- 締切済み
Hacktool.Rootkit について
- みんなの回答 (7)
- 専門家の回答
みんなの回答
- waros99
- ベストアンサー率29% (162/544)
#5です。 >他のリスク(情報流出など)はなかったと考えてもよいのでしょうか? そこまでは計りかねます。
- waros99
- ベストアンサー率29% (162/544)
#5です。 >システムの復元などの設定を全くいじらずに リカバリしましたが、 別に問題ないのでしょうか はい、問題ありません。もし、どうしても気になるというのなら、 「システムの復元」を一旦「無効」にして再度「有効」にして下さい。 この一連の操作でリストアポイントが破棄されます。 前回、カーネルモードRootkitの説明でカーネルモードAPIのフックと書きましたが、これ以外にもカーネルオブジェクトの直接操作というパターンもあります。(余談)
- waros99
- ベストアンサー率29% (162/544)
こんにちは。 ボクは黒いサイトの潜入調査や仮想マシン上でいろいろなテストをしています。 >結果は削除に成功したとの履歴がありましたが、 その後、内蔵されているリカバリプログラムを利用して リカバリしました。 これはまったく正しい対処法です。 >このような状態の場合、 「rootkit」は完全に削除されている状態であると認識してもよいのでしょうか? はい、まず問題ないと思います。 >もし内臓のリカバリプログラムが 「rootkit」が残されるよう改変されていたとしたら、、 とか考えるとちょっと心配です。 これは考え過ぎです。そこまでまずやらないです。 ちなみに、ルートキットはユーザーモードRootkitとカーネルモードRootkitがあります。 >SYSTEM32にrdriv.exeファイルを作るTrojan.Rootkit.lが検出され、 リカバリしても消せなかった という記述があったのです。 rdriv.sysだと思います。カーネルモードRootkitですね。ドライバ使ってカーネルモードAPIをフックさせます。
お礼
ありがとうございます。 rootkitの検出→削除後、 スタートプログラムに「システムの復元」の項目が出たので 勝手に復元されたのかとちょっと心配です。 また、僕のOSはウィンドウズvistaなのですが、 システムの復元などの設定を全くいじらずに リカバリしましたが、 別に問題ないのでしょうか。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
シマンテックのサイトを見ても「危険度 1: ほとんど影響なし」 またリカバリするよりは、スキャンしても何もないのだから、そのままでいいのでは。 リカバリするよりは、毎日ノートンのログを確認したり、windowsのイベントビューアを確認したり、セキュリティについて日常的なことをしてはどうですか。 「発見場所はあるブラウザの入っているフォルダ」
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
>>以上の2点が少しひっかかっている点 不安を消したいならハードディスクのデータをすべて削除、それからリカバリしてはどうですか。 windows XP SP2を使っていますが、二つのドライブには両方にシステムの復元のための特別のフォルダーがあり、リカバリ「直後」では、リカバリしたのにリカバリしていないドライブのほうには、以前使っていたセキュリティソフトを見たことがあります。たまたまそうなったと思えないですけど。CだけリカバリしてもDのものは全部残っているはずですよ。 自分なら、ルートキットの検出には、ハードディスクの全データを削除し、それからリカバリしますね。あるいは、リカバリ時にドライブの領域変更、または、システムの復元を無効にしてからリカバリ。 スキャンをかけても見つからないようにするのは当然でしょう。 なぜそんな陰湿なことまでして不正プログラムを見つからないようにするか、考えてみては。 ルートキットはカーネルレベルとか、アプリケーションレベルとか、格の違いがあるみたいですよ。 「SYSTEM32にrdriv.exeファイルを作るTrojan.Rootkit.lが検出され」 これは知りません。 ルートキットスキャナーのスキャン結果は出たのでしょうか。
お礼
参考になりました。ありがとうございます。 ルートキットスキャナーの結果は、何も検出されませんでした。 9割がた安全と認識してもよいのでしょうか? 一応すべて削除してからもう一度リカバリしてみたいと思います。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
