ないでしょうか？？？

再スキャン後にシステム構成ユウティリティーを元に戻してまた検知するか

この回答へのお礼

アドバイスありがとうございます＾＾
セーフモードのスキャンと構成ユーテリティのスキャンをしてみましたが、発見・駆除はできませんでした。
この二つのセーフモードと構成ユーテリティの時ADSLのケーブルはつなげたままですが、ウィルスは起動してきませんでした。
ADSLのケーブルをはずしている時に普通に電源を入れてもウィルス発見のメッセージは出ません。（タスクマネージャーのプロセスに出てくる、systemとか○○.exeは、オンライン時オフライン時どちらも同じものが出てきます）
セーフモードも構成ユーテリティという機能を知らなかったので（すみません。
またパソコンの調子がおかしくなってしまった時、この方法を使わせていただきただきますね。ありがとうございます（＾o＾

お礼日時：2007/01/29 01:24

No.1 回答者： FMVNB50GJ 回答日時： 2007/01/28 12:32

NOD32のサイトでWin32/TrojanDropper.Small.APRを検索しても出てこなかった

そこでWin32/TrojanDropperでgoogle検索してみた
http://forum.higaitaisaku.com/viewtopic.php?p=10 …
Ad-AwareSE

windows XP SP2ですか？

ウイルス・スパイウェアの心配なら、スキャンしては。なければないでは。
それでも何らかの検出をするなら何かあるということでは。

オンラインスキャンはしていない？
ファイアーウォールは何を？

P2Pソフトを入れているなら削除し、それでダウンロードしたものも削除を勧めます。

http://canon-sol.jp/contact/index.html
サポート

「・・mediaplayerがHP上にあったので・・」
ウインドウズメディアプレーヤーのファイルがあったので再生中ということですか。

フリーのソフト
http://ringonoki.net/tool/antiv/bitdef.html

オンラインスキャン
http://www.symantec.com/region/jp/securitycheck/

役に立つかどうかだけど、
ウイルス定義を更新
システムの復元を無効にする
インターネット一時ファイル・Tempフォルダー内のファイルを削除
スキャンNOD32
でまだ出るかどうか。

この回答へのお礼

すぐにお返事くださってありがとうございます(^^
シマンテックのオンラインスキャン参考にさせていただきました。
ファイヤーウォールはしておらず、改めてファイヤーウォールの大切さを感じます。。システムの復元を無効にするは、効果ありませんでした。P2Pソフトもアンインストール＆削除しました。（ダウンロードしたファイルはなし）インターネット一時ファイル、cookie等の削除のことですよね、
ファイル・フォルダの検索でTempフォルダを探したら沢山出てきてしまい、Tempの中にもフォルダがあり、どれをさわってよいか分からなかったため、cookieの削除などボタンで削除する方だけ、削除しました。
動作の原因はまだ突き止められてませんが、いろいろな方法を教えてくださってありがとうございます^^

お礼日時：2007/01/28 21:05