- ベストアンサー
SGアンチスパイでの制限サイトの検出
- SGアンチスパイでの制限サイトの検出について知りたいです。
- H.HJK.SearchSquireが検出された5件のレジストリの異なる部分について調査しています。
- SGアンチスパイ2の検出方法や他のセキュリティソフトとの関係について教えてください。
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
>↓の”73586283-1844237615-725345543-1003”の部分がまったく異なる数字なのです。 そこの数字が違っていたからといって気にする必要はありません。 >この部分は使っているPCの種類によって違って当然なのでしょうか?; だいたいそんな感じです。 他に違いが無いなら誤検出です。誤検出かどうかの確認方法は、他にも幾つかあります。 ○Internet Explorerの「制限付きサイト」と「信頼済みサイト」を確認して、「制限付きサイト」に登録されていたら誤検出。 ○レジストリエディタが使えるなら、そのsearchsquire.comをクリックして、右側に出る「データ」のところが、 0x00000004 (4)なら「制限付きサイト」 0x00000002 (2)なら「信頼済みサイト」 です。 0x00000004だったなら誤検出。 ○一旦Spybot S&Dの免疫機能を無効にした後、有効にして、その後、SGアンチスパイ2で検索してみてください。それで検出されるなら誤検出です。 「信頼済みサイト」に「searchsquire.com」が登録されていたら、問題あり。
その他の回答 (4)
- sapoten
- ベストアンサー率45% (137/298)
#4です。 上段に「補足質問」へのお返事を記し、下段には、頂いた「補足質問」に対する「余談」を記しました。 「余談」に関しては、特に興味がなければお読み頂く必要はありません。 >「searchsquire」で検索して~6つのキーを0x00000004(4)になっているかを定期的に確認していきたいと思います。 >SGアンチスパイ2で検出はされていない上記のキーも一応定期的に見ておいた方がいいですよね? 今回の検出は恐らく誤検出でしょうから、PCにインストールされているウィルス対策ソフトとスパイウェア対策ソフトの両方でフルスキャン(詳細スキャン)を行い、何も検出されなければ、特に気にする必要はないと思います。(定期的に確認する必要は、特に無い) また、「信頼済みサイト」に登録それているかどうかは、レジストリ上から確認するのは手間でしょうから、インターネットオプションの「信頼済みサイト」で確認するだけで良いと思います。(こっちは、たまに見ても良いかも) レジストリ上から確認する場合でも、 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com 上記のキーは、下記のキーのコピーです。 HKEY_USERS\S-1-5-21-(ほにゃ)-(ほにゃ)-(ほにゃ)-(ほにゃ)\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\searchsquire.com 故に、両方を確認する必要はありません。 (一方が変更されれば、もう一方も変更されます。同様に、一方を見れば、もう一方も見たことになります。) --- 以上が補足質問への回答になります --- --- 以下は余談です --- (以下で、#4の補足質問に対し、「回答」や「解決方法」とは異なる視点で記します。ただ、これらはもはや、単なる「Windows の仕様」に過ぎませんので、下記の内容に関し、興味や疑問を持たれたとしても、質問は「Windows XP」カテゴリーなどでの新規投稿をお勧めします。) レジストリ上の[ HKEY_CURRENT_USER ]に登録されている各情報(キーや値等)は現在ログオンしている(今、レジストリを見ている)ユーザーに関する情報や設定です。 別のアカウント(名前)でログオンした場合、該当キーには異なる情報が登録されています。 一方、下記のキーに登録されている情報は、アカウントの違いに関係なく有効です。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges そして、上記のキーに登録されている情報は、「インターネットオプション」からは見ることができません。 ですので、スパイウェアによる改変を懸念されるのであれば、上記のキーをレジストリ上から確認することが有意義だろうと思います。 尚、[ HKEY_CURRENT_USER (以下略)] と [ HKEY_LOCAL_MACHINE (以下略) ] の両方で「制限付きサイト」や「信頼済みサイト」として登録されているサイトについては、[ HKEY_CURRENT_USER (以下略)] での設定が優先されます。 ですので、Spybot S&D で免疫化機能により「制限付きサイト」に登録されているサイトについては、[ HKEY_LOCAL_MACHINE (以下略) ] が改変され、「信頼済みサイト」に登録されていても、危険を伴わないことになります。 (但し、勝手にこのキーが改変されて、身に覚えのないサイトが「信頼済みサイト」として登録されている場合、そのサイトが信頼できるサイトか確認し、信頼できないサイトであった場合は、該当キーを修正すると共に、ウィルスやスパイウェアのフルスキャンを実行することをお勧めします。) また、これらのキーはInternet Explorer(IE)や、それに依存するブラウザ(IEエンジンを使用するブラウザ)にのみ有効であるため、それ以外のブラウザ(例えば、Firefox や Opera )を使用する限り、このリスクをかなり回避することができます。 (但し、IE等でなければ正しく表示されないサイトや利用できないサイトもあるので、IEエンジン以外のブラウザを使用する場合は、サイトによって使い分ける必要があります。(Windows Update のサイトなど))
お礼
今回は誤検出でしたが、SGはやはり魅力的ですので(他社ソフトを十分に吟味した上で購入するかを決定するつもりです) 購入する際は、今回のキーを駆除しないように気をつけたいと思います。お礼を忘れてました。ありがとうございました。
補足
丁寧なお返事をいつもありがとうございます。試供版のSGアンチスパイ2をアンインストール後はウィルス対策ソフトや SGアンチスパイ2以外のスパイウェア対策ソフト(spybot,Ad-Aware,windowsdefender)でスキャンを定期的に行いたいと思います。 IEのインターネットオプションから見れる「信頼済みサイト」に*.searchsquire.comが無いこともたまに確認していきたいです。 誤検出だろうとはいえ、SGアンチスパイ2を消してしまうことに少し不安があったので、ANo.5を読んで安心しました! 本当に感染していれば、SGアンチスパイ2以外のソフトが「searchsquire」を検出してくれますよね! 私の細かい質問に根気良く答えていただけてうれしかったです。本当にありがとうございました! 「Ad-Aware」を誤って「Ad-adware」と書いていたみたいです・・。正しくは「Ad-Aware」です。失礼しました。
- sapoten
- ベストアンサー率45% (137/298)
#3です。 >質問が当初の筋とまったくずれていて申し訳ないんですが、~ >~sapoten様のパソコンにこのようなキーはありますか?~ 私のPCの該当箇所には、該当キー「msn.com」・「related」はありません。 >もしかして、私のパソコンだけなんですかね? 私は、私のPCについてしか知りません。他のWindowsユーザーのレジストリについては知りません。 >この部分のレジストリに関して疑問を持ち~ この部分については、#2の冒頭でご紹介したマイクロソフトのページに説明がありますので、そちらを参考にして下さい。 >msn(マイクロソフトの略ですよね?) 「msn.com」なら、はい。「マイクロソフト ネットワーク」。 http://www.msn.co.jp/home.armx (msn.comは英語サイト。msn.co.jpは日本語サイトです) 但し、サイト名やプログラム名の一部に「msn」や「win」などがあるからといって、安易に「マイクロソフトだろうから問題なし」と決め付けてしまうのは危険ですのでご注意下さい。そういった考えを利用した、偽サイトやウィルス・スパイウェア等もあります。 >また、先程、知人に誤検出の件は解決したと報告したところ、~ >個人情報や不正な行為に役に立つような~ 今回質問者様が記述された内容には、質問者様や、質問者様のご使用になられているPCに関して、特定できるような情報は記されていません。 >HKEY_LOCAL_MACHINEは”Software”は~。そういうものなんですよね? はい。そういうものなんです。 >パソコンの設定が知られるだけで誰かに悪用されることなんてないですよね??? 「パソコンの設定」という表現はあまりにもアバウト過ぎて返事に困りますが、場合によってはあります。 「例えば?」ということでしたら、「Windows XP」カテゴリーなどで投稿なさると、幾つかの実例(例え話)が、回答として付くものと思います。 (「コンピューター(家庭向け)」→「Windows」→「Windows XP」) (尚、質問者様のOSがXPでなかったとしても、今回の回答文#1~4までの内容について、それを理由に修正するべき点はありません。) 今回に限って言えば、これらの情報だけで質問者様のPCに害を与えることは出来ません。 >レジストリだけで個人情報や知られては困るような情報が解ることは本当にあるのですか? 場合によってはあります。 「例えば?」ということでしたら、上記と合わせて質問なさると良いと思います。 「何を以って「個人情報」というのか」、「何が「知られては困るような情報」なのか」は人によって違いますが、 ただ、前述したように、今回質問者様が提示なされた「パソコンの設定」に関する情報や「レジストリ」に関する情報から、質問者様個人や、質問者様がご使用のPCを特定することは出来ませんし、また、それに繋がるような情報も記されていません。
お礼
また、解りにくい書き方をしてしまいました^^;お礼をし忘れていたのでついでに補足させていただきます。 「searchsquire」で検索して(検索対象は”キー(k)”のみ)見つけた6つのレジストリ↓です。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com HKEY_USERS\S-1-5-21-(ほにゃ)-(ほにゃ)-(ほにゃ)-(ほにゃ)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com 補足での書き方だとレジストリの検索で5つしか見つけられなかったみたいですね>< SGアンチスパイ2で検出された5つのレジストリを捜すつもりで「searchsquire」で検索したんですが、 「searchsquire」を含むレジストリとして、HKEY_CURRENT_USERにあるやつも拾ったようです。 なので、SGアンチスパイ2で検出されたキーだけでなく、ついでに↓も0x00000004(4)になってるか見ておいた方がより安心ですよね?という意味でした>< HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com 本当にありがとうございました。
補足
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com HKEY_USERS\S-1-5-21-(ほにゃ)-(ほにゃ)-(ほにゃ)-(ほにゃ)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com 「searchsquire」で検索して(レジストリの履歴のようなもの?であるらしい「Lastkey」が最初に出るので検索対象は”キー(k)”のみ) 発見しました制限付・許可済サイトを設定する6つのキーを0x00000004(4)になっているかを定期的に確認していきたいと思います。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com ↑SGアンチスパイ2で検出はされていない上記のキーも一応定期的に見ておいた方がいいですよね? 今まで検索を知らなかったのですが、教えていただいたおかげでいっきに見やすくなりました^^ 実は、SGアンチスパイはアンインストールを考えているので(SGアンチスパイ2はとても使いやすいソフトなので 気に入ってはいるのですが、日本語版windowsdefenderをもう少し使ってみてから購入を考えることにしました。 他の有料ソフトも試せるなら試したいですし)、レジストリやIEのインターネットオプションから制限付きサイト、 許可済みサイトを定期的に確認することで「searchsquire」に関する異常が無いかを見ることにします。 SGアンチスパイ2で詳細スキャン行いました。やはり免疫解除時は「searchsquire」は検出無しです。 レジストリの話はやはりカテゴリ違いの話だったみたいですね。申し訳ないです。 知人のパソコンでも同じキーを発見しました。特別に珍しいキーでは無かったようで^^; ためになるお話をいろいろありがとうございます。
- sapoten
- ベストアンサー率45% (137/298)
#2です。 >spybotの免疫を解除すると*.searchsquire.comが無くなるのは正常なことですか? はい。正常なことです。 >免疫化解除状態でも制限サイトの数が多すぎるため確認しずらく、 色々とスパイウェア対策ソフトを入れていらっしゃるようですが、他にもIE-SPYED とか SpywareBlaster とかを入れていらっしゃるなら(または、以前、入れていたなら)、それが原因かと。 >spybot免疫化→レジストリを変更することでIEの制限付きサイトを追加。~ >~という認識でよろしいでしょうか? 大体そんな感じです。でも、こう言うと、また「厳密に」と突っ込まれそうなので、この下に書いておきます。それと、 >読解力なくてすみません;気になるのでよろしければどういう意味だったか~ の返事も関係するので、一緒に書きます。 Spybot S&D の「免疫化を有効」にした時に行われていることは、今回、該当キーの該当値の「データ」を(4)にして登録されていたのと同じことです。 危険と思われるサイトを制限付きサイトに登録しています。 一方、「免疫化を無効」にした時はどうかと言えば、少し違います。 Spybot S&D が登録した、これらのキー自体を削除します。例えば今回なら、「searchsquire.com」というキーが消えます。 「何が違うのか?」と言えば、「「制限付きサイト」に登録されていようが「信頼済みサイト」に登録されていようが、関係なく削除される」ということです。 つまり、「免疫機能を無効化した時点で、もはや、誤検出だったのかの判断は出来なくなっている」ということです。 なので、回答文#2の冒頭でも「最初の検出結果については断言はできませんが」と記しました。 そして、ご試用中のSGアンチスパイは恐らく、該当箇所に該当キーがあったから反応しただけだろうと思います。そのキーの値「*」の「データ」が(2)か(4)かに関係なく。 質問本文に「spybotの免疫を無効にすれば何も検出されなくなります。」とあることから、質問者様が、検出後に免疫化を無効にしていることが推測されます。ならば、初回の検出結果については、この質問本文を見たときには、もはや、誤検出かどうかの判断は出来ません。 となると、後は、推測するしかありません。で、#1にその方法を記しました。(但し、質問者様がこれほど探究心のある方だとは思っていなかったので、詳細は省きました) 「一旦Spybot S&Dの免疫機能を無効にした後、有効にして、その後、SGアンチスパイ2で検索してみてください。」と記したのは、質問者様が質問を投稿してから再び免疫化を有効にしている場合、回答文#1を基に再度SGアンチスパイで検索するまでの間に、何かしらの「悪意」によって該当キーが改変されている可能性もゼロとは言えないためです。(確率はかなり低いですが) なので、回答文を見て頂いた後に、再び無効にして頂くことによって、該当キーのあの値が改変されていようとも、また、該当キーの値に「*」以外があろうとも、該当キーごと消えてもらうことにしました。その後に免疫化を有効にすることで、該当キーには、値「*」でデータ「0x00000004 (4)」が登録されるのみになります。この状態でも該当キーがスパイウェアとして検出結果に出てくるなら、それは誤検出ということになります。前述したように、初回の検出結果についてはもはや判別不可能なので、この検出結果を基に、「誤検出だったのだろう」と類推することになります。(無論、これはレジストリエディタが使えない方の為に示した妥協案であって、レジストリを触れるのなら、このような方法は採らず、直接レジストリを見ればよいのです。判断に必要な情報も#1で示したつもりですし) >せっかく教えていただいたので、レジストリも一応チェックしておきました。~ >(名前が*のやつが重要??) 赤いのも青いのも、それでOKです。 この状態で、SGアンチスパイが該当キーを検出結果に出してくるなら、それは誤検出です。 >1つ疑問があるんですが、5つ分まとめて確認できるならと~ >もしかして見方が悪いんでしょうか・・・?? いえ、見方は悪くないと思います。私のにも、そんなものはありません。 恐らく、あの#1様は下記のように記したつもりでいらっしゃると思います。(ケアレスミス) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com また、あの回答文#1には、質問者様の仰るような「5つ分まとめて確認できる」といったことは全く記されていません。 HU\S-1-5-21-(ほにゃ)-(ほにゃ)-(ほにゃ)-1003\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\searchsquire.com 上記のキーについて、「下記のキーでの設定を自動的に反映したものです。」と記されているだけです。 --- 「お礼」に対するお返事 --- >貼っていただいたURLを読んでみたところ、検出されたレジストリだけでは悪いことはできないような・・?? 「検出されたレジストリだけでは」と考えると、はい、出来ません。 但し、「信頼済みサイト」に登録された場合、そのサイトに訪問した際、悪意のあるプログラムが入り込む可能性があります。 また、危険なサイトを「信頼済みサイト」に登録する人間はそういませんから、ここに登録されているということは、何かしらの「悪意」に、既に接触している可能性があります。 >関連するファイルが検出される訳でもなく、ブラウザが乗っ取られるような現象も無いですし・・・。 使用したことが無いので判りませんが、質問者様が常用している「クィックスキャン」はファイルも全てスキャンしてくれるのでしょうか? 「(詳細だと時間が長すぎる・・) クイックスキャンでも問題ないですよね?」の返事も含めて言わせて頂きますが、クィックスキャンで検出されて、且つ、それが誤検出かどうかの判断が付かないときぐらいは「詳細スキャン」をした方が良いと思いますよ。 別に今回の件で、特に疑わしいと言うことはありませんが、日頃の習慣とかセキュリティに対する意識として、時々は詳細スキャンをすることをお勧めします。ちなみに、 >spybotの免疫を無効化してからの詳細スキャンも一応やっとくべきでしょうか。。。 「検出された項目を次回から検索対象から外す」みたいな設定があれば、免疫化を無効にしなくても良いと思います。また、誤検出だと解っているなら、検出されることは特に気にしなくても良いかと思います。 ただし、「H.HJK.SearchSquire」自体を検索対象から外すのは良くないと思います。(ホントに感染しているときに気付けないですし、常駐保護機能があっても、その対象から外れるかもしれないので) >Hijackerの定義がいまいち解らず・・ ↓これ、読みました? SGアンチスパイ開発元の説明。 http://www.ahkun.jp/resource/malwaresearch.php?details=1&detailname=H.HJK.SearchSquire シマンテック社の説明はこちら。 http://www.symantec.com/region/jp/avcenter/venc/data/adware.searchsquire.html まぁ、スパイウェア一般に関しては、定義は、メーカーやサイトによって結構違ってきますので、「どのような分類に入っているか」だけでは判断しない方が良いと思います。 >もしかして、IEの許可済みサイトに無い限りは安心=おそらく誤検出なんですかね^^; SGアンチスパイがキー名だけで判断し、且つキー名しか表示しない以上、「絶対」とは言えません。 しかし、今回の場所で今後も検出され、且つ、他のレジストリやファイルが全く検出されないのであれば、「恐らく、誤検出だろう」と考えて良いと思います。それでも念のために、制限付きサイトに登録されているかの確認はとっておいたほうが良いとは思います。 確認するときは、レジストリエディタの「検索」機能を使った方が早いです。 または、下記のツール「Registry Jumper」が有名なようです。(私は使ったこと無いですけど) http://www.forest.impress.co.jp/article/2005/08/03/regjumper.html このツールの使い方は、下記サイトで詳しく載っています。 http://fine.tok2.com/home/heto2/0500MiniTool/0501RegJumper/001.htm 一応、念のために聞いておきたいのですが、質問本文の >spybotの免疫を無効にすれば何も検出されなくなります。spybot,Ad-adware,windefenderは~ にある「windefender」って、「Windows Defender」を略しただけですよね? そうであるなら、何の問題もないので、気にしないで下さい。 (仮に、私のこの質問で「windefender」というものに興味を持ったとしても、ダウンロード先には行かないほうが無難です。「なぜ?」と聞かれても、答えられるだけの技量が私にはありませんが。)
お礼
回答ありがとうございます!とても解りやすいです!!
補足
書いていただいた丁寧な説明はすべて読ませていただきました。 物分りの悪い私に合わせ、わかりやすく説明していただき本当に感謝です。 可能ならば授業料を支払いたいくらいです。本当になんとお礼を言えばいいか解りません。 >spybotの免疫を無効にすれば何も検出されなくなります。spybot,Ad-adware,windefenderは~ >にある「windefender」って、「Windows Defender」を略しただけですよね? >そうであるなら、何の問題もないので、気にしないで下さい。 Windows Defenderのことです。おっしゃる通り気にしないことにします! おっしゃる通り気にしないことにします! >HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com >また、あの回答文#1には、質問者様の仰るような「5つ分まとめて確認できる」といったことは全く記されていません。 HKEY_LOCAL_MACHINEには全ユーザーに反映される設定が記録されるらしいので勝手にまとめて 確認できるんだと勘違いしてました>< 間違いを訂正していただいてありがとうございます! >HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com >を調べてみようとしたんですが、私のパソコンのレジストリにはこの部分のレジストリは見つかりません。 >Donainsまではあるんですが続きはmsn.com、そしてrelated・・・・ 質問が当初の筋とまったくずれていて申し訳ないんですが、この部分のレジストリに関して疑問を持ち(余計な疑問をまた^^;) 何度か検索してみたのですが、よほどマイナーなキーなのでしょうか・・・・?まったく該当する記事が見つかりません。 msn(マイクロソフトの略ですよね?)と入っているからにはそれなりに有名なキーなのかなぁと思っていたのですが・・。 sapoten様のパソコンにこのようなキーはありますか?もしかして、私のパソコンだけなんですかね?? また、先程、知人に誤検出の件は解決したと報告したところ、レジストリをネット上(掲示板等)に書くべきではないと注意されました。 私がこちらに書いたレジストリは「HKEY_LOCAL_MACHINE」「HKEY_CURRENT_USER」「HKEY_USERS」の三種類だったと思いますが、 すべて「Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains」が含まれており、制限付きサイトや信頼済みサイトを 管理するものであるので、個人情報や不正な行為に役に立つような他人に知られてはいけない情報が含まれているとは考えにくいのですが・・・・。 (HKEY_LOCAL_MACHINEは”Software”は”SOFTWARE”と大文字になるみたいですけど。そういうものなんですよね?) パソコンの設定が知られるだけで誰かに悪用されることなんてないですよね???貼っていただいたURLに書いてあったSIDという部分でも 個人やPCを特定するには至らないようですし、レジストリだけで個人情報や知られては困るような情報が解ることは本当にあるのですか? 蛇足だらけですみません。私生活がお忙しいであろう中、相談に乗ってくださることを心から感謝しています。 こちらのコミュニティーを利用するのは今回が初めてなのですが、これほど知識が深く、親切な方がおられることに 驚いています。私は気になったことはとことん調べなければ気がすまないタチでして。。しつこくて本当に申し訳ないです・・・。
- sapoten
- ベストアンサー率45% (137/298)
#1です。返事が遅れて申し訳ないです。 まず、言っておきたいのですが、回答文#1で「誤検出かどうかの確認方法は、他にも幾つかあります。」と言いましたが、これは、「全てをクリアしていれば誤検出である」という意味ではありません。 #1で記した方法のどれか一つ、質問者様のやりやすい方法(または、納得のいく方法)で確認をとって頂き、誤検出かとがうかの判断をして頂ければ、それで良いのです。 (先に結論を出しておくと、「誤検出」だろうと思います。今も検出されるのは「誤検出」。最初の検出結果については断言はできませんが、類推して「誤検出」の可能性が濃厚かと。) --- 私の返事を見るより、下記URLを参照した方が早いと思います --- 頂いた補足質問には、一つずつお返事しておきますが、私の投稿を見なくとも、下記URLを参照頂ければ、質問者様の抱いている疑問は、ほぼ解決するかと思います。 誤検出か否かの判断基準は、下記URLにて。 http://support.microsoft.com/default.aspx?scid=kb;ja;182569 検出されたレジストリの冒頭部分「HU\S-1-5~」については下記URLを。 http://www.higaitaisaku.com/hkeyusers.html --- 補足質問へのお返事 (上記URLを見ても解らなかった場合に) --- >チェック項目を一通りやってみました。 前述しましたが、全てをチェックする必要は無いんです。どれか一つで確認がとれれば良いんです。 >spybotの免疫を解除した場合→なぜかかなりの数が登録されてるので解りにくく・・・ Spybot S&D の免疫化機能の実態として、その一つに「危険なサイトを「制限付きサイト」に登録する」というのがあります。 ですので、免疫化を有効にすると、制限付きサイトに(「なぜか」ではなく)「かなりの数が登録され」ることになります。 IEでは、「インターネット」ゾーンの他に幾つかありますが、「制限付きサイト」ゾーンは通常、「インターネット」ゾーンよりセキュリティ設定が厳しくなっています。 (詳細は、各ゾーンのアイコンを選択後、「カスタマイズ」ボタンを押して確認してみてください) >信頼済みサイトには免疫有効時無効時共に何もありません。 信頼済みサイトへの登録は、通常、自分で登録しなければ、何もありません。 自分で登録した覚えも無いのに、ここに何か登録されていたら注意してください。 >また、免疫を有効にしている状態でIEで制限付きサイトから*.searchsquire.comを削除したところSGアンチスパイでの検出が5件から4件に減りました。これはどういうことでしょうか?? インターネットオプションの設定で制限付きサイトから外した場合、レジストリ上の、 HU\S-1-5-21-(ほにゃ)-(ほにゃ)-(ほにゃ)-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com だけが消えます。(末尾は「1003」とは限らない) この部分のレジストリが意味する所は、「そのPCに現在ログオンしているアカウントでIEを使う場合は、searchsquire.comをどのセキュリティゾーンに設定するか」です。 前述したように(4)なら「制限付きサイト」、(2)なら「信頼済みサイト」、この項目が登録されていなければ、「インターネット」ゾーンとなります。 >PCによって違う~とのことですが厳密にはどのような意味があるのですか?差し障りなければ教えてください。 「厳密に」ですか。私はアバウトな人間なので、下記を参考にして下さいm(__)m (既出) http://www.higaitaisaku.com/hkeyusers.html (ちなみに、上記URLでは、「最後の緑の部分は、~「500ならAdmin」のように利用者の様態を表す」となっていますが、恐らく、質問者様が実際にここで見るのは、4桁の数字だろうと思います。上記URLなら1004のように) まぁ、それ以上に興味があったら、検索サイトで「"HKEY_USERS" "S-1-5-21"」とかで検索してください。 >HUが解りません;教えていただけないでしょうか? HKEY_USERS です。 >spybotの免疫有効→SGアンチスパイ2で~レジストリが5件検出~ >~これは、誤検出と断定してしまってオッケーでしょうか? 私が言ったのとはちょっと違うのですが、まぁ、どっちでも良いです。どっちみち誤検出でしょうから。 >IEの制限付きサイトと信頼済みサイトを管理しているのしょうか?今後のために教えてくださると嬉しいです。 はい、ご名答。下記で詳細、且つ、解りやすく記されています。 (既出) http://support.microsoft.com/default.aspx?scid=kb;ja;182569 >SGアンチスパイ2での検出結果の表示は上から~ ん? 検出結果として表示された順番が違うということでしょうか? 気にし過ぎなのでは? >最後に、ほんとーに基本的なことでお恥ずかしいんですが~ はい。「有効」・「無効」の認識はそれで合っています。 >InternetExplorer用badownloadblocker(SDHelper)のところはいじってません。 デフォルト(初期値・初期設定)は覚えていないですけど、SDHelperの、 口Internet Explorer 使用時に悪意のあるアドレスを遮断する にはチェックを入れて、その下を、 [ 自動的に遮断する ] にしておいた方が良いと思いますよ。今、そうなっていないなら。 (この機能の説明は、Spybot S&D の「ヘルプ」を参照して下さい) 頂いた「補足」の内容から、「誤検出」と考えて良いと思いますよ。
お礼
>#1です。返事が遅れて申し訳ないです。 とんでもないです。補足やお礼を書き込んだの昨日の夜ですし(汗 丁寧なお返事を本当にありがとうございます!! 貼っていただいたURLを熟読させていただきます。 レジストリって奥が深いですね・・・勉強になります。 spybotの免疫化をすることで検出されると気づいた時は 「spybotが壊れてる!?または、もしかして、spybotではない何か悪質な物をインストールしてしまったんだろうか・・・」 とパニックになりましたが、ネットで検索して「spybotの免疫化で作られた設定を誤検出するソフトもある」と知り、 そして、このサイトでこうして私なんかの相談に親身になって根気よく説明していただけたおかげで安心しました。 感謝をどう表せばいいか解りません。神経質な自分がホント嫌になりますが、もう少しだけお付き合いいただければ幸いです。 貼っていただいたURLを読んでみたところ、検出されたレジストリだけでは悪いことはできないような・・?? 関連するファイルが検出される訳でもなく、ブラウザが乗っ取られるような現象も無いですし・・・。 (裏で密かに動いたりもするやつなのでしょうか?Hijackerの定義がいまいち解らず・・) もしかして、IEの許可済みサイトに無い限りは安心=おそらく誤検出なんですかね^^;
補足
>「HU\S-1-5~」について MS AntiSpywareでは 、 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com ↑のレジストリのみ?の検出らしいのに、なぜ5つも検出されるんだと疑問に思っていましたが・・・。 HKEY_CURRENT_USERとHKEY_USERSの関係が、なんとなくですが理解できました。難しいですね。。。 >免疫化を有効にすると、制限付きサイトに(「なぜか」ではなく)「かなりの数が登録され」ることになります spybotの免疫を解除すると*.searchsquire.comが無くなるのは正常なことですか? (免疫化解除状態でも制限サイトの数が多すぎるため確認しずらく、多分*.searchsquire.comは無いだろう・・という曖昧な確認ですが;) spybot免疫化→レジストリを変更することでIEの制限付きサイトを追加。 SGアンチスパイ2はレジストリが変更されていることに反応して制限付きサイトのレジストリを誤検出。 spybotの免疫化解除→変更したレジストリを元の状態に戻す。 免疫化する前の状態にレジストリを戻すことによってspybotの免疫で設定される制限付きサイトは IEの制限付きサイトでは無くなり、*.searchsquire.comも同じく制限付きサイトでは無くなる。 よって、インターネットオプション→セキュリティ→制限付きサイト→サイト(S)から確認することができる 制限付きサイトのリストからも消える。レジストリもspybot免疫化前に戻されているため、*.searchsquire.comを 制限付きサイトに設定するレジストリは無くなるため、SGアンチスパイ2によって*.searchsquire.comは誤検出されなくなる。 という認識でよろしいでしょうか? 今まで常駐をせずにどうやってspybotがシステムをスパイウェアから保護しているか疑問でしたが レジストリを書き換えることにより、良くないサイトに行けないようにしてるんですね・・・。 SGアンチスパイ2の検索はいつもクイックスキャンを使用しています(詳細だと時間が長すぎる・・) クイックスキャンでも問題ないですよね??spybotの免疫を無効化してからの詳細スキャンも一応やっとくべきでしょうか。。。 >spybotの免疫有効→SGアンチスパイ2で~レジストリが5件検出~ >~これは、誤検出と断定してしまってオッケーでしょうか? >私が言ったのとはちょっと違うのですが、まぁ、どっちでも良いです。どっちみち誤検出でしょうから。 読解力なくてすみません;気になるのでよろしければどういう意味だったか教えていただけるとありがたいです・・。 >ん? 検出結果として表示された順番が違うということでしょうか? 気にし過ぎなのでは? そうです。でも、気にしすぎですよね>< すみません。同じソフトなのに順番が違うのはなんでだろ?と思って・・。 よく考えればhttp://okwave.jp/kotaeru.php3?q=2050889の質問者様が順番を変えて書き込まれたのかもしれません。 >InternetExplorer用badownloadblocker(SDHelper) この部分の設定は誤検出とはまったく関係ないみたいですね。 教えていただいた通り設定になってました!初期設定からこうだったかは解んないですが(汗 せっかく教えていただいたので、レジストリも一応チェックしておきました。spybotを免疫化した状態だけで確認すればいいんですよね? 免疫化解除状態ではSGアンチスパイ2で検出されない=検出されるレジストリは無いということだと思いますし・・。 名前 [赤文字でabと書かれたアイコン?](既定) データ (値の設定なし) 名前 [青文字で○と||で構成された模様?が書かれたアイコン]* データ 0x00000004(4) (名前が*のやつが重要??) 5つもあるのでかなり適当に見ましたが多分すべて0x00000004(4)だったと思います。 おそらく誤検出である、教えていただいたすべての確認をせずとも1種類の確認で判断すれば良いとのことでしたのでレジストリは手抜きです^^; 1つ疑問があるんですが、5つ分まとめて確認できるならとhttp://okwave.jp/kotaeru.php3?q=2050889のNo1の書き込みにある HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com を調べてみようとしたんですが、私のパソコンのレジストリにはこの部分のレジストリは見つかりません。 Donainsまではあるんですが続きはmsn.com、そしてrelatedになっており該当のキーは無いのです。。 もしかして見方が悪いんでしょうか・・・??