リカバリしたので大丈夫だと思います。 専門家ではないのでブラウザから発見されたからと言って何かアドバイスできるものはありません。 当方ブラウザは重要なソフトと考えています。それで今はfire foxにいくつかのアドオンを入れて少しでも安心できるようにしています。 https://addons.mozilla.org/ja/firefox/addon/722 ノースクリプト。サイトごとに設定できるもの。IEだと全国一律ですが。 https://addons.mozilla.org/ja/firefox/addon/938 Dr webのリンクチェッカー。掲示板などのリンクをそれで検査できる。ウイルスの。 http://www.siteadvisor.com/download/ff.html サイトアドバイザー。マカフィーのものですが、訪問先のサイトを色分けで表示。 もし、ハードディスク上からすべてのデータを削除したら、どこにも残せるところはないですが。でも、パソコンメーカーによってはハードディスクにリカバリ用のデータを入れているものではあらかじめリカバリディスクを作成しなければなりません。 リカバリ用の領域に疑いをかける必要はないらしい、ですが、それは質問者さんの判断でしょう。 もうノートンのほうでスキャンかけても検出しないのでしょう、ないということでは。
お礼
ありがとうございます。 確かにリカバリ後に、ネット接続を外した状態で 様々なセキュリティ・スキャンを かけてみたのですが、何も出てきません。 ただ、ちょっと心配なのが、 rootkitはスキャン時に自らを隠ぺいさせる可能性があるという点 そして、これはネットで調べてみたのですが あるブログで、 SYSTEM32にrdriv.exeファイルを作るTrojan.Rootkit.lが検出され、 リカバリしても消せなかった という記述があったのです。 以上の2点が少しひっかかっている点です。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
Hacktool.Rootkit http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2002-011710-0057-99 ルートキットスキャナー バスターのもの http://jp.trendmicro.com/jp/support/extermination_tool/rkb-licence/index.html マカフィー http://vil.nai.com/vil/stinger/rkstinger.aspx その他 http://www.resplendence.com/hookanalyzer ハードディスクを二つに分けていてシステムの入っている部分のリカバリをやれば大丈夫だと思いますが、専門家ではないので断言はしません。 いったいどこからやってきたのでしょうか、見当もついていないようだけど。 最近ではやばいサイトにアクセスしたら、ルーターのDNSをどうにかするとか、記事がありました。 http://itpro.nikkeibp.co.jp/article/NEWS/20080123/291817/ この場合、メールでサイトへ誘導するみたいです。 原因がわかれば安心感も出ると思います、他に不正プログラムがないかオンラインスキャンをしてはどうですか。 http://www.f-secure.co.jp/v-descs/disinfestation.html このスキャンはIEで動作します。
お礼
ご回答いただきありがとうございます。 リンクして頂いた部分を参照にしながら さらに詳しく調べてみたいとおもいます。 侵入経路などはよくわからないのですが 発見場所はあるブラウザの入っているフォルダでした。 ということはこのブラウザから侵入されたと 考えてよいのでしょうか?
関連するQ&A
- Hacktool.Rootkit
現在、使用しているPCについてですがこれまで特に何も無かったのですが急にUSBメモリーを使おうとすると「Hacktool.Rootkit」が検出されるようになりました。 ウイルス対策としてsymantec Endpoint Protection」を使っているのですが検出後「削除によってクリーニングされました」とコメントが出て、その後完全スキャンしたのですが何も検出されませんでした。 そこで、もう一度USBを使おうとするとやはり同じように「Hacktool.Rootkit」が検出されてと、これの繰り返しです。 どのように対処すればよいのでしょうか? やはりリカバリーしかないのでしょうか? 感染したのはWINDOWS\system32\driversで感染したファイル名はklif.sysです。 よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- Hacktool.Rootkitに感染してしまいました
前にHacktool.Rootkitに感染してしまいました。 ノートンで削除完了したのですがそれ以来フォルダオプションが隠しファイル及び隠しフォルダを表示しないになってしまいます。 すべてのファイルとフォルダを表示するにチェックしてもまた元に戻ってしまいます。 レジストリを調べた所Hiddenの値が2になっており1に戻してもまた2になってしまいます。このような場合どうしたら良いでしょうか。
- ベストアンサー
- ネットワーク
- Hacktool.Rootkitが検出された後の対応について
