急ぎ！スパイウェア？ウイルス？に感染しました

Question

先々日サイト（デジタルオーディオプレーヤーを調べていました）を見ていたところ、よく分からないアプリケーション？複数がアクセスしようとしていたのですが、その日はダウンロード作業をしていたため、それらがアクセスしようとしているのではと思い、覚えのないものではあったのですが…Nortonのファイアウォールの警告を「許可」してしまい。
その後すぐに、「ウイルスを検出したので削除しました」というような表示がNortonから出されたのですが、まだ残っているのではと不安になり、調べたところ、やはりまだ残っていたようで…
下記のサイトを参考に一応削除してみたのですが、完全に削除できているか不安で；；
http://209.85.175.104/search?q=cache:Fu6yt4pfPJ4J:bbs.higaitaisaku.com/cbbs.cgi%3Fmode%3Dal2%26number%3D99745%26rev%3D%26no%3D0+dflgh8jkd2q&hl=ja&ct=clnk&cd=1&gl=jp&lr=lang_ja
お力を貸して頂けると幸いです。

また、そのウイルスのアプリケーション？名は、
dflgh8jkd2q？（※？には数字が入ります）
winds32.exe
などです。

Norton Internet SecurityのNorton AntiUirusのレポートより、「活動ログを表示」→「ファイアウォール」で、上記サイトに記載されていた削除方法を行う前の10/18 18:25 に、そのアプリケーション？（dflgh8jkd2q？）らがアクセスしようとしています。　と表示されていたのですが、現在（削除後）は表示されていません。
そのアプリケーション？らが入っていたフォルダにも、無事削除できたのか…、今は見当たりません。

しかし、バッググラウンドは…と調べようとしたところ、タスクマネージャが開けず…下記のサイトを参考に開く事はできたのですが、そのサイトに記載されているとおり、値が（１）とセットされていたため、やはり感染してしまったのではと；
※現在は問題なく、ツールバーから表示できているのですが…
http://pasofaq.jp/windows/admintools/disabletaskmgr.htm

当方Norton Internet Security2006を使用していて、システムの完全スキャンをしたところ問題はありませんでした。
また、Spybot（初使用です；）にてスキャンを行ったところ、いくつか検出されたので、全て削除しました。

それで、今のところ特に問題はないように思えるのですが…；


また別の質問になってしまうのですが；、最近Norton Internet Security2006を起動させると「現在、管理者が設定を更新中です。お待ち下さい…」というものが度々表示されるようになったのですが、この管理者とは誰の事を指すのでしょうか；？
先日ノートンのサポートに問い合わせたところ、「誰かが侵入しているという事はない」とご回答頂いたのですが…やはり気になりまして；；
また、「2008年版に無償でアップグレード可能なので、試してみてはどうでしょうか」との事だったのですが、もう少しで期限が切れそうなので、2008年版に無償でアップグレードした後、延長キーを購入という事でいいのでしょうか；？

長文、乱文で大変申し訳ありませんが、どうかご回答の程宜しくお願い致します。

ryu-fiz · Accepted Answer

ウェブ検索で得られる情報を総合して判断した結果、補足中にあるご懸念のもの、全て問題なしと見ます。

VirusTotalで0/36ということは全く検出がなかったということで、ほぼ誤検出と判断して差し支えないものです。それ以外の判断のしようがありません。

trace～についても、いずれもPC健康診断掲示板の過去ログや海外のセキュリティフォーラムなどで誤検出、あるいは過剰検出と見なされているもののようです。もし仮に問題のあるエントリだったとしても、それに関連するファイル自体の存在が全く認められないということになりますので、現状では心配は無用だと思います。

wamos101 · Answer

こんにちは。

私はクラッカーコミュティー巡りや対策ソフトの性能テストなどをしております。

とりあえず、F-Secureのオンラインスキャンをやってみて下さい。

まあ、正直言ってリカバリで対処されたほうが一番いいです。

bungetsu · Answer

こんにちは。

色々試されたようですね。

＞＞それで、今のところ特に問題はないように思えるのですが…；

カーソルがフリーズ（固まって動かなくなる）する、とか、フォルダーを開けない、全ての動作が重い（すぐに切り替わらない）等々の「異常」が出ていないのであれば、しばらくは、そのまま使用を続けてみてはいかがでしょうか。

