• ベストアンサー

ウィルスバスターでTROJ_SMARDF.Cを検知

ウィルスバスターのリアルタイム検索で、TROJ_SMARDF.Cというウィルス/スパイウェアを検知しました。 感染ファイルはC:\WINDOWS\system32\clbcat.dllと表示されたのですが、 このようなファイルは存在しません。(似たものはありますが) そこで、ネットで調べてみましたら、clbcat.dllが見つかった場合は、 virtumondoというマルウェアが入り込んでいる可能性があるという記事を 見つけました。その記事を掲載しているサイトから フリースキャンをダウンロードして検索・削除をトライしたのですが、何も検知されませんでした。 http://www.exterminate-it.com/malpedia/file/clbcat.dll 実はかなり前から以下のような症状があります。 ・ネットワーク内のフォルダにアクセスするとIEが立ち上がってみたこともないようなページを勝手に開く (毎日違うアドレスです) ・IEのホーム設定が何度直してもGoogleになってしまう ・勝手にオンラインスキャンが実行されてるようなページに飛ぶ 過去にSPY-BOTで別のマルウェアを削除したのですが、それ以降も上記の 症状は治らないので別の原因があると思い日々試行錯誤しています。 今回又異なるマルウェアらしきものが入り込んでいるとしたら、 このPCをターゲットにして攻撃しているのでしょうか。 あやしげなサイトは踏んだ記憶もありませんので・・・。 長くなり申し訳ありませんが、解決方法のアドバイスをお願いします。 PCはWINXP、IE7です。