Windows 2000 Professional・Norton Internet Security 2006(アップデートは毎日しています)を利用しています。 昨日、システムの完全スキャンをかけたところ、「Hacktool.Rootkit」に感染している、と出ました。 場所とファイルは C:\Documents and Settings\ユーザー名\Local Settings\Temp\stdmemio.sys でした。 その後、次のことをしました。 1.再起動して、もう一度スキャン→感染項目はナシ。 2.検疫のところで、該当ファイルを削除→削除は出来ました。 3.セーフモードで起動して、スキャン→感染項目はナシ。 とりあえず、ここまでやったのですが、今後、次のようにしようと思っています。 1.ちょうど、このマシンにWindows XP Professionalを入れようと思っていたので、新しいHDDを設置し、XPをインストール。 2.必要なデータをXPのドライブに移動。 3.2000は再インストールする。 上記のようにすれば、もう一度、2000を使ってみても大丈夫でしょうか? それとも、XPを導入する前にまだやっておいた方が良い事はあるでしょうか? 一応、ネットで調べてみたところ、別ドライブに新しいOSを導入し、他の所にあるファイルを救助する方法も有効、と書いてあるのを見かけたので、この方法が良いように思えました。ですが、除去したとは言え、感染したファイルがあったドライブと同じマシンで使うのも、少々心配です。 今まで結構長いことパソコンを使っていますが、ウイルスやこういったスパイウェア?に感染したことがなかったので、とても不安です。 もし良かったら、分かる方、どうすればベストなのか、教えてください。 (もしかすると、僕の認識が甘く、まだまだやらなくてはならない事がたくさんあるかも知れません) どうぞよろしくお願いいたします……!
- ベストアンサー
- ウィルス・マルウェア
- ウィルス Hacktool
昨日、Nortonでウィルス検索したところ,WINNT→SYSTEM32→NTServiseでHacktoolウィルスが検出されました。検疫も削除も利かず,「放置」となっております。 NTServise自体を削除しようとしたところ「使用中のため削除できません」となってしまいます。 どのようにすればいいのか、ぜひとも教えてほしいです。
- ベストアンサー
- ウィルス・マルウェア
- システムの復元を実行したのですが。
Hacktool.Rootkitだと思うのですが、ノートンが検出して削除&ファイルが見つからないので10月1日辺りまでシステムの復元をしました。 一昨日位に兄からもらったCD-RかDVDが覚えてないのですが、そのCD内にあったrarファイルを解凍するツールにHacktool.Rootkitが組み込まれていたようです。 システムの復元をしても、無駄でしょうか? 尚、兄からもらったDVDを開いたのは今週の火曜辺りです。 これでダメなら、旦那に手伝ってもらいながら再セットアップをするつもりです。 Hacktool.Rootkitが検出された場所はc\WINDOWS\system32です。 Cドライブから検索してみましたが見つかりませんでした。 専門的な知識等がない素人ですので、素人の私でもわかるような説明をして頂けるとありがたいです。 尚、ノートンインターネットセキュリティとWindowsUpdateはちゃんと表示が出た時に自動で更新されるようにしてあります。
- 締切済み
- Windows XP
- Hacktool.Underhandの除去について
NortonAntiVirusのスキャンでHacktool.Underhandというトロイの木馬が発見されたのですが、駆除がうまく出来ません。 感染しているファイル名はQuarantineFile.qtn、使用しているウイルス対策ソフトはNorton Internet Security、OSはMac OS Xです。 マニュアルに従ってファイルの修復等を試みましたが、検疫・修復が出来ませんでした。 また、スキャン履歴には ----------------------------------- 概要 修復オプションがオンです 感染が見つかりました 修復を試みました スキャンが完了しました 問題がありました QuarantineFile.qtn Macintosh HD/Library/Application Support/Norton Solutions Support/Norton AntiVirus/ Hacktool.Underhand の一種を除去してファイルを修復しませんでした -------------------------- とありました。 どうなっているのか全くわかりません。そして感染に関連しているのか、頻繁にフリーズが起きます。 どうして良いのかわからず、とても困っております。どなたかアドバイスの方宜しくお願い致します。
- ベストアンサー
- スパイウェア
- Hacktool.Rootkit に感染。 感染ファイルへのアクセスが拒否され・・・
