- ベストアンサー
Infostealer.Gampassというウィルスを手動で削除するときの問題点
norton internet security2006で検査していたらInfostealer.Gampassというウィルスが発見されました。 これは手動で削除する必要があるとでたので http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2006-111201-3853-99&tabid=3 で掲載されている方法で削除しようと思ったところ、 4. レジストリから値を削除する という項目の 4.次のサブキーへ移動して、この脅威を参照しているレジストリエントリをすべて削除します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run にいったところ、この驚異を参照しているレジストリエントリ(Infostealer.Gampass) が見当たりませんでした。 なぜないのでしょうか? ここからどのような対処をとればよいでしょうか? よろしくお願い致します。
- みんなの回答 (10)
- 専門家の回答
質問者が選んだベストアンサー
#1です。 KarnaeghDrv.dllはShellExecuteHooksというエントリを使うようです。つまりexplorer.exeに割り込む。処理出来たようですのでいいですけど。 今回の場合、それほど深刻なものではないとは言うものの、最近では対策ソフトをかわしてくるMalwareも増えてきてますので、不測の事態に備えるためにも正常時のシステムバックアップは必要です。
その他の回答 (9)
- ryu-fiz
- ベストアンサー率63% (2705/4228)
で結局、検出されるファイルをVirusTotalに送ることが出来なかったようですが…このファイルが削除されたことを素直に喜んで良いものかどうか、私自身はちょっと腑に落ちないのですね。だって、ユーザーが自発的に他の手段で検査しようとした、その機会が失われた訳ですから。 7番さんも言っておられますが…一応他社のオンラインスキャンなどで再度感染を確認された方が良いかも知れません。基本的にあれもこれもと多数のオンラインスキャンを利用する必要はありません。通常はカスペルスキーのエンジンを利用したものをセカンドオピニオンとすれば十分だと思います。(カスペルスキーやF-Secureなどを利用されているなら、逆にそれ以外のオンラインスキャンで補完されるのが望ましいでしょう。)
- ryu-fiz
- ベストアンサー率63% (2705/4228)
>ちょっと不思議なことがおこりまして >教えて頂いたVirusTotalでウィルスファイルをアップロードしようとした瞬間、 >ノートンが突然、Infostealer.Gampassを削除しました、と表記されました。 >削除してもらえたのでよかったのですが、なぜこのようなことが起こったのでしょうか? 前回の回答でも書きましたが…そのファイルが一体どこに存在しているのか、それが分からないとより具体的なことは分かりかねます。 場合によっては、該当ファイルをアップロードしようとしたのを止めただけ、という可能性もあるかも知れません。より状況を詳しく把握するためには、エクスプローラ上から該当ファイルがまだ存在するかを再確認してみてください。存在しなければ…本当に削除されたのでしょう。
- wamos101
- ベストアンサー率25% (221/852)
#1です。追記。 >VirusTotalで・・・・・なぜこのようなことが起こったのでしょうか? 対策ソフトはリアルタイムでファイルアクセスを監視してるからですよ(On Access)。 で、当該Runエントリが見当たらないことやTrojan系なのに簡単に削除されてしまったことなどからして、動作していなかった可能性もありますね。 シマンテックも危険度が高いものとして扱ってないようですしね。ただ、念のために他社のオンラインスキャンを利用してみる手もあろうかと思います。 http://www.securityzone.zapto.org/virusscan.htm
- wamos101
- ベストアンサー率25% (221/852)
#1です。 先のエントリに関してなんですが、動作確認したところ変更を有効にする場合が「1」で「0」にすると変更が効かなくなるようです。つまり、「0」に設定するとたとえフォルダオプションでチェックを変えても反映されないようです。すいませんでした。m(_ _)m
お礼
なるほどそういうことでしたか。 よくわかりました。 回答して頂きありがとうございました。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2006-111201-3853-99&tabid=2 駆除お宅ではないので対処法などわからないが、オンラインゲームが絡んでいるのは気になるね。 「このトロイの木馬は、標的のコンピュータ上に次のマルウェアを投下する可能性があります。 * Downloader * Hacktool.Rootkit」 ルートキットはもちろん表示そのもの、システムそのものが疑わしいことらしいから。 ノートンだとなぜ侵入時点で検出しなかったのか、それが一番気になる。 ノートンの治外法権地帯のフォルダーにダウンロードしていたとか、ノートンの機能を停止中にダウンロードしたとか。 発見場所はなしということなのかな。
- ryu-fiz
- ベストアンサー率63% (2705/4228)
ヒューリスティック検出、という技術をご存知でしょうか? http://www.hotfix.jp/archives/word/2004/word04-23.html 既出の感染と似た動作をするものも検出可能にする技術ですが…こうした技術を利用しての検出である場合、関連情報ページどおりのファイル名やレジストリ値が存在しないという可能性も十分にあり得ます。 その場合は、シマンテックが提供する情報が直接は役立たないという場合ももちろん出てくるでしょう。 また、それとは別に、ブラウザのキャッシュに読み込まれたものの、実際には動作を開始しなかった、要するに発症しなかったために、作成される筈のレジストリ値が存在していない、という場合も考えられます。その辺は2番さんが既に提示しておられるとおりです。 >ここからどのような対処をとればよいでしょうか? まず、検出されたファイル本体が削除出来れば削除を試みます。 一般に対策ソフトで検出されたものの、削除が出来ないというケースは次のようなものです。 1)IEにおけるインターネット一時ファイルのように、ブラウザのキャッシュから見つかっている場合。 対処法:ブラウザのキャッシュをクリアする。インターネット一時ファイルの削除はコントロールパネルのインターネットオプションから行います。 2)"_restore"とつくフォルダから検出があった場合。これは、システムの復元に使われるバックアップ領域に問題のファイルが存在することを示します。 対処法:システムの復元を一旦無効化し、復元ポイントをすべて破棄した後で再び有効にする。 http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20020407222052953 http://support.microsoft.com/support/kb/articles/Q263/4/55.ASP 3)圧縮ファイルの内部から検出があった場合。通常、圧縮ファイルの中の特定ファイルだけを削除できないことが多いです。 対処法:検出されたファイルを含む圧縮ファイルごと削除、あるいは手動で隔離(ノートン製品では『検疫』という言葉を使うようです)を行う。 4)それ以外のケース。その殆どは検出されたファイルが既に実行中、あるいは他のプログラムによって利用されているために削除が出来ない。 いずれにしても、検出がどこからあったかを特定しなくては話になりませんので、まずは検出ログを確認してください。(ノートンユーザーではないので、具体的な操作法はお教え出来ません。ヘルプなどで確認してください) 4)に該当すると思われる場合には…まず、念のために誤検出の疑いがないかどうかをチェックしてみるべきかも知れません。VirusTotalを利用すると、複数の対策ソフトエンジンによる総合的な判定を受けることが出来ます。 http://www.virustotal.com/jp/ 誤検出の疑いがない場合には、システムをセーフモードで起動後に全体スキャンを行ってみてください。通常モードでは起動するが、セーフモードでは起動しないという感染も少なからずあります。 セーフモードで起動しても相変わらず処理が出来ない場合には…次のサイトで紹介されているNorman Malware Cleanerを、システムをセーフモードで起動後に使ってみてください。 http://m-filestation.seesaa.net/article/34993210.html Dr.Web CureIt!も、かつてノートン製品が処理出来なかった感染に対処出来たというケースがあったと聞いています。試してみる価値はあるでしょう。 http://www.freedrweb.com/cureit/?lng=jp 感染が処理出来たと思われる場合でも、F-Secureのオンラインスキャン辺りで再チェックされるのが良いでしょう。 http://www.f-secure.co.jp/v-descs/disinfestation.html 対処に行き詰まる場合には、リカバリをお勧めします。もしくはここを締め切り後、higaitaisaku.comの質問掲示板への移動が推奨です。 http://www.higaitaisaku.com/ 安全にリカバリを進めるためには、次のURLを参考にしてください。 http://iwata.way-nifty.com/home/2004/10/1017.html 昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。同様な感染を防ぐために次のような点に注意してください。 1)各種アプリケーションソフトのセキュリティ更新を怠らない。 Windows Updateの必要性はこれまでも叫ばれていますが、悪用されるセキュリティ上の問題点=脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、 ・Firefox、Operaなどのブラウザ。 ・Sun Java 仮想マシン(JRE)。 ・Flash PlayerやShockwave Playerなどのプラグイン。 ・Real Player、QuickTimeなどのメディアプレイヤー。 ・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。 最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。 http://internet.watch.impress.co.jp/ http://www.itmedia.co.jp/enterprise/security/ こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。 2)標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。 IEで扱うことの出来るJavaScriptは特殊なもので、各種感染に利用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。 でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。 http://www.mozilla-japan.org/products/firefox/ http://jp.opera.com/ もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。 もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsのようなソフトの利用を検討してください。 http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html 制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。 なお、Windows Vista上のIE7では、感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点=脆弱性の影響には十分注意しなくてはいけません。その辺は1)で説明した通りです。
補足
非常に丁寧な回答ありがとうございます。ちょっと不思議なことがおこりまして 教えて頂いたVirusTotalでウィルスファイルをアップロードしようとした瞬間、 ノートンが突然、Infostealer.Gampassを削除しました、と表記されました。 削除してもらえたのでよかったのですが、なぜこのようなことが起こったのでしょうか? また、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0" はフォルダオプションの表示ですべてのファイルとフォルダを表示するもので表示するなら「1」 という回答があったのですが理解ができません。 表示するのと表示しないのではなにが違うのか、誰に対して表示するのでしょうか?
- wamos101
- ベストアンサー率25% (221/852)
#1です。 その値はユーザーの任意。
- wamos101
- ベストアンサー率25% (221/852)
#1です。 そのエントリはですね、フォルダオプションの「表示」で「すべてのファイルとフォルダを表示する」のやつです。表示するなら「1」です。
補足
ご返答ありがとうございます。 はい、たしかに”1”になっているのですが、 削除方法では”0”に修正すると載っています。 仮にここは”1”で正しいのであれば、 修正するところはどこもなく削除する方法が見当たりません。 どのような対処をすべきなのでしょうか?
- wamos101
- ベストアンサー率25% (221/852)
こんにちは。 当方はクラッカーコミュティー潜入調査や対策ソフトの多角的性能テストなどをしております。 基本的にHKLMのRunエントリはシステム起動時、HKCUのRunエントリはログオン時のスタートアップエントリです。 で、これらのエントリは起動トリガですので、そのMalwareのエントリが無ければそれに越したことはないです。 あとは、基本的にそのページに書かれてる手順に従って下さい。
補足
ご返答ありがとうございます。その次の 5.必要な場合は、次のレジストリエントリを以前の値へ復元します。 では値をチェックしていき、 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0" だけ値が違いました。 これは対象のCheckedValueを右クリック(修正、バイナリデータの修正、削除、名前の変更)のうち修正で 値のデータを0に修正すればよいのでしょうか? よろしくお願い致します。
補足
まずC\WINDOWS\system32\KarnaeghDrv.dllというファイルがウィルスに侵されていました。 VirusTotallでアップしようと思ったらファイルがなかったので直接ファイル名を打ち込んで行おうと思ったら ノートンがその時に削除しました。 その後、再びアップしようと思ったらそのようなファイルはありません、とでました。 もう一度、ノートンでスキャンしたらウィルス発見の告知もなくまりました。 一応、オンラインスキャンというものも行ったみようと思います。