- ベストアンサー
「ウィルスが見つかったため・・・」と出るのですが、これは本当にウィルス(スパイウェアー)でしょうか?
週に1,2度は、AD-Aware等を用いてスパイウェアーの検索を行っております。 数週間前くらいから、AD-Awareの「フルシステムスキャンを実行」で検索をかけると、検索終了直前にウィルスバスターのリアルタイム検索で、必ず下記のようなメッセージが出るようになりました。 (スマートシステムスキャンでは、このメッセージは出ません) 『ウイルスが見つかったため、処理を実行しました ファイル名: C:\DOCUME~1\ユーザー名\LOCALS~1\Temp\AAWTMP\C1770115\keyfinder.exe ウイルス名: CRCK_JBEAN.A (クリックで詳細情報を表示) 処理の結果: ファイルからウイルスが見つかりました。リアルタイム検索が有効なため、このファイルへのアクセスを拒否します。このウイルスは、手動で処理する必要があります。』 このときに、「(クリックで詳細情報を表示)」をクリックしてトレンドマイクロのHPにアクセスしても、 「お探しのウイルスはデータベース上に見つかりませんでした。」と表示されます。 そこで、トレンドマイクロやグーグルの検索にて、「CRCK JBEAN.A」や「Keyfinder」などで検索をしてみましたが、該当する項目を見つける事が出来ませんでした。 これは、本当にウィルスとかスパイウェアーの類なのでしょうか? それとも、AD-Awareの検索作業の何かが、ウィルスバスターのリアルタイム検索に干渉しているのでしょうか? 発見された実行ファイルと思しき物のキーワードの中に「Keyfinder」とあったので、少し気になっております。 尚、使用しているソフトは以下の通りです。 各ソフト共に、アップデートは最新の状態にしています。 ・WINDOWS XP Home Edition Service Pack 2 (ビルド2600) ・ウィルスバスター2005 ・AD-Aware SE Personal(Build 1.03) ・SpywareBlaster 3.4 ・Spybot 1.3 説明不足の点は追記しますので、お手数ですがご指摘下さい。
- みんなの回答 (7)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
今は試用版のWin2000からwin98にダウングレードしているから正確な名前はわかりませんが、 "実行"というタブではありません。 "セキュリティ"とか"アクセスコントロール"みたいなタブだったと思います。 そこから、ユーザごとのアクセス権をいじれるようになっていますから、ファイルの実行を禁止してやると、ウィルスが活動できなくなります。 上位のフォルダのプロパティから変更できると思います(ファイルのすぐ上がだめだったら、そのまた上のフォルダのプロパティはいじれると思います)。 素人流の応急手当ですが、それでなんとか切り抜けられました。 ところで質問を読み直して思ったのですが、検索終了直前にウィルスバスターの常駐チェックでかならず、ということですから、誤検出かもしれないですね。 AD-Awareの作った一時ファイルを誤ってウィルスとして検出しているのかも。 \AAWTMP\はAD-Awareがつかっているフォルダみたいなので。 \AAWTMP\以下にウイルスが中間生成ファイルを展開する例もあるみたいなので絶対安心とは言えませんが↓ 混乱させて済みません^^; C:\DOCUME~1\ユーザー名\LOCALS~1\Temp\AAWTMP\C1770115\ までは普通に開けますか?
