ノートンで検出できないウイルスを削除するには

Question

先日カスペルスキーのオンラインスキャンを行ったところ、あるrarファイルの一つからウイルスが検出されました。
オンラインスキャンでは検出はできるのですが、削除はできないため大変困っています。
検出結果によると

＜スキャン統計＞
検知されたウイルス 1 
感染したオブジェクト 2 
疑わしいオブジェクト 0 

＜感染オブジェクト名＞
～省略
C:\WINDOWS\WindowsUpdate.log  　　　　　 　　　ロックされています  
D:\（略）○○○.rar/△△△/×××.dll  　　　　　感染:Trojan-Downloader.Win32.Busky.dj   
D:\（略）○○○.rar  　　　　　　　　　　　　　　　　　　RAR: 感染 - 1  
省略～

といった感じでした。
現在、特に表立った感染症状は無く、それだけにこの結果は青天の霹靂でしたが、ウイルスファイルがあるのは非常に気持ちが悪いので一刻も早く削除したいと思っています。

そこでいくつか質問させて頂きたいのですが
1．Trojan-Downloader.Win32.Busky.djとはどんなウイルスなのでしょうか？（自分でも調べてみたのですが全く分かりませんでした。）

2．このrarファイルは一度も解凍、ダブルクリックはしてないんですが（ファイルの移動はしました）それでも感染しているんでしょうか？

3．また、私は現在Norton InternetSecurity2006を使用しているのですが、そちらではこのウイルスを検出できず、ノートンでは削除できません。
そこで、このファイルはShift+Deleteキー等で普通に削除してもいいんでしょうか？それとも何か特別な方法が必要なのでしょうか？
安全で確実な削除の仕方を教えてください。

長文になってしまい申し訳ありません。どうかご教授よろしくお願いいたします。

ryu-fiz · Accepted Answer

まず…感染オブジェクトとして検出されたというrarファイル、ですが…Dドライブからの検出、ということは、もしかするとご自身でダウンロードしたものなのではないですか？もし、全く身に覚えのないファイルだとしたら、そんなものがいきなりシステムと別のドライブに出現していること自体が危険なことだと思うので、更なる注意が必要だと思うのですが。

もしもご自身が自分の意志でダウンロードされたものであるなら、念のためにVirusTotalで検査してみた方が良いかと思います。15MBを超える巨大なファイルは検査出来ませんが…。

http://www.virustotal.com/jp/

まさかとは思いますが、ファイル交換ソフトなぞは利用されてないですよね…？

>1．Trojan-Downloader.Win32.Busky.djとはどんなウイルスなのでしょうか？（自分でも調べてみたのですが全く分かりませんでした。）

検出名称はまさにカスペルスキーの命名によるものです。そのものずばりの情報は見つかりませんでしたが、"Trojan Busky"でならこういうのが見つかりました。大体性格的に似たようなものだと思います。

http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2006-110615-2958-99&tabid=2

Downloaderとつくものは、基本的に他の悪意のあるプログラムをとあるサイトからダウンロードしてくるものです。つまり複合的な感染の初期段階の感染と言えます。

>2．このrarファイルは一度も解凍、ダブルクリックはしてないんですが（ファイルの移動はしました）それでも感染しているんでしょうか？

最近主流のドライブバイダウンロード感染では、ユーザーが直接ファイルを開かなくても、サイト側のスクリプトなどの記述による仕掛けによって自動的に実行されるケースもあるでしょうが…その場合はrarファイルの中から見つかったのと同じdllファイルが他の場所からも見つかる可能性が高いと思いますし、おそらくは大事無いと思います。

人間のウイルスでも、体内に入ったら必ず症状が出るとは限りません。発症していない状態なら、原因となるものを除去、あるいは別の場所に移動出来れば特に問題はないと考えるのが普通です。

