ウイルスに感染した？

Question

こんばんは。

ウイルスソフトはウイルスバスター2009を使用しています。
先日旅行から帰って来てパソコンを起動したら、
黄色い枠で「ハードドライブにセキュリティ上の脅威が見つかりました」
ドライブ名：Ｃ
タイプ：ローカルドライブ
上記のドライブにはセキュリティ上の脅威が１つ以上あるので、コンピュータ全体の総合検索を実行して、不正なソフトウェアを調べてください。

と出たので、検索しました。
そしたらウイルス？が１２個も見つかって（まめにウイルスチェックしてますが、一気にこんなに出たのは初めてです）、一つはどうにも出来ないので手動でなんとかしてみたいなことが書いてあったと思います。
そのファイルは下記のとおりです。

ウイルス/脅威名：TROJ_Gen.7Z0128]
種類：ファイル
ファイル名：C:\WINDOWS\CDProxyServ.exe

何回検索しても５分おきくらいに右下に何度も最初に書いたのと同じ、「脅威が見つかったので検索してください」みたいなメッセージが出てきます…。

どうしていいか分からず数時間様子をみていたら、ＤＶＤドライバにＣＤやＤＶＤのディスクをいれても読み込まなくなってしまいました。
マイコンピュータを開いてもＥドライブが表示されていない状態です。

実は１ヶ月ほど前ＺＥＲＯを導入して、同じ現象になり、ＺＥＲＯを返品してウイルスバスターに変えたのですが、
ウイルスバスターにして１ヶ月くらいは沈黙だったので、どうやら旅行に行ってる間にウイルスバスターのウイルス定義みたいなのがやっとこさ更新されたみたいな感じです。。
最初は誤診だと思ってたのですが、ＺＥＲＯとバスター、同じファイルがウイルスに犯されていると言ってくるということは誤診ではないですよね…？

システムの復元でＣＤが読み込めた時期に戻せば聞けるようにはなるんですが、すぐ最初に書いたのと同じ、「脅威が見つかったので検索してください」みたいなメッセージが出てきます…。

ウイルスに感染したパソコンを直すには、リカバリするしかないんでしょうか。

リカバリをしたら、ウイルスもなかったことになるんですか？？
買ったときみたいな状態になると聞いたのですが…。
また、私と同じような症状の人はいらっしゃいませんでしょうか。

よろしくお願いいたします<(_ _)>

ryu-fiz · Accepted Answer

>ウイルス/脅威名：TROJ_Gen.7Z0128]
>種類：ファイル
>ファイル名：C:\WINDOWS\CDProxyServ.exe

Googleで検索してみました。

cdproxyserv.exe - Process Library - PC Pitstop Libraries
http://www.pcpitstop.com/libraries/process/i/CDProxyServ.exe.html

"cdproxyserv.exe is one of the files installed with the Sony rootkit DRM application."とありますね。

米ソニー・BMGのCDをそのパソコン上で再生したことはありませんか？

ソニーBMG製CD XCP問題 - Wikipedia
http://ja.wikipedia.org/wiki/%E3%82%BD%E3%83%8B%E3%83%BCBMG%E8%A3%BDCD_XCP%E5%95%8F%E9%A1%8C

以前、米ソニー・BMGのCDにルートキットが含まれていた件が話題になりましたが…今回見つかったファイルはどうやらそれ関係のようです。

削除ツールが公開されているようです。

米国SONY BMG発売商品における対応に関するお知らせ
http://www.sonymusic.co.jp/xcp/uninstall.html

なお、原因となるCDのタイトル一覧、および交換対応に関しては、次の各ページを参照すると良さそうです。

XCP収録CDタイトルリスト
http://www.sonymusic.co.jp/xcp/list.html

交換対応について
http://www.sonymusic.co.jp/xcp/howto.html

>そしたらウイルス？が１２個も見つかって（まめにウイルスチェックしてますが、一気にこんなに出たのは初めてです）

取り敢えず、削除が出来ているようなら一先ずは安心といったところです。が、ウイルスバスターで検出出来ない感染が隠れている懸念はありますので、一応カスペルスキーもしくはF-Secure、いずれかのオンラインスキャンで再確認された方が良いでしょう。（Tracking Cookieは気にしなくて結構です）

http://www.kaspersky.co.jp/virusscanner
http://www.f-secure.co.jp/v-descs/disinfestation.html

>ウイルスに感染したパソコンを直すには、リカバリするしかないんでしょうか。

まずは、現状でやれることをやってから考えてください。まだまだリカバリ必至だとは思われません。

なお、昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。

次のような点に注意すべきだと考えます。対処出来ていない点がないかどうかをチェックしてみてください。（意味が分からない用語は、e-Wordsで調べるなどして理解に努めてください。）
http://e-words.jp/

１）各種アプリケーションソフトのセキュリティ更新を怠らない。

Windows Updateの必要性はこれまでも叫ばれて来ましたが、悪用されるセキュリティ上の問題点＝脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと主流が移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、

・Firefox、Operaなどのブラウザ。
・Sun Java 仮想マシン(JRE)。
・Flash PlayerやShockwave Playerなどのプラグイン。
・Real Player、QuickTimeなどのメディアプレイヤー。
・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。

