- 締切済み
マルウェア駆除後のチェックについて
システムツールを装ったマルウェア「Windows Recovery」および、Googleの検索結果をクリックすると別のページに飛ばされる「Google Redirect Virus」に感染しました。 スキャンおよび駆除を行い、分かる範囲の症状は完全になくなりました。 しかし、駆除にはかなりの手間を要したため(複数の専用ソフト※を使いました)、果たして完全に駆除ができているのかわかりません。 当該マルウェアはルートキットと呼ばれる類のもののようで、スキャンに引っ掛からないものもあるらしく、アンチマルウェアソフトで検出しきれないものがあるのではないかと疑っているのです。 とくに、裏で情報を抜き取られていたり、ゾンビPC化していたりすることを恐れています。 駆除が完全にできているのか、調べる方法はありませんか。 よろしくお願いいたします。 ※ 使ったソフト → FixTDSS / Microsoft safety scanner / Malwarebytes Anti-malware / Kaspersky Virus Removal Tool / F-Secure BlackLight(検出せず) / TDSSKiller(rkillを用いても起動できず。マルウェアに阻害されたか)
- reportpad7
- お礼率67% (53/78)
- ウィルス・マルウェア
- 回答数4
- ありがとう数3
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- rebind
- ベストアンサー率30% (136/444)
#1です。再度失礼します。 あの、Rootkitが絡む場合はですね、システム自身の動作に関わる部分が変更されたりするんで、システム上の情報を調べるツール類を使ったとしても得られた結果に信頼性が無いことが多いです。 ではどうするか? 最初に書いた通り、OSの再インストールが最善策になります。 では。
- 悪代官(@aku-dai-kan)
- ベストアンサー率70% (42/60)
質問者さんはご自分で色々なツールを使ったようですが、それらの機能と設定、ログもある程度理解いしたうえで使いましたか? 失礼ながらどうも「数撃ちゃ当たるだろう」との方向で次々実行したように見えます。 >F-Secure BlackLight(検出せず) 自分の記憶が正しければ、これはもう何年も更新されてないはずです。更新止まったツールで最新のマルウェア検出できる望みは薄いかと。 >Kaspersky Virus Removal Tool >TDSSKiller(rkillを用いても起動できず。マルウェアに阻害されたか) KVRTはTDSSの機能も内包した、より高性能なツールです。少なくともKVRTが実行できたなら、TDSSを後から使っても、やはり効果は薄いはずです。 確かにこれらのツールを阻害するマルウェアも存在するので、本当にその場合は他の方が回答するようにリカバリがもっとも安全確実ではあります。 しかし、上記のような高性能ツールも、正しい手順と操作で使わないと実行できなかったり、処置できるものもできなくなる事例があり、ソフト名は挙げませんが高性能ゆえにWindowsの正規ファイルまで誤検出・削除する危険を持ったツールもあります。 質問者さんは既に多数のツールを使ったことで、良くも悪くもPC内のレジストリまでかなり変更されていると思うので、最初の状態から現在までに変更があった部分をすべて解析と、場合によっては修復もできないのであれば、ここはリカバリするのがPCの安定運用面でも最善です。
- John_Papa
- ベストアンサー率61% (1186/1936)
定年後(そういう年であります。)はウイルス退治などから遠ざかっているのですが、最近友人宅を訪問した際に、「丁度、パソコンが何百箇所もエラーがあるという妙な画面が出て操作できなくなったので、そのままの状態で来るのを待ってた」という件がありました。 名称は覚えていませんが似たような類でしょう。 駆除には、いわゆるセキュリティソフトは一切使っていません。準備していませんでしたし、インストール済みのセキュリティソフトは効果が無かった訳で信用していませんので。 入っていたセキュリティソフトは息子さんが入れてくれたというSOURCENEXTウイルスセキュリティZEROだったようで、レジストリから問題の実行ファイル名を片っ端から削除してる時にK7のエントリーにも登録されていましたから。 つまり、セキュリティソフトの除外規定に登録されてしまうのです。除外規定が手動でできるのか隠し機能なのかは知りませんが、レジストリへの登録なら簡単に細工で来ちゃいます。 WindowsUpdateは最新の状態で、ウイルスセキュリティZEROも更新できていたようです。でも除外規定に登録されてればいくら更新しても検出されることは無いですね。 ただadobeやJAVAは最新ではありませんでした。ここをドライブバイダウンロード攻撃で狙われて感染したのでしょう。 ホルダーのタイムスタンプが昨年末のものなので、昨年感染して今頃発症したと考えらまれす。その間全く気づかなかった。 友人には、「良かったね。あんたのパソコンは利用価値が無いって、犯人に捨てられたんだよ。」と言っておきました。 このようなマルウェアには、手作業が一番確実かも。ただ、レジストリをクリーンアップし、セーフモードに切り替えてルートキットと偽システムツールを削除、起動されるタスクとレジストリの再チェックやadobeやJAVAなどのアップデートやセキュリティソフトの入れ替えも含めて3時間掛かりました。でも、この程度(私にとって比較的見つけやすいもの)で運が良かったと言えます。 こんな場合、マルウェアが感染したままで他のセキュリティソフトに入れ替えても同様でしょう。入れ替えるならマイナーなセキュリティソフトの方がむしろ阻害されずに役に立つかもしれません。 でも、もっと強力なのは、感染したOSを起動しないでセキュリティソフトのLive-CDからスキャンする事でしょう。Windowsで規定しているアクセス件の問題もありませんので、Windowsからは開くことができないホルダー内のウイルスも駆除できます。 友人宅へはPC関係は手ぶらで行ったのでいつもなら持ち歩いているLive-CD(AVG Rescue CD)無しでの対処になりました。 「ウイルススキャンLiveCDを試すの巻」 http://d.hatena.ne.jp/palm84/20081216/1229446904 タスクのチェックにはSystem Explorer http://www.forest.impress.co.jp/lib/sys/wincust/taskservice/systemexpl.html がVirusTotal.comなどでのファイルチェック機能も付いていて便利です。
お礼
ご回答ありがとうございます。 URLをご提示いただきました「LiveCD」のページなどをチェックしたいと思います。
- rebind
- ベストアンサー率30% (136/444)
あの、これ僕いつも言ってるんですけど、マルウェア感染処理で唯一の最善策はOSの再インストールです。他にはないです。 よく、ネットでログ取ったりとかツール類を複数使ってどうのこうのとかありますけど、実は自分の感染したのは亜種でうまく対処できなくて結局リカバリする羽目になるといった例が非常に多いです。ウイルス開発サイドでは当然そういった削除ツールの存在とかチェックしてますのでね。
お礼
再インストールすればすべてを解決できるというのは重々承知しているのですが、最終手段として残しておきたいと考えております。 別の方面からチェックできないかと思いまして、質問させていただいた次第です。 ご回答ありがとうございました。
お礼
>失礼ながらどうも「数撃ちゃ当たるだろう」との方向で次々実行したように見えます。 というご指摘は恥ずかしながらそのとおりです。 アンチマルウェアソフトの使用にあたっては、それについて解説されているWebサイトを参考に操作いたしました。 また、質問文中で逆になってしまいましたが、TDSS→KVRTの順序で使用しています(TDSSが使えなかったので代替として使いました。今は普通に起動します)。 設定の変更についてはできる範囲で調べてみたいと思います。 それを行ったうえでなお、よくない状況が見られたならば、リカバリも検討します。 ご回答ありがとうございました。