はじめての質問のためわかりにくかったらすみません。
私はブログをしているのですが、閲覧された方からトロイの木馬の警告がでたというメールをいただきました。
調べた結果、私のパソコンにウィルスが5個、ブログのPHPファイル1つには身に覚えのないスプリクトが書き込まれていました。
パソコンの方はウィルスセキュリティで駆除し、ブログの方はそのPHPファイルの修正、ブログの全ファイルのダウンロードしてウィルススキャン(ウィルスは発見されず)、ブログのユーザー名、パスワードの変更をしたのですがまだまだ十分か不安です。
また、再発もしてしまうのか非常に不安です。
今後どうして行ったらいいか御教授ください。
ちなみにブログシステムはWordPressでパソコンに感染していたウィルスはPacked.Win32.Krap.g、Trojan-PSW.Win32.Magania.awrt、Trojan-PSW.Win32.Magania.awqx、Trojan-PSW.Win32.Magania.aunx、Trojan.Win32.malware.1と書いてありました。
どんなことをするウィルスなのかもお分かりの方がいらっしゃいましたらお教えください。

このQ&Aに関連する最新のQ&A

A 回答 (7件)

私自身はPHPやWordPressに関する知識が全くないので、この回答も参考までということで。



>パソコンの方はウィルスセキュリティで駆除し、ブログの方はそのPHPファイルの修正、ブログの全ファイルのダウンロードしてウィルススキャン(ウィルスは発見されず)、ブログのユーザー名、パスワードの変更をしたのですがまだまだ十分か不安です。

まず、ウイルス対策ソフトの面から。

ウイルスセキュリティは一般には、それほど検出能力が高くないと言われています。このソフトによる検出結果だけでは不安なので、検出能力に定評のあるカスペルスキーもしくはF-Secureのオンラインスキャンでの再確認を推奨します。(いずれか一方で結構です。一方が正常に利用出来ない場合にもう一方を)

http://www.kaspersky.co.jp/virusscanner
http://www.f-secure.co.jp/v-descs/disinfestation …

Tracking Cookie以外が見つかり、容易に削除出来ないようなら要注意かと思われます。

続いて、ブログ関係の修正ですが…最近の感染はアプリケーションソフトのセキュリティ上の弱点=脆弱性を利用したものが非常に多いです。

一応、PHPおよびWordPress自体についても、最新版を利用していないならアップデートが望ましいです。特に相当に古いバージョンをそのまま利用することは非常に危険です。"PHP 脆弱性""Word Press 脆弱性"でウェブ検索すると様々な情報が引っ掛かると思いますので、十分参考にしてください。

>Wordpressの機能を拡張するプラグインの一つを自動アップデートしてから感染のような気がしてましたのでそれを削除してみたりしています。

あるいは、そのプラグイン自体に脆弱性が存在したのかも知れません。プラグインの名称でウェブ検索すると何か分かるかも知れませんね。

あと、ブログ中の不正コードに関してですが…殆どのウイルス対策ソフトはこうした感染に利用される悪性コードを検出する機能を持っています。ご自身の目でソースコードを一つずつチェックすることも可能であれば是非行なうべきでしょうが、例えばサーバ上のソースコードをダウンロード後にVirusTotalのようなサイトに送って検査してもらうというのも良いのではないかと。

http://www.virustotal.com/jp/

なお、昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。

次のような点に注意してください。

(意味が分からない用語は、e-Wordsで調べるなどして理解に努めてください。)
http://e-words.jp/

1)各種アプリケーションソフトのセキュリティ更新を怠らない。

Windows Updateの必要性はこれまでも叫ばれて来ましたが、悪用されるセキュリティ上の問題点=脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと主流が移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、

・Firefox、Operaなどのブラウザ。
・Sun Java 仮想マシン(JRE)。
・Flash PlayerやShockwave Playerなどのプラグイン。
・Real Player、QuickTimeなどのメディアプレイヤー。
・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。

最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。

http://internet.watch.impress.co.jp/
http://www.itmedia.co.jp/enterprise/security/

こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。

2)標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。

IEで扱うことの出来るJavaScriptはJScriptといい、Windowsを直接操作出来るように拡張されており、各種感染に悪用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。

でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。

http://www.mozilla-japan.org/products/firefox/
http://jp.opera.com/

もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。

XPまでのWindowsで、もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsやRUNASAのようなソフトの利用を検討してください。

http://www.oshiete-kun.net/archives/2006/05/iere …
http://www.oshiete-kun.net/archives/2007/04/vist …

制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsやRUNASAを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。

ReducedPermissionsの入手は、次の各URLから行うことが出来ます。
http://download.cnet.com/Reduced-Permissions/300 …
http://www.softpedia.com/get/System/System-Misce …