＞＞もう少しで期限が切れそうなので、2008年版に無償でアップグレードした後、延長キーを購入という事でいいのでしょうか；？

それで「ＯＫ」ですよ。
そして、少なくとも１ケ月に一回は、Updateやスキャンをして「最善」の状態を保ちましょう。
また、スパイウェア対策ソフトとして、Spybotを導入されたようですが、それで「ＯＫ」です。こちらは、毎日とまでは言いませんが「こまめに」スキャンをしましょう。
特に、ネットサーフィンなどの後は、必ず、スキャンしてみてください。アダルト系や出会い系サイトでは、かなりの確立でスパイウェアを混入させているものもあります。

＞＞「現在、管理者が設定を更新中です。お待ち下さい…」というものが度々表示されるようになったのですが、この管理者とは誰の事を指すのでしょうか；？

管理者とは、あなた自身を指します。
この現象は、Nortonの期限切れが近いことを「警告」しているものです。つまり、「更新」を待っています、と、いう「警告」です。
従って、延長キーなどを購入すれば出現しなくなると思います。

Darkfox · Answer

SpyBotで大丈夫とは…情報が古いですよ。ｗｗｗ

最近はドライバのフリをするスパイウェアも出ているそうですが、定番ソフトと呼ばれたSpyBotやAd-Awareにそんな深部をスキャンする機能はありません。
なので以下のソフトをお薦めします。
SpywareBlaster(設定変更で感染防止)
http://cowscorpion.com/Antispy/spywarebl.html
a-squared Free
http://cowscorpion.com/Antivirus/a2.html
SUPERAntiSpyware FreeEdition
http://cowscorpion.com/Antispy/SUPERAntiSpywareFreeEdition.html
SpywareBlaster以外は日本では無名ですが、海外では新定番ソフト。
アレなサイトに行かない限り、週一スキャンでおｋでしょう。
a-squared Freeの注意点
a-squared Freeはディープスキャンをするとエラーが出る事があるので、クイックスキャンとスマートスキャン(併せたのがディープスキャン)をすれば良いでしょう。
常駐しないのでバッティングもありません。

ウィルス対策ソフトに不安があるなら
Kaspersky Virus Removal Tools
http://cowscorpion.com/Antivirus/KasperskyVirusRemovalTools.html
を併用すれば良いと思います。
スキャン＆駆除に限定した駆除ソフトです。
ウィルス定義ファイルが更新されないので毎回最新版をＤＬする必要がありますが、補助には十分過ぎる性能です。

紹介したソフトは全てフリーソフトですから、使用も更新も全て無料です。

ryu-fiz · Answer

取り敢えず目立った症状がなくなったということでしたら、セカンドオピニオンとしてカスペルスキーのオンラインスキャンを受けてみてください。

http://www.kaspersky.co.jp/virusscanner

Tracking Cookieのような軽微なものは検出されても問題ありませんが、それ以外の感染が検出されないことが確認されれば当面安心と考えて良いと思います。

確かにSpybot-S&Dは、深刻な感染に対して以前ほどには十分な効果を発揮出来なくなりました。しかしながら、現状を把握することなくやみくもに複数の対策ソフトを次々と入れてスキャンを行う必要もないかと思います。

まずは現状の確認が大切。目立った感染が残っていないかどうかをカスペルスキーのオンラインスキャンで確認してください。なければ問題ないし、あればSUPERAntiSpywareやewidoオンラインスキャンなどで追加処置を行う、あるいは思い切ってリカバリするなどの処置が必要だと思います。

安全にリカバリを進めるためには、次のURLを参考にしてください。
http://iwata.way-nifty.com/home/2004/10/1017.html

昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。同様な感染を防ぐために次のような点に注意してください。

１）各種アプリケーションソフトのセキュリティ更新を怠らない。

Windows Updateの必要性はこれまでも叫ばれて来ましたが、悪用されるセキュリティ上の問題点＝脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと主流が移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、

・Firefox、Operaなどのブラウザ。
・Sun Java 仮想マシン(JRE)。
・Flash PlayerやShockwave Playerなどのプラグイン。
・Real Player、QuickTimeなどのメディアプレイヤー。
・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。