最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。

http://internet.watch.impress.co.jp/
http://www.itmedia.co.jp/enterprise/security/

こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。

２）標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。

IEで扱うことの出来るJavaScriptはJScriptといい、Windowsを直接操作出来るように拡張されており、各種感染に悪用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。

でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。

http://www.mozilla-japan.org/products/firefox/
http://jp.opera.com/

もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。

XPまでのWindowsで、もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsやRUNASAのようなソフトの利用を検討してください。

http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html
http://www.oshiete-kun.net/archives/2007/04/vistauacxprunasa.html

制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsやRUNASAを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。

ReducedPermissionsの入手は、次の各URLから行うことが出来ます。
http://download.cnet.com/Reduced-Permissions/3000-2239_4-10572884.html
http://www.softpedia.com/get/System/System-Miscellaneous/Reduced-Permissions.shtml

なお、Windows Vista以降のIEでは、保護モードにおいて感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点＝脆弱性の影響には十分注意しなくてはいけません。その辺は１）で説明した通りです。

３）ファイアウォールを有効にする。

出来ることなら、ファイアウォール機能の付いたブロードバンドルーターを介してネットに接続することが望ましいです。それが出来ない場合には、パーソナルファイアウォール機能を含むウイルス対策ソフトを利用しましょう。

最低でもWindowsファイアウォールを有効にしておけばそれなりの効果は期待出来ますが、例えば各種共有機能が有効になっているとそれ関係のポートが開かれたままの状態になり、ネットワークウイルス感染や不正侵入を防げない可能性もあります。より確実に不正な通信をブロックするためには、やはりブロードバンドルーターかパーソナルファイアウォールを別途導入するのが望ましいです。

４）怪しいリンクをクリックしたり、怪しいファイルをダウンロードしたりしない。

興味深いネタへのリンクと称して怪しいリンクを踏ませたり、動画再生に必要なコーデックなどと偽って怪しいファイルをダウンロード、実行させようとする手口は後を絶ちません。十分な注意が必要です。

このような騙しに遭わないためにも、先述したようなニュースサイトで最新の情報を常時チェックされるのが望ましいです。

５）オートラン設定を無効化しておきましょう。

最近いわゆる『USBメモリを介する感染』というのが増えていますが、感染が広がる要因の一つと言われているのがUSBメモリ内プログラムの自動実行などに使われるオートラン機能です。

実はこのオートラン機能、標準設定ではハードディスクなどあらゆるメディア上で有効になっているために、これを悪用した感染が簡単にPC全体に波及することになりがちです。

Windows の自動実行機能を無効にする方法
http://support.microsoft.com/kb/967715/ja

上記URLにて『自動実行機能を無効にするための必要条件』とされている更新プログラムをダウンロード、インストール後に、次のURLにてWindowsの各バージョン毎に紹介されている方法に従って、自動実行機能を無効化してください。

http://www.ipa.go.jp/security/txt/2009/05outline.html

対策ソフトだけの力で全ての感染を処理出来るとは考えない方が良いです。対策ソフトだけに頼り切らない感染対策が望まれます。

redirect · Answer

マルウェアを集めてテストなどをしている者です。

まず、

>そしたらウイルス？が１２個も見つかって

TROJ_Gen.7Z0128以外にTrojanとか見つかってるならリカバリが妥当です。TROJ_Gen.7Z0128に関してはウイルスではない可能性もあります。まずは、当該ファイルのプロパティーを確認。オンラインスキャンのVirus Totalを使えるようでしたらやってみる。

あと、Autorunsというソフトでスタートアップエントリを探ることもできます。

ryu-fiz · Answer

失礼。CDの交換が出来る、という内容で書いてしまいましたが…

米国SONY BMG発売商品における対応に関するお知らせ
http://www.sonymusic.co.jp/xcp/howto.html

既に交換の受付は終了しているようです。該当するCDはパソコン上では再生しないことが望ましいですね。まぁ、再生後にすぐまたアンインストーラを使えばルートキットを削除出来るとは思いますが。

ryu-fiz · Answer

>読み込めるようになるにはどうしたらいいんでしょうか…＞＜

既に書いてますが…取り敢えずアンインストール作業をおこなうべし。
このルートキットが本当にソニー関連のものなら、それできちんとアンインストールされ、正常化される筈。

レジストリ上の変更箇所なども元に戻さないと正常化は出来ません。電気配線の中の一部品をニッパーとかで切って取り出したらその回路が機能しなくなるのと同じで、ファイルだけ単純に削除したのでは、取り回した周辺の動作がおかしくなるのは当然です。

また、正しくソニー関連のルートキットであれば、それは著作権保護の一手段として利用されているものに過ぎず、個人の情報を漏洩させて金銭的なダメージを相手に与えることが目的ではありませんので、勘違いのないようにしてください。

やるべきことは前々回の回答で既に示してあります。いたずらに不安がらずに、やれることをまずやってください。それでもダメならリカバリすべきだと思います。

ウイルスに感染した？

マルウェアを集めてテストなどをしている者です。

>ウイルス/脅威名：TROJ_Gen.7Z0128]

失礼。

この回答への補足

>読み込めるようになるにはどうしたらいいんでしょうか…＞＜

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング