- ベストアンサー
ウイルスが見つかってしまいました・・・。TROJ_GAMETHIEF.M
インターネットをしていたら、以下の表示がでました。 ウイルスが見つかりました。確認のうえ必要に応じて手動で処理してください。 ファイル名: taa.gif[1].gif ウイルス: TROJ GAMETHIEF.M 実行した処理: 隔離できませんでした。不要なファイルであることを確認し、手動で削除してください。 このような表示がでたのですが、コンピュータに詳しくない&ウイルス感染が初めての私にはチンプンカンプンです。 ウイルスのところをクリックしたら以下のサイトに繋がりました。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FGAMETHIEF%2EM&VSect=P 自分でなんとかしようとおもったのですが、レジストリ値やセルフモードなどよくわからないことがいくつかあったので質問させていただきました。 ウイルス感染が初めてなので怖いです。よろしくお願いします。 OCNのセキュリティー対策ツールを使用しています。
- ウィルス・マルウェア
- 回答数10
- ありがとう数40
- みんなの回答 (10)
- 専門家の回答
質問者が選んだベストアンサー
>削除したのにバックアップと現在のレジストリが同じになっています。 通常、アプリケーションソフトの機能によって手動で削除されたレジストリキーが復活することはありますので、それならそれで大丈夫、と思ったんですが…一応補足されたキーの文字列(clsid)をウェブ検索したところ、気になる事が出て来ました。 >3番目のを消したような気がするのですが その3番目、つまり{C60A0B68-1F3A-A1D2-C909-9A11A016D21A}がどうも怪しいようなのです。 higaitaisaku.comの質問掲示板で最近扱われたケースでそのclsidは出て来ており、削除対象になっています。該当記事をご覧になりたければ、 http://bbs.higaitaisaku.com/srch.cgi?no=0 ここからキーワードとして"99240"を入力、記事No.検索ONにチェックを入れて検索すれば見ることが出来ます。その記事によると、該当clsidを使用するファイルは"C:\WINDOWS\system32\KarnaeghDrv.dll"のようです。 http://www-06.ibm.com/jp/domino04/pc/support/beginner.nsf/btechinfo/SYB0-01A7BA9 に従って、すべてのファイルを表示させるようにWindowsの設定を変更後、システムをセーフモードで起動し、このファイルとレジストリキーをもう一度削除してみてください。終わったら通常モードで再起動後にこのファイルやレジストリキーが消えているかどうかを確認してみてください。 また、複合的な感染である可能性が高いと思います。6番目の回答で紹介したF-Secureのオンラインスキャンを受けることを強く推奨します。Tracking Cookieのような軽微なもの以外が検出され、削除が出来ない場合にはリカバリされるか、ここでの質問を締め切った後にhigaitaisaku.comの質問掲示板に移動されることをお勧めします。 http://www.higaitaisaku.com/ 安全にリカバリを進めるためには、次のURLを参考にしてください。 http://iwata.way-nifty.com/home/2004/10/1017.html 昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。同様な感染を防ぐために次のような点に注意してください。 1)各種アプリケーションソフトのセキュリティ更新を怠らない。 Windows Updateの必要性はこれまでも叫ばれていますが、悪用されるセキュリティ上の問題点=脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、 ・Firefox、Operaなどのブラウザ。 ・Sun Java 仮想マシン(JRE)。 ・Flash PlayerやShockwave Playerなどのプラグイン。 ・Real Player、QuickTimeなどのメディアプレイヤー。 ・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。 最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けのある悪意のあるサイトにこっそり転送されて感染が試みられます。 http://internet.watch.impress.co.jp/ http://www.itmedia.co.jp/enterprise/security/ こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。 2)標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。 IEで扱うことの出来るJavaScriptは特殊なもので、各種感染に利用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。 でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。 http://www.mozilla-japan.org/products/firefox/ http://jp.opera.com/ もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。 もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsのようなソフトの利用を検討してください。 http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html 制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。
その他の回答 (9)
- ryu-fiz
- ベストアンサー率63% (2705/4228)
おっと、必要があって補足する際には、どういうキーを復活させたいのか分かるように、忘れずに補足してください。 つまり『{F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}に似ているの』として削除したものです。それが何だか分からないと、こちらとしてもアドバイスのしようがありませんので。
お礼
回答ありがとうございます。 レジストリの[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]です。 "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{B83FC273-3522-4CC6-92EC-75CC86678DA4}"="" "{C60A0B68-1F3A-A1D2-C909-9A11A016D21A}"="" 削除したのにバックアップと現在のレジストリが同じになっています。 3番目のを消したような気がするのですが、完全な自信はありません。 元々にあったものを確認することは可能でしょうか??
