- 締切済み
なぜウィルスを防げなかったのか?
以前このカテゴリで質問して、もう二度とお世話になるまいと思っていたのですが、この度ウィルスに感染してしまったのでお知恵を拝借したく質問させていただきます。 時間軸に沿って今回の事例を見ていきます。 1.自宅には二台パソコンがあり、いずれもWindowsログイン時にパスワードの設定をしてい なかった。 デスクトップPCはウィルスバスター2004が入っていて適切にアップデートされていた。 ノートPCにはノートンのInternet Securityが入っていてAnti Wirusのみ更新されている。 どちらもXPでWindowsUpdateは適切に行われている。 またルーターを使っていてノートPCは無線でインターネットに繋がっている。 2.デスクトップPCを作り直してからファイルやプリンタの共有はしていなかったが、つい最近必要性からデスクトップのDドライブをノートパソコンと共有できるようにした。 3.二日家を留守にしていて、今日デスクトップPCを起動すると程なくしてWORM_AGOBOT.HMの自動修復に成功したというメッセージが表示される。 4.ネットワークから切断し、SOUNDMAN.EXEを終了させる。念のためドライブの共有を解除する。 5.デスクトップPCで手動検索を行うとJS_SPAWN.Aが検出され、隔離される。手動で削除。 6.ノートPCからはウィルスは検出されなかった。 7.二台ともログインパスワードを設定した。 ここで質問です。 Q1.デスクトップPCではパスワードが未設定ではあったが、WORM_AGOBOT.HMの使う脆弱性を修復していて、ルーターもあり、最新の状態のウィルスバスターにしていたのになぜSOUNDMAN.EXEは起動していたのか? Q2.今となってはいつ感染したのかわかりませんが、なぜリアルタイム検索でJS_SPAWN.Aが防げなかったか? Q3.XPのシステムの復元を一度無効にする必要があるか? わかりにくい部分があれば補足要求してください。お願いします。
- tochiyuking
- お礼率35% (5/14)
- ウィルス・マルウェア
- 回答数7
- ありがとう数2
- みんなの回答 (7)
- 専門家の回答
みんなの回答
こんにちは。 Q3について、 「System Volume Informationinフォルダ→以後省略して(svi-F)」はパティションの数だけフォルダーが存在します(当然の事ですが) このフォルダは初期設定では、開こうとすると拒否され、プロパティで見ると0Bytです。この時このフォルダを右クリックして「ウイルス検査の実行」←をクリックして見ると瞬時に終わります。 一方、(svi-F)をセキュリティタブにてユーザー名を割り当て→るとこのファイルが開けるように成ります。←この状態で右クリックして「ウイルス検査の実行」←をクリックして見るとウイルスバスタの検査過程(検査中のファイル名が)が見られます。 --------------- 何を言いたいかと言うと、初期設定(ウイルスバスターでは有りません←osの話)ではウイルスバスターは(svi-F)←の中を検査しません。(例えウイルスに犯されたファイルが存在してても)←その為にウイルスに犯され場合は一度(svi-F)を破棄しましょうと言う話になります。 --------- Q2の問題のウイルスは(2000年)にパターン#707にて対応済みですが、私もかつてウイルスの種類は違いましたが過去のウイルスに遣られた経験が有ります。何故なのか今もって不思議に思っています。 -------------- Q1のlogonの為のパスワードって、スパイウエアやトロイ&その他のウイルスの起動時に何かの足しに成るのでしょうか? 既にosが起動して居る場所に侵入して来る訳ですから、オープンの場所で好き勝手に行動出来るのでは。そこで、ノートンさんとかトレンドさんに頑張って貰うのでは無いかなーと思いますが・・・ -------------------- BKDR_TASMER.B (別名=アゴボット) ↑ ・感染確認方法: ワームを実行してしまった場合には、以下の改変が行なわれます。 以下のファイルが作成されます: <Windowsシステムフォルダ>\SOUNDMAN.EXE レジストリの値が変更されます。
- shotgun117
- ベストアンサー率0% (0/0)
音が出ているのであれば、削除されたのは私と同じくSound Effectだけですので、Sound Effectを頻繁に 使用されるのであれば、PCに付属しているCD-ROMを使ってもう一度ドライバを入れ直せば使用できるように なります。(厳密にいえばレジストリをいじられているので完全に回復したとは言えないと思いますが・・・) 一度、JS_SPAWN.Aとシステムの復元機能のことを含めてサポートにTELしてみたらいかがでしょうか。