なお、Windows Vista以降のIEでは、保護モードにおいて感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点=脆弱性の影響には十分注意しなくてはいけません。その辺は1)で説明した通りです。

3)ファイアウォールを有効にする。

出来ることなら、ファイアウォール機能の付いたブロードバンドルーターを介してネットに接続することが望ましいです。それが出来ない場合には、パーソナルファイアウォール機能を含むウイルス対策ソフトを利用しましょう。

最低でもWindowsファイアウォールを有効にしておけばそれなりの効果は期待出来ますが、例えば各種共有機能が有効になっているとそれ関係のポートが開かれたままの状態になり、ネットワークウイルス感染や不正侵入を防げない可能性もあります。より確実に不正な通信をブロックするためには、やはりブロードバンドルーターかパーソナルファイアウォールを別途導入するのが望ましいです。

4)怪しいリンクをクリックしたり、怪しいファイルをダウンロードしたりしない。

興味深いネタへのリンクと称して怪しいリンクを踏ませたり、動画再生に必要なコーデックなどと偽って怪しいファイルをダウンロード、実行させようとする手口は後を絶ちません。十分な注意が必要です。

このような騙しに遭わないためにも、先述したようなニュースサイトで最新の情報を常時チェックされるのが望ましいです。
    • good
    • 0
この回答へのお礼

ryu-fizさん、本当に詳しいお答え痛み入ります。
まずwordpressは最新のバージョンの2.7.1です。
そして今はサーバーにあるブログファイルをダウンロードして、お答えいただいたVirusTotalにかけてみようと思います。
ちなみに私が使うブラウザは全てファイヤーフォックスにしてあります。
またこれらの更新も結構豆に行っているのですが…
ファイアウォールの付いたルーター検討してみます。
Wordpress関連を調べようと思い海外のサイトに飛んでしまったことも良くあったのでそこら辺も怪しいような気がしてきました。
パソコンの方のオンラインスキャンはまずニフティでやってみました。
一応カスペルスキーでも実行しようと思います。
また何かございましたらぜひお教え下さい。
本当に詳しい御説明ありがとうございました。

お礼日時:2009/05/16 10:32

ANo2補足です。



>アカハックとはどういうものか

オンラインゲームで遊ぶ場合、キャラクターの装備や所持金などのデータは全てサーバー側で管理されています。
遊ぶ際にIDとパスワードでユーザ認証してログインする訳ですが、そのIDやパスワードを入力してログインしようとした際に、そのIDやパスワードを盗んで、ウイルス作成者の元へ送信する訳です。

ウイルス作成者はそれらのID、パスワードを使用してゲームにログインし、そのユーザキャラクターの装備品や所持金を全て奪います。
その後、リアルマネートレードという手法(ゲーム運営会社的には許可していない不正な取引)にて、それらを現金に換えるわけです。

ゲーム内の資産ですから、被害があったとしても、実社会での価値は一切ありませんので、警察は動きませんし、損害賠償を請求されても支払う必要もありませんが、ゲーム命でやってる人からすれば、それで納得出来るものではなく、結果として感染元になった貴方のサイトを大々的に(悪意を持って)宣伝する、と言う行動に出る可能性は十分にあります。

まぁ、ゲーム専用のキーロガーと考えれば解り易いかもしれません。
    • good
    • 0
この回答へのお礼

skyfangさん、補足までしていただいて本当にありがとうございます。
アカハックのこと良くわかりました。
ただ私のブログは趣味の街や自然の写真をアップしているものなのでどうしてそんなオンラインゲームのウィルスが私のブログを狙うのか疑問なんです。
でもウィルス自体はアカハック系でしかもアカハックされたようですし…
まずはサーバー、自身のPCからウィルスを除去できるように最大限の努力をして見ます。
また何かお気づきのことがあればお教え下さい。
本当に感謝しております。

お礼日時:2009/05/16 10:45

こんにちは。

マルウェアを集めてテストなどをしている者です。

WordPressはよく狙われます。最近、Webアプリの脆弱性を悪用したインジェクション(不正コードの挿入)が多いです。おそらく、オンラインゲームのアカハックなどのウイルスです。中国からが多いです。

で、ブログチェックに関してはこちらをご利用下さい。

http://wepawet.iseclab.org/

ラジオボタンは下を選択して下さい。

PCの方に関してはウイルスセキュリティーじゃ駄目。検出性能悪いから。カスペルスキーやF-Secureの高性能オンラインスキャンなどもありますが、多重感染の場合はリカバリを強く推奨します!
    • good
    • 0
この回答へのお礼

redirectさん、お答えありがとうございます。
上記サイトを早速ためして見ました。
翻訳ソフトを使いながらみたので自信はいまいちないのですが大丈夫だったようです。
PCに関してはリカバリーも考えています。
まずはオンラインスキャンを色々かけてウィルス感染を探ってみようとお思います。
また何かお気づきのことがございましたらぜひお教え下さい。
本当にありがとうございます。

