サルでも判るウイルス駆除＆防御方法、教えてください。

サルでも判るウイルス駆除＆防御方法、教えてください。
似た質問を以前も立てましたが、また発生してしまいました。
えーと。順を追って説明します。
WidowsXP　HomeEditionSP3…のPCを使用。
ブラウザはI.E8。
ウイルスバスタ2010を入れていて、最新の状態に保っています（「アップデート開始」押しても「既に最新の状態になっています、アップデートの必要はありません」ていうメッセージが出てくる）。
AdobeReader9が入ってますが、ヘルプ→アップデート有無の確認　で「最新の状態になってるのでアップデートの必要はありません」が出てくる状態にしてます。

で、趣味のHPを運営してるんですが、先日、登録してあるウェブリングの管理者から、
「閲覧者から貴方のHPはウイルス感染している　という報告がこちらにきました。ノートンアンチウイルスをお使いの方で、貴方のサイトを開いたところ
＊＊＊
脅威レポート
見つかった脅威の合計: 3

ウイルス (説明の表示)
見つかった脅威: 3
詳しいリスト:
脅威名: VBS.Redlof.A
場所: 私のHPと同じドメイン/以下は違うアドレス　以下３つ
＊＊＊
という表示が出たそうです。
こちらでも貴方のHPにアクセスしたところ、似たような警告が出ました。
お使いのPCなど確認して、至急対策をとって下さい」
というメールが来ました。
慌ててPCのウイルスバスター起動して「検索開始」と「アップデータ開始」、それから「契約更新/その他」から「ログ（履歴）」起動して「ウイルス検索」の履歴を覗きましたが、いずれも反応なし。
Googleで自分のサイトのURLを検索しても「安全」って出るし、自分のHPを自分のPCで表示してもTrendプロテクトは「安全」って評価します。
え…本当に感染　してるの？それに、特に自分のPCの動きが遅いとか何とか、不具合　起きてないけど…。
このページ（http://www.jpcert.or.jp/at/2010/at100001.txt）の「Web サイト管理者向け」見てみましたが、対策として
-Web サイトの更新ができるコンピュータを制限する。（IP アドレスなど）→え…どうやって設定すればいいの？
-Web サイトで公開しているコンテンツに不正なプログラムが含まれてい
ないこと、コンテンツが改ざんされていないことを確認する。
- 多くの改ざんされたサイトでは不正な script タグが挿入されています。
HTML ファイルや外部 .js (Javascript) ファイルに「/*GNU GPL*/ try」
や 「<script>/*CODE1*/ try」と言った文字列 が追記されています。
→今のところ見つけられてない。

１．そもそも私のHPは、PCは、本当に感染してるのか？してるならしているで、してないならしてないで、確実に知りたいどうやって調べればいいんだ！
２．感染している場合、どうすれば駆除できるの？PCならウイルスバスター起動すればいいんだろうケド…
３．感染してない場合、なんでHPを開いた途端　ノートンが警告を発した　という事態が起きたのだろう？閲覧者の人に　なんて説明すれば…

以上３点、PCオンチのお年寄りに解説すると思って判りやすく説明できる方、いらせられますでしょうか…？
ちなみに前回　同様の事態が起きた時は、
「ドメインが同じなので、同じドメインにあるサイトは一律でキケン　とウイルスソフトが過剰反応したんじゃない？」
というところに結論が落ち着いたのですが…2回目となると流石に、自分のHPは本当に安全なのかーッッって心配に…。

No.1 回答者： Cupper 回答日時： 2010/05/25 00:24

パソコンはリカバリして、セキュリティソフトをインストールだ！

または、パソコンごと買い直して、セキュリティソフトをインストールだ！
ホームページスペースもすべてのファイルを上書き、またはすべて削除してから再アップロードだ！

セキュリティソフトはカスペルスキー・インターネット・セキュリティ（Kaspersky Internet Security）がお薦め。
いますぐパソコンショップへ走ろう…夜中か、今はｗ

これなら猿（と自負する質問者さん）でもできるだろうと思う。
疑わしきは消しちゃえ…ってことです。

この回答へのお礼

すいません「PCはリカバリ」の「リカバリ」が既に判りません…。
HPに関しては、既存ファイルを上書or削除して再アップロード。でいいんですね？

あーあと、質問文中のサイトに
「FTP サーバのログを確認し、アクセス元IPアドレス、アクセス日時などに
不審な点がないか確認する。」
のもやりなさいとあったんですが、FTPサーバって…。
「システムのセキュリティ・パッチの確認を忘れるな」
とも言われたんですが、システムってどのシステム…？
とか。

お礼日時：2010/05/25 00:58

No.2 回答者： nabeyaki 回答日時： 2010/05/25 00:37

ノートンやウィルスバスターなどいろいろ出ていますが１００％根絶することは不可能。

ソフトによって検知する物が違い、ノートンでクリーンでもアドウェアというよろしくないプログラムなどは別ソフトで５０件とか出ていますし。

この瞬間にも新しいウィルスは作られていますので。

ノートンは、クッキーという利用履歴を調べるためのものですら、脅威や注意というのを表示しますし、２ちゃんねるは危険なサイトと警告してきます。

本当に、そのサイトが危険なのかは、基準によって異なるので正確なものはありません。

ＪＡＶＡやＣＧＩといったプログラムも内容によっては、対策ソフトで止められてしまうことがあるので、過剰に危機意識を持ちすぎている可能性があります。

本当に感染すると、データをクラッシュさせられる。または、管理者権限が奪われて、パスを変更されて、ウィルスを削除もできない。外部から意のままに操られるという状態です。


対策としては、
不用意にフリーソフトを入れない。
広告バナーからリンクしているサイトに入らない。
運営しているサイトのコンテンツが改ざんされていないかチェックをする。
自分の家に、ルータを設置してファイアーウォールを構築する。
ポートは開けっ放しにしない。
（ウィルス対策ソフトは、ポートをノックされても通常は拒否できるようになっています）
ファイル共有ソフトを使用しない。
あと忘れがちなのが、動画サイト。
中国とかの国外動画サイトは危険です。（名称は伏せますが）
友達から借りたＵＳＢは事前にソフトにスキャンさせる。
私は、ＵＳＢ経由で、マイコンピュータをクリックするたび増え続けるデータベースマクロを用いたトロイに知らずに感染してディスクがえらいことになった経験有り…

この回答へのお礼

回答　ありがとうございます。
あ、２ちゃんねるはGoogle（ウイルスバスター？）でもクロ判定　出てます＾－＾；
それでなくてもアングラサイトなので怖くてアクセスしませんが…（て言ったら「アングラサイト…まああながち間違いじゃないけど…」と失笑された)。
一応、データクラッシュとか目に見える不具合はPCに起きてないんですよ、何も。
それで、トレンドマイクロに問合せしても埒が明かないんです（向こうは「不具合が起こったときの画面をプリントスクリーンして送ってみてくれ」って言ってくるので…）。
フリーソフトは、今のところOpenOfficeのみ入ってます。
広告バナーをクリックしたことはありません。
サイトのコンテンツ改ざんは今のところ見当たらず…すみません、ルータとポートは判りません＞－＜
ファイル共有ソフトや人様のUSBを使ったこともないし…動画サイトは、こないだおサルのようにYouTubeを見たのがお初でしたが、それ以上は…。

…ネットの有効活用　殆どしてませんね　私ってば！

とまれ、一応シロ　と見ていいんでしょうか？

となるとあとは、
なんで閲覧者さんのPC（のセキュリティソフト）はキケン　と言ってきたのかー…ですけど…

お礼日時：2010/05/25 01:08

No.3 回答者： jein 回答日時： 2010/05/25 01:07

＞場所: 私のHPと同じドメイン/以下は違うアドレス　以下３つ

独自ドメインで運用しているのですか？
であればスラッシュ以降もあなたのサイトスペース内ということになりますよ。
プロバイダなどのレンタルスペースを使っているのなら全く別の人のスペースです。

Webサイトのページ内自体にはり付くように感染をするウィルスがあります。
これはページ（htmlファイル）自体に感染して、このウィルスが活動可能な
環境でアクセスした人に対して感染が広まって行きます。

今回のRedlofもその一種です。
これはMicrosoft製OSに存在するセキュリティホール（警戒が甘い部分）を
利用して実行されるもので、Microsoftを信じるならば対策済の
WindowsXP SP2以降の環境では発症しません。
ですからSP3環境ならこの問題を引き起こすセキュリティホールについては対策が
完了しているはずなので感染はしないはずです。

となると、通報して来た人のマシン自体が感染している可能性が高いのですが。

ウィルスの中には感染するとhostファイルやレジストリを書き換えて
感染したマシンから特定のサイトへ移動しようとした際、見た目上（アドレス欄など）は
そのサイトにアクセスしにいってるように見えても、実は別のサイトに繋ぎに行く
という状態にしてしまうものがあります。

例としてはブラウザにabc.comとタイプしてアクセスしようとしても
実際にはdef.comに繋がっているという状況です。

スキャンソフトの警告画面が出た際、実際に繋ごうとしていたサイトと
警告に表示されたサイトアドレスが一致しないということがあれば
そのような細工がされている可能性も考えられます。

この回答へのお礼

>独自ドメインで運用しているのですか？
>であればスラッシュ以降もあなたのサイトスペース内ということになりますよ。
あっ違います！プロバイダなどのレンタルスペースを使っているので、全く別の人のスペース。
なので、今回の、ウイルス感染疑惑には釈然としないものがすごく…。
「よそ様のスペースの感染が、なんでウチのスペースの感染　と混同されるんじゃ！？」
でも2回目ともなれば、本当にただの混同　と片付けていいものか　とビクビク…。
万一　自分のところが感染していたら、バラまき続けているわけですから…。

