- 締切済み
教えて!!Virtumonde.Dllの駆除方法
先ほどspybotでスキャンしたところ Virtumonde.Dllが1エントリ検出され詳細は C:\Windows\System32\zipfldr.dll となっています。 spybotではこのファイルはアクセス拒否され駆除できませんでした。 今回spybotで初めてスパイウェアが検出されどうして良いのか分りません。 PCに詳しくもなく主人は長期出張で不在のため何だかとても不安です。 PCに詳しい方の早急の回答よろしくお願い致します。
- みんなの回答 (5)
- 専門家の回答
みんなの回答
- ryu-fiz
- ベストアンサー率63% (2705/4228)
誤検出が改善されたようで何よりです。 で、ご質問の件ですが…薄いオレンジ色云々については、私自身がWindows2000ユーザーであり、Vistaの表示上の疑問に関してはお答えし辛い状態です。申し訳ありません。 常駐保護に関しては…個人的意見としては無理に有効にせず、無効のままでりようされることをお勧めします。 Spybot-S&Dの常駐保護機能は、TeaTimerと呼ばれる常駐プログラムと、SDHelperと呼ばれるIEのアドオンから成ります。このうち、TeaTimerに関しては、一般に感染によって起こりやすい種類のシステム上の改変に関して警告を出して可否を求めてくるという動作になります。 ただし、実際にはその全てを問答無用でブロックしておけば良いというものでもなく、ユーザー自身が適宜判断を行なわなければならないケースが往々にして出て来ます。初心者クラスを自認される方がそうした際に常に的確な判断を行なえるかどうかには疑問が残りますので、私自身は少なくともTeaTimerに関しては非推奨と致します。 SDHelperに関しては、一般にはSpybot-S&Dの定義に基づいてブロック可能なものをブロックする、という動作になると思われますが…いずれにしてもSpybot-S&Dの常駐保護機能に関しては、少なくとも以前のバージョンでは一般に有効化しないで利用するのが良いという意見が日本語圏のユーザーの間では多いように思われます。 現行バージョンのavast!には対スパイウェア常駐保護機能もありますので、通常はそれで十分ではないかと思われます。 なお、昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。 次のような点に注意すべきだと考えます。対処出来ていない点がないかどうかをチェックしてみてください。(意味が分からない用語は、e-Wordsで調べるなどして理解に努めてください。) http://e-words.jp/ 1)各種アプリケーションソフトのセキュリティ更新を怠らない。 Windows Updateの必要性はこれまでも叫ばれて来ましたが、悪用されるセキュリティ上の問題点=脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと主流が移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、 ・Firefox、Operaなどのブラウザ。 ・Sun Java 仮想マシン(JRE)。 ・Flash PlayerやShockwave Playerなどのプラグイン。 ・Real Player、QuickTimeなどのメディアプレイヤー。 ・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。 最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。 http://internet.watch.impress.co.jp/ http://www.itmedia.co.jp/enterprise/security/ こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。 2)標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。 IEで扱うことの出来るJavaScriptはJScriptといい、Windowsを直接操作出来るように拡張されており、各種感染に悪用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。 でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。 http://www.mozilla-japan.org/products/firefox/ http://jp.opera.com/ もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。 XPまでのWindowsで、もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsやRUNASAのようなソフトの利用を検討してください。 http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html http://www.oshiete-kun.net/archives/2007/04/vistauacxprunasa.html 制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsやRUNASAを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。 ReducedPermissionsの入手は、次の各URLから行うことが出来ます。 http://download.cnet.com/Reduced-Permissions/3000-2239_4-10572884.html http://www.softpedia.com/get/System/System-Miscellaneous/Reduced-Permissions.shtml なお、Windows Vista以降のIEでは、保護モードにおいて感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点=脆弱性の影響には十分注意しなくてはいけません。その辺は1)で説明した通りです。 3)ファイアウォールを有効にする。 出来ることなら、ファイアウォール機能の付いたブロードバンドルーターを介してネットに接続することが望ましいです。それが出来ない場合には、パーソナルファイアウォール機能を含むウイルス対策ソフトを利用しましょう。 最低でもWindowsファイアウォールを有効にしておけばそれなりの効果は期待出来ますが、例えば各種共有機能が有効になっているとそれ関係のポートが開かれたままの状態になり、ネットワークウイルス感染や不正侵入を防げない可能性もあります。より確実に不正な通信をブロックするためには、やはりブロードバンドルーターかパーソナルファイアウォールを別途導入するのが望ましいです。 4)怪しいリンクをクリックしたり、怪しいファイルをダウンロードしたりしない。 興味深いネタへのリンクと称して怪しいリンクを踏ませたり、動画再生に必要なコーデックなどと偽って怪しいファイルをダウンロード、実行させようとする手口は後を絶ちません。十分な注意が必要です。 このような騙しに遭わないためにも、先述したようなニュースサイトで最新の情報を常時チェックされるのが望ましいです。 5)オートラン設定を無効化しておきましょう。 最近いわゆる『USBメモリを介する感染』というのが増えていますが、感染が広がる要因の一つと言われているのがUSBメモリ内プログラムの自動実行などに使われるオートラン機能です。 実はこのオートラン機能、標準設定ではハードディスクなどあらゆるメディア上で有効になっているために、これを悪用した感染が簡単にPC全体に波及することになりがちです。 Windows の自動実行機能を無効にする方法 http://support.microsoft.com/kb/967715/ja 上記URLにて『自動実行機能を無効にするための必要条件』とされている更新プログラムをダウンロード、インストール後に、次のURLにてWindowsの各バージョン毎に紹介されている方法に従って、自動実行機能を無効化してください。 http://www.ipa.go.jp/security/txt/2009/05outline.html つまり、Windows Updateとウイルス対策ソフトの導入に加えて、 ・アプリケーションソフトも必要に応じてきちんと更新し、ウイークポイントを解消しておく。 ・素のままのIEは極力使わず、FirefoxかOperaを常用する。どうしてもIEを常用したい場合には、管理者権限のないユーザーで実行する工夫をすべし。 ・ブロードバンドルーターを介して接続するか、パーソナルファイアウォールを導入する。 ・怪しいリンクをクリックしたり、怪しいファイルをダウンロードしたりしない。 ・オートラン設定の無効化。 ・ニュースサイトを利用しての最新の脆弱性情報の収集を怠らない。 これだけ注意しておけば、そう簡単に各種感染に遭うことはなくなると思われます。 常駐保護を手厚くすれば全ての感染を防げるというものでもありません。むしろいかにウイークポイントを減らしていくかに気を遣うようにしないと、最近の感染に対処するのは難しいかと思われます。
- John_Papa
- ベストアンサー率61% (1186/1936)
お疲れ様でした。 誤検出だったようでなによりです。 >常駐保護なんですがこれはやった方がいいでしょうか? 今までやってなかったんでしたら、常駐保護無しでも良いと思います。 常駐にTeaTimer.exeというプログラムが約100Mバイトもメモリーを使ってしまいます。 Micrsoft Updateやアプリケーションのインストールなどの時、レジストリに登録してよいか問い合わせてきます。この問合せ時間が短く、これは何だろうと考えている間に時間切れになり登録がキャンセルされますのでインストールやアップデートに失敗します。レジストリ登録の可能性がある場合には常駐を外しておかないとパソコンの前を離れられません。 パソコンのメモリーがVistaの場合2Gバイトあれば、パフォーマンスにほとんど影響が出ないでしょうから、通常時ならマルウェアがインストールされてしまうのを防ぐ事が期待できまし、AVAST!との相性は、パソコンの構成にも拠ると思いますが私自身も常駐で問題なく共用していていますので、常駐保護を使用されても構わないと思います。 >Spybot-Search&Destroyのファイルが薄いオレンジ色になっていて オレンジっぽいWindowsのデスクトップテーマをお使いでしょうか? デスクトップを右クリックし「個人設定」で「テーマ」をWIndows Vistaの標準にしてみてSpybotのアイコンが水色基調の配色になれば問題ありません。 アプリケーションやアイコンがそれぞれ独自のパレットを用意していれば色が変わることはありませんが、Windows共通の標準パレットを使うと、パレットの変更により色が変わります。 Spybotの指定している色が、「テーマ」に拠って変更された色に当たってしまったのではないでしょうか。
お礼
John_Papaさん色々とご親切にどうもありがとうございました。 今までは常駐保護利用していたのですが今回インストールする際に参考にしたサイトでは常駐のところにチェックが入っていなかったのでその通りに初期設定してしまいました。 やっぱり常駐していた方が安心ですよね!? 出来るか分かりませんが常駐保護に設定変更してみたいと思います。 オレンジ色に何故なっているのかを自分で検索して調べてみたところ新しくインストールされたものが一時的にそうなるみたいです。 なにか不具合でもあるのかと思いましたがコレも解決でき安心しました。 今回とてもお世話になり感謝しています。 どうもありがとうございました!!
- John_Papa
- ベストアンサー率61% (1186/1936)
>右クリックをしてもメニューが出てきません。 失礼しました。バージョン1.5で標準でコンテキストにメニューがでるようになったのですが、1.6ではインストール時のみ選択できるオプションになっています。画像参照。 ファイル単位・フォルダ単位でスキャンがが必要なら再インストールしてください。 また、VISTAでは管理者権限を使うための操作が必要かもしれません。 http://www.safer-networking.org/jp/faq/42.html >エクスプローラーから開くって言うのは >スタート→コンピューター→Cドライブと それでもいいのですが、 スタート→コンピュータで、コンピュータを左クリックではなく右クリックで、表示されるメニュー(コンテキストメニューといいます)からエクスプローラを左クリック。 左窓(エクスプローラバー)にフォルダーが折りたたまれて表示されるので、展開しながら迷子にならずに目的のフォルダーにたどりつけます。フォルダー間の移動も目的のフォルダーをクリックするだけです。 まず、SpybotS&Dの誤検出ではないかを疑っています。 本当にWindowsのシステムファイルに感染したり、成り済ましたりするマルウェアは駆除が難しいのです。
お礼
John_Papaさん度々の回答どうもありがとうございます。 1度目の回答でアップグレードと教えて頂いていたのに私はアップデートと同じ事だと思っていました・・・。 とりあえず最新バージョンに何とかする事が出来、スキャンしてみると何も検出されずホント安心しました。 誤検出だったみたいなのでよかったです。 最新バージョンにしてみてちょっと気になる事があるので分かるようでしたら是非教えて下さい。 常駐保護なんですがこれはやった方がいいでしょうか? 私が見たサイトでは上級者向けと言う事だったので今は常駐保護にはしていません。 それとスタート→すべてのプログラムからSpybot-S&DをみるとSpybot-Search&Destroyのファイルが薄いオレンジ色になっていてファイルを開くとSpybot-Search&Destroyとupdate Spybot-S&Dも同じ色になっています。 これは何なんでしょうか? この2点が解決すれば今回のモヤモヤはすべてすっきりすると思います。 よろしくお願いします。
- ryu-fiz
- ベストアンサー率63% (2705/4228)
こういうページがあります。Spybot-S&Dの公式フォーラムの1スレッドです。 Confirmed: False Positive on Virtumonde in zipfldr.dll? - Safer Networking Forums http://forums.spybot.info/showthread.php?t=46096 "False Positive"とは誤検出のことです。 Yahoo!翻訳などを使うと、大体の意味は取れるかと思います。 Yahoo!翻訳 - ウェブ翻訳 http://honyaku.yahoo.co.jp/url 誤検出の疑いが濃厚です。一応、VirusTotalにこのファイルを送り、検査してみてください。 まず、初期設定ではおそらくエクスプローラ上からアクセス出来ないこのファイルにアクセス出来るよう、Windowsの設定を変更します。 XP以前のWindowsをご利用の場合 http://esupport.trendmicro.co.jp/Pages/JP-29035.aspx Vistaをご利用の場合 http://esupport.trendmicro.co.jp/Pages/JP-2062519.aspx 終わったらVirusTotalにアクセスしてこのファイルを選択し、送信してください。 http://www.virustotal.com/jp/ 複数のウイルス対策ソフトのエンジンによってより総合的な判定を受けることが出来ます。複数の対策ソフトによって検出がある場合はその分感染の疑いが濃厚になります。 なお、既にこのファイルが解析済みであると出て、結果の表示も出来ないことがありますが…その場合は、過去に問題なしと判定されていると考えて差し支えないと思われます。 また、上記公式フォーラムでは、この現象は古いバージョンのSpybot-S&Dをご利用の場合に発生しやすいとあります。最新バージョンである1.6.2以外をご利用の場合は、一旦アンインストール後に最新のバージョンを改めてインストールし直すのが良いと思います。 (ご主人でなければバージョンアップは無理、ということであれば、当面検出されたものは放置し、そのままにしておいてください)
お礼