お礼日時:2009/05/16 10:40

ちなみに、私はプログラムの知識はありません。

職場で多少ネットワークの管理をしているくらいです。PHPなどの細かいことは分かりません、

>PHPファイルから構成されるWordpressのトップページにジャバスクリプト
>を吐き出さすようなもの
たぶん、iflameタグを生成し、外部のドコゾのサーバにリダイレクトするスクリプトだと思います。(そこのサーバから新たなウィルスを、Webを見た閲覧者に送り込む)。

>その他、今のブログがウィルスに感染していないかを調べる手立てはあ
>るのでしょうか?
不正なコードがないかどうかを確認すればいいことだと思いますが・・、
どうなんでしょうね?よく分かりません・・ごめんなさい。
    • good
    • 0
この回答へのお礼

o_tooruさん、またお答えいただいてありがとうございます。
本当に感謝しております。
不正なコードを全てのファイルから探すのは大変ですが何とかやってみようと思います。
Wordpressの機能を拡張するプラグインの一つを自動アップデートしてから感染のような気がしてましたのでそれを削除してみたりしています。
また何でもありがたいので気づいたこととかございましたら、ぜひお教えください。
本当にありがとうございます。

お礼日時:2009/05/15 22:38

こんばんは、おこまりですね。



さてご質問の件ですが、こればっかりは何とも言えませんね。
最近この手のウイルスが非常に増えています。
本日も、
http://www.kobayashi.co.jp/info/090512.html
こちらで大規模な感染が報告されています。

そちらの状況から類推するに、あなたのPCが何らかの形で
まず汚染されたようですね。(メールで受け取ったか、汚染されたホームページをあなたが見たことにより感染したか)

たぶん、・Flash PlayerやShockwave Player・Real Player、QuickTimeなどのメディアプレイヤー。Adobe Readerなどが最新版でないことを突いてあなたのPCに感染しようとします。

手順ですが、まずあなたのPCが本当にクリーンな物であるか・・。
一番完璧なのは、システムの初期化なのですが・・。あとは、お使いのアンチウィルスソフトのパターンファイルを最新の物にして、PCをスキャンしてみてください。さらに、他社のアンチウィルスソフトのオンラインスキャンを使い、あなたのPCをスキャンしてみてください。

その後、念のため、・Flash PlayerやShockwave Player・Real Player、QuickTimeなどのメディアプレイヤー。Adobe Readerなどを最新版の物にしておいてください。

ブログの方ですが、こればっかりは何とも・・・、本当のプロにやられてしまったとしたならば、素人にはなすすべもありません。単なるスクリプトによって改竄されたのであれば、ソースを新しい物に置き換えれば、たぶん大丈夫・・・かな?

あと、ブログのサイトの管理パスワード・IDはすぐにでも変更しましょう。ドコゾに漏洩している可能性があります。

これで少し運用してみて、再度発生するようでしたら、素人の手には本当に負えない物と考えた方がいいかもしれません。
    • good
    • 0
この回答へのお礼

o_tooruさん、お答えありがとうございます。
そうですね。まず私のパソコンが感染したようです。
なのでまず一度ウィルススキャンはしたのですが再度はo_tooruさんのいわれたことを全て実行しようと思います。
ブログの方は改竄されてから数時間だけのようですが不安です。
一応、変なスクリプトがかかれたPHPファイルは戻し、パスワードとIDは即刻変更しておきました。
昨晩、作業が全て終わってからページの改竄はありませんがその後が心配です。
補足にもなるのですがPHPファイルの改竄というのがPHPファイルから構成されるWordpressのトップページにジャバスクリプトを吐き出さすようなものでした。
そのジャバスクリプト自体は恐くなってすぐに消してしまったのですが…
その他、今のブログがウィルスに感染していないかを調べる手立てはあるのでしょうか?

お礼日時:2009/05/15 21:09

ウイルスの指摘を受けてから、慌ててウイルスセキュリティ入れて確認・駆除した、って事で良いのでしょうか?


入れてて感染したのなら、何の役にも立ってない事になりますが。

ウイルス自体はネトゲのアカハック関連の物のようです。
もしネトゲやってるのならキャラが身包み剥がされていないかどうか確認しておきましょう。

なお、貴方のブログ経由で被害が拡大している可能性がありますので、貴ブログのトップで大々的にウイルスに感染していた事、ブログ閲覧者は感染した可能性がある事、それに対する謝罪および注意喚起を即刻掲載してください。
貴方のブログ経由でアカハックの被害にあった人がいれば、その人から損害請求される可能性もあります。
    • good
    • 0
この回答へのお礼

skyfangさん、お答えありがとうございます。
確かに何も役にたっていませんね。
ネットのゲームはやったことがなく、思い当たる節がないので困っております。
よろしかったらアカハックとはどういうものか教えていただけるとうれしいです。
ブログには謝罪及び注意喚起を掲載したいと思います。

お礼日時:2009/05/15 20:57

おそらくブログに画像をアップされているのだと思います。

私もウイルススキャンさせたらトロイの木馬がファイルから出て来たのですがこれは自分の写メを大手サイトに送りそれを自分のPCのファイルに取り込んだだけのことだったので原因がよくわかりません。また、ある特定のブログ(同一登録サイト)を開くとこれはウイルスあるなという感じで画面がぐしゃぐしゃになることもあります。ご参考にならないと思いますが思い当たることがありましたのでお知らせいたします。
    • good
    • 0
この回答へのお礼

akira-45さん、お答えありがとうございます。
画面がぐしゃぐしゃになることはなくPCにも症状が何もないような感じなんです。
ウィルスが感染していたのでこれから心配です。

お礼日時:2009/05/15 20:52

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Qトロイの木馬って何?

昔使っていたパソコンで、一度だけ、トロイの木馬が見つかったことがあります。

無事、ウイルス対策ソフトによって削除されたと思いますが、トロイの木馬もいっぱいあって、それがどんな種類の奴だったかは分かりません。

そこでお尋ねします。

トロイの木馬のも「大したことない」~「もっとも悪質」まで多種多様と思います。

「大したことない」トロイの木馬はどんなことをしますか?

「最も悪質」なトロイの木馬はどんなことをしますか?

良かったら教えてください

Aベストアンサー

ボクは個人的な趣味でマルウェアコミュニティー巡りなどをしています。

どんな動作をするかはそのプログラムの作りによります。ボクは#1さんの意見とは違いまして、トロイもマルウェアの一種ですから何らかの悪意を持つ動作をするわけですので、これをごく普通のプログラムと評するのはちょっと違うと思います。で、最近のマルウェアは個人情報の詐取を目的とするものが非常に多いです。


で、悪質なものになるとPersistenceと言いまして、非常に駆除が困難な状態にさせられたりします。rootkit機能を持つものもあります。さらには、対策ソフトの機能を止めてしまうものもあります。当然、オンラインスキャンサイトなどセキュリティー関連サイトへのアクセスをブロックしたりもします。こういった場合はあきらめてさっさとシステムを再インストールしたほうが確実です。

なお、ボットネットに関しましてはボットプログラムに感染したマシンで構成されるネットワークを指しますので意味をお間違えのないように。

また、ここ最近のマルウェアはアンチウイルスやパーソナルファイアウォールでの防御を回避してしまうものがかなり増えてきています。今はもう10年前の時代とは違いまして、有名どころの大手対策ソフトをどれかインストールして普通に使ってればほとんど問題ないといった時代とはまるっきり違います。

ボクは個人的な趣味でマルウェアコミュニティー巡りなどをしています。

どんな動作をするかはそのプログラムの作りによります。ボクは#1さんの意見とは違いまして、トロイもマルウェアの一種ですから何らかの悪意を持つ動作をするわけですので、これをごく普通のプログラムと評するのはちょっと違うと思います。で、最近のマルウェアは個人情報の詐取を目的とするものが非常に多いです。


で、悪質なものになるとPersistenceと言いまして、非常に駆除が困難な状態にさせられたりします。rootkit機能を持つものも...続きを読む

QTrojan.Win32.VB.ffとTrojan,Spy.Win32.VB.mnの対処方法を知りたい。

Win Xp (SP2)のPCでカスペルスキーオンラインスキャンをしたところ、
下記の2つのウィルスに感染していました。PCにこれと言った症状はないのですが、何とか駆除したいと思っています。自分のPCのウィルス対策ソフトで通常とセーフモードで完全な検査をしても検出されない。Spy対策は、Spybot S&D,Ad-Aware SE,Spyware Blaster.a-
squared Personalを最新の定義で使用しています。Windows Updateも最新です。
対処法がわからなかったので、質問をさせていただきました。よろしくご教授ください。
               記
1)Trojan.Win32.VB.ff
C:\System Volume Infomation\_restore {FD64B58C-0818-4F8A-912E-
BOD6BF103B22}\RP42\A0023568.exe
2)Trojan,Spy.Win32.VB.mn
C:Documents and Settinngs\(ユーザ名)\Local Settinngs\Temp
\ln6fzlx6.exe

Win Xp (SP2)のPCでカスペルスキーオンラインスキャンをしたところ、
下記の2つのウィルスに感染していました。PCにこれと言った症状はないのですが、何とか駆除したいと思っています。自分のPCのウィルス対策ソフトで通常とセーフモードで完全な検査をしても検出されない。Spy対策は、Spybot S&D,Ad-Aware SE,Spyware Blaster.a-
squared Personalを最新の定義で使用しています。Windows Updateも最新です。
対処法がわからなかったので、質問をさせていただきました。よろしくご教授ください。
     ...続きを読む

Aベストアンサー

1のウイルスに関しては、システムの復元を無効にしてください。
そして再起動してみてください。
2については、IE等のプラウザのCookieの削除と一時ファイルの削除を実行してみてください。

それでウイルスが、削除されます。

1については、Restoreファイルという「システムの復元」で使うデータを保存している部分にウイルスが残っていて
そのシステムの復元を無効にすることで、
restoreファイルが無効になり削除できるようになります。
そのファイルごと削除した方が安全性は高くはなります。

2については、tempファイルですから、一時的に保存している部分に残っているウイルスですので、
一時ファイルを無くすることで、削除できる可能性があるので、試してみてください。

Qウィルスバスターで、トロイの木馬をブロックしたと表示が出ます。

ウィルスバスターを使用しているのですが、ここ一週間ほど、毎日のように、ベルのマークが出て、トロイの木馬をブロックしたというログが残っています。
トロイの木馬の種類は、Net BusとSubsevenです。
トロイの木馬を消す方法はありますか?
それとも、ブロックされたログがあれば、入っていないと言うことなのでしょうか?
とても不気味です。
日を追う事に、トロイの木馬の出る回数が増えます。
宜しくお願いします。

Aベストアンサー

その二つはどちらも超有名なRAT(Remote Admin Trojan)ですね。大丈夫だとは思いますが、念のためにスキャンをかけてみてください。検出されなければOKです。あと、ルーターは導入されてますよね。

QTrojan-PSW.Win32.WOW.astについて

パソコンを起動すると毎回「ウィルス『Trojan-PSW.Win32.WOW.ast』を隔離しました」と表示されますが、完全に削除することができません。そして先日クレジットカード会社から不正利用されたと見られる請求がありました、と連絡をもらいました。どうしたらよいのでしょうか?使用しているウィルスソフトは『ウイルスセキュリティ・ZERO』です。

Aベストアンサー

Trojanやトロイの木馬はカスペルスキー7.0では即削除いたします。但し有料版に限ります。試用版はダメです。

Qトロイの木馬検出後の安全確認と履歴削除

McAfee のVirusScan Enterprise 8.7.0iを導入済みのPCにてUSBメモリー使用時にトロイの木馬を検出させてしまい
隔離されたトロイの木馬を消す方法を教えてください

トロイの木馬検出後USBメモリーは抜き取りオンデマンドスキャン を実行して脅威は見つかっていません
質問1
この時PCは安全な状態と思ってよいのですか?

質問2
Quarantine Managerのポリシーをひらいてマネージャータブをクリックした欄の中の隔離期日のところにある
トロイの木馬欄を右クリックで削除すればトロイの木馬はどこにも隔離されていないのですか?

質問3
トロイの木馬を検出させてしまった事実を消し去りたいのですが、その他に実行することはありますか?

以上3個の質問を教えていただける方おりましたらどうぞよろしくお願いします。

Aベストアンサー

>McAfee のVirusScan Enterprise 8.7.0iを導入済みのPCにて

 まず、オイラは企業向けの製品らしい Enterprise バージョンを使用
したことがないので、この回答は外している可能性があることをお断り
しておきます。 まぁ参考程度に受け取っていただければ幸いです。


>質問1
>この時PCは安全な状態と思ってよいのですか?

 オンデマンドスキャンを実行したのは PC に対してですよね?

 オンアクセススキャン(常駐監視によるリアルタイムスキャン?)で
見逃さず検出して隔離もしてくれたのですから、とりあえず PC 自体は
守られ、現在は安全な状態になっていると思います。
 それが仕事だし、性能の良くないセキュリティソフトは危険な活動を
検知することなく見逃してしまうハズです。

 ただし、USB メモリの方には危険なプログラムが残っている可能性が
高いでしょう。


>質問2
>Quarantine Managerのポリシーをひらいてマネージャータブをクリック~
>~右クリックで削除すればトロイの木馬はどこにも隔離されていないの~

 もし削除できるなら、そういう認識で良いと思います。

 オイラは外部接続の記憶媒体で検出された経験が無いのでよく分かり
ませんが、PC内に潜んでいなければ削除できないような気もします。
 ただ、McAfeeによる「隔離」という処置が本件トロイの木馬を自分の
PC内に取り込んで機能しないようにすることなら、削除できるかも知れ
ません。
 そのマネージャータブという履歴(ログ?)の中には隔離されている
場所(フォルダ)が表示されていないのでしょうか?


 ところで、もし不安なら、他社提供のオンラインスキャンを利用して
セカンドオピニオンによる診断を受けてみては如何でしょう。

駆除ツールのダウンロード
https://www.ccc.go.jp/flow/03/322.html

オンラインスキャンによるクロスチェック
https://www.ccc.go.jp/flow/03/340.html


>質問3
>トロイの木馬を検出させてしまった事実を消し去りたいのですが、

 履歴(検出ログ)は、たぶん消去できないと思います。 少なくとも
個人用製品では消去できないようです。


>その他に実行することはありますか?

 USB メモリの方をどうするかですが、この際フォーマットしてしまう
のが一番でしょう。
 また、外部記憶媒体挿入時の自動実行/自動再生を無効にする対策が
未だ実行されていない場合は、処置しておくことをお勧めします。

USBメモリの自動再生/自動実行
http://www.hitachi.co.jp/hirt/publications/hirt-pub09003/index.html

USBメモリの自動再生を無効にする
http://www.ocn.ne.jp/security/anshin/basic/security_08.html


 それから、余計なお世話かも知れませんが、それが業務用の PC なら
ネットワーク管理者?に報告する必要があるんじゃないかと思います。

参考URL:http://okwave.jp/qa/q6971996.html

>McAfee のVirusScan Enterprise 8.7.0iを導入済みのPCにて

 まず、オイラは企業向けの製品らしい Enterprise バージョンを使用
したことがないので、この回答は外している可能性があることをお断り
しておきます。 まぁ参考程度に受け取っていただければ幸いです。


>質問1
>この時PCは安全な状態と思ってよいのですか?

 オンデマンドスキャンを実行したのは PC に対してですよね?

 オンアクセススキャン(常駐監視によるリアルタイムスキャン?)で
見逃さず検出して隔離もしてくれたのですか...続きを読む

Qtrojan.Win32.malware.1というウイルス

ソースネクストのウイルスゼロを使っているのですがtrojanWin32.malware.1に感染してしまいました。d:\i386\Apps00183\mpf\mpfplusという場所でmpfmain.cab/mpfservice.exeという名前。パソコンはeマシーンなんですがDドライブはシステム復元に使用するファイルがありますとう警告がでて、開いても空の状態です。隠しファイルを表示するでも空のままです。どうやったらDドライブ見れるのでしょうか?またこのtrojan.win32.malware.1はどうやって削除したらよいのでしょうか。メールでソースネクストに問い合わせても返事がきません。会社のパソコンなんで不安です。どうかおしえてくださいお願いします

Aベストアンサー

>d:\i386\Apps00183\mpf\mpfplusという場所でmpfmain.cab/mpfservice.exeという名前。

>Dドライブはシステム復元に使用するファイルがありますとう警告がでて、開いても空の状態です。隠しファイルを表示するでも空のままです。
>どうやったらDドライブ見れるのでしょうか?

リカバリ領域からの検出。これはほぼ誤検出と考えて間違いないでしょう。
他所で聞いた話では、リカバリ領域にはユーザーがみだりにアクセス出来ないようになっている場合があるようです。もしそれに該当するなら、Windows上からこのファイルにアクセスするのも難しく、ファイルの検証とかも難しいかも知れませんね。

また、"mpfmain.cab/mpfservice.exe"ということだと、おそらく"mpfservice.exe"は"mpfmain.cab"という圧縮ファイルの中です。いくらWindowsの検索で探しても圧縮ファイルの中のファイルを単体で見つけるのは無理というものです。

trojanWin32.malware.1という名称も汎用っぽい名前で、特定の感染を指すものとは違うようですし…総合するとこの検出は全く無視して構わないと思います。

>会社のパソコンなんで不安です。

どうしても不安が拭えないなら、上司の方あるいはシステム管理者の方に報告、相談してください。ご自身一人で悩んでいてもどうにもならないことです。

>d:\i386\Apps00183\mpf\mpfplusという場所でmpfmain.cab/mpfservice.exeという名前。

>Dドライブはシステム復元に使用するファイルがありますとう警告がでて、開いても空の状態です。隠しファイルを表示するでも空のままです。
>どうやったらDドライブ見れるのでしょうか?