>3．また、私は現在Norton InternetSecurity2006を使用しているのですが、そちらではこのウイルスを検出できず、ノートンでは削除できません。
そこで、このファイルはShift+Deleteキー等で普通に削除してもいいんでしょうか？それとも何か特別な方法が必要なのでしょうか？
安全で確実な削除の仕方を教えてください。

手動で削除や移動するのと、ウイルス対策ソフトが直接処理するのとは通常大差ないと思います。ただ…利用する対策ソフトの機能によっては、例えばある種のファイルに関しては、実行中とか使用中で普通に削除などが出来ないものであってもうまく処理出来る場合なんかもありますが。

今回の場合、単に圧縮ファイルの中に収まっていて活動していないものでしょうから、普通に削除するので十分だとは思います。でも、万が一にも誤検出の可能性が考えられるとしたら、先述したようにVirusTotalで再検査したほうが良いようには思えます。

なお、今回のようにＡ社の対策ソフトで検出出来ないものをＢ社のオンラインスキャンで検出出来た、というケースは一般に良くあることだと思いますし、そのたびに検出出来た方のメーカーの対策ソフトの体験版を使わなくてはいけないということはないと思います。

逆に、そういった事例に出くわすたびに現在利用しているソフトをアンインストールしてまで…ということだと、非常に無駄が多いと言わざるを得ず、個人的には賛成致しかねます。特に有償版のウイルス対策ソフトの試用版などは、不正な再利用を防ぐ意味も含めて、アンインストール後も大量に不要な残存物を残していく傾向が強いですし。継続して利用するつもりもないものを、一時的にしのぐためだけに使うことはあまりよろしくないと感じます。

なお、Norton InternetSecurity2006の更新サービス終了日時が、既にあと数日後に迫っています。４番さんのご意見と相反しますが、現状ではそちらのノートン製品は最新の状態を保ってはいるものの…それもあと少しで終わりです。新たにウイルス対策ソフトを購入される時期に来ていると言えますね。

シマンテック製品の発売日/更新サービス終了日一覧
http://web.archive.org/web/20080209155554re_/service1.symantec.com/SUPPORT/INTER/japanesecustserv.nsf/jp_docid/20030919114134945

既にシマンテックHPではこの文書が公開されていないので、WebArchiveから拾いました。ちなみに、2005年度版の更新サービス終了日が未定なのは、マイクロソフトの延長サポートが終了していないにも関わらず最新版の動作対象から外れたWindows2000ユーザーを救済する意味があると思われます。XP/Vista以外をご利用で、なおかつノートン製品を継続利用したい方の選択肢はInternet SecurityもしくはAntiVirusの2005年度版ということになります。シマンテックストアからオンラインで購入してください。

またフリーの対策製品という選択肢もありますが…セルフサポートが前提となるこの種の製品を扱うには、フリーソフト全般をきちんと扱う知識に加えて、最低限の英語解釈能力や自己解決能力が必須と考えます。安易に利用されることを当方はお勧めしません。

ryu-fiz · Answer

>カスペルスキーのオンラインスキャンでいくつかの項目が
>C:\WINDOWS\WindowsUpdate.log 　　　　　 　　　ロックされています
>C:\WINDOWS\system32\config\system 　　　　 ロックされています
>のように表示されて×印がついているのですが、これは問題ないのでしょうか？

まったく問題ありません。感染のあるなしに関わらず、またどのようなウイルス対策ソフトを使っても、システムが直接利用するある種のファイルはアクセスすることが出来ずにこのような表示が出ることがあります。他社だと『スキャン出来ない』などの表現になることもありますが…基本的には気にすることのないものです。

Hifeer · Answer

検出された場所はどこですか？
Quarantineフォルダから検出されたとかの話ではないですか？

ryu-fiz · Answer

そうそう。

>感染したrarファイルは以前海外の提示版で拾った、＜ソフトのアップデータ、拡張データの類の詰め合わせ＞だったと思います。

ソフトとはゲームソフトのこと、ではないでしょうか？だとしたら実のところ、こういった類のものには危険が付き物、なんです。本来なら自分でプレイして獲得するなどしなければいけないものをそれ以外の手段で取得する訳ですから、モノとしては裏、な訳です。ファイル交換ソフトを利用するのに近い危険性があると考えるべきでしょう。

