- ベストアンサー
感染してるんでしょうか?
ウィルス対策ソフトにNOD32を使っています。 ここ一週間ほど、頻繁にウィルス検出のメッセージが出ます。 内容はいつも同じで ファイル C:WINNT\System32\oqzhet.exe ウィルス Win32/Conficker.Gen ワーム の亜種 となっています。 1時間に1度くらいの頻度でメッセージが出るのですが、これはウィルスに感染してしまっているのでしょうか?
- D-BOY
- お礼率68% (367/532)
- ウィルス・マルウェア
- 回答数7
- ありがとう数6
- みんなの回答 (7)
- 専門家の回答
質問者が選んだベストアンサー
>ファイル >C:WINNT\System32\oqzhet.exe >ウィルス >Win32/Conficker.Gen ワーム の亜種 何度処理しても再度出現するこのファイルは、末端の感染に過ぎません。それを生成しているか、あるいはどこかからダウンロードしてくる別の感染が存在すると考えるべきです。 質問文中では全く触れられてないのですが、PC全体のスキャンはまだなんでしょうか?軽微ではない感染が疑われる今回のような状況ではまず、PC全体のスキャンを早期に行うことは常識です。まだならすぐに。 何も検出出来ない場合、あるいは検出出来たものが処理出来ない場合は、システムをセーフモードで起動後に全体スキャンを行って下さい。 また、各社がConficker駆除ツールを無償提供しているので、それを利用するという手もあります。 http://canon-its.jp/product/nd/virusinfo/vt_a90126.html http://www.mcafee.com/japan/security/kujoguide.asp http://www.sophos.co.jp/support/knowledgebase/article/54447.html 状況が改善したと思われる場合もセカンドオピニオンが必要です。カスペルスキーもしくはF-Secureのオンラインスキャン、いずれか一方の利用を推奨します(一方が利用出来ない場合にはもう一方を。両方ともを行う必要はありません) http://www.kaspersky.co.jp/virusscanner http://www.f-secure.co.jp/v-descs/disinfestation.html Tracking Cookie以外が検出されず、あるいはされても容易に削除が出来るようなら一応大丈夫です。そうでない場合、あるいは質問中にあるような検出がまだ続くようなら思い切ってリカバリするのが結局は早くて確実です。 安全にリカバリを進めるためには、次のURLを参考にしてください。 http://iwata.way-nifty.com/home/2004/10/1017.html 昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。 次のような点に注意してください。 1)各種アプリケーションソフトのセキュリティ更新を怠らない。 Windows Updateの必要性はこれまでも叫ばれて来ましたが、悪用されるセキュリティ上の問題点=脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと主流が移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、 ・Firefox、Operaなどのブラウザ。 ・Sun Java 仮想マシン(JRE)。 ・Flash PlayerやShockwave Playerなどのプラグイン。 ・Real Player、QuickTimeなどのメディアプレイヤー。 ・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。 最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。 http://internet.watch.impress.co.jp/ http://www.itmedia.co.jp/enterprise/security/ こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。 2)標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。 IEで扱うことの出来るJavaScriptはJScriptといい、Windowsを直接操作出来るように拡張されており、各種感染に悪用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。 でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。 http://www.mozilla-japan.org/products/firefox/ http://jp.opera.com/ もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。 もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsのようなソフトの利用を検討してください。 http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html 制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。 なお、Windows Vista上のIE7では、感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点=脆弱性の影響には十分注意しなくてはいけません。その辺は1)で説明した通りです。 3)ファイアウォールを有効にする。 出来ることなら、ファイアウォール機能の付いたブロードバンドルーターを介してネットに接続することが望ましいです。それが出来ない場合には、パーソナルファイアウォール機能を含むウイルス対策ソフトを利用しましょう。 最低でもWindowsファイアウォールを有効にしておけばそれなりの効果は期待出来ますが、例えば各種共有機能が有効になっているとそれ関係のポートが開かれたままの状態になり、ネットワークウイルス感染や不正侵入を防げない可能性もあります。より確実に不正な通信をブロックするためには、やはりブロードバンドルーターかパーソナルファイアウォールを別途導入するのが望ましいです。 4)怪しいリンクをクリックしたり、怪しいファイルをダウンロードしたりしない。 興味深いネタへのリンクと称して怪しいリンクを踏ませたり、動画再生に必要なコーデックなどと偽って怪しいファイルをダウンロード、実行させようとする手口は後を絶ちません。十分な注意が必要です。 このような騙しに遭わないためにも、先述したようなニュースサイトで最新の情報を常時チェックされるのが望ましいです。
