Adware.SystemProcess について教えて下さい

セキュリティ対策として、NortonInternetSecurity2007と、Spybotを使用しております。
ネット接続する度にNortonのUpdateが行われ、Update後に自動的にクイックスキャンが走る設定になっています。

今日ネット接続してクイックスキャンが行なわれた際、質問タイトルのAdware.SystemProcessが発見されました。昨日のクイックスキャンでは発見されなかった為、昨日から今日にかけての間に入り込んだのか、あるいは以前から入り込んでいたのをNortonがUpdateされたことによって発見できるようになったのか。最近インストールしたフリーソフトも特に覚えがありませんので、前述したどちらであるか判断はできません。

Notonのサイトやクイックスキャン結果のプロパティでAdware.SystemProcessについて調べたところ、リスクの危険度が高レベルとなっていました。但しその内訳として、パフォーマンス・削除・ステルスといった項目についてのみ高レベルとなっており、プライバシーに関しては中レベルとなっていました。そのなかでも、パフォーマンス項目にある「追加のセキュリティリスクのダウンロードやインストールを許可することがあります」という部分が、危険度高レベルと判断される主な理由とされているのだと勝手に推測しています。

最も気になっているのが、中レベルとされているプライバシーに関してです。スキャン結果のプロパティでは「重要な情報の公表は少なく、Web参照の追跡などはありません。未公開のプライバシーポリシーがあったり、プライバシーポリシーが動作と一致しなくなります」とありました。

(1)アドウェアはそもそも利用者の趣味嗜好を分析して広告を表示させるもの、と認識しているのですが、Web参照の追跡などはないとのこと。それでは、ローカルに保存してあるファイル（WordやExcel文書、画像、お気に入りファイルなど）を漏洩させてしまうのでしょうか？
(2)このAdware.SystemProcessが勝手にファイルを作成したり、レジストリの作成・レジストリへの値追加をしてしまうことはNortonのサイトから分かりました。しかしこれによってどのような行為が行なわれてしまうか、といった点について説明が少ないように思います。広告表示・セキュリティ設定の変更・他のアドウェアを勝手にインストール、といった行為の他に何か行なわれるのでしょうか？（特に個人情報の収集・流出といった点について）
(3)Web参照の追跡などはない、とスキャン結果にはありますが、ネットワーク上での動作監視は一切行なっていないのでしょうか？もし監視されているのであれば、ネットワーク上で使用しているパスワード等を変更しなくてはならない為、判断に困っております。

以上、長文となり誠に申し訳ございませんが、どなたか教えていただけますと幸いです。よろしくお願い致します。

No.1 回答者： FMVNB50GJ 回答日時： 2007/11/11 08:47

{Adware.SystemProcess は、広告を表示し、セキュリティ設定を変更し、また他のアドウェアプログラムをダウンロードしインストールする可能性があるブラウザヘルパーオブジェクトとしてインストールします。

}
http://www.symantec.com/ja/jp/enterprise/securit …

そこからテクニカルノートを参照して、問題のものがあるのか確認したでしょうか？あればシマンテックのサイトの駆除方法にのっとってやればいいのではないかと思いますが。

ウイルスとかアドウェアとかの厳密な区別をよく理解していない者ですが、
「漏洩させてしまう」ことはそのように動作するプログラムがノートンのプログラム制御に引っかかるものと思える、

「どのような行為が行なわれてしまうか」
詳しくわかりません。
レジストリに登録されるものにはいろいろなサイトがありますが、そのサイトのブラウズのセキュリティ設定を変更することではないですかね。登録されるレジストリにサイト名があるのを見たと思いますが。

感染ルートに覚えがないようですが、ノートン検出時の前後のブラウズ中のサイトが参考になるのでは。侵入時点で検出遮断したなら、その時間にアクセスしていたサイトだと思いますが。ログとにらめっこしてはどうでしょう。

ブラウザはIE6ですか。fire foxにいくつかのアドオンを入れてブラウズしたらいいと思います。
http://www.mozilla-japan.org/products/

http://www.siteadvisor.com/download/ff.html
https://addons.mozilla.org/ja/firefox/addon/938
https://addons.mozilla.org/ja/firefox/addon/722
最後のものはスクリプトをサイトごとに調整するもの。

ブラウザといくつかのアドオンの提案でした。

この回答へのお礼

ご回答ありがとうございます。

シマンテックのサイトにあるテクニカルノートは参照致しました。また、質問文中に書き忘れておりましたが、駆除自体はすでに完了しております。削除についてのリスクが高レベルとされていますが、実際には、クイックスキャンで発見と同時に削除処理が自動的に行われていました。

アドウェアが入っていることによって情報が外に漏れようとした場合にも、それはNIS2007の方で検知して防いでくれるのでしょうか？

また、レジストリだけではなく、影響する領域としてファイル2個がスキャン履歴に表示されていました。一つはシマンテックのサイトにも記載されているもの（システムフォルダ下のp.dat）でしたが、もう一つはTempフォルダ内にある意味をもたないアルファベット数文字で構成されているログファイルでした。こちらは、Tempフォルダにあるものなので、一時的に使用されただけで特に問題はないとみなして大丈夫でしょうか？（なんだかお礼と再質問を兼ねてしまっており、申し訳ございません）

感染ルートは、ノートン検出がサイト閲覧中によるものではないため、問題なくスキャン終了した後から今回のスキャンを行う間に閲覧したサイト複数のうちから特定せねばなりません。どのサイトが原因なのかにつきましては、一つ一つ見てはクイックスキャンする以外に特定するのは難しいと思います。

なお、現在IE6を使用しております。今回の件で、お教えいただいたfire foxの使用も検討してみようと思います。

お礼日時：2007/11/14 12:50

No.2 回答者： nagareyamataro 回答日時： 2007/11/11 09:11

kuroTさま

おはようございます。
当方もまったく同じような状況が起きております。
・ノートンインターネットセキュリティ2007
・今朝のクイックスキャン

解決や回答ではないのですが、まずはご報告をと思い書かせていただきました。

この回答へのお礼

同じ現象が起きているとのこと、また、nagareyamataro様の他にも何人か同様の方がいらっしゃるようですね。

セキュリティに関するソフトを複数導入していることによる、何らかの仕様上の問題かもしれないですね。

ご回答ありがとうございました。

お礼日時：2007/11/14 12:56

No.3 回答者： NymphLuna 回答日時： 2007/11/11 14:31

こんにちは。

答えではないのですが、当方も本日全く同じ状況が起きました。
ノートンアンチウイルス2007ユーザーで、ウイルスの定義は11月10日になっています。
検出されたのは今日パソコンを起動してウイルスの定義が最新になった後の
クイックスキャンで発見されました。

当方のメインブラウザはFirefoxでIEは全く使っていません。
スパイウエア対策ソフトは「Ad-Aware 2007」「Spybot S&D」「SpywareBlaster」を
インストールしています。
突然このような状況に陥り、慌てて「Adware.SystemProcess」で検索しましたところ
シマンテック社以外ではこちらのページが該当しましたので参考になればと思いご報告致します。

もしかすると本日のウイルス定義でなにかしらあったのかもしれませんね。
他のノートンユーザーさんも同様の方がいらっしゃれば良いのですが。

この回答へのお礼

ご回答ありがとうございます。

11/10日付のNIS2007ウイルス定義に、何か原因がありそうですね。

当方はIE6を使用しておりますが、FireFoxでも同様の事象が起きるとのことですので、ブラウザの問題ではないようですね。
また、当方はAd-Aware2007とSpywareBlasterはインストールしていない為、共通するソフトであるNIS2007とSpybotS&Dの間で、何か干渉しあって問題が起きているのかもしれませんね。

お礼日時：2007/11/14 13:11

No.4 回答者： nohelmet 回答日時： 2007/11/11 16:20

回答ではないのですが、当方でもクイックスキャンにて本日11月10日に発見されました。

一応、普通にノートンアンチウィルスで駆除してセーフモードでも駆除しましたら、一応クイックスキャンでも反応しなくはなりました・・・が、まだわからないので、何かあればまたご報告致します。