リカバリ領域からの検出。これはほぼ誤検出と考えて間違いないでしょう。
他所で聞いた話では、リカバリ領域にはユーザーがみだりにアクセス出来ないようになっている場合があるようです。もしそれに該当するなら、Windows上からこ...続きを読む

Qトロイの木馬の件

こんにちは

今回教えていただきたいのは、

1.トロイの木馬について

2.トロイの木馬に感染した場合、ウイルススキャナーに必ずひっかかるのか。また、オフラインにしてもトロイの木馬による影響は変わらないのか

3.トロイの木馬の特徴

Aベストアンサー

1. https://japan.norton.com/trojan-virus-3868
2. 種類によります。狭義のウィルスではないのでウィルス対策ソフトの目をすり抜けることもあります。感染後、オフラインにすればオンライン状態での動作は遂行されなくなります。でもOS内での動作はしようと試みられます。
3.1.のURLを。

QTrojan-PSW.Win32.Nilage.cscの駆除について

初心者で大変困っています。どうか、助けてください!!
PC : XP Version 2002 Service Pack2
ウィルスソフト : ウィルスセキュリティーZERO
感染ウィルス : Trojan-PSW.Win32.Nilage.csc
Trojan-PSW.Win32.OnLineGame.ajod
Trojan-PSW.Win32.OnLineGame.akkg
Trojan-PSW.Win32.OnLineGame.alae 等
C/WINDOWS/System32から発見されウィルスソフトでは未処理状態となっています。後、PC起動時に、C/WINDOWS/System32/ctfmon.exeなるものが立ち上げられ、K...(.は早過ぎて読めませんでした。)が組み込まれたと一瞬表示されて消えます。
 ウィルス関係のサイトから、「タスクマネージャーから・・・」とあったので実行しようとしたら、「Ctr+Alt+Delete」でも表示されず、「スタート→ファイル名を実行してから」でも表示されませんでした。
 このような場合は、どうしたら良いのでしょうか?高機能なウィルスソフトを購入した方が良いのでしょうか?それとも、諦めて、リカバリをした方が良いのでしょうか?
 後、Spyware Doctor というソフトがあるみたいですが、今の症状に有効でしょうか?もし、インストールする場合は、今のウィルスソフトをアンインストールした方がよろしいでしょうか?
 長文で大変申し訳ありません。みなさんの良いアドバイス教えて下さい。

初心者で大変困っています。どうか、助けてください!!
PC : XP Version 2002 Service Pack2
ウィルスソフト : ウィルスセキュリティーZERO
感染ウィルス : Trojan-PSW.Win32.Nilage.csc
Trojan-PSW.Win32.OnLineGame.ajod
Trojan-PSW.Win32.OnLineGame.akkg
Trojan-PSW.Win32.OnLineGame.alae 等
C/WINDOWS/System32から発見されウィルスソフトでは未処理状態となっています。後、PC起動時に、C/WINDOWS/System32/ctfmon.exeなるものが立ち上げられ、K...(...続きを読む

Aベストアンサー

http://www.viruslist.com/en/analysis?pubid=204791963 (カスペルスキーのサイトですが英語です)に、オンラインゲームをターゲットにしたウイルスなどについてのお話が載っていて興味深かったのですが、
これによると、Trojan-PSW.Win32.Nilageというのは、リネージュというオンラインゲームのパスワードを盗むものだそうですね。
さらに、Trojan-PSW.Win32.OnLineGameについては、メジャーな多くのオンラインゲームのパスワードを盗むものだそうです。

もちろんファイアウォールも効いてるだろうし、そういうもののパスワードが盗まれることで何か困ったことになるのか私にはよくわからないのですが、気持ち悪いことは確かです。

質問者さんの書いているウイルス名のずばりの処理方法は、カスペルスキーにもかいてなかったけれど、それに似たものの対処方法は出ていました。
http://www.viruslist.com/en/viruses/encyclopedia?virusid=61056
ですが、やはり英語です。
流れとしては、タスクマネージャで問題となるプロセスをとめてから、レジストリを操作し、問題となっているファイルを削除する、というものです。やっぱり、動きを止めてから出ないと処理ができないんですね。どのソフトに変えても、手動処理にはなりそうです。

ところで、もう別のソフトを買ってしまったかもしれませんが、
トレンドマイクロやノートンなど、サイトからオンラインでウイルス検索できるところがあるので、そこで検索して、ウイルスの別名を把握するといいですよ。トレンドマイクロやノートンは、ウイルスデータベースを公開しているので、そこでウイルス名で検索してヒットすれば、手動処理の方法がわかります。(ただし、すべてのウイルスについて処理方法を載せてるわけではない)

http://www.viruslist.com/en/analysis?pubid=204791963 (カスペルスキーのサイトですが英語です)に、オンラインゲームをターゲットにしたウイルスなどについてのお話が載っていて興味深かったのですが、
これによると、Trojan-PSW.Win32.Nilageというのは、リネージュというオンラインゲームのパスワードを盗むものだそうですね。
さらに、Trojan-PSW.Win32.OnLineGameについては、メジャーな多くのオンラインゲームのパスワードを盗むものだそうです。

もちろんファイアウォールも効いてるだろうし、そ...続きを読む

Q"トロイの木馬Clicker.DUP"とは、何ですか?