この種のファイルはダウンロードしたら開く前に必ず検査するよう習慣付けておいたほうがいいですね。VirusTotalはこんな時に役に立ちます。

http://www.virustotal.com/jp/metodos.html
VirusTotal アップローダーなんてのもあります。私は使ってないので参考までに、ですが。

ryu-fiz · Answer

>ところで、いろいろ調べてみたところhttp://www.nifty.com/security/vcheck/?mid=601287&lid=20
>がカスぺルスキーと同じエンジンを使っていて、駆除も出来るというのがあったんですが、こちらで削除したほうがいいのでしょうか？

必要ないと思いますよ。手動で移動可能なファイルなのだから、手動で削除するので全く問題ないと思います。私ならそうしますね。

オンラインスキャンにはActiveXコントロールが使われます。インストールされるとIEの拡張機能として組み込まれることになります。で、不要なものを残したままあれこれ入れたままにしておくと、やはりあまりIEの動作に良くない影響が出る懸念があります。不必要なものは出来るだけ入れないように心掛けるべきだし、必要があって入れたものでも、不要になったら削除しておくのが望ましいと思います。

カスペルスキーオンラインスキャンは、プログラムの追加と削除からアンインストールが可能です。また、それ以外のオンラインスキャンを含むActiveXコントロールは次のURLを参考に削除出来ます。

http://www.itmedia.co.jp/help/tips/windows/w0268.html

あとね…

http://www.nifty.com/security/vcheck/cyuui.htm#con2

こう書いてありますね。

*****
以下のウイルスは駆除や削除が行えません。
ファイルパスを確認の上、ファイルを直接削除してください。
・OS稼動中は変更ができないファイル内のウイルス
・圧縮ファイル内のウイルス
・メールソフトのデータファイルとなって保存されているメールに添付されたウイルス
*****

だから…どのみち@niftyウイルスチェックサービスを使っても直接rarファイルの処理は出来ませんよ。

>実は今XPのSP2を使っているのですがSP3にしたほうがいいのでしょうか？
いろいろ問題があるようなのでしばらく様子見で控えていたのですが……。もう大丈夫なんでしょうか？

申し訳ないですが…私はWindows2000ユーザーなので、実情は何も分からんのです。でも、不安がおありなら慌てて適用する必要もないと思いますが。で…

http://internet.watch.impress.co.jp/cda/news/2008/07/17/20291.html

これ見る限り、自動更新が有効になってるといつのまにかSP3を入れられた、てなことになっても不思議はないので、その辺が不安ならWindows Service Pack Blocker Kitを入れておいた方が良いかも知れませんね。

http://www.microsoft.com/downloads/details.aspx?familyid=EC662F0F-4167-44E7-BA79-766679892BA2&displaylang=ja

wamos101 · Answer

こんにちは。

私はクラッカーコミュティー巡りや対策ソフトの性能テストなどをしております。

どうやらDLL Injectionを用いるDownloaderのようです。たぶん、FWB(Firewall Bypass)目的なんじゃないですかね。Downloaderというのは一般的に、外部のサイトから実行ファイルなどをDLしてターゲットマシン上で実行させるものです。

単にHDD上に置かれてるrarファイルが検出されただけだと思いますよ。普通に削除すれば問題ないです。

最近のMalware作者やクラッカーは対策ソフトの導入を予め想定して攻略を仕掛けてきます。難読化などによってスキャンでの検知を回避したり、ブラウザに成りすましてPFWをすり抜けたりします、また、対策ソフトを妨害しようとしたりします。