この回答への補足

当方の都合により恐れ入りますが、時間の都合上、ANo.5以降の回答者様へのお礼は早くて今夜以降に記入させていただきたいと思います。せっかく迅速にご回答いただきながら、お礼を申し上げるまでに時間がかかり申し訳ございません。

なお、今のところ、NIS2007の他にいずれかのスパイウェア対策ソフトを動かしていることによるNIS2007の誤検出（あるいは過剰反応による検出でしょうか？）だと思っております。
こちらではアドウェア検出の履歴を見たところ、レジストリ以外に2個のファイルが影響する領域として表示されているのですが、同様の事象（今回のAdware.SystemProcess検出）が出ている方の中で、同じようにレジストリ以外にファイルが表示されている、という方はいらっしゃいますでしょうか？
※誤検出の場合でも何らかのファイルがスキャン履歴に挙げられることが有り得るのか分からず、もしかするとそのファイルは誤検出ではなく、本当にアドウェアによって作成または更新されたものなのかどうか判断に困っております。

まだ回答を受け付けておりますので、どなたかお分かりの方、もしくは同様の事象が起きているという方、いらっしゃいましたらよろしくお願い致します。

補足日時：2007/11/14 13:27

この回答へのお礼

nohelmet様も同じ現象が起きているのですね。

当方は、NIS2007クイックスキャンで自動的に削除処理が行われた後、システムの完全スキャンを行なった時に一度だけ、問題のアドウェアが再度検知されました。（但し内容が全く同じであるため、再度検知というより、前回クイックスキャンで出たリスクを再表示しているだけなのかもしれず、そのあたりがよく分かりません）
その完全スキャン内でも自動的に削除処理が行なわれており、その後は、クイックスキャンでも反応はしなくなっています。

確かに、よく分からない現象ですよね。また何かありましたら、お教えいただけますと参考になります。

ご回答ありがとうございました。

お礼日時：2007/11/14 13:26

No.5 回答者： koredewa 回答日時： 2007/11/11 17:12

まず、ここの「レス」の皆さんに確認です。

皆さん、「SpywareBlaster」使用していますか？


私も使用しています。


皆さん、「SpywareBlaster」確認して見てください。


「SpywareBlaster」を起動

→「Status」

→「Internet Explorer protection is enabied.」の右側ですが・・・( 6 items have protection disabled... )

になっていませんか？

次に、
「Internet Explorer」クリック

→「Customize the Block List」の「Type」の中に「ActiveX」と「Cookie」が有るのご存知だと思います。

その「Cookie」のなかの　６銘柄がチェックなしの赤文字になっています。

その６銘柄は

BFast

Commission Junction

Commission Junction(4)

FastClik

FastClik(2)

LinkSynergy

です。

如何でしょうか？

その、６銘柄修正後ノートンでスキャンするとまた

「Adware.SystemProcess 」出ます。

この回答へのお礼

ご回答ありがとうございます。また、お礼が大変遅くなりましたこと、誠に申し訳ございません。

当方は「SpywareBlaster」を使用していない為、ご記入いただいた方法を試すことはできませんが、「SpywareBlaster」での操作によってもノートンで「Adware.SystemProcess」が検出されるのですね。

お礼日時：2007/11/19 23:23

No.6 回答者： koredewa 回答日時： 2007/11/11 17:37

ANo.5です。

訂正です。

その６銘柄は

BFast

Commission Junction

Commission Junction(4)

FastClik　　　← 正しくは、　FastClick

FastClik(2) ← 正しくは、　FastClick(2)

LinkSynergy

です。

すみません。

この回答へのお礼

失礼ながら、ANo.25様へのお礼にまとめさせていただきました。

お礼日時：2007/12/17 09:31

No.7 回答者： nohelmet 回答日時： 2007/11/11 18:01

ANo.4です。

私の方は、→「Internet Explorer protection is enabied.」の右側ですが・・・( 0 items have protection disabled... )

cookieの方も、全て黒文字のチェックです。

一応シマンテックの方で駆除方法として公開されているレジストリはチェックしましたが、該当するものはありませんでした。

まだ分りませんが、私の方は今の所問題ないようです。

何かあればまたご報告致します。

この回答へのお礼

失礼ながら、ANo.25様へのお礼にまとめさせていただきました。

お礼日時：2007/12/17 09:29

No.8 回答者： NymphLuna 回答日時： 2007/11/11 18:49

#3です。

#5さんの仰っている通り「Spybot S&D」の免疫と「SpywareBlaster」の保護が関係しているようですね。
おそらく過剰反応（誤検出）だと思われますが、シマンテック側に問い合わせてみないとなんとも…。
ノートン2008では検出されていない事例もあがっていますので、2007の問題かと思われます。

