- ベストアンサー
Actual Spy 2.8 について
最近Actual Spy 2.8がアンチスパイソフトで検出されます。 隔離した後フルスキャンしても何も検出されませんが、 次の日はまた検出されます。(再起動後かもしれません。) 場所は、 hkey_local_machine \microsoft\windows\currentversion\policies\explorer\run です。 本体がどこにあるのか?又はどこかのサイトで貰うのか? どの程度有害なのか教えて下さい。 よろしくお願いします。
- marmee
- お礼率93% (29/31)
- ウィルス・マルウェア
- 回答数9
- ありがとう数9
- みんなの回答 (9)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (8)
- sapoten
- ベストアンサー率45% (137/298)
#7です。なんでしょうねぇ~、、、 該当キーはあるけど、中身が無い(ように見える)。けど、毎回再起動後にキーが出来る。 となると、「値が隠蔽されている?」とか考えちゃいます。 「Actual Spy 2.8 か、どうか」ではなく、「何かしら居るのかな?」などと。 「キーは残っているけど。で、他のキーに関しては、怪しいものは隠れているのか、または、他に怪しげなキーは作られないのか」とか疑問に思いつつ。 いっぺん、下記サイトで調査してもらっては? 「案ずるより産むが易し」かな、と。 http://www.higaitaisaku.com/index.html 超有名どころの掲示板、アダ被の「PCトラブル質問掲示板 」。 良く知りませんが、#8様には向こうでも会えるかもです。 あっちの掲示板の過去ログをチラリと見て、雰囲気と手順を知っておいてください。 (すみませんが、#7の「"1"にしても」は"0"に戻しといて下さい。または、削除でも良いと思います。削除して、また出来ているようなら、こっちに関係あるかもしれないですけど)
お礼
回答ありがとうございます。 多少の疑問は残りますがちょっと安心しました。 紹介のサイトも言って見たいと思います。 これまで回答頂いた皆様本当にありがとうございました。そろそろ締め切ろうかと思います。 また何かあったらよろしくお願いします。
- sapoten
- ベストアンサー率45% (137/298)
何でしょうねぇ~^ ^; #5です。 ちなみに、その "NoCDBurning"=dword:00000000 って、 "NoCDBurning"=dword:00000001 にしても、再起動後は、元に戻ってます? (ちなみに、誤検出かどうかで言えば、そのキーだけで Actual Spy 2.8 と判断したCAの検出結果は、宜しくないと思います。けれど、現状では、「じゃあ、なんで、このキーが毎回出来るわけ?」って答えが出て来てないんです^ ^; あと、#5でも述べましたが、OSとPCの型番は今後も伏せておくのでしょうか? )
お礼
遅くなりました。 何度もありがとうございます。
補足
OSとPCの型番は伏せてる分けではありません。書き忘れでした。(^^) Windows XP Home SP2 NEC PC-VL570AD です。 NoCDBurningについては再起動後は書き換えたままです。 「じゃあ、なんで、このキーが毎回出来るわけ?」ここが気になるんですよね。 6#さんの回答を見ると削除すると出ないみたいですよね。 OSの違いでしょうか?