ryu-fizさん回答どうもありがとうございました。 わたしの使っているバージョンを確認してみたところ最新ではなかったのでかなり時間はかかったもののネットでアンインストールやダウンロードなどのやり方を見ながらなんとか最新バージョンにする事ができました。 そしてスキャンしてみると何も検出されませんでした。 お二人の言われている通り誤検出だったみたいでよかったです。 (ウィルスなど見つかるとどうして良いのか分らずホント不安になるので・・・) 昨日からこの事で気分が落ち込み気味だったのですが何とか解決出来てホント嬉しいです。 最新バージョンにしてみてちょっと気になる事があるので分かるようでしたら是非教えて下さい。 常駐保護なんですがこれはやった方がいいでしょうか? 私が見たサイトでは上級者向けと言う事だったので今は常駐保護にはしていません。 それとスタート→すべてのプログラムからSpybot-S&DをみるとSpybot-Search&Destroyのファイルが薄いオレンジ色になっていてファイルを開くとSpybot-Search&Destroyとupdate Spybot-S&Dも同じ色になっています。 これは何なんでしょうか? この2点が解決すれば今回のモヤモヤはすべてすっきりすると思います。 よろしくお願いします。
- John_Papa
- ベストアンサー率61% (1186/1936)
C:\Windows\System32\zipfldr.dll は、Windwsにとって必要重要なファイルです。 削除してはいけません。 また、システムで使われていますので削除できません。 少なくとも、私のXP SP3ではこのファイルはnothing found(正常)でした。 スパイボットの最新バージョンは Spybot - Search & Destroy 1.6.2.46 です。 スパイボットを最新にアップデートして エクスプローラで、C:\Windows\System32\を直接開き、 C:\Windows\System32\zipfldr.dll を右クリックし、メニューからScan using Spybot-Search&Destroyを選んでチェックしてみてください。 それでも、Virtumonde.Dll(ウイルス感染DLLという意味かな)として検出されるようでしたら、WindowsのCD-ROMから修復インストールする(システムに必要なファイルを上書きする)と良いでしょう。 修復後には手動でMicrosoftUpadateもする必要があります。 XPの修復 http://support.microsoft.com/kb/881207/ja Vistaの修復 http://support.microsoft.com/kb/931778/ja 修復インストールは、Windowsの基本的なシステムしか修復(上書き)しません。システム関係のファイルが壊れた時には非常に有効なのですが、別な箇所にマルウェア(悪意のあるソフト)がいた場合には、対処できません。 修復インストールの前に、他のアンチウイルスソフト(オンラインスキャンも幾つかあります)等でスキャンしてみておくことをお薦めします。 Good Luck!!
お礼
John_Papaさん回答ありがとうございました。 早速『エクスプローラで、C:\Windows\System32\を直接開き、 C:\Windows\System32\zipfldr.dll を右クリックし、メニューからScan using Spybot-Search&Destroyを選んでチェックしてみてください。』の作業をやってみたのですが右クリックをしてもメニューが出てきません。 私のPCはVistaなのですがエクスプローラーから開くって言うのは スタート→コンピューター→Cドライブと言う風に進んで行けばよいのでしょうか? それと他のアンチウィルスソフトと言う事ですが私はavast!を使っていてこちらでは特に問題なくスキャンは終了しました。 他にやっておくと良いソフトがあれば具体的に教えていただけるとありがたいです。 それと質問だらけで申し訳ないんですがVirtumonde.Dllはどのような被害をもたらすものなのでしょうか? ご回答いただけると嬉しいです。 よろしくお願いします。
お礼
ryu-fizさん色々とご親切にどうもありがとうございました。 今回詳しく教えて頂いた事はちょっとづつでも理解出来るように努力しようと思います。今の段階ではチンプンカンプンなもので・・・。 私は普段メールと特定の決まったサイトを見る事とたまに調べたい事を検索する位なんですがウィルスやスパイウェアなどホント厄介だし怖いと思います。 快適なネットライフを送りたいのにイヤ~な事する人って後を絶たないんですね。 今回とても勉強になりました。 どうもありがとうございました。