- ベストアンサー
トロイの木馬の検出後の安全確認と履歴削除
- McAfeeのVirusScan Enterprise 8.7.0iを導入済みのPCでUSBメモリー使用時にトロイの木馬を検出しました。隔離されたトロイの木馬を消す方法を教えてください。
- トロイの木馬検出後、USBメモリーを抜き取り、オンデマンドスキャンを実行し、脅威は見つかっていません。PCは安全な状態と考えてよいでしょうか?
- Quarantine Managerのポリシーを開き、マネージャータブ内の隔離期日のトロイの木馬欄を右クリックして削除すれば、トロイの木馬はどこにも隔離されていないのでしょうか?トロイの木馬を検出させた事実を消し去る他の方法はありますか?
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
>McAfee のVirusScan Enterprise 8.7.0iを導入済みのPCにて まず、オイラは企業向けの製品らしい Enterprise バージョンを使用 したことがないので、この回答は外している可能性があることをお断り しておきます。 まぁ参考程度に受け取っていただければ幸いです。 >質問1 >この時PCは安全な状態と思ってよいのですか? オンデマンドスキャンを実行したのは PC に対してですよね? オンアクセススキャン(常駐監視によるリアルタイムスキャン?)で 見逃さず検出して隔離もしてくれたのですから、とりあえず PC 自体は 守られ、現在は安全な状態になっていると思います。 それが仕事だし、性能の良くないセキュリティソフトは危険な活動を 検知することなく見逃してしまうハズです。 ただし、USB メモリの方には危険なプログラムが残っている可能性が 高いでしょう。 >質問2 >Quarantine Managerのポリシーをひらいてマネージャータブをクリック~ >~右クリックで削除すればトロイの木馬はどこにも隔離されていないの~ もし削除できるなら、そういう認識で良いと思います。 オイラは外部接続の記憶媒体で検出された経験が無いのでよく分かり ませんが、PC内に潜んでいなければ削除できないような気もします。 ただ、McAfeeによる「隔離」という処置が本件トロイの木馬を自分の PC内に取り込んで機能しないようにすることなら、削除できるかも知れ ません。 そのマネージャータブという履歴(ログ?)の中には隔離されている 場所(フォルダ)が表示されていないのでしょうか? ところで、もし不安なら、他社提供のオンラインスキャンを利用して セカンドオピニオンによる診断を受けてみては如何でしょう。 駆除ツールのダウンロード https://www.ccc.go.jp/flow/03/322.html オンラインスキャンによるクロスチェック https://www.ccc.go.jp/flow/03/340.html >質問3 >トロイの木馬を検出させてしまった事実を消し去りたいのですが、 履歴(検出ログ)は、たぶん消去できないと思います。 少なくとも 個人用製品では消去できないようです。 >その他に実行することはありますか? USB メモリの方をどうするかですが、この際フォーマットしてしまう のが一番でしょう。 また、外部記憶媒体挿入時の自動実行/自動再生を無効にする対策が 未だ実行されていない場合は、処置しておくことをお勧めします。 USBメモリの自動再生/自動実行 http://www.hitachi.co.jp/hirt/publications/hirt-pub09003/index.html USBメモリの自動再生を無効にする http://www.ocn.ne.jp/security/anshin/basic/security_08.html それから、余計なお世話かも知れませんが、それが業務用の PC なら ネットワーク管理者?に報告する必要があるんじゃないかと思います。
その他の回答 (2)
- XBG
- ベストアンサー率60% (493/820)