- ryu-fiz
- ベストアンサー率63% (2705/4228)
>バックアップをとったregbackup.regファイルをダブルクリック→レジストリに追加しますか→はい→regbackup.regをインポートできません。データの一部をレジストリに書き込むことができませんでした。システムまたはその他のプロセスによって、開かれているキーがあります。 とでてしまいました。もうおしまいでしょうか・・・??? おそらく、 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks" 配下には削除したサブキー以外も存在していて、それが干渉しているのだと思われます。 取り敢えずまず、レジストリエディタを開いて削除したサブキーが復活しているかどうかをチェックしてみてください。もし復活していれば心配はいりません。 復活していない場合には、"regbackup.reg"をメモ帳で開き、既にレジストリ上に存在しているサブキーの部分の記述を削除してから再びダブルクリックしてみてください。 どうしても上手く行かないようなら、"regbackup.reg"をメモ帳で開き、その内容を貼り付けて補足してください。
お礼
回答ありがとうございます。感謝です。 >>削除したサブキー以外も存在していて、それが干渉しているのだと思われます。 よくわからないです。すいません・・・。 >>取り敢えずまず、レジストリエディタを開いて削除したサブキーが復活しているかどうかをチェックしてみてください。もし復活していれば心配はいりません。 似ているというだけで消してしまったので、よくわからないのですが・・・。 バックアップにとったメモ帳と現在のレジストリエディタ [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{B83FC273-3522-4CC6-92EC-75CC86678DA4}"="" "{C60A0B68-1F3A-A1D2-C909-9A11A016D21A}"="" が一緒になっています。3番目をけしたようなきがするのですが…。 元々何があったか確認はできるのでしょうか?? >>復活していない場合には、"regbackup.reg"をメモ帳で開き、既にレジストリ上に存在しているサブキーの部分の記述を削除してから再びダブルクリックしてみてください。 サブキーがよくわかりません。すいません。
- speed-10
- ベストアンサー率61% (27/44)
ANo.4です。 確認されたことで一時ファイルのみであることがハッキリしました。 最後に書いたのは本当に感染しているならそのファイル等もある筈だと余分なことを書いているだけで、無くて当然ですから心配いりません。 あとはレジストリの修復だけだと思います。 この質問には詳しい方が何人も参加されていますから、その方のアドバイスに従った方がいいと思います。 (待っていれば、追記してくれると思いますよ)
お礼
>>確認されたことで一時ファイルのみであることがハッキリしました。 ありがとうございます。 >>最後に書いたのは本当に感染しているならそのファイル等もある筈だと余分なことを書いているだけで、無くて当然ですから心配いりません。 本当にありがとうございます。感謝します。
- ryu-fiz
- ベストアンサー率63% (2705/4228)
まず申し上げておきたいのは…IEなどのブラウザでウェブ閲覧中にリアルタイム検出が発生した場合、その多くは重大な感染に至らない可能性が高いということです。水際で防がれた、というような表現を使うこともあります。 『隔離できませんでした』と表示されたことで不安になられたのかも知れませんが…ブラウザのキャッシュ(IEにおいてはインターネット一時ファイル)から検出があった場合にはそう表示されることも少なくありません。検出があったからといってそれが即深刻な感染であると捉えるべきじゃないのです。 ブラウザが今閲覧しているサイトの構成ファイルが読み込まれた直後検出されたような場合、そしてそれが処理出来なかった場合には、ブラウザを一旦終了させてからなら処理が可能です。トレンドマイクロでは、このような文書を出しています。 http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=jp-29113 なお、上記URLはTROJ GAMETHIEF.Mの情報ページからもリンクされているものです。『対処方法』タブをクリックして表示されるページ上にリンクがあります。 検出されたものについては、インターネット一時ファイルを削除することで一応処理完了になると思われます。で、念のためにウイルスバスターでパソコン全体をウイルス検索して何も検出されないことを確認してください。 出来ることなら、検出力の高いF-Secureのオンラインスキャンで再確認すればなお安心です。 http://www.f-secure.co.jp/v-descs/disinfestation.html ウイルスに関する情報ページを読みこなすことは最初は結構難しいとは思います。でも、今後のためにも少しずつ慣れておいた方が良さそうです。 その際、最も基本となるのは、その検出がどこからあったか?ということです。今回のケースでも、インターネット一時ファイルからの検出と見られることで、より具体的な対処法が定まりました。どこから検出されたのかを知ることがいかに大切かお分かりいただけるでしょうか? ファイルの存在場所=ファイルパスやファイル名はログと呼ばれる記録から調べることが出来ます。参考URLです。 http://wiki.higaitaisaku.com/wiki.cgi?page=%BC%C1%CC%E4%B7%C7%BC%A8%C8%C4%A5%DF%A5%CB%A5%C8%A5%E9%A5%D6%A5%EB%A1%F5%A5%DF%A5%CB%C3%CE%BC%B1%A1%D6%A5%A6%A5%A4%A5%EB%A5%B9%A5%D0%A5%B9%A5%BF%A1%BC%CA%D4%A1%D7 >{F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}と全く同じファイルはありませんでしたが似ているのがあったので削除しました。 5番さんに同意。すぐそのエントリ(レジストリエディタ上での表示や管理方法がエクスプローラに似せられているだけで、レジストリの各項目は『ファイル』ではないし『フォルダ』というのも存在しません)をバックアップから復元するように。バックアップしたreg形式のファイルをダブルクリックし、ダイアログが出たら『はい』でOKです。 レジストリの取り扱いには注意が必要です。どうしても取り扱わなければいけない局面はありますが…。特に今回の対象となるべきエントリは、末尾の文字列が異なるものを安易に削除してはいけないタイプのものです。似たような場所にあるものは別物。削除しないようにしてください。 先述した通り、今回検出されたものに関しては『水際で防がれた』可能性が非常に高いです。その場合、情報ページに掲載されたようなファイルやフォルダ、レジストリキーなどは見つからないのが当然であることが多いです。 何故なら…実行が阻止されているからです。作戦が遂行される前に止められているのでそうしたものは出来ないんです。 ウイルス対策ソフトがリアルタイムで検出した、という場合、その多くは未然に防がれたということになります。検出があったことイコール感染した、とは必ずしも言えないのだ、ということを理解していただくことが、初心者さんにおいては非常に重要かも知れません。
お礼
>>『隔離できませんでした』と表示されたことで不安になられたのかも知れませんが…ブラウザのキャッシュ(IEにおいてはインターネット一時ファイル)から検出があった場合にはそう表示されることも少なくありません。検出があったからといってそれが即深刻な感染であると捉えるべきじゃないのです。 そうなのですか。てっきり、感染してしまったと思いました。 >>検出されたものについては、インターネット一時ファイルを削除することで一応処理完了になると思われます。で、念のためにウイルスバスターでパソコン全体をウイルス検索して何も検出されないことを確認してください。 インターネットプロパティから削除をしたところウイルスは検索されませんでした。 ウイルスは難しいですね。とても勉強になりました。 何処にあるかを探すのが大切なのですね。ログの見方もわかりました。 >>すぐそのエントリ(レジストリエディタ上での表示や管理方法がエクスプローラに似せられているだけで、レジストリの各項目は『ファイル』ではないし『フォルダ』というのも存在しません)をバックアップから復元するように。バックアップしたreg形式のファイルをダブルクリックし、ダイアログが出たら『はい』でOKです。 とんでもないことをしてしまったのですね・・・。後悔です。 バックアップをとったregbackup.regファイルをダブルクリック→レジストリに追加しますか→はい→regbackup.regをインポートできません。データの一部をレジストリに書き込むことができませんでした。システムまたはその他のプロセスによって、開かれているキーがあります。 とでてしまいました。もうおしまいでしょうか・・・??? レジストリが削除されていないという可能性はないでしょうか??
- wamos101
- ベストアンサー率25% (221/852)
こんにちは。 当方はクラッカーコミュティー潜入調査や対策ソフトの多角的性能テストなどをしております。 あのですね、私はバスターユーザーじゃないですが、 >ファイル名: taa.gif[1].gif ということは#4さんおっしゃるように一時ファイルフォルダで検出されてます。 >{F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}と全く同じファイルはありませんでしたが似ているのがあったので削除しました。 一応バックアップはとりましたが、何か問題が起こる可能性はあるでしょうか?? バックアップを取ってから作業するというのは正解ですが、似ているからといって削除するとソフトの動作不具合になったりします。レジストリエントリというのはいい加減なものではないです。ShellExecuteHooksと言うエントリは正常なソフトも利用します。私はAutorunsというソフトをよく使っていますが、この項目も載っています。
お礼
回答ありがとうございます。 >>あのですね、私はバスターユーザーじゃないですが、ファイル名:taa.gif[1].gifということは#4さんおっしゃるように一時ファイルフォルダで検出されてます。 ウイルスログを確認したところ一時ファイルフォルダにファイルがあると表示されていました。 一応、インターネットプロパティから一時ファイルを削除しました。 >>バックアップを取ってから作業するというのは正解ですが、似ているからといって削除するとソフトの動作不具合になったりします。レジストリエントリというのはいい加減なものではないです。ShellExecuteHooksと言うエントリは正常なソフトも利用します。私はAutorunsというソフトをよく使っていますが、この項目も載っています。 おっしゃられていることは、よくわかりませんが、大切であるファイルを消してしまったということですよね?? バックアップをとったregbackup.regファイルをダブルクリック→レジストリに追加しますか→はい→regbackup.regをインポートできません。データの一部をレジストリに書き込むことができませんでした。システムまたはその他のプロセスによって、開かれているキーがあります。 とでてしまいました。もうおしまいでしょうか・・・???
- speed-10
- ベストアンサー率61% (27/44)
パスが書かれていないので断定は出来ませんがこんなことも考えられませんか >インターネットをしていたら、以下の表示がでました サイトを閲覧中に一時ファイルに保存されたものを検出した可能性は? ウイルス検索ログの確認方法 http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2062350&id=JP-2062350 ブラウザの一時ファイルから検出なら IEだと 「Internet Explorer の一時ファイル「Temporary Internet Files」フォルダからウイルスを発見した場合の処理方法について 」 http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=jp-29113 Firefoxなら https://www.ccc.go.jp/cash/ff.html 設定よってはブラウザを終了する際に一時ファイルを削除するようにしていたら既に削除されている場合もあります。 TROJ_GAMETHIEF.Mに感染すると以下のファイルも生成するらしいですが、 * <不正プログラムのあるフォルダ>\das.bat - 無害なファイル * <Windowsシステムフォルダ>※\SONB32DRV.DLL - この不正プログラムとして検出 ウイルスチェックをされているのでしたら、その辺も併せて確認されると良いと思います。
お礼
回答ありがとうございます。 >>パスが書かれていないので断定は出来ませんがこんなことも考えられませんか パスってなんでしょうか?? ウイルス検索ログで確認したところ、Temporary Internet Filesにあるようです。 インターネットプロパティから一時ファイルを削除しました。 >>TROJ_GAMETHIEF.Mに感染すると以下のファイルも生成するらしいですが、 * <不正プログラムのあるフォルダ>\das.bat - 無害なファイル * <Windowsシステムフォルダ>※\SONB32DRV.DLL - この不正プログラムとして検出 これらはどのようにチェックすればいいのでしょうか?? セキュリティー対策ツールで検索しましたがそこでは検出されませんでした。 ウイルスについて全くわからないので・・・。質問ばかりですいませんがお願いします。
- strife
- ベストアンサー率53% (112/209)
では、このトレンドマイクロのサイトの対処方法を、判りやすく説明してみようと思います。 まずは、セーフモードで起動する為にパソコンを再起動させてください。 再起動したらすぐにF8を連打してください。 そうすると、セーフモードに入るかどうかという選択肢が出てきます。もちろんセーフモードを選んでください。 やがて起動しますが、風景がいつもと違うので違和感を覚えるかもしれません。でもそのまま続けてください。 次に左下のスタートを押します。すると「ファイル名を指定して実行」がありますね。ここにregeditと打ちOKを押します。 レジストリエディタというのが出てきました。真ん中から左を見てください。フォルダのようなものがありますね。もしこれが空いた状態なら 全部閉じてみてください。 ここで、先ほどの情報を見ると、 場所: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\ShellExecuteHooks とありますね。 ではまず、HKEY_LOCAL_MACHINEというフォルダがあると思います。それを開いてください。するとたくさん出てきましたね。その中から、次はSOFTWAREを探します。また出てくると思うので、次はMicrosoftを探します、同じように、Windows→CurrentVersion→Explorer→ShellExecuteHooksとたどってください。 数が多いのですが、アルファベット順になっていますから、辛抱強く探してください。最後の、ShellExecuteHooksまでたどり着けましたか? たどり着けたら、今度は右側の画面を見ます。 {F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}というのがあるでしょう。 これを右クリックして削除します。 そしたら、次のステップです。 またスタートボタンから、今度は検索をクリックします。 %Current%\das.batで検索して、出てきたら全て削除してください。 これで作業終了です。必ず再起動して、もう一度ウィルスチェックをしてみてください。
お礼
詳しく回答ありがとうございます。 本当にわかりやすかったです。今ウイルスチェックしています。 {F60A0B68-AF3A-C1D2-CD09-5A81AE36D2BA}と全く同じファイルはありませんでしたが似ているのがあったので削除しました。 一応バックアップはとりましたが、何か問題が起こる可能性はあるでしょうか??
- jein
- ベストアンサー率49% (2799/5705)
過去の質問ぐらい検索しましょう。 最近私が同様の質問に手順の解説を加えて回答しています。 https://okauth.okwave.jp/qa4206084.html これは、日本語サイトよりも手順が詳しい米国サイトにある情報を 概要を訳して手順を示したものです。 システムの復元を無効にする方法など、パソコンの基本操作に含まれるものについては説明を省いています。 これについてはパソコンの取扱説明書や、F1キーを押したりスタートボタンから呼び出せる「ヘルプとサポート」を参考にしてください。
お礼
回答ありがとうございます。 過去の質問ぐらいは当然検索しました。 システムの復元を無効にする方法など難しかったので質問させていただきました。
- shakataku
- ベストアンサー率22% (264/1161)
とりあえず taa.gif[1].gif を探して削除しましょう スタートボタン - 検索 で 「 taa.gif[1].gif 」をコピペして ありかを探し出してください 見つかったら 該当ファイルを 右クリック 削除です その後は乗っていた サイトの指示に従い ゆっくりでいいので レジストリ削除です
お礼
早速回答ありがとうございます。 探したのですが、taa.gif[1].gifはヒットしませんでした。隠しファイルとかになっているのでしょうか?? 地道にやっていきます。 一応、レジストリのバックアップまでできましたが、心配です。
お礼
度々回答ありがとうございます。感謝(2)です。 >>通常、アプリケーションソフトの機能によって手動で削除されたレジストリキーが復活することはありますので そうなんですか。 >>higaitaisaku.comの質問掲示板で最近扱われたケースでそのclsidは出て来ており、削除対象になっています。 C60A0B68-1F3A-A1D2-C909-9A11A016D21Aの削除完了いたしました。再起動した後もバッチリです。 前回の削除では隠しファイルの表示と保護されたオペレーションファイルの表示をしていなかったので削除できなかったのではないかと思っています。 >>その記事によると、該当clsidを使用するファイルは"C:\WINDOWS\system32\KarnaeghDrv.dll"のようです。 そのようなファイルがあった気がします。削除しましたが・・・。 オンラインスキャンやってみます。 >>昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。 ウイルスソフトがあれば問題ないと思っていました。 パソコンのセキュリティー対策はやってもらったままでよくわからないので1から勉強します。