パッケージ版(ダウンロード版でない)のWin/Mac両対応のソフトをWinXP(SP3)のPCへインストールする際に、ウィルス対策ソフトAVG8.0が"トロイの木馬Clicker.DUP"を検出しましたと出ました。ちなみに、このソフトは、インストールする際にライセンス認証する仕様になっています。

質問は

(1)"トロイの木馬Clicker.DUP"とはどんなもの?
(2)このCD-ROMは、トロイの木馬に感染していたのか、それともライセンス認証の関係で、例えば、こちらの登録データを認証サーバなどへ送る機能が、トロイの木馬と検出されたのか?

の2点です。

このソフトのメーカーへも問合せたのですが、"トロイの木馬Clicker.DUP"そのものについての説明は得られませんでした。

よろしくお願いします。

Aベストアンサー

(1)トロイの木馬でClickerと言う名がつくものは、ユーザに「クリック」させて、アダルト系Webサイトや任意のIPアドレスにアクセスさせて作成者などに利益をもたらすように設計されたスパイウェア・アドウェアです。(Clicker.DUPはわかりませんでした)

(2)以前フリーソフトにウィルス感染したまま、多数の人がダウンロードした事例がありましたので、CD-ROM内のファイルに感染と言うこともあり得ないことではありませんが、CD-ROMは読取り専用であり、作成以前の(一般的な)検査体制を考えますと可能性は低いと思います。
後者の登録データを認証サーバなどへ送る機能かと言いますと、これもあまり考えられないと思います。

インストールする際の解凍展開ファイルがわかりませんが、DUPファイル(?)を誤検出したものと推定します。(ソフト名がわかりませんのであくまで推定です)
Cookieなどもよく誤検出します。

QTrojan.Win32.Malware.1に感染しました

Trojan.Win32.Malware.1に感染しています、とウイルスセキュリティZEROで検出されました。
¥WINDOWS¥sysytem32¥blphcjgoj0e549.scrのファイルが感染しているようなので、このファイルを削除したいのですが、問題ないでしょうか? また、どのように削除すればよいのでしょうか?
最初は、自宅のノートPC(SOTEC/WINDOWSXP)にスパイウェア警告が出たので慌ててWEBで対処法を検索。
こちらのサイトの皆様の回答などを参考に、ウイルスセキュリティZEROで手動検査をして、また、Xクリーナーでオンラインスキャンもかけましたが、警告が消えないので、さらに、レジストリを修正した結果、警告は消えましたが、上記のファイルが感染したままなのです…(会社のPCから質問させていただいてます)

Aベストアンサー

>通常モードで再起動すると、system32のフォルダに再びblphcjgoj0e549.scrが出現しまてしまいました!?
>なぜなのでしょうか???

大本となる別の感染が存在しているのでしょう。それによってblphcjgoj0e549.scrは消してもシステム起動時に再生成されてしまうのだと思われます。元から絶たなきゃダメ、なんです。

少なくともウイルスセキュリティの能力ではこれ以上はどうしようもなさそうです。X-Cleanerの検出能力も昨今の感染の深刻さからすると十分ではないので、より強力なソフトの利用が望まれます。SUPERAntiSpywareの利用がお勧めです。

http://fine.tok2.com/home/heto2/0700SecurityApp/SuperAntiSpy/mokuji.htm

3番さんが紹介された各種オンラインスキャンを利用し、感染の状況をまず確認するというのも1つの手順だと思いますが、既に自動実行されている感染をこうしたオンラインスキャンだけで除去するのは困難な場合もかなりあります。そういう場合には、SUPERAntiSpywareを使ってみてください。

また、手っ取り早くblphcjgoj0e549.scrの素性を知りたい場合には、VirusTotalで検査するという手もあります。

http://www.virustotal.com/jp/

blphcjgoj0e549.scrの素性が分かれば、対処法も判明するかも知れません。

>通常モードで再起動すると、system32のフォルダに再びblphcjgoj0e549.scrが出現しまてしまいました!?
>なぜなのでしょうか???

大本となる別の感染が存在しているのでしょう。それによってblphcjgoj0e549.scrは消してもシステム起動時に再生成されてしまうのだと思われます。元から絶たなきゃダメ、なんです。

少なくともウイルスセキュリティの能力ではこれ以上はどうしようもなさそうです。X-Cleanerの検出能力も昨今の感染の深刻さからすると十分ではないので、より強力なソフトの利用が望ま...続きを読む


人気Q&Aランキング

おすすめ情報