このシステム状態が本当に問題ないといえるのか？

パソコンが複数のウィルスとスパイウェアに攻撃されたので，業者に駆除をお願いしていたのですが，この度無事駆除できたとのことでパソコンを返していただきました。念のためにと思い，トレンドマイクロ社のネットスキャンをかけてみたところ，以下の9つのウィルス(?)が検出されました。
TOROJ_HARNING.B,*2
TOROJ_STARTPAG.EG,
JABA_BYTEVER.A1,*2
HTML_LAMEDON.A,*4
私が使っていたウィルス対策ソフトはノートンのアンチウィルス2002だったのですが，ウィルス定義は最新なのにどうして駆除直後に9つものウィルスに感染してしまったのかと悩みました。再度6/10の定義でアンチウィルス2002の完全スキャンをかけると，
TOROJAN_HORSE,
TOROJAN.KILLAV,
…の2つが発見されたので検疫しました。しかし，のこり7つのウィルスは検出されず…，今度はシマンテックのオンラインスキャンを利用したところ，
「ウィルスの状態：感染！」
…との情報でした。
同じシマンテックなのになぜだろうと思いつつアンチウィルス2004に入れなおして6/10の定義で完全スキャンすると…なんと8つものアドウェアとダイヤラーが出てきました。検出された脅威は
ADWARE.WINFAVORE,
ADOWARE.CAX*2,
ADOWARE.BLAZEFIND*2,
ADOWARE.ISTBAR,
DIALER.TARGET,*2
そのうち削除できたのは
ADOWARE.BLAZEFIND*2,
ADOWARE.ISTBAR,
DIALER.TARGET,*1
の4個でした。その後,アンチウィルス2004は，システムの状態は問題ないとしています。

アンチウィルス2002がスパイウェアに対応していないからこのよう結果になったのかなあとも思いましたが…。トレンドマイクロの示す脅威名とシマンテックの物が合致しないので，素人には判断が難しいです。

このシステム状態が本当に問題ないといえるのでしょうか。アドバイスをお願いいたします。

No.24 ベストアンサー 回答者： morinokoneko 回答日時： 2004/06/15 14:32

NAV2004はセ―フモ―ドではスキャンできないのでしょうか

利用したことがないのでわからないんですが
もしVB2004のようにセ―フモ―ドで起動できるのであれば
スキャンしてみてはどうでしょうか

セーフモードを起動する方法
http://service1.symantec.com/SUPPORT/INTER/tsgen …

を参考にしてください

あとはS社の回答まちということで
おめでとうございます
S社の場合数日お返事がかかるときがあります

この回答へのお礼

最後まで本当に根気良くお付き合いくださり，本当にありがとうございました。セーフモードでのNAV2004の起動についても，調べてみたいと思います。

お礼日時：2004/06/15 14:43

No.23 回答者： NetAdmini 回答日時： 2004/06/15 07:03

> HijackThisの実行ファイルとログファイルを削除する…とは，具体的にはどのように行えば良いのでしょうか。

HijackThis.exeファイルと、HijackThis.log（これは、ログファイルを保存していないと作成されません）をファイルとして削除することです。

HijackThis.exeは、HijackThisの実行ファイル、つまりプログラムそのものです。ですから、これを削除すれば、HijackThisをアンインストールしたことになります。

> 実は，HijackThisをデスクトップに置いてしまっているのです。残しておくのであれば別の場所に動かしたいのですが，置いておくのに適している場所についてアドバイスがあれば教えてください。

どこに保存するかは、ドライブをCドライブとDドライブに分けているかとか、バックアップをどうするのか、といった考え方によると思います。私の場合は、PCのドライブはいつも2つに（CドライブとDドライブ）分けていて、ドキュメントやメールのデータはすべてDドライブに入れています。また、ネットワークやスパイウェアなどのツールの類もDドライブに入れています。このようにしておくと、Windowsが調子の悪くなった場合や、ろくにテストもしていないソフトなどをインストールして問題が発生した場合などに、何の躊躇も無くCドライブの内容すべて消し去って、調子が良かった状態に戻せるからです。