Hacktool.Rootkitに感染しているとノートンの高危険度の警告がありましたが、修復できないようで困ってます。感染ファイルはC:System Volume Informationのようでファイルを見ようとしましたが、アクセスが拒否されたので、セーフブートで管理モードでログインして試みましたが、それでもアクセスを拒否されます。 また、そのファイルだけをスキャンしてもウイルス反応はでません。一体どのようにして、修復したらよいのでしょうか?ご教授お願い致します。 動作環境はXP 5.1.2600 Service Pack 2 ビルド 2600 Intel(R) Pentium(R) 4 CPU 1.70GHz x86 Family 15 Model 1 Stepping 2 GenuineIntel 1693MHz
- 締切済み
- ウィルス・マルウェア
- TROJ_ROOTKIT.CGに感染した場合の駆除
TROJ_ROOTKIT.CGなるウイルスに感染してるそうです ノートン、マカフィーのオンラインスキャンでは検知されませんでした がバスターで検出されました 手動削除にて駆除するみたいですが駆除するホルダー名がVIRUSらしい んですがファイルがみつかりません バスターの誤検出なんでしょうか? 同じような経験のかたいませんか
- ベストアンサー
- ウィルス・マルウェア
- カスペルスキーとRootkit
QNo.3764267で質問した者ですが、どなたからもアドバイス頂けませんでしたので、質問の仕方を変えてみます。 どなたか詳しい方、アドバイスをお願いします。 1. 以前PCがRootkitに感染していましたが、色々駆除の努力をした結果、取り敢えずアンチウィルスソフトウェアで検出報告がなくなりました。(OS : Windows2000, ウィルスセキュリティー使用) 確認の為カスペルスキーのオンラインスキャンを行いました(ターゲットはマイコンピュータを選択)が、何も検出報告はありません。 この状態は、完全に安全な状態と判断していいでしょうか? 2. Rootkit検出当初は、以下のような報告が出ていました。 >隔離ファイル名:netdtect.sys 説明:Rootkit.Win32.Agent.pr 感染報告が無くなっても、C:\WINNT\system32\drivers に netdtect.sys は未だにあります。 カスペルスキーでこのファイルを指定して調べましたが、問題は無いとの結果でした。 このファイル自体は、本来存在しても良いのでしょうか? 以上、ご意見、アドバイスをよろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- ウイルスセキュリティーで『HackTool:Win32/Keygen』
ウイルスセキュリティーで『HackTool:Win32/Keygen』が検出されました。 Microsoft Security Essentialsを使っています。 今、パソコンを立ち上げたら、『HackTool:Win32/Keygen』という物が検出されました。 画像を張り付けておきますが、 Microsoft Security Essentialsの表示では、【潜在的な脅威に関する詳細】とあり、 プライバシーを侵害する、またはコンピューターに損害を与えるおそれがある潜在的な脅威がMicrosoft Security Essentialsによって検出されました。操作を実行するまで、これらの項目へのアクセスは一時停止されることがあります。詳細については詳細表示をクリックして下さい。 カテゴリ:ツール 説明:このプログラムは望ましくない動作をする可能性があります。 推奨:プログラムまたはソフトウェアの発行元を信頼している場合にのみ、この検出された項目を許可します。 プライバシーを侵害する、またはコンピューターに損害を与えるおそれのあるプログラムがMicrosoft Security Essentialsによって検出されました。これらのプログラムが使用するファイルは削除されず、引き続きアクセスできます(推奨されません)。これらのファイルにアクセスするには、[許可]操作を選択して[操作の適用]をクリックします。 項目:file:D\☆PowerISO仮想DVD\keygen.exe 上記のような表示で、Microsoft Security Essentialsの推奨は【コンピューターから削除】と出ました。 昼間、パソコンをオンにした時は何ともなかったのに、夜、オンにしたら、なぜ?? この項目ってところのファイルがMicrosoft Security Essentialsのセキュリティーに引っかかったと思ったのですが、PowerISOの所で、4カ月くらい前から入っていますが、なにもいじっていません。 月に一回くらいは、セキュリティーチェックをしていて、何もこのファイルはひっかかっていませんでした。 どのような処置をとるのが良いのでしょうか? ウイルスとかに詳しい人からアドバイスいただきたく思います。
- ベストアンサー
- ウィルス・マルウェア
お礼
丁寧にお答えいただきありがとうございます♪ 私が感染したと思われるrootkitを セキュリティサイトで調べたところ 「この不正プログラム(rootkit)は、 他の不正プログラムが 自身の不正活動を隠蔽する際に利用されるSYSファイルです という記述があったのですが rootkitだけ検出されて、他のスパイウェアが検出されていなければ 他のリスク(情報流出など)はなかったと考えてもよいのでしょうか?