- ベストアンサー
急ぎ!スパイウェア?ウイルス?に感染しました
- 先々日サイトを見ている最中に、不明なアプリケーションがアクセスしようとしていました。Nortonのファイアウォールの警告を許可してしまってから、ウイルスを検出しましたが、まだ完全に削除できていないかもしれません。
- 削除方法を試した結果、今は削除できたかどうか分からない状態です。ウイルスのアプリケーション名は、dflgh8jkd2qやwinds32.exeです。
- また、タスクマネージャが開けず、別のサイトを参考にして解決しましたが、やはり感染した可能性があります。NortonのシステムスキャンとSpybotのスキャンでは問題がなかったです。また、起動時の「管理者が設定を更新中です」というメッセージについても不安があります。
- スパイウェア
- 回答数6
- ありがとう数4
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
ウェブ検索で得られる情報を総合して判断した結果、補足中にあるご懸念のもの、全て問題なしと見ます。 VirusTotalで0/36ということは全く検出がなかったということで、ほぼ誤検出と判断して差し支えないものです。それ以外の判断のしようがありません。 trace~についても、いずれもPC健康診断掲示板の過去ログや海外のセキュリティフォーラムなどで誤検出、あるいは過剰検出と見なされているもののようです。もし仮に問題のあるエントリだったとしても、それに関連するファイル自体の存在が全く認められないということになりますので、現状では心配は無用だと思います。
その他の回答 (5)
- ryu-fiz
- ベストアンサー率63% (2705/4228)
>■C:\Program Files\AskJeevesJapan\scbar\1.bin\NPASKJJP.DLL 以下"AskJeevesJapan"と付くフォルダ内からの検出は全てAsk.jpのツールバー関係の検出です。多分ご自身でインストールされたのだと思いますが。 一般にAsk.jpツールバーはスパイウェア疑惑のあるものです。ですが…この種のソフト全般に言えるように賛否両論あるものと考えます。参考までに。 http://oshiete1.goo.ne.jp/qa1738678.html http://oshiete1.goo.ne.jp/qa2996157.html http://oshiete1.goo.ne.jp/qa2710049.html http://oshiete1.goo.ne.jp/qa4229770.html http://oshiete1.goo.ne.jp/qa3403645.html http://help.smileycentral.jp/spw/notspyware.html http://www.spywareguide.jp/product_show.php?id=490 現状での私の意見としては…質問者さん次第で構わないかと。これを削除しないことで致命的な被害を被ることもまずないでしょうから、あとは精神衛生上の問題です。ただし、削除したいなら『プログラムの追加と削除』からのアンインストールを優先すべきでしょう。 CnsMin関連についても、基本的にはほぼ同じです。スパイウェアだと判断するにしてもその危険性は昨今の深刻な感染に比べれば大した事はありません。ですが…こちらは他のIEプラグインや拡張機能などとの干渉が懸念されるケースが多いと思われるので、利用していないなら削除を推奨です。ただし、これも対策ソフトからの強制的削除は避けるべきです。次のURLを参照してください。 http://www.higaitaisaku.com/removecnsmin.html 公式の手順に従ったアンインストールを基本にすべきです。 >■C:\WINDOWS\system32\dllhost.exe >Backdoor.Win32.Rbot.b~ リスク:高 個人的意見としても、i386フォルダからも検出があることから誤検出の懸念があると思われます。VirusTotalに送って検査を受けるべきでしょう。 http://www.virustotal.com/jp/ もし判断に迷うようなら、検査結果を表示したページのURLをここに貼ってみてください。 私もa-squared Freeを使いますが…誤検出は多いソフトだと思います。検出された場所やフォルダ、ファイル名、ファイルプロパティなどから類推される情報、あるいはそれらを元にウェブで得られる情報などからその辺をある程度見極めるなり、VirusTotalを活用するなりすることでその辺はカバー出来るので、個人的には長年使っていますが。 こうやってa-squaredで検出したものの内訳を見る限り、今のところwinds32.exeやランダムな文字列のファイル名を持つものに関わる検出は見られないような気がします。現状気になる症状が発生していないなら、大きな危険は存在しないような感じです。 先述しましたように、カスペルスキーもしくはF-Secureで目立った感染が検出されないようなら大丈夫ではないでしょうか。まだ不安が残るようでしたら、ここを締め切った上でhigaitaisaku.comのPC健康診断掲示板に移動されることを推奨します。 http://medcheck.higaitaisaku.com/cbbs.cgi
補足
何度もご回答有難うございます。 あの後調べて、教えて頂いたサイトも参考に、Ask.jpのツールバー関係のものと、CnsMinの方は削除しました。 またカスペルスキーのオンラインスキャンも行ったところ、問題ありませんでした。 その後、また確認のために「F-Secure」と「a-squared」にてスキャンを行ったのですが、こちらも問題ありませんでした。 ただ、カスペルスキーのオンラインスキャンを"行う前"に、「a-squared」にて検出され隔離していた"前の補足に書いたのもの"をレストアしてしまったため;、その後すぐにまたスキャンしたのですが、その際にまた新たに2つ検出されまして;※以下★のもの。 誤検出なのか…、削除してよいものなのか判断がつかず;、未だ隔離してあるのですが^^; 【Trace.Registry.BonziBuddy】リスク:中 ■Key:HKEY_CLASSES_ROOT\interface\{0a45db4d-bd0d-11d2-8d14-00104b9e072a} ■Key:HKEY_CLASSES_ROOT\interface\{0a45db4e-bd0d-11d2-8d14-00104b9e072a} ※db4~の後の「d」と「e」の違い。 ■Key:HKEY_CLASSES_ROOT\interface\{e91e27a2-c5ae-11d2-8d1b-00104b9e072a} 【Trace.Registry.FunWebProducts】リスク:中 ■Key:HKEY_CLASSES_ROOT\clsid\{9afd8248-617f-460d-9366-d71cdeda3179} 【Trace.Registry.MyWebSearchToobar】リスク:中 ■Key:HKEY_CLASSES_ROOT\clsid\{147a976e-eee1-4377-8ea7-4716e4cdd239} ★Key:HKEY_CLASSES_ROOT\clsid\{147a976f-eee1-4377-8ea7-4716e4cdd239} ※976~の後の「e」と「f」の違い。 【Backdoor.Win32.Rbot.buf!A2】リスク:高 ■C:WINDOWS\I386\DLLHOST.EX_/dllhost.exe ★C:WINDOWS\system32\dllcache\dllhost.exe ■C:WINDOWS\system32\dllhost.exe また、教えていただいたサイトにて以下の2つを検査したところ、下記のような結果が出たのですが… どちらも、結果: 0/36 (0.00%) という事で、感染していないという事でいいのでしょうか? 調べてみたのですが、結果の見方が解らず;;頼りっきり申し訳ないです; もしこれで問題ないようであれば、後は自分で調べるなり、教えていただいたPC健康診断掲示板にて相談したいと思います…^^; ・DLLHOST.EX_ ・dllhost.exe http://www.virustotal.com/jp/analisis/d2b5546bc42367b79cda49c4e6eab642 http://www.virustotal.com/jp/analisis/dc098608896b6563087e8bbd56b416f7
- ryu-fiz
- ベストアンサー率63% (2705/4228)
取り敢えず目立った症状がなくなったということでしたら、セカンドオピニオンとしてカスペルスキーのオンラインスキャンを受けてみてください。 http://www.kaspersky.co.jp/virusscanner Tracking Cookieのような軽微なものは検出されても問題ありませんが、それ以外の感染が検出されないことが確認されれば当面安心と考えて良いと思います。 確かにSpybot-S&Dは、深刻な感染に対して以前ほどには十分な効果を発揮出来なくなりました。しかしながら、現状を把握することなくやみくもに複数の対策ソフトを次々と入れてスキャンを行う必要もないかと思います。 まずは現状の確認が大切。目立った感染が残っていないかどうかをカスペルスキーのオンラインスキャンで確認してください。なければ問題ないし、あればSUPERAntiSpywareやewidoオンラインスキャンなどで追加処置を行う、あるいは思い切ってリカバリするなどの処置が必要だと思います。 安全にリカバリを進めるためには、次のURLを参考にしてください。 http://iwata.way-nifty.com/home/2004/10/1017.html 昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。同様な感染を防ぐために次のような点に注意してください。 1)各種アプリケーションソフトのセキュリティ更新を怠らない。 Windows Updateの必要性はこれまでも叫ばれて来ましたが、悪用されるセキュリティ上の問題点=脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと主流が移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、 ・Firefox、Operaなどのブラウザ。 ・Sun Java 仮想マシン(JRE)。 ・Flash PlayerやShockwave Playerなどのプラグイン。 ・Real Player、QuickTimeなどのメディアプレイヤー。 ・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。 最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。 http://internet.watch.impress.co.jp/ http://www.itmedia.co.jp/enterprise/security/ こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。 2)標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。 IEで扱うことの出来るJavaScriptはJScriptといい、Windowsを直接操作出来るように拡張されており、各種感染に悪用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。 でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。 http://www.mozilla-japan.org/products/firefox/ http://jp.opera.com/ もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。 もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsのようなソフトの利用を検討してください。 http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html 制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。 なお、Windows Vista上のIE7では、感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点=脆弱性の影響には十分注意しなくてはいけません。その辺は1)で説明した通りです。
補足
ANo.3のDarkfoxさん、ANo.4のryu-fizさんもご回答有難うございます。 今日一日中、ウイルス等について色々と調べたのですが、まだまだ勉強不足だと感じました; とりあえず…、Darkfoxさんに教えていただいた「SpywareBlaster」「a-squared Free」をインストし、SpyBot・F-Secure・Ad-Awareとスキャンしたのですが… >しかしながら、現状を把握することなくやみくもに複数の対策ソフトを次々と入れてスキャンを行う必要もないかと思います。 との事で、仰るとおりですね…^^; しかし、先程セーフモードにて「a-squared Free」にてスキャンを行ったところ、オブジェクト数が59個検出されまして…;、その内の44個がCookie、5個がCnsMin、10個がレジストリやAdware.Win32やBackdoor.Win32やADTool.Win32など・・・ CookieとCnsMin(J-word)はスパイウェアではないという事で、削除しても大丈夫かと思うのですが。 それで、問題の残り10個なのですが、これが削除してよいものなのかどうか、困っていまして;; 10個のファイルの詳細は、 ■C:\Program Files\AskJeevesJapan\scbar\1.bin\NPASKJJP.DLL Adware.Win32.MyWebSarch リスク:中 ■C:\WINDOWS\system32\dllhost.exe Backdoor.Win32.Rbot.b~ リスク:高 ■Key:Hkey_Classes_ROOT\clsid\{9afb8248-617f-460d-9366-d71cdeda3179} Trace.Registry.FunWeb リスク:中 ■C:\Program Files\AskJeevesJapan\Scbar\1.bin\F3CJPEG.DLL Adware.Win32.FunWeb.~ リスク:中 ■Key:Hkey_Classes_ROOT\interface\{e91e27a2-c5ae-11d2-8d1b-00104b9e072a} Trace.Registry.Bonzibud リスク:中 ■C:\WINDOWS\I386\DLLHOST.EX_ Backdoor.Win32.Rbot.b~ リスク:高 ■Key:Hkey_Classes_ROOT\clsid\{147a976e-eee1-4377-8ea7-4716e4cdd239} Trace.Registry.MyWebSarch リスク:中 ■C:\Program Files\AskJeevesJapan\scbar\1.bin\AJJOEPLG.DLL Riskware.Adtool.Win32.~ リスク:低 ■Key:Hkey_Classes_ROOT\interface\{0a45db4e-bd0d-11d2-8d14-00104b9e072a Trace.Registry.Bonzibud リスク:中 ■Key:Hkey_Classes_ROOT\interface\{0a45db4e-bd0d-11d2-8d14-00104b9e072a Trace.Registry.Bonzibud リスク:中 ※↑上と同じ 「F-Secure」にて、一回目のスキャンでウィルスが2個、スパイウェアが15個検出されたため駆除したのですが、念のため二回目のスキャンをしたところ、駆除できなかったのか一回目に検出されたスパイウェアの内10個がまた検出され… Cookieは気にしないとすると、「a-squared Free」でも検出された3つが気になるのですが; AdWare.Win32.MySearch、WebToolbar.Win32.MyWebSearch、AdWare.Win32.AskJeeves 「a-squared Free」では駆除はなく、削除しかできないようなのですが…、このWin32~というのは削除しても大丈夫なのでしょうか? そもそも、このWin32とは何なのでしょうか?調べてみたのですがよく解らず…すみません; Win32というものは全て、スパイウェア又はウイルスなのでしょうか… また、「DLLHOST.EX」や「dllhost.exe」は高リスクのようなのですが、調べてみたらこれは削除してはいけないようで;;↓など。 http://oshiete1.goo.ne.jp/qa680972.html 現在「a-squared Free」で検出された、CnsMin以外のものは全て検疫にて隔離してあるのですが、(←のせいかもしれませんが;、)タスクマネージャのプロセスにその2つは見当たりませんでした。 また先日、(「a-squared Free」は今日インストールして使用したので)タスクマネージャを確認していた時は、その2つがあったかは定かではありませんが、CPU使用率に問題はありませんでした。 ※ここ一ヶ月程も重いなど、CPU使用率など特に問題なかったように思います。 プロパティも確認したところ、サイズが大きいという事もなかったのですが… また、C:\WINDOWS\system32\winsにそれらが入っていると感染している恐れがあると書いてあったのですが、隔離する前に確認、また上記にもありますとおり、当方の場合C:\WINDOWS\system32\やC:\WINDOWS\I386\内に入っていたので…;しかしリスク高で検出されたのなると、やはり感染したのではないかと; 駆除方法も探したのですが見つからず;; またこれから調べたいと思いますが、お力を貸していただけると幸いです… また、教えていただいた「ReducedPermissions」も入れました。 Firefoxは以前インストールしたのですが、何か問題があったようで使用できず、結局使用するのをやめてしまったのですが;、また試してみたいと思います! 教えていただいたサイトもまた改めて熟読し、もっと勉強していこうと思います^^;
- Darkfox
- ベストアンサー率56% (296/526)
SpyBotで大丈夫とは…情報が古いですよ。www 最近はドライバのフリをするスパイウェアも出ているそうですが、定番ソフトと呼ばれたSpyBotやAd-Awareにそんな深部をスキャンする機能はありません。 なので以下のソフトをお薦めします。 SpywareBlaster(設定変更で感染防止) http://cowscorpion.com/Antispy/spywarebl.html a-squared Free http://cowscorpion.com/Antivirus/a2.html SUPERAntiSpyware FreeEdition http://cowscorpion.com/Antispy/SUPERAntiSpywareFreeEdition.html SpywareBlaster以外は日本では無名ですが、海外では新定番ソフト。 アレなサイトに行かない限り、週一スキャンでおkでしょう。 a-squared Freeの注意点 a-squared Freeはディープスキャンをするとエラーが出る事があるので、クイックスキャンとスマートスキャン(併せたのがディープスキャン)をすれば良いでしょう。 常駐しないのでバッティングもありません。 ウィルス対策ソフトに不安があるなら Kaspersky Virus Removal Tools http://cowscorpion.com/Antivirus/KasperskyVirusRemovalTools.html を併用すれば良いと思います。 スキャン&駆除に限定した駆除ソフトです。 ウィルス定義ファイルが更新されないので毎回最新版をDLする必要がありますが、補助には十分過ぎる性能です。 紹介したソフトは全てフリーソフトですから、使用も更新も全て無料です。
- 川原 文月(@bungetsu)
- ベストアンサー率51% (834/1628)
こんにちは。 色々試されたようですね。 >>それで、今のところ特に問題はないように思えるのですが…; カーソルがフリーズ(固まって動かなくなる)する、とか、フォルダーを開けない、全ての動作が重い(すぐに切り替わらない)等々の「異常」が出ていないのであれば、しばらくは、そのまま使用を続けてみてはいかがでしょうか。 >>もう少しで期限が切れそうなので、2008年版に無償でアップグレードした後、延長キーを購入という事でいいのでしょうか;? それで「OK」ですよ。 そして、少なくとも1ケ月に一回は、Updateやスキャンをして「最善」の状態を保ちましょう。 また、スパイウェア対策ソフトとして、Spybotを導入されたようですが、それで「OK」です。こちらは、毎日とまでは言いませんが「こまめに」スキャンをしましょう。 特に、ネットサーフィンなどの後は、必ず、スキャンしてみてください。アダルト系や出会い系サイトでは、かなりの確立でスパイウェアを混入させているものもあります。 >>「現在、管理者が設定を更新中です。お待ち下さい…」というものが度々表示されるようになったのですが、この管理者とは誰の事を指すのでしょうか;? 管理者とは、あなた自身を指します。 この現象は、Nortonの期限切れが近いことを「警告」しているものです。つまり、「更新」を待っています、と、いう「警告」です。 従って、延長キーなどを購入すれば出現しなくなると思います。
補足
こんにちは。 ご回答どうも有難うございます。 今も下記のサイトなどを見て、他に残りがないか探していたのですが^^; http://www.symantec.com/security_response/writeup.jsp?docid=2008-100915-4938-99&tabid=2 フリーズやフォルダを開けない、重いといった事は今のところないので、この後wamos101さんに教えていただいた「F-Secure」を行い、問題なさそうであればもう少し様子見したいと思います^^; 問題があれば、リカバリも考えたいと思います。 また、ノートンについてのご回答も有難うございます! >>管理者とは、あなた自身を指します。 この現象は、Nortonの期限切れが近いことを「警告」しているものです。つまり、「更新」を待っています、と、いう「警告」です。 従って、延長キーなどを購入すれば出現しなくなると思います。 との事で、一安心致しました^^; 管理者とはやはり私の事を指していたんですね。 2008年版にアップグレードし、延長キー購入の方向でいきたいと思います。 ノートン・Spybotのスキャンも、更にまめに行いたいと思います。 >>そして、少なくとも1ケ月に一回は、Updateやスキャンをして「最善」の状態を保ちましょう。 上記についてもう一つお聞きしたい事があるのですが、Norton Internet SecurityのLiveUpdateは「自動」に設定していて、(この間エラーが起きたのですが^^;)今のところ1日おきに更新されているようなので、これで(手動で更新しなくても)いいのでしょうか? ※因みに今日はまだ更新されていないのですが…
- wamos101
- ベストアンサー率25% (221/852)
こんにちは。 私はクラッカーコミュティー巡りや対策ソフトの性能テストなどをしております。 とりあえず、F-Secureのオンラインスキャンをやってみて下さい。 まあ、正直言ってリカバリで対処されたほうが一番いいです。
お礼
下記サイトにて「F-Secure」を行ったところ、ウイルスが2個・スパイウェアが15個検出されたので、自動駆除をクリックしたのですが、メーターが一瞬表示されただけで、その後何も表示されず… これでいいのでしょうか^^;? 不安なので、またもう一度スキャンしてみようと思うのですが… しかし、ウイルス2個にスパイウェア15個とは驚きました; 何故ノートンやSpybotでは検出されなかったのでしょうか;? 調べてみたところ、「F-Secure」は高性能だというような書き込みがあったのですが、ノートンやSpybotは劣るという事なのでしょうか…? 質問攻めで申し訳ありませんが、何方かご回答お願い致します; http://www.f-secure.co.jp/v-descs/disinfestation.html
補足
こんばんは。 夜分遅くにご回答有難うございます。 色々試してくたくたなので、また改めて試してみたいと思います^^; 結果が出ましたら、また補足させていただきたいと思います; リカバリはできれば避けたいので…;
お礼
お手数お掛けしてしまい申し訳ありません;; やはり誤検出の可能性が高いようなので…、削除はしないでもう暫く様子を見たいと思います。 >VirusTotalで0/36ということは全く検出がなかったということで、ほぼ誤検出と判断して差し支えないものです。それ以外の判断のしようがありません。 との事で、安心致しました。 本当に何から何までお世話になり、有難うございました!! 今後更に細心の注意を払い、ネットを楽しみたいと思います。 本当にどうも有難うございました^^