その他の回答 (6)
- ryu-fiz
- ベストアンサー率63% (2705/4228)
>しかし、NOD32をインストールしていても感染してしまうもんなんですね。 次の各URLを参照してください。 脆弱性を悪用するコードにセキュリティソフトは無力? Secuniaが検証 http://www.itmedia.co.jp/enterprise/articles/0810/14/news033.html SecuniaのCTO、エクスプロイト検出率比較調査の真意を説明 http://internet.watch.impress.co.jp/cda/news/2008/10/17/21212.html 完全にパッチされているWindows PCは2%未満 -- Secuniaが発表 http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20384837,00.htm やはりOSやアプリケーションのセキュリティホール改善は怠りなくやるべきなのです。それらをおざなりにしてウイルス対策ソフトに肩代わりをさせようとすると今回のような事態は避けられないと考えるべきだと思います。
お礼
お礼が遅くなり申し訳ありませんでした。 実は使っていたOSはWin2Kで、既にサポートが終了してて・・・。 そろそろバージョンアップの時期なのかもしれません・・・。 ありがとうございました。
- ryu-fiz
- ベストアンサー率63% (2705/4228)
>System32の中にoqzhet.kiというファイルが生成される度にNODが削除する・・・という事を繰り返しているようで、この状態はやはり正常とはいえないような気がします。 >このファイルを生成している諸悪の根源は何なのか??? >完全スキャンしても見つかりません・・・。 昨今の感染は根源的な感染までをきちんと見つけ出すことが難しいケースが少なくないのです。悪質なプロセスやファイルを隠蔽するルートキットの類が使われることもありますし。何を使えば問題が解決するか…それを見極めるのも難しいでしょうし、骨が折れると思います。 既に申し上げていますが、リカバリを推奨します。どうしてもリカバリしたくないようなら、この質問を締め切った上でhigaitaisaku.comの質問掲示板に移動することをお勧めします。複数の解析ツールを利用しながら、有識者の指示を仰ぎつつ地道な作業を続けることになりますが。 http://www.higaitaisaku.com/ 自力での解決にこだわる限り、改善の目処は立たないと思われます。
お礼
>>ryu-fizさん 最近のウィルスは悪質ですね・・・。 リカバリを検討してみます。 しかし、NOD32をインストールしていても感染してしまうもんなんですね。 残念です。
1.oqzhetは他の場所では見つかりますか? 見つかった場合、差し支えない範囲で正確に発見場所を書いてください。 2.oqzhetはレジストリーでは見つかりますか? 見つかった場合、差し支えない範囲で正確に発見場所を書いてください。特に、[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]に注目してください。No.1で紹介されているページによれば、検索エンジンで正体がつかめないように、また、アンチウイルスをすり抜けるために、自分自身や生成ファイルの名称を侵入先でランダムにでっちあげます。普段お使いのソフトから推測できないような意味不明の文字列がレジストリーの中に見つかれば、それが感染の証拠だと思います。 感染の証拠が見つかった場合、私なら、Cドライブをまるごと復元するかリカバリー(再セットアップ)します。
お礼
>>gh8gh8さん 他の場所では検索にかかりませんでした。 また、ご指摘のレジストリの中にもありませんでした。 レジストリの中に見慣れない名前としましては、「ctfmon.exe」というのがあり、これはちょっとアヤシイファイルのようです。 リカバリーも含めて検討したいと思います。 ありがとうございました。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
そのためのセキュリティソフトだと思うが。 大きく「検出」と表示しているよ。 「頻繁にウィルス検出のメッセージが」出て何もしていないこと? そのままにしておく リカバリする 削除の操作をしてみる Conficker 有名なやつだね。
- redirect
- ベストアンサー率22% (117/514)
>これはウィルスに感染してしまっているのでしょうか? ここ最近非常に話題になってるConfickerのGeneric、つまり亜種ということです。セキュリティーベンダも非常に注視しているマルウェアです。システムフォルダにありますし、単純に削除できないようであれば感染してると思います。とりあえず、セーフモードで対処できないかどうか試して下さい。
お礼
>>redirectさん 削除は出来ているんですが、すぐに生成されてしまうようです・・・。
- 4500rpm
- ベストアンサー率51% (2868/5584)
ファイルに感染していることが検出されたのが駆除できなかったので、 そのファイルごと隔離されています。 ファイルごと削除するか、専用の駆除ツールを使用して駆除することが可能です。↓ http://canon-its.jp/product/nd/virusinfo/vr_win32_conficker_x.html
お礼
>>4500rpmさん ご紹介のツールを早速使ってみましたが、やはり感染は無いとの結果が出てきます。
関連するQ&A
- 感染…?