この回答へのお礼

ANo.3様、再度のご記入ありがとうございます。

「Spybot S&D」の免疫と「SpywareBlaster」の保護、このどちらか（または両方）を行なった方と、NIS2007を組み合わせて使用している方に起きる現象ということでしょうか。

NIS2008では検出されていない事例もあがっているとのこと、こちらに記入いただいて初めて知りました。

また何かありましたら教えていただけますと幸いです。

お礼日時：2007/11/19 23:28

No.9 回答者： Alec99 回答日時： 2007/11/12 04:09

「Spybot S&D」の免疫と「SpywareBlaster」の保護 は使ってません。

Symantec ANTIVIRUS (コーポレート) 10.1.5.5000 を使ってます。
11/11 に、Intelligent Update 11/11 rev.7 にした後、同じ症状になりました。WindowsXPのシステム復元で 11/8 ver.16 に戻したら、症状は無くなり、11/11 rev.7 にすると、症状がでます。
誤検知の可能性が高いと思います。

この回答へのお礼

ご回答ありがとうございます。また、お礼が大変遅くなりましたこと、誠に申し訳ございません。

スパイウェア対策ソフトを使用されていない状態で、同じ事象が起きたのですね。やはりSymantec側の原因による誤検知だと判断してよさそうでしょうか。

こういった場合、ユーザ側からみると本当にウイルス・スパイウェア・アドウェア等が検出されたのか、過剰反応（誤検知）によるものなのか判断が難しくて困りますね。

また何かありましたら教えていただけますと幸いです。

お礼日時：2007/11/19 23:33

No.10 回答者： nagareyamataro 回答日時： 2007/11/12 22:46

No2です。

今日のクイックスキャンでも検出されました。

日曜朝から今日までの間に何をやっていたか？が問題になるのでしょうが、
特にアダルトサイトとか行っていたわけではありません。
アダルトサイトに行っていなくてもスパイウエア類はもらってくる可能性はあると思いますが、
まぁ普通のネットサーフィンだと思います。

なお当方では、
・spybot s&d　免疫あり
・spywareblaster　保護あり
・adware 2007
を使ってます。

この回答への補足

当方の都合により度々のことで恐れ入りますが、時間の都合上、お礼をここで一度区切らせていただきたいと思います。

なお、いただいた回答が当初の予想より多くなってきました為、そろそろ質問を締め切るべきか迷っております。しかしながら、この質問を参考にしている別の質問が存在してい、この質問ページを役に立ったと判断されている方がいらっしゃるようなので、情報共有の為、まだ何か新しい情報がありましたらご記入いただきたいとも思っております。

いただいた回答が30件を超えるようでしたら一度締め切らせていただくかもしれません。その場合は誠に申し訳ございませんが、事前にご了承いただけますと幸いです。

補足日時：2007/11/19 23:41

この回答へのお礼

ANo.2様、再度のご回答ありがとうございます。

当方も、最初に検出されたスキャンの後、もう一度行なったスキャンで再検出されました。3度目以降では検出されていません。（この違いも何によるものなのかよく分からないです）

こちらもアダルトサイトまたは海外のサイトなど、スパイウェアをもらいやすそうな（？）サイトには訪れておりません。ご記入いただきました通り、アダルトサイト以外でもスパイウェアなどもらってくる可能性がありますため、どのサイトが安全か危険かの判断は難しいですね。
（それを判断して危険を防ぐ為NIS2007をインストールしているはずなのに、誤検出があると紛らわしくて困りますね）

お礼日時：2007/11/19 23:39