Infostealer

C:\WINDOWS\system32\zipfldra.dll にInfostealer
というウイルスが感染しているらしいのですが
駆除方法とかはありますか？

いろいろ検索したのですが
ＰＣの知識に乏しいため似ている記事からの
応用が出来ません＞＜

どなたかお願いします

No.3 回答者： ryu-fiz 回答日時： 2011/03/06 09:01

AnyDVD - confusing problems! Please help. - Page 3 - SlySoft Forum

http://forum.slysoft.com/showthread.php?p=273488

SlySoftのAnyDVDの海賊版利用が原因である可能性があります。この種の不正利用は感染の温床になるケースが高いので安易に行うことは自殺行為です。お心当たりがあるなら自重してください。

HKLMの「AppInit_DLLs」キーの削除
http://www.higaitaisaku.com/appinitdlls.html

今回のケースでもAppInit_DLLsというレジストリキーが使われているようで、レジストリエディタでの対処も難易度が高そうです。ESET UnDLLを使ってみると良いかも知れません。

まず…UnDLLを使う前準備として、次のURLを参考にしてシステムファイルを含む全てのファイルが表示されるようにWindowsの設定を変更してください。

http://www-06.ibm.com/jp/domino04/pc/support/beg …

UnDLLの入手は次のURLから。
http://www.nod32.it/tools/undll.php

"Fare clic qui per scaricare UnDLL sul computer "と書かれたリンクをクリック。
"undll.zip"をダウンロードし、デスクトップなどに保存してください。

ダウンロードしたzip形式のファイルを適当なフォルダ内に解凍し、中のexe形式のファイルを実行します。Vista/7環境でご利用の場合は、解凍はProgram Filesフォルダ以外に行い、実行ファイルは右クリックから『管理者として実行』してください。

起動後Enterキーを押すか、"Select infected DLL"をクリックすると、ファイル選択のコモンダイアログが開きますので、削除したいファイルを選んでください。（『ファイルの種類』を『All files (*.*)』に切り替えることにより、DLL以外の拡張子を持つファイルも選択可能です）

DLLファイルのプロセス注入や、それ以外の手法によるプログラムの起動になどに関わるレジストリキーも検索、併せて削除を行うために、通常ウイルス対策ソフトで削除出来ないファイルの除去も期待出来ます。作業終了後、システムの再起動を要求されたらそれに従ってください。

UnDLL.exeが置かれたフォルダ内にログファイルが生成されると思うので、それを確認すれば作業の結果は分かると思います。成功した場合でも、念のために再度感染をチェックしてください。

なお、Infostealerは情報漏洩に関与します。感染後にPC内で取り扱われた個人情報、例えばクレジットカードや銀行口座の番号、パスワードなどです。最悪の事態を想定し、変更が効くものは極力変更を行い、不正利用が今後行われないかどうか一定期間の監視が必要でしょう。

また仮に、有償物の不正入手やコピーなどがこれまでも日常的に行われていたのであれば、他にも未検出の感染が隠れていたりする可能性も否定出来ません。該当するなら、不正に取得したものはすべて破棄し、最小限のデータだけをバックアップして、リカバリなどでシステムの初期化を行うことをお勧めします。

繰り返しになりますが…もし不正なソフトの利用が原因であるなら、自業自得です。PCの知識に乏しい、などというなら最初から手を出さないで欲しい。違うのなら謝りますが…そうでないなら十分頭を冷やしてください。

No.2 回答者： John_Papa 回答日時： 2011/03/06 07:31

下記のリンクはあなたの調査のものとはちがうのかもしれませんが、SystemExplorerのファイルデータベースにあったzipfldra.dllのMD5ハッシュ値でVirustotal.comの調査データを検索したものです。

赤文字でセキュリティソフト43製品中20製品で検出可能という事が表示されています。
http://www.virustotal.com/file-scan/report.html? …
あなたの調査結果のURLを教えてもらえればよかったのですが（IEの履歴に残っている筈）
あなたの調査データが出て来ないのは、すでに調査済み(View last report)のこのデータで調査を済まされたのか（最新のセキュリティソフト対応を見るためにはReanalyseつまり再調査する必要があります）、MD5ハッシュ値が異なる別種だったのでしょう。InfostealerでVirustotal.comを検索すると何十種類かMD5ハッシュ値の異なるデータが出てきます。
上記リンクを見ると、Infostealerと名付けているのはSymantec、つまりノートンですね。
AVGや、BitDefenderでは検出できないようです。これらを使用しても意味がありません。

したがって、ノートンのユーザーなら駆除用ＣＤは
ノートン ブータブル リカバリ ツール（要プロダクトキーまたは PIN）をつかってください。
http://security.symantec.com/nbrt/nbrt.asp?lcid= …
ＣＤを作るまでは他のＰＣでできますが、使用するときにお使いのノートン製品のプロダクトキーを入力する必要があります。
ノートンをインストールした時点で、ノートンのメニューからブータブル リカバリ ツールを作っておけば良かったのですが、今からでは遅いので、健全なＰＣでブータブル リカバリ ツールを作成してください。
感染したＰＣで作成した場合、正常なＣＤができる保証はありません。
友人・知人・同僚などブータブル リカバリ ツール作成に協力してもらえる人を探してください。

zipfldra.dllは、似た名前のWindows正規ファイルzipfldr.dllではありませんので、プロセスを停止してからファイルを削除する方法も有るかと思いますが、最近はウイルスがファイル一つの単独行動である方が少ないので、へたに片手落ちの処理をして手痛いしっぺ返しを喰らうより、ノートン ブータブル リカバリ ツールで一網打尽に処理される方をお薦めします。

No.1 回答者： John_Papa 回答日時： 2011/03/05 19:01

Infostealerって、information(情報) stealer(ステルス／盗人)をただ単に詰めただけの名称でしょう。

種類が山とあるでしょうから、それらの駆除法を応用しようとしても当て外れです。

zipfldra.dllがInfostealerに感染していると判ったのはどうしてでしょう？
それが判るのなら、PCからHDDを外してUSBケースに入れ、それを判明させた同じセキュリティソフトがインストールされた他の健全なPCに外部ドライブとして接続して検査すれば駆除できる筈です。感染したＰＣで上手く駆除できないのは、ウイルスが実行中は駆除妨害するからで、実行状態でなければただのファイルですから妨害されずに駆除ができるのです。セーフモードで実行されないタスクは多くありますが、ウイルスもそれならセーフモードでセキュリティソフトでスキャンすれば良いので過去には結構駆除実績がありました。しかし、セーフモードでも起動してしまうウイルスには効果がありません。

Virustotalというサイトがあります。疑わしいファイルをアップロードすれば40程のセキュリティソフトで検査した結果を表示してくれます。
http://www.virustotal.com/
そこにC:\WINDOWS\system32\zipfldra.dllを放り込んで赤い文字でウイルス名を表示したセキュリティソフトが対応しているソフトということになります。AVGとかBitDefenderで検出できていれば
http://questionbox.jp.msn.com/qa6563299.html
のNo.5の回答に書いたように、友人等に健全なＰＣでＣＤ起動の対策ツールを作ってもらい、
あなたのＰＣでＣＤからスキャン駆除するのが確実性の高い方法です。

この回答へのお礼

アップロードしてみたところ
２０っこくらい赤字のが出てきました
これらすべてウイルスなのでしょうか・・・？


あとＰＣ使えるような友人がいない場合は、どうしようもないでしょうか＞＜；

お礼日時：2011/03/06 00:45