インターネットにつないだところ、突然ウイルス感染しましたとの警告が出ました。 ノートン2002(定義ファイルは最新です)でレポートをを見てみたところ下記のようなログが。 C:\WINDOWS\system32\vmnbly.exeはW32.Spybot.Wormウイルスに感染しています。 このファイルを修復できません。 C:\WINDOWS\system32\vmnbly.exeはW32.Spybot.Wormウイルスに感染しています。 ファイルへのアクセスが拒否されました。 C:\WINDOWS\system32\TFTP3968はW32.Randex.genウイルスに感染しています。 このファイルを修復できません。 C:\WINDOWS\system32\TFTP3968はW32.Randex.genウイルスに感染しています。 ファイルへのアクセスが拒否されました。 しかしその後に一度自動でスキャンされたようですが、その際の感染・修復はともに0でした。 また、シマンテックのサイトでも調べましたが、検出はされませんでした。 これは感染しているのと考えてもいいのでしょうか? また、感染しているとすればどのように対策すればいいのか教えていただけると助かります。
- 締切済み
- ウィルス・マルウェア
- 感染ファイルを隔離・駆除できません。
ウイルス感染し、ウイルスバスターで隔離できません。 ウイルス名は、WORM_AGOBOT.GEN 検出ファイル名は、 C:\WINDOWS\SYSTEM32\IEXPLORER.EXE 検出時の処理は、隔離できませんでした。 手動処理しようとWINDOWSのレジストリエディタの使用を試みましたが、一瞬だけ起動するだけで、パッと消えてしまうので、使用不可能でした。 いろいろHPでも調べたのですが、手動処理しか掲載されていません。 駆除できる方法を教えて頂きたいです。 (隔離でも構いません)。 宜しくお願い致します。
- ベストアンサー
- ウィルス・マルウェア
- ウィルス感染の一種でしょうか?
ウィルスソフトにNOD32を使っているものです。 OSはWindowsXP SP1を使っていました。 ネットに繋いでいると ttp://www.ysbr.cn/wm/ というアドレスから1.exeや8.exeなどのファイルが送られてくるのか、 IMONが起動します。 Win/Delf.AOQなどのトロイの亜種と表示されます。 パソコンのウィルスチェックはしましたが感染はありませんでした。 しかし、ネット上にいると定期的に上記のURLからウィルスが送られてきます。 一種のウィルス感染なのでしょうか? 先週の土曜からなのでもうすぐ1週間になりますが状況は変わりません。 どなたか対策をご存知の方にアドバイスいただければと思います。 よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- ウィルスの完全な駆除方法
ウィルスの完全な駆除ができず困っています。 OSはWinXPです。 LANケーブルを抜いた状態でノートン・ウィルスバスターのオンラインスキャン、 NOD32をインストールしての全スキャンではウィルスは検出されないのですが LANケーブルを挿した状態だとどんどんウィルスが検出されます。 LANケーブルを抜いて全スキャン(駆除)をし、クリーンインストールしても まだウィルスは残っていました。 今は確認できませんが、最初はメモリにもウィルスがいました。 NOD32での検出ウィルスは以下のとおりです。 C:\WINDOWS\system32\ardqo.exe Win32/Bobax.Z ウイルス C:\WINDOWS\system32\gumtvya.exe Win32/IRCBot.TS トロイ C:\WINDOWS\system32\oeezs.exe Win32/IRCBot.UX トロイ C:\WINDOWS\system32\slrl.exe Win32/Poebot トロイ の亜種 C:\WINDOWS\system32\zkdkpw.exe Win32/Poebot.NAN トロイ C:\WINDOWS\system32\zksby.exe Win32/PSW.Lineage.AEH トロイ 別のファイルも多くウィルスだと検出されていますが ファイル名から見てランダムにウィルスが作成したものだと思います。 ウィルスの種類は上に上げたのが全てです。 これらを全て完全削除した後、クリーンインストールをしたいのですが どのような方法がいいでしょうか?
- ベストアンサー
- ウィルス・マルウェア
- TROJ_PROXY.BKに感染した?