Dドライブには、[ # Driver & Software ] というフォルダを作っておきます。そのPC専用のディバイスドライバは、その下に[Driver]というフォルダを作って、その中に[Video]、[Sound]などのドライバを保存しています。また、[Software]というサブフォルダを作成し、その中にはアンチウイルスのインストールファイルやアンチスパイウェア、その他のツール類が保存されています。このように設定しておくことで、CD－ROMドライブなどがついていないノートなどでも、OSをリストアした後、すぐにアンチウイルスをインストールできます。（「#」をフォルダ名の前につけているのは、こうすれば、名前順に一覧表示するように設定している場合、必ず一番最初にリストされるからです）

Dドライブには、Windowsをセットアップして最低限必要なソフトをインストールした状態（DドライブのMyDocumentを参照するような設定にしてある）のバックアップイメージファイルも保存されていますので、システムのリストアと、最新の環境に戻すのには、すべて行っても1時間もかからないように設定してあります。

ただし、このように設定できるのは、自分でシステムをインストールし、また、インストールした後もC/Dドライブのパーティションサイズを自由に変更できるからです。（それでも参考にはしていただけると思いましたので、私の設定をご紹介しました）

一般のユーザーの場合、C/Dドライブに分けて運用されていることは少ないと思いますので、HijackThisなどのツール類は、「マイドキュメント」に「Internet Tool」とか、自分にとってわかりやすい名前のフォルダを作成して、その中に「HijackThis」など、それぞれのツールを保存しておかれたら良いのではないでしょうか？

ユーザーの方を見ていると、ディスクトップにたくさんのフォルダを作成して、その中にたくさんのドキュメントやファイルを保存している方を見かけますが、ディスクトップはある種特別な場所なので、あまりディスクトップにファイルを保存することはお勧めできません。（XPでなくなったのかどうかは確認していませんが、98では、256以上のファイルをディスクトップに保存できませんでした。Cドライブのルートにも、同様の制限がありました）

よく理解しているユーザーなら、いろいろな場所に保存しておいてもかまわないかも知れませんが、バックアップする場合、なるべく対象となる場所は少ないほうが作業は簡単ですし、チェックも楽になります。

そのように考えた場合、今のWindowsのシステムでは、「マイドキュメント」フォルダの中にフォルダを作成して保存されたら良いのではないかと思います。

ついレスが長くなってしまいがちですみません。これでお答えになっているでしょうか？

この回答へのお礼

非常にわかりやすい説明をありがとうございました。大変参考になりました。

今回のトラブルをきっかけに，「定期的に効率よくバックアップをとる方法」についても頭を悩ませていたところでした。パソコン内の整理の仕方次第で，時間と労力（場合によってはお金も)を効率よく使うことが出来るのだなと勉強させられました。

この場をお借りして…

お世話になった全ての皆様にお礼を申し上げたいと思います。

貴重なお時間をさいてアドバイスしていただき，本当にありがとうございました。お陰で，最初は少なくとも9つはいたであろう脅威が，確認できる範囲では1つとなりました。また，教えていただきながらではありますが，自分で問題を解決できたことが自信にもつながったように思います。

おそらく，パソコンが社会からなくなることはないと思います。そしてどんどんソフトの使い方そのものは今以上に簡単になってくることでしょうね。パソコンやネット環境を使うメリットもますます増えてくることでしょう。しかし，だからといってPCを単なる「便利な箱」程度に考えていてはいけないのですね。素人の一ユーザーであっても，最低限のことは勉強しておく必要があるのだなと改めて感じさせられました。

今回の質問についての回答は，皆さんのお陰で十分に得られたと思っています。もう少しわからない点や聞いてみたいこともありますが，ここで締め切りとさせていただきます。皆様には今後もこちらのサイトでお世話になることがあるかもしれません。そのときには，教えていただいたことを糧として，少しは成長した姿でいたいものだと思っています。この度は本当にありがとうございました。

お礼日時：2004/06/15 14:39

No.22 回答者： morinokoneko 回答日時： 2004/06/14 23:53

追加です

JAVA_BYTEVER.A-1に感染したという報告が以前ありましたよね
これ以前もうしあげたようにMS03-01の修正プログラムが
あたっているかどうかが問題なんです
情報によるとWIndows Updateには入っているんですが
実際正しくあたっているかどうか確認をしてほしいんです
OS名がいまだに不明ですが　コマンドを使用する
というところをご覧ください
http://www.microsoft.com/japan/technet/security/ …

もしかしたら正しくあたっていないのかなと
今思っています

参考URL：http://www.microsoft.com/japan/technet/security/ …

この回答への補足

ご親切にありがとうございます。OSはXPです。

紹介してくださったURLを参考にさせていただきました。私のPCは「Microsoft (R) Command-line Loader for Java Version 5.00.3810」となっておりましたので，この件には該当していないと思われます。

対策もひと段落着いたので，こちらで教えていただいたことをふまえつつ，残っていたウィルス等の削除の手順や疑問点等を文章にまとめて，業者の方に問い合わせてみようと思っています。

補足日時：2004/06/15 13:45

No.21 回答者： morinokoneko 回答日時： 2004/06/14 23:19

答えわすれがありましたので補足です

＞修正プログラムをきちんとあてれば，「バックドアによる横穴」はふさがる
のものなのでしょうか。或いは，修正プログラムとは，Windows Updateによって
あてられるものなのでしょうか。何も知らなくて

そうなんです　きちんとあたっていたら安全なのです　修正プログラムはWindows Updateに
ないものもあるんです　
よってシマンテックなりトレンドマイクロなりが
これを駆除後あててくださいとなっているものは
あてないといけないんです

No.20 回答者： morinokoneko 回答日時： 2004/06/14 22:59

通常起動で削除ができたら通常モ―ドでいいんです

出来ない場合セ―フモ―ドを起動するわけです

No.19 回答者： morinokoneko 回答日時： 2004/06/14 22:57

前述のURLの＃2さんのご意見では

4で以下はファイルをそのまま削除となっていますので
削除でいいのではないでしょうか
　C:\WINDOWS\dl.html
　C:\WINDOWS\dlm.html
自己責任でお願いします（したことがないからです）

ないものは無視していいんです
削除できませんから。
ちなみにOSわかりませんが
マイコンピュータをダブルクリック
表示→フォルダオプション→表示→全てのファイルを表示するにチェックしてください

＞HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2048B51E-8D74-4762-82CE-B48CF545EEEA}
…が存在しません。通常ここに問題の値がなければ「感染はしていない」ことになるのですか？　

感染していないという証明になりません
レジストリに変更がない場合もありますから。
無いものは削除できませんから無視でいいです

＞だとしたら，NAVのスキャンによって
Adware.Cax-------C\WINDOWS\system\cax.dll
…が，検出されるのはなぜなのですか？

システム全体のスキャンを実行し、Adware.Cax として検出されたファイルをすべて削除します。

とシマンテックがいっているのでスキャンして検出されたファイルは削除でいいと思います

この回答への補足

C:\WINDOWS\dl.html
C:\WINDOWS\dlm.html
上記2つのファイルの削除を行いました。トレンドマイクロ社のオンラインスキャンでは，とうとう感染数｛0｝になりました。

皆様には，ここまで根気良くお付き合いくださり，感謝の言葉もありません。特にmorinokonekoさんには，何度も素人ながらの間の抜けた質問を繰り返してしまいましたこと，お詫び申し上げます。それにもかかわらず，いつも迅速かつ丁寧に解決方法を示してくださいましたね。本当にありがとうございました。

残すところは「Adware.Cax」…これのみとなりました。以下のサイトを参考にさせていただいておりますが…
http://www.symantec.com/region/jp/sarcj/data/a/a …
検出された「Adware.Cax」の削除を試みても「削除できません」と，NAV2004がはじいてしまいます。そしてその後，「脅威名をクリックして残りの項目ごとに正しい処理を判断することをお勧めします。今後のスキャンから除外する項目を選択できます」という案内が出て，「除外」ボタンが示されるのです。

この内容についての問い合わせを，シマンテックのオンラインサポートにて，先日行いました。回答はまだ得られていません。

補足日時：2004/06/15 13:20

No.18 回答者： morinokoneko 回答日時： 2004/06/14 09:12

HijackThisのことがわかり私もわかってよかったです

＞C\WINDOWS\dl.html
C\WINDOWS\dlm.html
上記の文字列を見つけることが出来ず…うまく使いこなせませんでした。
さてレジストリから編集してみましょう
前述のURL
http://okweb.jp/kotaeru.php3?q=825797
の＃2サンの答えがうまくいった感じなんです
あと一息です　頑張りましょうね＾＾。

この回答への補足

前述のURLを参考にさせていただきました。
http://okweb.jp/kotaeru.php3?q=825797

＃2の方のアドバイス1-3までを試してみました。どのファイルも，設定も，見つからなかったので何も削除していません。後は4.を試すのみです。「パソコンの再起動」と記してありますが，これは通常の起動で良いのでしょうか。或いはセーフモードで起動するのですか？　質問ばかりで申し訳ありません。