このようなことをも考慮するならばKaspersky Internet Security 2009がめちゃお薦めです。はっきり言って、今出てる2009の中では性能的に抜け出てます。

ryu-fiz · Answer

６番目に回答したものです。

Norton Internet Security 2006の更新サービスが終了する、という内容で回答しましたが…もしかすると終了までの期限が延長されているかも知れません（考えてみれば…2005を継続利用できるのに、2006が出来ないのは理不尽かも知れません）。念のためにシマンテックのサポートに直接お尋ねになるのがよろしいかと思います。

ただし、ノートン製品の信頼性は以前ほどではないと考えます。かつては神話すらあったんですが…今はカスペルスキーの方がより高い評価を勝ち得ていますし、そのカスペルスキーですら検出出来ない感染が出て来ています。

昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。そうした感染を防ぐために次のような点に注意してください。

１）各種アプリケーションソフトのセキュリティ更新を怠らない。

Windows Updateの必要性はこれまでも叫ばれて来ましたが、悪用されるセキュリティ上の問題点＝脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと主流が移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、

・Firefox、Operaなどのブラウザ。
・Sun Java 仮想マシン(JRE)。
・Flash PlayerやShockwave Playerなどのプラグイン。
・Real Player、QuickTimeなどのメディアプレイヤー。
・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。

最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。

http://internet.watch.impress.co.jp/
http://www.itmedia.co.jp/enterprise/security/

こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。

２）標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。

IEで扱うことの出来るJavaScriptはJScriptといい、Windowsを直接操作出来るように拡張されており、各種感染に悪用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。

でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。

http://www.mozilla-japan.org/products/firefox/
http://jp.opera.com/

もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。

もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsのようなソフトの利用を検討してください。

http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html

制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。

なお、Windows Vista上のIE7では、感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点＝脆弱性の影響には十分注意しなくてはいけません。その辺は１）で説明した通りです。

Darkfox · Answer

ANo.4です。
AntiVir解説サイトのＵＲＬをコピペしたら余計な物が付いてました。
http://www.avpusers.org/ug4win/before_install.htmlが正しいＵＲＬです。

Darkfox · Answer

質問にちゃんと答えると
１はANo.1の6BQ5さんの仰る通りです。

２ですが、開いてないのでまだ感染してません。
要するに『爆発前の爆弾を見つけたよ』と言われただけなので大丈夫です。
捨ててもいいファイルならそのまま捨てれば削除完了。
大事なファイルの場合はウィルスのみを削除したいでしょうが難しいです。
私はサクっと捨ててしまう事をお薦めしますが、どうしてもと言うなら
Kaspersky Virus Removal Tools
http://cowscorpion.com/Antivirus/KasperskyVirusRemovalTools.html
というフリーソフトがあります。

３を見てて思ったんですが、ソフトが古いんじゃないですか？
ウィルス定義ファイルは最新ですか？
ライセンスが切れてるなら気休めだけのゴミです。

もし最新でないなら現時点ではAntiVirのフリー版に乗り換える事をお薦めします。
フリーですが常駐保護機能もあり、ウィルス定義ファイルは製品版と同じ最新の物が使える、何より軽いです。
欠点は更新する時に広告が出る、日本語化出来ないだけです。
英語が読めなくても解説サイト↓があるので安心。
​http://www.avpusers.org/ug4win/before_install.html​(混んでると繋がらない事もあります)

フリーはダメとか信用出来ないと言う不勉強な人も居ますが、会社をターゲットにしてるので個人が使う分には無料というだけなんですよ。
要は個人で使って気に入ったら会社で沢山買ってくれと言う、ずっと最新で使える試用版ですからお試しあれ。

doki2 · Answer

カスペの試用版を使いましょう

トライカスペ ｜ カスペルスキー試用版 ｜ ウイルス掃討大作戦
http://www.just-kaspersky.jp/preview/trykaspe/

ノートンで検出できないウイルスを削除するには

>カスペルスキーのオンラインスキャンでいくつかの項目が

検出された場所はどこですか？

そうそう。

>ところで、いろいろ調べてみたところ

こんにちは。

６番目に回答したものです。

ANo.4です。

質問にちゃんと答えると

カスペの試用版を使いましょう

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング