rikvm_E92D8507.sysについて

Norton の Power Eraser でスキャンした所、rikvm_E92D8507.sys が検出されました（添付）。

「解決」を押して、Nortonに解決して貰ったのですが、PCを再立ち上げして再度スキャンするとまた、rikvm_E92D8507.sysが検出されます。Nortonの画面でファイルの所在を表示させると、C:\Windows\System32\drivers にあるとの事です。

ところが、このファイル、隠しファイルを表示するようにしても、該当ディレクトリの中には見当たりません。すぐにスキャンして見たら、また検出されます。

該当ディレクトリを見てもファイルがないのにスキャンで検出され続けるという不思議な現象があり、気持ち悪くてたまりません。

いったい何が起こっているのでしょうか。どなたか分かる方、教えて下さい。よろしくお願いします

No.3 ベストアンサー 回答者： wazaogi 回答日時： 2011/02/20 13:35

[1]

再インストールしてもダメとなると破損以外の別の要因かも知れません。
スキャンをトリガーにアプリケーションそのものを破損させるようなものは
考え難いので、環境による可能性も考えられます。

[2]
NortonのセーフウェブによるWebサイトの評価マークは統計的なものなので、
注意レベルのマークならば、セーフウェブによる評価の詳細からそのWebサイトで
過去にどの程度の脅威が確認されているかを見て、ご自身で判断するのもいいでしょう。
(サイト内に表示されている広告がたまたまSPAMサイトだったという場合もあります)

安全と判断されている緑マークの解説サイトをお望みでしたら以下をどうぞ。

《Ad-Aware》
http://antispyware.gozaru.jp/ad_aware/
http://eazyfox.homelinux.org/secutool/adaware/ad …

[3]
アンチウィルスソフトを導入していて、ウィルス定義パターンが常に最新であり、
加えてスマートファイアウォール等を設定されているのであれば、自分からわざわざ
ウィルスに感染 (例えばSPAMメールの添付ファイルを実行してみるとか) しない限りは、
情報漏えいにつながる心配は低いと言えます。

[4]
外部からのアクセスを「安全」か「危険」かを判断する要素ですね。
例えばあなたがどこかのインターネット上のWebサイトにアクセスした場合、
そのサイトを表示するために必ずWebサーバーからの「応答」、つまりあなたの
PCへのアクセスが発生します。
あなたがそのWebサーバーへアクセスした「実績」があるため、ここから
「安全な応答」であるかを判断します。あくまで一例ですけれど。

危険だと判断されるものは、あなたからのアクセスした実績が存在しないもの、
つまり応答ではない出所不明のものが該当します。これも一例です。

ネットワークへのアクセスはあなたが意図せずとも、インストールしてある
様々なアプリケーションやOSによって発生しているものですが、そうした
パケットの通信ログを記録・閲覧したいのであれば、専用の監視ツールなどを
利用することになります。

専用のメンテナンス画面を搭載しているルーターなどには、デフォルトで
監視ツールを備えているものもありますね。

以上、ご参考までに。

この回答へのお礼

丁寧なご回答ありがとうございます。

■　ご紹介していただいた安全マークの付いたサイトで使い方を見て、
Ad-Aware をwindows の通常モードで完全スキャンして見ました。

スキャンサマリーを見ると、57個のcookieを削除してくれましたが、
検疫にひっかかったファイルはありません。

Ad-Awareのヘルプを見ると、ルートキットのスキャンまで行ってくれるようで、
「除去失敗」と出た時はセーフモードでシステムの完全スキャンするように薦められていますが、
「完了」と出ていますので、セーフモードでスキャンする必要はないように見えます。

ご紹介していただいた優れたスパイウェア検出ソフトで問題ないようですので、
安心して使えます。

今日から、Norton と　Ad-Aware の両方で マルウエアを監視して貰います。
良いソフトのご紹介ありがとうございました。

■安全かどうか、アクセス許可をしている判断例を教えて頂き、ありがとうございます。
専用の監視ツールがあるそうですが、個人では費用や運用が難しそうですね。

それにしても、個人が知らないうちに、勝手に情報を流す仕組みがあるとは…
いつ、何処に、どんな情報を送ったかも分からない機械(PC)を販売しているとは…

通信ログを簡単に見えて、情報の送り先の許可リストも簡単にチェックできて
許可指定の変更も簡単にできないと、通信制御が個人で容易にできません。
そういう機械(PC)でないと売ってはいけないという法律ができたら良いですね。

状況が分かり安心しました。
色々、教えて頂きありがとうございます。

お礼日時：2011/02/20 17:41

No.2 回答者： wazaogi 回答日時： 2011/02/17 01:12

エラーコード、お疑いの挙動などから以下追記致します。

■エラーコード:0x00000000 について

Norton Power Eraser に限らず、特定のアプリケーションの実行中に
0x00000000が出力された場合、該当アプリの破損などが疑われるため、
このような場合、通常はアプリの再インストールをおすすめします。

ただトロイの木馬やスパイウェアなどへの感染を疑われている場合、
目的に特化した、誤検知率が比較的少ない「Ad-Aware」や「SpyBot」
などでのスキャンをおすすめします。

先にご説明しましたように、正直トロイなどの検出が目的であれば、
Norton Power Eraser はあまりおすすめしません。


■トロイの木馬とスパムについて

実際はスパムからトロイに感染する事例が多いものです。

仮になんらかのルートで Data theft タイプのトロイに感染していた場合、
スパムを送るためにメールアドレスを抜き出すわけではなく、アカウント
情報そのものを抜き取られる場合があるため、スパムどころではなく第三者に
メールを盗み見されるような可能性が出てきます。

従ってスパムが増えたからトロイの感染を疑うというよりも、スパムに
仕込まれたトロイや他のウイルスへの感染を防止・警戒するのが正解と
言えます。

この回答へのお礼

ご丁寧なご回答ありがとうございます。

[1] Norton Power Eraser のファイルが破損しているということで、
再度セーフモードでダウンロードからし直してみましたが、
同じように、エラーコード 0X00000000 で落ちます。

Norton Power Eraser でルートキットをスキャンすると、
再起動して　Norton Power Eraser が動くのですが、
本体が初めから破損しているとは考え難いです。

スキャン中の動作を見ると、途中まで正常に動き、
問題のファイルがある当りで止まるように見えます。
問題のファイルを検知して、駆除に入ろうとする時に、
破損した部分を呼び出すのかも知れません。

マルウエアが、再立ち上げの終了時かブート時に、
Norton Power Eraser をパッチして破損させたと解釈すると、
かなり手ごわいマルウエアという可能性もあるのでしょうか。
考え過ぎかも知れません。

[2] 「Ad-Aware」と「SpyBot」のご紹介、ありがとうございます。
google で検索して見ると、
使い方を解説したサイトはノートンの注意マークや
安全なサイトではないという赤マークが付いていました。

これ等のサイトは、現在、安全でないサイトを参照していたり、
ウイルスに感染している可能性があるというとこで、
今は閲覧を避けたいです。

使い方が分からないので、今は試すことができないのですが、
そのうちメンテナンスされて安全マークが出ると期待していますので、
来週、またチェックしてみます。

[3] メール全体の情報が漏れるマルウエアもあるとの事で、
人にまで迷惑をかける可能性があり、怖いものですね。

Norton のスマートファイアーウォールをオンにしていますので、
現在、権限のないアクセスは常時遮断されています。
あまり激しい情報漏えいはないと期待しているのですが、甘いでしょうか。

[4] ところで、権限のあるアクセスや権限のないアクセスは、
どのようにして区別されているのでしょうか。

　何処かPC上に権限を与えた情報を格納したファイルがあって、
そこを見ると、何に権限を与えたのかチェックできるのでしょうか。

　今まで何処にどのようなファイルや情報を流したか、チェックできるような
通信ログがあるのでしょうか。

色々、教えていただき、ありがとうございます。

お礼日時：2011/02/20 12:34

No.1 回答者： wazaogi 回答日時： 2011/02/15 05:19

ご質問の内容のみで判断できる可能性は2つ。

[1] ルートキットである可能性
大体にしてセーフモードでスキャンしなければ駆除しきれずに
再検知する場合があります。隠しファイルであるかどうかなどは
関係ありません。セーフモードでスキャンされていますか？

《セーフモードで無償ツールのノートンパワーイレイサーを実行する方法》
http://jp.norton.com/support/kb/web_view.jsp?wv_ …

[2] 誤検知
Norton Power Eraser は通常のアンチウィルスソフトの定義レベルでは
検知することが困難なウィルス実行ファイルを強制的に検知するものです。

とても簡単に申し上げれば、ある挙動をウィルスと判断する場合、
10の項目があったとして、8項目に引っかかればウイルスと判断するのが
通常の検知の流れになっていますが、Norton Power Eraser は例え1項目
でも引っかかれば「ウイルスではないか」と疑ってかかるツールです。

従って「ウイルスではない正規のファイル」も当然検知してきます。

本件はそもそも、あなたのPCでウイルスに感染していると見られるなんらかの
おかしな挙動があったから、Norton Power Eraser を使ってスキャンしたの
でしょうか？

Norton Power Eraser は明らかにウイルスに感染していると思われる状況に
あるが、通常のアンチウイルスソフトでは駆除することができない場合などに
最後の手段として実行するものです。

この回答へのお礼

ご丁寧なご回答ありがとうございます。

[1]セーフモードでスキャンしてみたら、エラー(エラーコード：0X00000000)になって終了しました。
２回試したのですが、いずれも同じ所でエラーになります。

[2]PCは、何もおかしな挙動をしていません。スパムメールが来るようになって、何処からメールアドレスが漏れたのか？　今までメールアドレスを登録した企業からの可能性が高いのですが、ＰＣからトロイの木馬で漏れた可能性も疑い、Power Eraser を試してみました。

ルートキットにこのファイルがあるというご回答、ありがとうございました。

お礼日時：2011/02/16 23:23