補足日時：2004/06/14 17:40

この回答へのお礼

補足です。通常の起動で下記のファイルを確認できます。
C:WINDOWS\dl.html
C:WINDOWS\dlm.html
よろしくお願いいたします。

お礼日時：2004/06/14 17:44

No.17 回答者： NetAdmini 回答日時： 2004/06/14 08:17

すみません。

＃１６の文書変ですね。訂正させていただきます。

[誤]
HijackThisは、外部DLLがいらない実行ファイルですから、特にレジストリにエントリを登録したり、DLLをシステムフォルダにコピーしたりしないと思います。ただ、ログファイルをHijackThisが保存された同じフォルダに保存するだけでアンインストールは完了します。

[正]
HijackThisは、外部DLLがいらない実行ファイルですから、特にレジストリにエントリを登録したり、DLLをシステムフォルダにコピーしたりしないと思います。ただ、ログファイルをHijackThisが保存されたのと同じフォルダに保存するだけです。

失礼しました。

No.16 回答者： NetAdmini 回答日時： 2004/06/14 08:10

HijackThisは、保存した場所から実行しているだけで、システムにインストールしたわけではないので、アンインストールする必要は無いと思いますが…。

HijackThisは、外部DLLがいらない実行ファイルですから、特にレジストリにエントリを登録したり、DLLをシステムフォルダにコピーしたりしないと思います。ただ、ログファイルをHijackThisが保存された同じフォルダに保存するだけでアンインストールは完了します。

将来、またHijackThisを実行してマニュアル駆除しなければならない状況に陥るかもしれませんので、残しておいたらよいのではないかと思いますが、「とってしまいたい」と思われるなら、HijackThisの実行ファイルとログファイルを削除するだけだと思います。

この回答への補足

実は，HijackThisをデスクトップに置いてしまっているのです。残しておくのであれば別の場所に動かしたいのですが…HijackThisの実行ファイルとログファイルを削除する…とは，具体的にはどのように行えば良いのでしょうか。また，置いておくのに適している場所についてアドバイスがあれば教えてください。

補足日時：2004/06/14 17:09

No.15 回答者： morinokoneko 回答日時： 2004/06/14 04:42

連絡おそくなってごめんなさい

ご質問が多くてまず駆除から
＞私の場合，完全スキャンを行い検出された「Adware.Cax」の削除を試みても削除できなかったので，手順3の「レジストリから値を削除する」を実行することで駆除できる…という理解で良いのでしょうか。よろしくお願いいたします。


そうです　値削除です

＞HijackThisをアンインストールするにはどうすれば良いのでしょうか。

これ調べておきます　私はインスト―ル経験がありません
しばらくお待ちください

その他のご質問
個人的にはその業者はクロです
ほかの回答者さんも同じ感触をもっていてホッとしてます
なぜならその業者は駆除作業はおこなったのだろうと推測できますが修正プログラムをいれていなかったのではというのがJAVA_BYTEVER.A-1に感染したことで
明らかであります
ちなみのその業者さんWindows Updateしてくださってます
？駆除作業とNAV2002かもしくはNAV2004だけウイルス定義
アップしていてもだめなんです　
片手落ちで　修正プログラムをあてる
Windows Updateはできるだけするようにという
指導はどのセキュリテイベンダ-もいってることなんです
再感染をしてしまうという報告があるんです
中間報告終わりです

この回答への補足

「Adware.Cax」の「レジストリから値を削除する」に取り組んでいるところです。ところが，
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2048B51E-8D74-4762-82CE-B48CF545EEEA}
…が存在しません。通常ここに問題の値がなければ「感染はしていない」ことになるのですか？　だとしたら，NAVのスキャンによって
Adware.Cax-------C\WINDOWS\system\cax.dll
…が，検出されるのはなぜなのですか？

ところで，色々とご心配をおかけしております。Windows Updateの件についてですが，重要な更新は｛0｝となっていたので，おそらくきちんとしてくださっていたのだと思います。

修正プログラムをあてていないのでは…というご指摘については少し気になります。修正プログラムをきちんとあてれば，「バックドアによる横穴」はふさがるのものなのでしょうか。或いは，修正プログラムとは，Windows Updateによってあてられるものなのでしょうか。何も知らなくて…質問ばかりで申し訳ありません。

補足日時：2004/06/14 16:55