トレンドマイクロのauto_tscを利用して WORM_SDABOT.CDSの感染を確認しました。 念のため体験版をダウンロードしてチェックして問題なかったのですが、次の日に体験版がたまたまスキャンをかけたら c:\winnt\winsock\csrss.exeに TROJ_PROXY.BKと言うウィルスがいて削除できないというメッセージが表示されました。 仕方がないのでセーフモードで立ち上げて削除しましたが システムの起動時、エラーメッセージの表示されるようになりそれが邪魔なため、同じ型番の別のコンピュータからc:\winnt\winsock\csrss.exeをコピーして入れたらまた、同じウィルスに感染していますと出てきました。 TROJ_PROXY.BKはトレンドマイクロのデータベースにないので正体が不明なので教えて下さい。 c:\winnt\winsock\csrss.exeはそもそも存在して良いファイルなのかが分からないのです。 よろしくお願いします。
- 締切済み
- ウィルス・マルウェア
- ウィルスが発見され困ってます
どなたか教えてください。 windows2000なのですが、プロバイダのウイルススキャンをした所3つウィルスが見つかってしまいました。 削除しますか?と出るのですが削除してもいいファイルなのかわかりません。 ウィルス WORM_RBOT.GR BKDR_Generic WORM_RBOT.GEN ファイル D:\WINNT\system32\knszqwm.exe D:\WINNT\system32\Windows-Anti.exe D:\WINNT\system32\WindowsLogon.exe 駆除可能は3つともいいえになってます。 システムから完全に削除しても問題ないでしょうか? とても困っています>< お願いします。
- 締切済み
- ウィルス・マルウェア
- ウイルス感染になったとき
知合いのパソコンWINDOWSXPでウイルスが検出された事に関してお聞きします。「WORM_RBOT.DCI」というウイルス名がウイルスバスターで検出されました。放置の状態です。 トレンドマイクロ社に電話すればいいのですが、夜も遅くトレンドマイクロのデータベースを見ていました。 しかし「WORM_RBOT.」までは検索で出てくるのですが、全く同じ名前がないので対応の方法がわかりません。「WORM_RBOT.BDU」とか近いウイルス名と同じ対応をしてもいいのですか? 感染元は「C:\windows\system32\scorti.exe」となっていました。 このsystem32フォルダのscorti.exeをいきなり削除しても問題はないのでしょうか? やっぱりレジストリなどの問題などが生じますか? トレンドマイクロに又確認するとして、皆さんなら対応はどうしますか?名前の似てるものと同じ対応方法をしますか?
- ベストアンサー
- ウィルス・マルウェア
- ウイルス感染
まったくの初心者です。最近立ち上げると勝手にメールを送ってしまいます。(接続は手動なので実際には送られてはいませんが)また勝手に開いたりするのでウイルス検索をしたところWORM.LOVGATE.Fに感染しているとでましたが、駆除できませんでした。D:¥winnt¥system32¥IEXPLORE.EXE D:¥winnt¥system32¥III.dIII' というところにあるとなってますが見つかりません。どうしたらよいのでしょうか?PC-9821v13にOSはwindows2000です。よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- Net-Worm.Win32.Allaple.eに感染しています
ウィルス検索でC:WINDWS¥system32\irdvxc.exe がNet-Worm.Win32.Allaple.eに感染していますと出ました。削除すら出来ません。このワームの危険性、措置の仕方ご存知の方教えてください。
- ベストアンサー
- ウィルス・マルウェア
- メーカーの検出力の差
ウィルス対策ソフトとして、F-Secureアンチウィルスを常駐させております。パターンファイルは最新のものを使っています。 しかし、昨日トレンドマイクロのWEBから「ウイルスバスターON LINE Scan」というのをやってみたら、 C:\WINNT\system32\MSDO5.PIF C:\WINNT\system32\MSDO6.PIF C:\WINNT\system32\MSDO7.PIF C:\WINNT\system32\MSDOS.PIF C:\WINNT\MSDOS.PIF の5つのファイルが、WORM_RBOT.BVGに感染している、という結果になりました。 再度、F-Secureでもチェックしてみたのですが、やはり検出できません。メジャーなウィルス対策ソフトは一つ入れておけば問題ないだろう、と思っていたのですが、各社の検出力の差は大きいものなのでしょうか。 また、上記のウィルスは結局駆除できていないのですが、良い手段をご存知でしたら教えてください。 よろしくお願いいたします。 最後に当方の環境は、 Windows2000 Pro SP4(パッチは全部当てています) です。
- ベストアンサー
- ウィルス・マルウェア
お礼
>>ryu-fizさん 詳しい説明ありがとうございます。 ご紹介の駆除ツールを使ってみましたが、特に感染はありませんでした。 しかし、System32の中にoqzhet.kiというファイルが生成される度にNODが削除する・・・という事を繰り返しているようで、この状態はやはり正常とはいえないような気がします。 このファイルを生成している諸悪の根源は何なのか??? 完全スキャンしても見つかりません・・・。