最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。

http://internet.watch.impress.co.jp/
http://www.itmedia.co.jp/enterprise/security/

こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。

２）標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。

IEで扱うことの出来るJavaScriptはJScriptといい、Windowsを直接操作出来るように拡張されており、各種感染に悪用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。

でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。

http://www.mozilla-japan.org/products/firefox/
http://jp.opera.com/

もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。

もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsのようなソフトの利用を検討してください。

http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html

制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。

なお、Windows Vista上のIE7では、感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点＝脆弱性の影響には十分注意しなくてはいけません。その辺は１）で説明した通りです。

ryu-fiz · Answer

>■C:\Program Files\AskJeevesJapan\scbar\1.bin\NPASKJJP.DLL

以下"AskJeevesJapan"と付くフォルダ内からの検出は全てAsk.jpのツールバー関係の検出です。多分ご自身でインストールされたのだと思いますが。

一般にAsk.jpツールバーはスパイウェア疑惑のあるものです。ですが…この種のソフト全般に言えるように賛否両論あるものと考えます。参考までに。

http://oshiete1.goo.ne.jp/qa1738678.html
http://oshiete1.goo.ne.jp/qa2996157.html
http://oshiete1.goo.ne.jp/qa2710049.html
http://oshiete1.goo.ne.jp/qa4229770.html
http://oshiete1.goo.ne.jp/qa3403645.html

http://help.smileycentral.jp/spw/notspyware.html
http://www.spywareguide.jp/product_show.php?id=490

現状での私の意見としては…質問者さん次第で構わないかと。これを削除しないことで致命的な被害を被ることもまずないでしょうから、あとは精神衛生上の問題です。ただし、削除したいなら『プログラムの追加と削除』からのアンインストールを優先すべきでしょう。

CnsMin関連についても、基本的にはほぼ同じです。スパイウェアだと判断するにしてもその危険性は昨今の深刻な感染に比べれば大した事はありません。ですが…こちらは他のIEプラグインや拡張機能などとの干渉が懸念されるケースが多いと思われるので、利用していないなら削除を推奨です。ただし、これも対策ソフトからの強制的削除は避けるべきです。次のURLを参照してください。

http://www.higaitaisaku.com/removecnsmin.html

公式の手順に従ったアンインストールを基本にすべきです。

>■C:\WINDOWS\system32\dllhost.exe
>Backdoor.Win32.Rbot.b～　リスク：高

個人的意見としても、i386フォルダからも検出があることから誤検出の懸念があると思われます。VirusTotalに送って検査を受けるべきでしょう。

http://www.virustotal.com/jp/

もし判断に迷うようなら、検査結果を表示したページのURLをここに貼ってみてください。

私もa-squared Freeを使いますが…誤検出は多いソフトだと思います。検出された場所やフォルダ、ファイル名、ファイルプロパティなどから類推される情報、あるいはそれらを元にウェブで得られる情報などからその辺をある程度見極めるなり、VirusTotalを活用するなりすることでその辺はカバー出来るので、個人的には長年使っていますが。

こうやってa-squaredで検出したものの内訳を見る限り、今のところwinds32.exeやランダムな文字列のファイル名を持つものに関わる検出は見られないような気がします。現状気になる症状が発生していないなら、大きな危険は存在しないような感じです。

先述しましたように、カスペルスキーもしくはF-Secureで目立った感染が検出されないようなら大丈夫ではないでしょうか。まだ不安が残るようでしたら、ここを締め切った上でhigaitaisaku.comのPC健康診断掲示板に移動されることを推奨します。

http://medcheck.higaitaisaku.com/cbbs.cgi

急ぎ！スパイウェア？ウイルス？に感染しました

こんにちは。

この回答への補足

こんにちは。

この回答への補足

SpyBotで大丈夫とは…情報が古いですよ。

取り敢えず目立った症状がなくなったということでしたら、セカンドオピニオンとしてカスペルスキーのオンラインスキャンを受けてみてください。

この回答への補足

>■C:\Program Files\AskJeevesJapan\scbar\1.bin\NPASKJJP.DLL

この回答への補足

ウェブ検索で得られる情報を総合して判断した結果、補足中にあるご懸念のもの、全て問題なしと見ます。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング