サルでも判るウイルス駆除&防御方法、教えてください。
似た質問を以前も立てましたが、また発生してしまいました。
えーと。順を追って説明します。
WidowsXP HomeEditionSP3…のPCを使用。
ブラウザはI.E8。
ウイルスバスタ2010を入れていて、最新の状態に保っています(「アップデート開始」押しても「既に最新の状態になっています、アップデートの必要はありません」ていうメッセージが出てくる)。
AdobeReader9が入ってますが、ヘルプ→アップデート有無の確認 で「最新の状態になってるのでアップデートの必要はありません」が出てくる状態にしてます。
で、趣味のHPを運営してるんですが、先日、登録してあるウェブリングの管理者から、
「閲覧者から貴方のHPはウイルス感染している という報告がこちらにきました。ノートンアンチウイルスをお使いの方で、貴方のサイトを開いたところ
***
脅威レポート
見つかった脅威の合計: 3
ウイルス (説明の表示)
見つかった脅威: 3
詳しいリスト:
脅威名: VBS.Redlof.A
場所: 私のHPと同じドメイン/以下は違うアドレス 以下3つ
***
という表示が出たそうです。
こちらでも貴方のHPにアクセスしたところ、似たような警告が出ました。
お使いのPCなど確認して、至急対策をとって下さい」
というメールが来ました。
慌ててPCのウイルスバスター起動して「検索開始」と「アップデータ開始」、それから「契約更新/その他」から「ログ(履歴)」起動して「ウイルス検索」の履歴を覗きましたが、いずれも反応なし。
Googleで自分のサイトのURLを検索しても「安全」って出るし、自分のHPを自分のPCで表示してもTrendプロテクトは「安全」って評価します。
え…本当に感染 してるの?それに、特に自分のPCの動きが遅いとか何とか、不具合 起きてないけど…。
このページ(http://www.jpcert.or.jp/at/2010/at100001.txt)の「Web サイト管理者向け」見てみましたが、対策として
-Web サイトの更新ができるコンピュータを制限する。(IP アドレスなど)→え…どうやって設定すればいいの?
-Web サイトで公開しているコンテンツに不正なプログラムが含まれてい
ないこと、コンテンツが改ざんされていないことを確認する。
- 多くの改ざんされたサイトでは不正な script タグが挿入されています。
HTML ファイルや外部 .js (Javascript) ファイルに「/*GNU GPL*/ try」
や 「<script>/*CODE1*/ try」と言った文字列 が追記されています。
→今のところ見つけられてない。
1.そもそも私のHPは、PCは、本当に感染してるのか?してるならしているで、してないならしてないで、確実に知りたいどうやって調べればいいんだ!
2.感染している場合、どうすれば駆除できるの?PCならウイルスバスター起動すればいいんだろうケド…
3.感染してない場合、なんでHPを開いた途端 ノートンが警告を発した という事態が起きたのだろう?閲覧者の人に なんて説明すれば…
以上3点、PCオンチのお年寄りに解説すると思って判りやすく説明できる方、いらせられますでしょうか…?
ちなみに前回 同様の事態が起きた時は、
「ドメインが同じなので、同じドメインにあるサイトは一律でキケン とウイルスソフトが過剰反応したんじゃない?」
というところに結論が落ち着いたのですが…2回目となると流石に、自分のHPは本当に安全なのかーッッって心配に…。
No.1
- 回答日時:
パソコンはリカバリして、セキュリティソフトをインストールだ!
または、パソコンごと買い直して、セキュリティソフトをインストールだ!
ホームページスペースもすべてのファイルを上書き、またはすべて削除してから再アップロードだ!
セキュリティソフトはカスペルスキー・インターネット・セキュリティ(Kaspersky Internet Security)がお薦め。
いますぐパソコンショップへ走ろう…夜中か、今はw
これなら猿(と自負する質問者さん)でもできるだろうと思う。
疑わしきは消しちゃえ…ってことです。
すいません「PCはリカバリ」の「リカバリ」が既に判りません…。
HPに関しては、既存ファイルを上書or削除して再アップロード。でいいんですね?
あーあと、質問文中のサイトに
「FTP サーバのログを確認し、アクセス元IPアドレス、アクセス日時などに
不審な点がないか確認する。」
のもやりなさいとあったんですが、FTPサーバって…。
「システムのセキュリティ・パッチの確認を忘れるな」
とも言われたんですが、システムってどのシステム…?
とか。
No.2
- 回答日時:
ノートンやウィルスバスターなどいろいろ出ていますが100%根絶することは不可能。
ソフトによって検知する物が違い、ノートンでクリーンでもアドウェアというよろしくないプログラムなどは別ソフトで50件とか出ていますし。
この瞬間にも新しいウィルスは作られていますので。
ノートンは、クッキーという利用履歴を調べるためのものですら、脅威や注意というのを表示しますし、2ちゃんねるは危険なサイトと警告してきます。
本当に、そのサイトが危険なのかは、基準によって異なるので正確なものはありません。
JAVAやCGIといったプログラムも内容によっては、対策ソフトで止められてしまうことがあるので、過剰に危機意識を持ちすぎている可能性があります。
本当に感染すると、データをクラッシュさせられる。または、管理者権限が奪われて、パスを変更されて、ウィルスを削除もできない。外部から意のままに操られるという状態です。
対策としては、
不用意にフリーソフトを入れない。
広告バナーからリンクしているサイトに入らない。
運営しているサイトのコンテンツが改ざんされていないかチェックをする。
自分の家に、ルータを設置してファイアーウォールを構築する。
ポートは開けっ放しにしない。
(ウィルス対策ソフトは、ポートをノックされても通常は拒否できるようになっています)
ファイル共有ソフトを使用しない。
あと忘れがちなのが、動画サイト。
中国とかの国外動画サイトは危険です。(名称は伏せますが)
友達から借りたUSBは事前にソフトにスキャンさせる。
私は、USB経由で、マイコンピュータをクリックするたび増え続けるデータベースマクロを用いたトロイに知らずに感染してディスクがえらいことになった経験有り…
回答 ありがとうございます。
あ、2ちゃんねるはGoogle(ウイルスバスター?)でもクロ判定 出てます^-^;
それでなくてもアングラサイトなので怖くてアクセスしませんが…(て言ったら「アングラサイト…まああながち間違いじゃないけど…」と失笑された)。
一応、データクラッシュとか目に見える不具合はPCに起きてないんですよ、何も。
それで、トレンドマイクロに問合せしても埒が明かないんです(向こうは「不具合が起こったときの画面をプリントスクリーンして送ってみてくれ」って言ってくるので…)。
フリーソフトは、今のところOpenOfficeのみ入ってます。
広告バナーをクリックしたことはありません。
サイトのコンテンツ改ざんは今のところ見当たらず…すみません、ルータとポートは判りません>-<
ファイル共有ソフトや人様のUSBを使ったこともないし…動画サイトは、こないだおサルのようにYouTubeを見たのがお初でしたが、それ以上は…。
…ネットの有効活用 殆どしてませんね 私ってば!
とまれ、一応シロ と見ていいんでしょうか?
となるとあとは、
なんで閲覧者さんのPC(のセキュリティソフト)はキケン と言ってきたのかー…ですけど…
No.3
- 回答日時:
>場所: 私のHPと同じドメイン/以下は違うアドレス 以下3つ
独自ドメインで運用しているのですか?
であればスラッシュ以降もあなたのサイトスペース内ということになりますよ。
プロバイダなどのレンタルスペースを使っているのなら全く別の人のスペースです。
Webサイトのページ内自体にはり付くように感染をするウィルスがあります。
これはページ(htmlファイル)自体に感染して、このウィルスが活動可能な
環境でアクセスした人に対して感染が広まって行きます。
今回のRedlofもその一種です。
これはMicrosoft製OSに存在するセキュリティホール(警戒が甘い部分)を
利用して実行されるもので、Microsoftを信じるならば対策済の
WindowsXP SP2以降の環境では発症しません。
ですからSP3環境ならこの問題を引き起こすセキュリティホールについては対策が
完了しているはずなので感染はしないはずです。
となると、通報して来た人のマシン自体が感染している可能性が高いのですが。
ウィルスの中には感染するとhostファイルやレジストリを書き換えて
感染したマシンから特定のサイトへ移動しようとした際、見た目上(アドレス欄など)は
そのサイトにアクセスしにいってるように見えても、実は別のサイトに繋ぎに行く
という状態にしてしまうものがあります。
例としてはブラウザにabc.comとタイプしてアクセスしようとしても
実際にはdef.comに繋がっているという状況です。
スキャンソフトの警告画面が出た際、実際に繋ごうとしていたサイトと
警告に表示されたサイトアドレスが一致しないということがあれば
そのような細工がされている可能性も考えられます。
>独自ドメインで運用しているのですか?
>であればスラッシュ以降もあなたのサイトスペース内ということになりますよ。
あっ違います!プロバイダなどのレンタルスペースを使っているので、全く別の人のスペース。
なので、今回の、ウイルス感染疑惑には釈然としないものがすごく…。
「よそ様のスペースの感染が、なんでウチのスペースの感染 と混同されるんじゃ!?」
でも2回目ともなれば、本当にただの混同 と片付けていいものか とビクビク…。
万一 自分のところが感染していたら、バラまき続けているわけですから…。
えーと、
「通報者のPCが感染している。
私のサイト・PCは未感染。」
として、通報者に対策をよびかけ、自分のHPはオープンしていい…の、でしょうか?(下の回答を見てとりあえずファイルを隔離してるんです…)
No.4ベストアンサー
- 回答日時:
広告が自動挿入されるサイトなら、広告にウイルス仕込があるという場合があります。
この場合であれば、レンタルサーバーを移られるのが賢明でしょう。
この件の参考:http://oshiete.goo.ne.jp/qa/5897258.html
また、ノートンは上記リンクでもお解かりの通り、サイト単位で警告を発しますので、同じドメインの雑居WEBサーバーでは警告の巻き添えを喰います。
防御方法も、上記に書かれている通り。
>場所: 私のHPと同じドメイン/以下は違うアドレス 以下3つ
ということですから、雑居WEBサーバーの他人のホームページが改ざんされているということですね。
WEBサーバーのレンタル元に連絡して、該当ページを封鎖・修正する手続きをとって貰えれば、早期解決するでしょう。ただ、該当ページ管理者のPCが感染したままだと改ざんは繰り返されます。
この状況でしたらあなたのPCに感染無いことも大いに考えられます。
あなたのPCに感染しているかどうかは別問題で不明です。
この方面(改ざん)には、avast!/AVIRA/カスペルスキー/ノートン などの方が検出率高いです。
Trendmicroのウイルスバスターでは私が関わった限り改ざんスクリプトが生きている間に検出できた例がありませんので、可能なら上記紹介など他のセキュリティソフトに乗り換えるか、オンラインスキャン http://lhsp.s206.xrea.com/misc/onlinescan.html や非常駐アンチウイルスソフトのBitDefender http://www.bitdefender.com/PRODUCT-14-en--BitDef … などを併用をお勧めします。
>- 多くの改ざんされたサイトでは不正な script タグが挿入されています。
なんですが、決まった文字列が記載されているほうが稀です。ifarameやimgタグも多用されています。カウンターやアクセス解析に見せかけたり・・・。
最近は難読化されていない一行タグも多いです。多少慣れた人でも見落としがちですのでね。
一行改ざんには無料アンチウイルスソフトのAVGが強みを発揮するようです。
<script>を定義せずにいきなり document.write()で書かれていたりもします。
リダイレクトのサイトを中継する方式が主流になったので、末端の改ざんは中継サイトににリダイレクトするだけの簡単なものになってきています。
HTMLソースから改ざんを見つける作業が難しくなりましたが、根気良く点検して安全を確認してください。
この回答への補足
webサーバ管理元に連絡したところ、
「こちらでアクセスしました。
警告が出たので隔離しました。
が、更に詳しく調べたところ、問題がなかったので隔離解除しました。」
という回答が。
「なんで問題がないのに警告が出るの?」
と聞き返しても、
「閲覧者一人一人のPC環境に因る現象については答えられない」
とのみ…。
「閲覧者でなくていい!アンタのPCで!一度は警告出たんだろう、なんでアンタのPCが警告出してきたか、それだけでいいから参考意見として報告してよ!!」
と言っても
「閲覧者一人一人のPC環境に因る現象については答えられない」
という回答が返ってくるのみで…。
諦めて、安全宣言出しました…。
レンタルサーバーのドメイン表示が変更になったんですが(旧URLを入力しても新URLにきちんとつながるようにはなっている)、どうもその、旧URL入力でアクセスするとセキュリティソフトが警告を出すようで。
(新URLと旧URL両方でアクセスしてみて下さった訪問者さんがいて、「新URLでやったら警告でなかったよ!」って教えてくださったので確かだと思います)
ブクマしてくれている方は新URL表示に切り換えてください、としました。
締め切り、遅れて申し訳ありませんでした!
判りやすいご指導、ありがとうございます!
急ぎWEBサーバーのレンタル元に連絡して、処理をお願いしました!
広告にウイルス仕込がある恐れがあると言われたことも伝えましたので、向こうの対応次第でレンタルサーバを変更するか決めます。
あと、お教えいただいたサイトはどれも大変参考になっています。
理解が遅いので(おサル…)ちょもちょも読みつつ(10回くらい読んでようやっとナニを言われているのか理解ができる…)判った端からスキャンしたりセキュリティ併用したりしています。
安全にしろ危険にしろ、判定作業が亀の歩みなのでちょっと回答を締め切るまでに時間がかかりそうですが…自分のPCに差し迫った危険はなさげでほっとしました。
あとは自分のサイトが差し迫った脅威(をばら撒いているか)だ…!
頑張って点検します!!
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- その他(ブラウザ) IE・edgeで日増しに観られるサイトが減ってくる。 1 2022/10/04 22:40
- Wi-Fi・無線LAN PCWi-Fiの設定方法がわからなくて困っています。 4 2022/12/28 18:30
- マルウェア・コンピュータウイルス FlashPlayerの削除とマルウェア感染について 5 2023/02/23 20:52
- その他(パソコン・スマホ・電化製品) PCに詳しい方に、質問です。 使用しているのは、TOSHIBAのPCで、多分なんですけど、アップデー 4 2023/01/28 03:30
- Chrome(クローム) 【Google】「同期は有効です」と表示されているがブックマークが同期されていない 2 2022/11/17 13:32
- Chrome(クローム) PCの Google Chrome が頻繁に「ページが応答していません」となり作業が進みません。 1 2023/05/25 20:43
- デスクトップパソコン 「自動修復でPCを修復できませんでした」と表示されPCが起動しないのですが対処法はありますか? 5 2022/05/13 09:16
- Windows 10 (緊急)windowsのタスクバーやアプリ?が反応しない 3 2023/03/28 05:03
- Outlook(アウトルック) OCN WEBメールについて 1 2022/05/18 23:33
- マルウェア・コンピュータウイルス 普段使いのスマホとデータのないノートPC ノートン入れるならどっち? 5 2023/08/28 15:12
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
マイクロソフト365家庭用のウィ...
-
ライブチャットでウィルス感染...
-
勝手にシャットダウンするので...
-
フロッピーディスク等によるウ...
-
仕事とプライベートの使い分け
-
C:\\_RESTORE\\TEMP0021090.CPY...
-
同一Lan内でp2pをしている人が...
-
外付けHDDにウイルスは感染しま...
-
感染したPCでDVDを焼いた場合は?
-
自分のパソコンがマルウェアに...
-
CDやDVDにコンピューターウイル...
-
「message.exe.」 ←これはウィ...
-
noreply というメールはウイル...
-
SDカード内データにウイルスが...
-
エクセルのマクロウイルスに感染
-
CD-Rデータのウイルススキャン方法
-
よく分からないtmpファイルが・...
-
「webmaster@****.co.jp」って...
-
変なメールが・・・タイトルが ...
-
ウイルスやスパイウェアを忍ば...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
CDやDVDにコンピューターウイル...
-
テキストのコピペで感染するか?
-
マイクロソフト365家庭用のウィ...
-
感染したPCでDVDを焼いた場合は?
-
USBメモリウイルスCDなら安心?
-
アイフォンはウイルス感染する...
-
外付けHDDにウイルスは感染しま...
-
iPhoneのデザリングについて も...
-
ウィルス感染している?
-
pdfを保存したファイルがトロイ...
-
ウィルスに感染して(?)、キ...
-
PCの同期
-
仕事とプライベートの使い分け
-
ごみ箱の中のスキャン
-
ネットにつないだだけで感染す...
-
Googleでネットサーフィンをし...
-
フロッピーディスク等によるウ...
-
LANケーブルを介するウィルスの...
-
Avira自動実行ブロックの警告
-
ライブチャットでウィルス感染...
おすすめ情報