>McAfee のVirusScan Enterprise 8.7.0iのオンデマンドスキャン を実行して脅威は見つかっていない状態ではウイルス感染はないと考えられないのでしょうか? オンデマンドからですと完全にないとは考えられません。 >会社のパソコンということもあり新規にいろいろソフトを導入するのは不可能な状態なんです 会社と交渉するなりなんなりして、できる限り出費を抑えて導入しましょう。 無料のアンチウイルスソフトもあるのですから。 >あとUSBでトロイの木馬を検出しましたといわれたときは >もうすでにPCに感染しているものなのですか? 多くの場合感染までは検出できません。 感染している場合というのはNo.1の方が触れられている通りWindowsのレジストリなどが変更されており、少なからずシステム上に常駐している状態、と考えてまず間違いありません。 該当するトロイの木馬の駆除が終わったら、そのプログラムが書き換えたレジストリを元に戻す必要があります。 これはほんの1つのステップですが、「レジストリ エディタ」を開き、駆除したプログラムの名前でデータを検索します。該当するものがあれば、それを右クリック―「削除」してみてください。 一応これでスタートアップの指定は解除できます。 他にシステムの変更が生じている場合はそれらごとに対処が必要ですので、難しかったら無理をせず製造元や近くのPC DEPOTなどに相談したほうが良いです。
お礼
詳しい回答ありがとうございました。 やはりオンデマンドスキャンだけでは確実でないのですか・・・ まずは無料のアンチウイルスソフトをダウンロードして確認してみます。
- goold-man
- ベストアンサー率37% (8364/22179)
>トロイの木馬を消す方法 トロイの木馬はたくさんあります。 一例:Troj/Banload-J 参考URL 一例:TROJ_DELF.UY(トロイの木馬型)別名 デルフ, Download.Trojan, Downloader.c, Win32/Stwoyle.F 手動削除手順(一例) 不正プログラムのファイル名を確認 最新のバージョン(エンジンやパターンファイル)を導入したウイルス対策ソフト(アンチウィルス及びスパイウェア・アドウェア対策)でスキャン XPなどの場合、不正プログラムのBrowser Helper Objectの登録を削除 起動中のInternet Explorerのプログラムを全て終了 「スタート」「ファイル名を指定して実行」「COMMAND」 「regsvr32 /u 」(半角スペース)「不正プログラムのファイル名」「Enter」 表示されたら「OK」 コマンドプロンプトを終了 不正プログラムの自動起動設定を削除 regedit.exeを使用してレジストリの値およびキーを削除 不正プログラムが追加したレジストリキーも削除 最新のバージョンを導入したウイルス対策ソフトでウイルス検索を再度実行 XPなどでは「_restore」フォルダからウイルスが発見される場合「システムの復元」を一時「無効」にしないと削除、再起動で復活する。 ブラウザの一時ファイルからも発見される場合 Internet Explorer アイコン右クリック「インターネットのプロパティ」「全般」「インターネット一時ファイル」「ファイルの削除」クリック「すべてのオフラインコンテンツを削除する」チェックを入れ「はい」 >安全な状態と思ってよいのですか >トロイの木馬を検出させてしまった事実を消し去りたい レジストリ値やキーに潜む場合、「システムの復元」で復活する場合、一時ファイルにある場合などあり、完全に削除するには工場出荷状態にすべきです。 データをバックアップし、リカバリ。(ふつうはシステムファイルに感染するが、USBメモリーから感染したということで、データに感染している可能性もあり得る)
お礼
早速の回答ありがとうございました。 しかしながら私にはレジストリとかちょっと難しい回答でしたがいろいろ検索して 調べてみたいと思います 最新のバージョンのウイルス対策ソフトでウイルス検査を実行とありますが McAfee のVirusScan Enterprise 8.7.0iのオンデマンドスキャン を実行して脅威は見つかって いない状態ではウイルス感染はないと考えられないのでしょうか? 会社のパソコンということもあり新規にいろいろソフトを導入するのは不可能な状態なんです あとUSBでトロイの木馬を検出しましたといわれたときは もうすでにPCに感染しているものなのですか?
お礼
回答ありがとうございました 判りやすい説明身にしみます。 オンラインスキャンを実施した結果4個のスパイウエアと思われるものが 検出されて削除を行いました。 とりあえずPCの安全性はかなり手ごたえを感じましたので 質問を閉めたいとおもいます。