1、ブラクラについて。 JSと記載されているようにJavaスクリプトによって動作する「悪意のあるスクリプト」ですね。SPAWNはトレンドマイクロ社のサイト解説にもあるように「感染」しているわけではないです。 HPを閲覧するときには必ずそのファイルを一時的にHDDに引っ張ってきます。 有害なスクリプトごとHTMLファイルを引っ張ってしまうのでIEキャッシュから検出されてくるわけです。 IEでしたら終了毎にキャッシュを廃棄する設定がインターネットオプションの詳細設定にあります。 これで手動検索では検出してこないですよ。 2、_Restoreについて システムの復元のフォルダですね。これは一定期間でOSのバックアップを取る機能です。 ウイルスがRestoreに好んで入るのはなく、ウイルスファイルが存在した場合、 Windowsが状態をバックアップしてしまっていることにより検出するわけです。 Restoreからだけのウイルス検出は感染とは言えません。 Restore限定でウイルスを検出し放置していても、 ここからウイルスが出てきてシステムに感染したりすることはないです。 無論システムの復元を実行すると 「ウイルスファイルがある状態」に戻りますが。 感染時にはシステムの復元は ウイルスの種類に関わらず無効にしてから駆除すべきです。 ウイルス検出=ウイルス感染ではありません。 「ウイルスファイルが発見された」だけです。 ウイルスによりシステム改変があった場合に「感染」と呼びます。 #誤検出当たってましたね。 音が出ないのはSoundman.exe起動レジストリを削除してしまうせいだとか。 タスクアイコンが出てこないなら追加と削除で入れなおしましょう! Realtekで検索したら最新版がダウンロードできたはずですよ。 参考までにRealtek社のサイトURLを。 トレンドマイクロ社の誤検出は本当に困りますけど 迅速対応には感謝しています。がんばれ!!
- shotgun117
- ベストアンサー率0% (0/0)
私も昨日のアップデートでWORM_AGOBOT.HMが検出され 、自動修復で再起動したところタスクトレイから Sound Effectが消えていたためサポートに問い合わせ ましたが、何だかはっきりしないような回答で、後日 メールしますという回答でしたが、トレンドマイクロ の、http://www.trendmicro.co.jp/support/news.asp?id=503 のところに誤警告と出ていました。 あと、この修復ツールはサウンドが鳴らなくなった 場合のみと記載がありましたので。 私の場合は音は出ていたのでRealtekのドライバを 入れ直しただけですみましたが、何だか後味悪いです。
私もWORM_AGBOT.HMが検出されました。ちなみに友人も検出しています。 Soundman.exeはRealtek(蟹マークのやつですね) のPC内蔵サウンドまたは外付けサウンドカードに必要なものです。 これは予想の域を出ませんが 何となく誤検出のような気がしますね^^; サポートすごく繋がりにくいですが 本日電話するつもりです。 JS_SPAWN.Aはサイト閲覧で普通に出てきますね。いわゆるだーっと窓の開く「ブラクラ」ってやつです。 IEキャッシュに入るからインターネットオプションでキャッシュをクリアにしたらおしまいです。 ウイルス対策はインターネット利用において昨今では要と言っても過言ではないですが、 通常セキュリティ製品をきちんとアップデートし、 Windowsにパッチを当てていれば問題ないはずです。 私個人的にはそれ過剰に心配される必要はないと考えます。
補足
#4の方に紹介されましたのを見るとLost_Edenさんの予想通り誤作動だったようです… >ウイルス対策はインターネット利用において昨今では要と言っても過言ではないですが、 >通常セキュリティ製品をきちんとアップデートし、 >Windowsにパッチを当てていれば問題ないはずです。 >私個人的にはそれ過剰に心配される必要はないと考えます。 しっかり対策をしていたはずだったので(パスワードを除く)少し焦ったわけです。 #2の方の補足欄にも書きましたが以下の質問にも回答していただけたら嬉しいです。 2.5 ブラクラに出会った時駆除ソフトはどのような動きをするものなのでしょうか?JS_SPAWN.Aの特徴となってる30回云々は経験した覚えがないのです。すると、ウィルスバスターは読み込みを中断させたが、キャッシュの中は削除しなかったと、中途半端なことをしたのでしょうか? 3.5 今回はワームには感染してなかったわけですが、ウィルス感染時のシステムの復元機能についての疑問です。ウィルスを手動で削除するときいったん復元機能を無効にするべきウィルスがあります。復元機能を一時無効にする意味は、RESTOREフォルダ内にウィルスが感染したときだけ、削除する為なのでしょうか? 駆除後システムの復元でウィルス感染時の状態に戻さない為だと思っていたのですが。
- lic
- ベストアンサー率18% (8/43)
他のことはわからないので(すみません^^;)、 「soundman.exe」についてだけ… 自分のSOTEC製のパソコンには当初からsoundman.exeはmsconfigでスタートアップに登録されていました。で、タスクバーにアイコンが表示されてクリックするとSound Effectsというウィンドウが出てきます。どこかの会社が作ったプログラムのようですね。
補足
♯1の補足ではトレンドマイクロ社側の誤認識した状態で述べており、大変失礼申し上げました。ご容赦ください。 今現在の疑問としては以下になります。 2.5 ブラクラに出会った時駆除ソフトはどのような動きをするものなのでしょうか?JS_SPAWN.Aの特徴となってる30回云々は経験した覚えがないのです。すると、ウィルスバスターは読み込みを中断させたが、キャッシュの中は削除しなかったと、中途半端なことをしたのでしょうか? 3.5 今回はワームには感染してなかったわけですが、ウィルス感染時のシステムの復元機能についての疑問です。ウィルスを手動で削除するときいったん復元機能を無効にするべきウィルスがあります。復元機能を一時無効にする意味は、RESTOREフォルダ内にウィルスが感染したときだけ、削除する為なのでしょうか? 駆除後システムの復元でウィルス感染時の状態に戻さない為だと思っていたのですが。 よろしければ御回答ください。
- lic
- ベストアンサー率18% (8/43)
すみません、質問文から前の質問があるとわかりやすい状況なのかと思いますので、前の質問の番号等載せてもらうとわかりやすいのですが… Q1について、soundman.exeはCドライブのWINDOWSフォルダにあるものですよね?特にウィルスとは関係ないのでは?(間違っていたらごめんなさい) で、なぜ起動していたのか?についてですが、自動で起動するように登録されていませんか? Q2についてですが、わかりません。 Q3について、無効にする必要はないと思いますが、利用しないなら無効にしても構わないと思いますよ。
補足
>前の質問の番号等載せてもらうとわかりやすいのです>が… 今回のウィルスとは関係ないのですが、特に差し支えないですし、一応記しておきます。481125になります。 >soundman.exeはCドライブのWINDOWSフォルダにあるものですよね?特にウィルスとは関>係ないのでは? >(間違っていたらごめんなさい) 確かにC:\WINDOWSにもありますが、これは特定の環境だけだと思うのですが。どうでしょうか?問題なのはシステムフォルダ中ではないでしょうか?(以下参照)http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.HM しかし、今タスクマネージャー見てもSOUNDMAN.EXEがありますからこれはC:\WINDOWSの方なのかもしれません。すると最初から当方の勘違いだった可能性がありますね。レジストリにもなかったからこの可能性大なのかもしれません。タスクマネージャーのプロセスの元のプログラムがわかる(ここでは見分けがつくという意味)方法はありますでしょうか? >Q3について、無効にする必要はないと思いますが、利用しないなら無効にしても構わない >と思いますよ。 Symantecのサイトには無効にせよとあったので気になったのですが、SOUNDMAN.EXEが正常なプログラムの方である可能性が出てきましたので保留とさせていただきます。
補足
質問の段階でサポート情報に載っていたのに気付かずに質問してしまいました。誤警告はこれまでにも若干あるようですが、トレンドマイクロには緊急警告の方法を使ったりして、誤警告だったことをわかりやすく伝達して欲しかったです。怠慢に働くよりは少々過敏の方がまだマシですが。 >私の場合は音は出ていたのでRealtekのドライバを入れ直しただけですみましたが、何だか後味悪いです。 家も幸い音は出ていますが、タスクトレイには常駐していません。ドライバ入れ直した方がよろしいでしょうか? よろしければ下記の質問にも御回答お願いします。 2.5 ブラクラに出会った時駆除ソフトはどのような動きをするものなのでしょうか?JS_SPAWN.Aの特徴となってる30回云々は経験した覚えがないのです。すると、ウィルスバスターは読み込みを中断させたが、キャッシュの中は削除しなかったと、中途半端なことをしたのでしょうか? 3.5 今回はワームには感染してなかったわけですが、ウィルス感染時のシステムの復元機能についての疑問です。ウィルスを手動で削除するときいったん復元機能を無効にするべきウィルスがあります。復元機能を一時無効にする意味は、RESTOREフォルダ内にウィルスが感染したときだけ、削除する為なのでしょうか? 駆除後システムの復元でウィルス感染時の状態に戻さない為だと思っていたのですが。