えーと、
「通報者のPCが感染している。
私のサイト・PCは未感染。」
として、通報者に対策をよびかけ、自分のHPはオープンしていい…の、でしょうか？（下の回答を見てとりあえずファイルを隔離してるんです…）

お礼日時：2010/05/25 01:16

No.4 ベストアンサー 回答者： John_Papa 回答日時： 2010/05/25 10:32

広告が自動挿入されるサイトなら、広告にウイルス仕込があるという場合があります。

この場合であれば、レンタルサーバーを移られるのが賢明でしょう。
この件の参考：http://oshiete.goo.ne.jp/qa/5897258.html
また、ノートンは上記リンクでもお解かりの通り、サイト単位で警告を発しますので、同じドメインの雑居WEBサーバーでは警告の巻き添えを喰います。
防御方法も、上記に書かれている通り。

＞場所: 私のHPと同じドメイン/以下は違うアドレス　以下３つ
ということですから、雑居WEBサーバーの他人のホームページが改ざんされているということですね。
WEBサーバーのレンタル元に連絡して、該当ページを封鎖・修正する手続きをとって貰えれば、早期解決するでしょう。ただ、該当ページ管理者のＰＣが感染したままだと改ざんは繰り返されます。
この状況でしたらあなたのＰＣに感染無いことも大いに考えられます。
あなたのＰＣに感染しているかどうかは別問題で不明です。
この方面（改ざん）には、avast!／AVIRA／カスペルスキー／ノートン などの方が検出率高いです。
Trendmicroのウイルスバスターでは私が関わった限り改ざんスクリプトが生きている間に検出できた例がありませんので、可能なら上記紹介など他のセキュリティソフトに乗り換えるか、オンラインスキャン http://lhsp.s206.xrea.com/misc/onlinescan.html や非常駐アンチウイルスソフトのBitDefender http://www.bitdefender.com/PRODUCT-14-en--BitDef … などを併用をお勧めします。

＞- 多くの改ざんされたサイトでは不正な script タグが挿入されています。
なんですが、決まった文字列が記載されているほうが稀です。ifarameやimgタグも多用されています。カウンターやアクセス解析に見せかけたり・・・。
最近は難読化されていない一行タグも多いです。多少慣れた人でも見落としがちですのでね。
一行改ざんには無料アンチウイルスソフトのAVGが強みを発揮するようです。
<script>を定義せずにいきなり document.write()で書かれていたりもします。
リダイレクトのサイトを中継する方式が主流になったので、末端の改ざんは中継サイトににリダイレクトするだけの簡単なものになってきています。
HTMLソースから改ざんを見つける作業が難しくなりましたが、根気良く点検して安全を確認してください。

この回答への補足

webサーバ管理元に連絡したところ、
「こちらでアクセスしました。
警告が出たので隔離しました。
が、更に詳しく調べたところ、問題がなかったので隔離解除しました。」
という回答が。
「なんで問題がないのに警告が出るの？」
と聞き返しても、
「閲覧者一人一人のＰＣ環境に因る現象については答えられない」
とのみ…。
「閲覧者でなくていい！アンタのＰＣで！一度は警告出たんだろう、なんでアンタのＰＣが警告出してきたか、それだけでいいから参考意見として報告してよ！！」
と言っても
「閲覧者一人一人のＰＣ環境に因る現象については答えられない」
という回答が返ってくるのみで…。

諦めて、安全宣言出しました…。
レンタルサーバーのドメイン表示が変更になったんですが（旧URLを入力しても新URLにきちんとつながるようにはなっている）、どうもその、旧URL入力でアクセスするとセキュリティソフトが警告を出すようで。
（新URLと旧URL両方でアクセスしてみて下さった訪問者さんがいて、「新URLでやったら警告でなかったよ！」って教えてくださったので確かだと思います）
ブクマしてくれている方は新URL表示に切り換えてください、としました。

締め切り、遅れて申し訳ありませんでした！

補足日時：2010/09/23 13:26

この回答へのお礼

判りやすいご指導、ありがとうございます！
急ぎWEBサーバーのレンタル元に連絡して、処理をお願いしました！

広告にウイルス仕込がある恐れがあると言われたことも伝えましたので、向こうの対応次第でレンタルサーバを変更するか決めます。

あと、お教えいただいたサイトはどれも大変参考になっています。
理解が遅いので（おサル…）ちょもちょも読みつつ（10回くらい読んでようやっとナニを言われているのか理解ができる…）判った端からスキャンしたりセキュリティ併用したりしています。

安全にしろ危険にしろ、判定作業が亀の歩みなのでちょっと回答を締め切るまでに時間がかかりそうですが…自分のPCに差し迫った危険はなさげでほっとしました。
あとは自分のサイトが差し迫った脅威（をばら撒いているか）だ…！
頑張って点検します！！

お礼日時：2010/05/25 13:26