その他の回答 (6)
- ryu-fiz
- ベストアンサー率63% (2705/4228)
役に立つかどうか分かりませんが…こういうページがあります。 http://www.atmarkit.co.jp/fwin2k/win2ktips/540rootkit/rootkit.html ここで紹介されているRootkitRevealerやF-Secure BlackLightを使うと、WindowsAPIから隠蔽されているrootkitを発見できる可能性がある、ということのようです。試してみる価値はあるかも知れません。 RootkitRevealerについてはこんなページも見つけました。 http://grin.flagbind.jp/archives/2005/03/rootkitrevealer_1.html 通常はこのページを書かれた方のように、「Key name contains embedded nulls(*)」とついたものしか発見されません。 逆にそれ以外の注釈がついて発見された項目があれば…それが怪しい、ということになるかと思います。
お礼
回答頂きありがとうございます。 ご紹介頂いたURLは、素人の私には少々読み応えがありそうなので、これからじっくり拝読させて頂こうと思っております。 取り急ぎお礼まででした。
補足
書き込む場所が無かったので、こちらの補足欄にて失礼させて頂きます。 システムの復元について思い出したので、試しにシステムの復元を無効にして、再起動したところ、その後、メッセージが出なくなりました。 根幹的な原因は不明なものの、今回の症状の原因は、システムの復元の為に記憶されていた場所だったようです。 多くの方々に貴重なお時間と情報を頂きました事に深く感謝します。 本当にありがとうございました。
- hamahamachan
- ベストアンサー率50% (318/624)
リアルタイム検索で検出された場合のスパイウェア処理については、#1さんのおっしゃるようにもしかすると誤検出かもしれないので「隔離」がいいと思います。 http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=10636 #4さんのおっしゃるようにもしかするとウイルスの働きによって見えなくなっているのかもしれないので、セーフモードで起動して名前変更してしまう、というのはいい手だと思いました。 これでも当該ファイルが見つからなかったらすみません。
お礼
回答頂きありがとうございます。 セーフモードで起動して捜してみましたが、やはり当該ファイルを発見する事は出来ませんでした。 (もしかすると、#4の方が仰っている、実行を禁止にすると言う項目の変更をしていないからかもしれないのですが、肝心な、その変更項目を発見出来ずにおります、汗汗汗) でも、ご紹介頂いたURLは、とても分かりやすい説明で、なるほど、こういう手段もあるんだなぁ、と大変勉強になりました。ありがとうございました。
#3です。 むむ。エクスプローラで見えないんですね。 ウィルスが自分で見えないように細工しているんです。結構良くあることです。 先ほど回答したように、上位にあるフォルダのアクセスコントロールを適当にいじってやると見えるようになり、削除もできるようになると思います。
お礼
何度も回答頂いて恐縮です。ありがとうございます。 ご紹介頂いたURLの検索を実行させて頂きましたが、残念ながら見つける事は出来ませんでした。 でも、有用なURLをご紹介頂き、今後の参考にもなりますので、助かりました。 >上位にあるフォルダの"プロパティ"でファイルの"実行"を禁止にして プロパティを開けてみても、”実行”と言う項目は見つかりませんでしたが、これは何か少し違う表現だったりするのでしょうか? もしも、お時間が許す事があれば、大変恐縮ですが、お教え頂けると幸いです。
こんなの使ってみたらどうですか? 市販のウィルスベンダで検出できない商用のキーロガーとかスパイウェアも検出できます。 以前、スパイウェアで困ったときに質問して、回答者さんに教えていただいたものです。 http://www.shareedge.com/spywareguide/index.php 手動で削除する場合は、 まずそのファイルそのものか、上位にあるフォルダの"プロパティ"でファイルの"実行"を禁止にして、再起動すると削除できるようになると思います
- hoihence
- ベストアンサー率20% (438/2093)
こんにちは。 なんとなくわかりました。 どうやらこのkeyfinder.exeってやつは、プロダクトキーを調べる物のようです。クラッキングツールに相当するものなので、ウイルス名にCRCKが付いてるわけです。 手動削除でいいと思いますよ。
お礼
回答頂きありがとうございます。 ひとつ書き忘れておりましたが、このメッセージの後に、再度ウィルスバスターでスキャンしても、検索結果に当該ウィルスが検出されないので、手動削除も出来ない状態なのです。 大事な事を書き忘れてしまって申し訳ありませんでした。
補足
回答に書いたとおり手動削除出来ないので、ファイル検索で当該ファイルを検索してみましたが、やはり見つかりませんでした。 また、エクスプローラーで直接捜しても見ましたが、見あたりませんでした。
- ex_hmmt
- ベストアンサー率48% (726/1485)
「Keyfinder」ってWindowsやOfficeのプロダクトキーを 解読するためのツールですよね。 http://www.noppi.jp/diary/?date=20050811 危ないツールだから検出してる、って事ないですか? というか、Keyfinder使った事あります? 正直トレンドマイクロに問い合わせた方が良いのではないかとも思いますが。 誤検出という可能性もありますから。
補足
早速回答頂きありがとうございます。 その類のソフトは使用した事はありません。 そうですね。どうしても不明な場合は、仰るとおり誤検出の可能性も否めないのでトレンドマイクロに問い合わせしてみようと思います。
お礼
こんな時間までお付き合い頂いて、こちらこそ恐縮です。 これからご指示頂いた事等を試してみようと思っております。 仰るとおり、誤検出の可能性もありますので、トレンドマイクロにもメールにて問い合わせを送ってみました。 まだ、途中とは言え、色々な事をお教え頂き本当に感謝です。
補足
>C:\DOCUME~1\ユーザー名\LOCALS~1\Temp\AAWTMP\C1770115\ までは普通に開けますか? C:\DOCUME~1\ユーザー名\LOCALS~1\Temp ↑ ここまでは存在するのですが、これ以降に該当する箇所(フォルダ、ファイル)は見当たりません。