お礼
ありがとうございます。誤検出っぽいですね・・・。教えていただいたことをやってみたいと思います! 補足ですが、 質問で書いたレジストリですが少し誤りがありました。 正確には、 ↓http://okwave.jp/kotaeru.php3?q=2050889でH.HJK.SearchSquireとして検出されたものと一致するもの。 >HU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com >HU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com >HU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com >HU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com ↓http://okwave.jp/kotaeru.php3?q=2050889でH.HJK.SearchSquireとして検出されたものと一致しないもの (”73586283-1844237615-725345543-1003”の数字部分のみ一致せず) >HU\S-1-5-21-73586283-1844237615-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com です。解りにくい書き方をしてしまいました。すみません。
補足
チェック項目を一通りやってみました。 ○Internet Explorerの「制限付きサイト」と「信頼済みサイト」を確認して、「制限付きサイト」に登録されていたら誤検出。 spybotの免疫を解除した場合→なぜかかなりの数が登録されてるので解りにくく・・・ 確実にってわけではないですが、多分、制限付きサイトに「*.searchsquire.com」はありません。 spybotの免疫を有効にした場合→制限付きサイトに*.searchsquire.comを確認しました。 信頼済みサイトには免疫有効時無効時共に何もありません。 また、免疫を有効にしている状態でIEで制限付きサイトから*.searchsquire.comを削除したところ SGアンチスパイでの検出が5件から4件に減りました。これはどういうことでしょうか?? 消えたのは >HU\S-1-5-21-73586283-1844237615-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchsquire.com です。(数字部分は違いますが。。。どうやら関係ないみたいなので数字は引用のままで(汗)) PCによって違う~とのことですが厳密にはどのような意味があるのですか?差し障りなければ教えてください。 ○レジストリエディタが使えるなら、そのsearchsquire.comをクリックして、右側に出る「データ」のところが、 0x00000004 (4)なら「制限付きサイト」 0x00000002 (2)なら「信頼済みサイト」 です。 レジストリの見方自体は知っていますが、HUが解りません;教えていただけないでしょうか? ○一旦Spybot S&Dの免疫機能を無効にした後、有効にして、その後、SGアンチスパイ2で検索してみてください。それで検出されるなら誤検出です。 spybotの免疫有効→SGアンチスパイ2で「H.HJK.SearchSquire」としてレジストリが5件検出 spybotの免疫解除→SGアンチスパイ2で「H.HJK.SearchSquire」は検出されず。検出数O。 免疫をしているときは検出されて、解除しているときは検出されない・・・・ これは、誤検出と断定してしまってオッケーでしょうか? 蛇足ですが、 HU\S-1-5-****\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\***** 5件すべてが似たような(というかほぼ一緒のレジストリなのですが、このレジストリにはどんな意味があるんでしょうか? IEの制限付きサイトと信頼済みサイトを管理しているのしょうか?今後のために教えてくださると嬉しいです。 SGアンチスパイ2での検出結果の表示は上から HU\.DEFAULT >HU\S-1-5-19 >HU\S-1-5-20 >HU\S-1-5-21 >HU\S-1-5-18 と少しだけhttp://okwave.jp/kotaeru.php3?q=2050889と少しだけ異なっているんですが・・・ これは関係ないですよね・・?細かいことばかりですみません>< 最後に、ほんとーに基本的なことでお恥ずかしいんですが Spybot-search&Destoryの免疫機能の有効・無効の切り替えって、 Immunize-免疫I ↓ 免疫化I で免疫機能有効状態 Immunize-免疫I ↓ 解除 で、無効 とういうことでいいんでしょうか?急に不安になってきまして(汗 InternetExplorer用badownloadblocker(SDHelper)のところはいじってません。 長文すみません。どうかよろしくお願いいたします。