- doki2
- ベストアンサー率51% (440/860)
試してみました。 例のレジストリキーを削除 > パソコンを再起動 例のレジストリキーはありませんでした。 下記、試して見てください。 1.インターネットの回線を切断。 2.ペストパトロールをアンインストール 3.例のレジストリキーを削除 4.パソコンを再起動 その結果、例のレジストリキーが現れなければペストパトロールがおかしいということになります。 これでも、例のレジストリキーが現れるようであれば、スタートアップに登録されている他のプログラムがこのキーを登録していることになります。 「Autoruns」を使って調べてみてください。 「Autoruns V 8.42」詳解 http://fine.tok2.com/home/heto2/0401Autoruns/mokuji.htm
お礼
何度もお手数かけます。 ありがとうございます。
補足
1.2.3.4.とやって見ました。 例のレジストリキーはあります。プログラムはありません。 Autorunsで調べても登録されたプログラムはありませんでした。 やはりペストパトロールの誤検出?そう思いたいですね。
- sapoten
- ベストアンサー率45% (137/298)
#3です。 該当するものが何も無いことは、心配する事柄ではないと思います。 今日は該当キーを既に隔離(修正、または、削除)していらっしゃるのでしょうから、明日また見てください。 または「バックアップ機能」や「リカバリー機能」ようなものがあり、隔離したものを元に戻せるなら、それでも良いです。 該当キーを利用するのは、そのソフトだけではありませんが、CAはこのキーだけを理由に Actual Spy 2.8 と判断しているのだと思います。 このキーを利用しているソフトが、「ほんとうに Actual Spy 2.8 なのか?」、異なる場合は、「そのソフトは安全なものか?」を判断して下さい。 該当キーの「データ」に記されているファイル名が何か確認して下さい。 そのファイル名を元に、該当ファイルを探し、このファイルの存在するフォルダ名や、右クリックメニューの「プロパティ」→「バージョン情報」などから、判断して下さい。見に覚えのあるソフトなら、それだけで十分だと思います。 これだけでは不安な場合、そのソフトに常駐機能の「オン・オフ」があるなら、常駐をオフにして、該当キーをチェックしてみて下さい。 自身で判断できない場合は、該当キーをエクスポートし、「補足」欄などに貼り付けてください。 (エクスポートしたファイルの右クリックメニューから「編集」で開けます) (これを元に調査してくれる回答者がいるかもしれませんが、OSやPCの型番を提示するなどの配慮はあるべきと思います) 安全なものであった場合は、「Actual Spy 2.8」とする検出結果は誤検出と判断し、以後、同様の検出結果であれば気にする必要はないと思います。 検出されるレジストリキーが増えた場合は、都度チェックして下さい。
お礼
何度もありがとうございます。
補足
常駐をオフにして再起動し該当キーをチェックして見ました。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run の中には既定とあるだけでプログラムはありません。 この状態でペストパトロールでスキャンすると検出します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorerには "NoCDBurning"=dword:00000000 がありますが関係ありませんよね。 ペストパトロールの誤検出でしょうか?
- doki2
- ベストアンサー率51% (440/860)
*長いレジストリキーの検索には下記のツールが便利です。 ☆コピペで楽々 ~レジストリジャンプ~ http://fine.tok2.com/home/heto2/0500MiniTool/0501RegJumper/001.htm >hkey_local_machine \microsoft\windows\currentversion\policies\explorer\run 正しくは下記のキーのことだろうと思います。 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run このキーにプログラムを登録してパソコンの起動時にプログラムを自動実行させることができますが、通常はこのキーでなく下記のキーが使われます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run レジストリエディターで下記のキーを開いて、プログラムが登録されているかどうか調べてみてください。 おそらく何も書き込まれていないと思います。 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run 多分、このキーを削除すればウィルス騒ぎは収まると思います。 ☆念には念を入れて・・・ レジストリエディターでこのキーを選択して右クリック、メニューの「エキスポート」を選択してデスクトップにでも保存しておいてしばらく様子を見てください。 もし、異常があればバックアップしたレジストリファイルを右クリックして「結合」を選択すれば元通りになります。 ☆内緒の話 「HijackThis」に表示されない「Run」設定ということで少しばかり血が騒ぎました。 さては「Rootkit」??? こうなると実際に「Actual Spy」をインストールして調べるしかありません。 しかし、「BlackLight」「RootkitRevealer」「RootKit Hook Analyzer」で調べてもそれらしい形跡はありません。 「Actual Spy」を弄り回しているうちに、メニューの「Settings」「Startup Option」で「Start at the system loading」にチェックを入れると例のキーが追加され、「application=C:\Program Files\ASMonitor\ASMonitor.exe」が登録されることがわかりました。 CAはこのキーを検出したようですが、トレンドマイクロ、シマンテックはこのキーへの登録に気がついていないようです。 「HijackThis」でもRunning processesには表示されますが、「O4」には出てきません。 「Autoruns」は、見事、このキーを検索して表示してくれます。 さらに、「Actual Spy」で「Start at the system loading」のチェックをはずすと例のキーから、「application=C:\Program Files\ASMonitor\ASMonitor.exe」が削除され空のレジストリキーだけが残ることがわかりました。 ☆「Actual Spy」 「プログラムの追加と削除」できれいにアンインストールができます。使い方さえ間違わなければ行儀のいいプログラムだと思いました。
お礼
確認してたら遅くなりました。 回答ありがとうございます。
補足
回答ありがとうございます。 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run 確かに↑でした。 CAのペストパトロールを使用しています。Actual Spy 2.8はインストールしていません。又ファイル、フォルダー、他のレジストリキー も見つかりません。 もちろん「プログラムの追加と削除」にもありません。 いろいろ試したら再起動するとこのキーが現れます。削除しても再起動 すると又現れます。 ちょっとおかしいのですが、ペストパトロールで該当キーを検出して、 隔離や削除せずにレジストリエディタでこのキーを確認すると、Actual Spy 2.8はHKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run に無いのです。ペストパトロールで該当キーを隔離するとrunが消えます。 これはペストパトロールの不具合でしょうか?
- sapoten
- ベストアンサー率45% (137/298)
何と言うソフトで検出されたか記されていませんが、CAのペストパトロールをお使いですか? 検出されたものは上記の一点ですか? 「隔離した後」ということは、ファイルも存在したということでしょうか? 最初にそれが検出されたときと、現在とでは、検出結果は異なりますか? レジストリエディタが使えるのなら、該当キーをチェックして下さい。 使用したスパイウェア対策ソフトの名前が不明なので何とも言えませんが、対処法など記されていたのなら、それに従い、該当ファイルの削除等を行ってください。 CA以外のソフトウェアをご使用で、且つ、質問者様の使用しているメーカーのサイトに有用な情報がない場合、下記の「参考URL」を参考にして下さい。
お礼
回答ありがとうございます。 検出したソフトはCAのペストパトロールです。 検出されたものは一点だけです。ファイルは存在せずレジストリキーのみです。 現在は該当キーはありません。ペストパトロールも検出しません。 ここ一週間で5回検出して隔離してます。 リンクを見ましたが該当ファイル、フォルダー等何も見つからないので不安です。
- hamahamachan
- ベストアンサー率50% (318/624)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=SPYW%5FACTUAL%2EB&VSect=Sn または http://www.symantec.com/region/jp/avcenter/venc/data/spyware.actualspy.html に出ているのがおっしゃっているActualSpyだと思います。ウイルスバスターやノートンのオンラインスキャンで、確認してください。それでもし検出されるなら、上記サイトを参考に処理してみてください。 でも、本当にインストールされていたならば、気持ち悪いのでリカバリがいいかと思います、私も。
お礼
回答ありがとうございます。 二つのリンク見ましたが該当するキーやフォルダー等見当たりません。 バージョンの違いでしょうか? リカバリ考えて見ます。
- junra
- ベストアンサー率19% (569/2863)
http://translation.infoseek.co.jp/?ac=Web&lng=en&submit=&selector=0&dsp=0&outer&web_translate_url=http%3A//www.soft32.com/download_26066.html キーロガーですので入力情報がすべて筒抜けです。 機器本体の情報は把握されます、今も調べてたらダウンロードされそうになりました。 心配でしたらOSをインストールしなおしてきれいにされてはいかがですか
お礼
回答ありがとうございます。 キーロガーですか?怖いですね。 原因がわからないので不安です。最悪はリカバリーも考えて見ます。
関連するQ&A
- レジストリの変更で不具合が起こる可能性
自分はレジストリをいじったことはほとんどないのですが、レジストリを変更したことによって不具合が起こる可能性はあるのでしょうか?OSはWindows7です。 例えば、自分は現在次のレジストリを変更しています。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun また、レジストリ関連でもう一つ質問したいのですが、レジストリの作成、追加・削除方法は次の通りで合っていますか? 追加する場合、 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutoRun"=91 削除する場合、 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoDriveTypeAutoRun"=- これをそれぞれメモ帳に書いて、「.reg」ファイルとして保存する。 これらのレジストリを適用する場合、「.reg」ファイルをダブルクリックする。 回答よろしくお願いします。
- ベストアンサー
- Windows 7
- eTrust PestPatrolでスパイウエアを検出、対処方法がわかりません
eTrust pestpatrol 2005を使って、スパイウエアのチェックを 行ったら、次の3つが検出されました。 HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\streams\185 HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\streams\184 HKEY_CURRENT_USER\software\microsoft\windows\currentversion\internet settings\zonemap\domains\media-motor.net これは、本当にスパイウエアなのでしょうか? Ad-Aware 、Spybotも使いましたが、何も検出されませんでした。 どう対処したらいいかよくわからず、困っています。 教えてください。よろしくお願い致します。
- ベストアンサー
- スパイウェア
- spooner-Aの駆除
spooner-Aの駆除をしたいのですが、Spy SweerperやAd Awareを試したのですが、消去したことになっても、つぎのスキャンのときにまた出現するのですが、どうしたらいいでしょうか? Cool Web SearchのAbout Blankの消去方法も教えてください。ちなみに、場所はSpoonerがHKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run || spで、CoolがHKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run || spです
- ベストアンサー
- スパイウェア
- Trojan.Win32.FTP Attackが検出されたのですが・・・
CAの無料スパイウェアスキャンで Trojan.Win32.FTP Attack というものが検出されました。 hkey_local_machine \software\microsoft\windows\currentversion\runといところから検出されたのですが、 CAの紹介サイトではHKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\reminderと掲載されていました。 これは誤検出というものなんでしょうか? OS Windows XP SP2 スパイウェア対策はヤマダ電機のオンラインスキャンをかける程度で対策ソフトは入れていませんでした。 よろしくお願いいたします。
- ベストアンサー
- スパイウェア
- スタートアップ項目の削除方法につて
Windows10・64bitのBTOパソコンです。タスクマネジャーのスタートアップの項目にアンインストールしたアプリケーションの項目がいくつか残っています。以下のレジストリを参照しますが、該当のスタートアップの項目が見当たりません。どうぞ、削除方法をご教示ください。よろしくお願いいたします。 \HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
- ベストアンサー
- Windows 10
- SpyPotでのスパイウエア検出について
○Windows Securily Cenler. AntiVirusDisadbleNotify →HKEY_LOCAL_MACHINE¥SOFTWARE\Microsoft¥SecurltyCenter¥AntiVirusDisableNotify!=dword:0 ○Windows Security Center.FirewallDisadbleNotify →HKEY_LOCAL_MACHINE¥SOFTWARE\Microsoft¥SecurityCenter¥FirewallDisableNotify!=dword:O ノートンアンチウィルス2006を導入後にスパイポットでスキャンしたら上記のスパイウエア2件が検出されましたが、削除してよいかどうか判断に迷っています? 削除しても別に問題はないでしょうか。アドバイスよろしくお願い致します。 ちなみにFirewallの設定はノートンアンチウィルスで設定しておりウィンドウズセキュリティセンターは無効にしております。
- ベストアンサー
- スパイウェア
- スタートメニューの左上はどこにありますか?Part2
http://okwave.jp/qa5054519.html >HKEY_CURRENT_USER→Software→Microsoft→Windows→CurrentVersion→Policies→Explorer→StartPage 訂正 HKEY_CURRENT_USER→Software→Microsoft→Windows→CurrentVersion→Explorer→StartPage
- ベストアンサー
- Windows XP
- ちょっと気になる
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runの中身にあるものすべて削除していいのですか? 削除してはいけないものもあるんですか?
- 締切済み
- Windows XP
- ウィルス感染BKDR_SDBOT.DP
今日PCをリカバリーしてウィルスバスターにて検索スキャンした所BKDR_SDBOT.DPというウィルスがC:\WINDOWS\SYSTEM32\MSCONFIG.EXEから検出されました。トレンドマイクロのHPでみるとレジストリーキーの削除となっておりますが場所: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices 値 : Microsoft Update = "navmgrd.exe" 場所: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run 値 : Microsoft Update = "navmgrd.exe" 場所: HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run 値 : Microsoft Update = "navmgrd.exe" レジストリーにnavmgrd.exeはありません。どう削除したらよいか教えて下さい。
- 締切済み
- ウィルス・マルウェア
- sdpbot 1.6.30
お尋ねします。 sdpbot1.6.30 でwindows.explorer検出されました。 内容は以下です。 初心者なので戸惑ってしまいました。 削除してもいいのでしょうか? よろしくお願いします。 HKEY_USERS\S-1-5-21-3569069952-3075350246-2950969727-1007\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges
- 締切済み
- スパイウェア
お礼
何度もお手数かけます。 いろいろ調べて下さってありがとうございます。
補足
リンク見たらこのキーに登録される悪質なものが結構あるんですね。 時々チェックしないといけませんね。 でもペストパトロールが毎回検出するので大丈夫かな。(空っぽでも検出するから・・・(^^)) ただ悪意のあるものがあると、除外出来ませんね。