質問者が選んだベストアンサー

  • ベストアンサー
  • ryu-fiz
  • ベストアンサー率63% (2705/4228)
回答No.2

>ウィルスバスターのリアルタイム検索で、TROJ_SMARDF.Cというウィルス/スパイウェアを検知しました。 >感染ファイルはC:\WINDOWS\system32\clbcat.dllと表示されたのですが、 このようなファイルは存在しません。(似たものはありますが) おそらく、リアルタイム検索で見つかったファイルそのものは隔離などのかたちで処理されているかと思います。ログの確認を。 ウイルス検索ログの確認方法 http://esupport.trendmicro.co.jp/Pages/JP-2063892.aspx ですが、見つかったものが処理されているからといってそれで安心という訳ではありません。おそらくclbcat.dllは末端の感染、氷山の一角に過ぎず、大本となる感染についてはウイルスバスターが見つけ切れていない可能性が非常に高いです。 virtumondo(もしくはVirtumonde)、この感染は一般には偽のウイルス対策ソフト絡みの感染として知られています。 >実はかなり前から以下のような症状があります。(以下略) 書かれているような症状はまさにそうした感染によるものと思われます。複合的かつ複雑な構造を持つ感染であり、ウイルスバスターやSpybot-S&Dでは歯が立たなかったのも無理はありません。 最も望ましい対処はやはりリカバリだと思います。もしくはこの質問を締め切った上でhigaitaisaku.comの質問掲示板に移動。 http://www.higaitaisaku.com/ 次善の策として別なツールを使うとすれば、Malwarebytes' Anti-MalwareやSUPERAntiSpywareが良いでしょう。 http://fine.tok2.com/home/heto2/0700SecurityApp/Malwarebytes/0001.htm http://fine.tok2.com/home/heto2/0700SecurityApp/SuperAntiSpy/mokuji.htm ですが、必ずこれらが効果をもたらすとは確約出来ません。ダメなら早期にリカバリを決断されるよう。また、改善されたと思われる場合も、カスペルスキーもしくはF-Secureのオンラインスキャンによるセカンドオピニオンは欠かせません。 http://www.kaspersky.co.jp/virusscanner http://www.f-secure.co.jp/v-descs/disinfestation.html Windowsで安全にリカバリを進めるためには、次のURLを参考にしてください。 http://iwata.way-nifty.com/home/2004/10/1017.html XP SP3やVista、それ以降のOS搭載機に関しては、基本的にXP SP2と同様と考えてください。 なお、昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。 次のような点に注意すべきだと考えます。対処出来ていない点がないかどうかをチェックしてみてください。(意味が分からない用語は、e-Wordsで調べるなどして理解に努めてください。) http://e-words.jp/ 1)各種アプリケーションソフトのセキュリティ更新を怠らない。 Windows Updateの必要性はこれまでも叫ばれて来ましたが、悪用されるセキュリティ上の問題点=脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと主流が移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、 ・Firefox、Operaなどのブラウザ。 ・Sun Java 仮想マシン(JRE)。 ・Flash PlayerやShockwave Playerなどのプラグイン。 ・Real Player、QuickTimeなどのメディアプレイヤー。 ・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。 最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。 http://internet.watch.impress.co.jp/ http://www.itmedia.co.jp/enterprise/security/ こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。 2)標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。 IEで扱うことの出来るJavaScriptはJScriptといい、Windowsを直接操作出来るように拡張されており、各種感染に悪用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。 でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。 http://www.mozilla-japan.org/products/firefox/ http://jp.opera.com/ もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。 XPまでのWindowsで、もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsやRUNASAのようなソフトの利用を検討してください。 http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html http://www.oshiete-kun.net/archives/2007/04/vistauacxprunasa.html 制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsやRUNASAを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。 ReducedPermissionsの入手は、次の各URLから行うことが出来ます。 http://download.cnet.com/Reduced-Permissions/3000-2239_4-10572884.html http://www.softpedia.com/get/System/System-Miscellaneous/Reduced-Permissions.shtml なお、Windows Vista以降のIEでは、保護モードにおいて感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点=脆弱性の影響には十分注意しなくてはいけません。その辺は1)で説明した通りです。 3)ファイアウォールを有効にする。 出来ることなら、ファイアウォール機能の付いたブロードバンドルーターを介してネットに接続することが望ましいです。それが出来ない場合には、パーソナルファイアウォール機能を含むウイルス対策ソフトを利用しましょう。 最低でもWindowsファイアウォールを有効にしておけばそれなりの効果は期待出来ますが、例えば各種共有機能が有効になっているとそれ関係のポートが開かれたままの状態になり、ネットワークウイルス感染や不正侵入を防げない可能性もあります。より確実に不正な通信をブロックするためには、やはりブロードバンドルーターかパーソナルファイアウォールを別途導入するのが望ましいです。 4)怪しいリンクをクリックしたり、怪しいファイルをダウンロードしたりしない。 興味深いネタへのリンクと称して怪しいリンクを踏ませたり、動画再生に必要なコーデックなどと偽って怪しいファイルをダウンロード、実行させようとする手口は後を絶ちません。十分な注意が必要です。 このような騙しに遭わないためにも、先述したようなニュースサイトで最新の情報を常時チェックされるのが望ましいです。 5)オートラン設定を無効化しておきましょう。 最近いわゆる『USBメモリを介する感染』というのが増えていますが、感染が広がる要因の一つと言われているのがUSBメモリ内プログラムの自動実行などに使われるオートラン機能です。 実はこのオートラン機能、標準設定ではハードディスクなどあらゆるメディア上で有効になっているために、これを悪用した感染が簡単にPC全体に波及することになりがちです。 Windows の自動実行機能を無効にする方法 http://support.microsoft.com/kb/967715/ja 上記URLにて『自動実行機能を無効にするための必要条件』とされている更新プログラムをダウンロード、インストール後に、次のURLにてWindowsの各バージョン毎に紹介されている方法に従って、自動実行機能を無効化してください。 http://www.ipa.go.jp/security/txt/2009/05outline.html >PCはWINXP、IE7です。 IE7ではセキュリティが向上している、などとよく言われますが…それはVistaのIE7、それも保護モードがUACとともにきちんと有効になっている状態でのことです。XP上のIE7では、フィッシングの判断などがしやすくなっていること以外、それほど感染に強いとは言えません。IE6同様、通常の利用では感染に遭いやすいと考えて良いでしょう。 常用するならやはりFirefoxかOperaがお勧めです。IE7をどうしても常用したいなら、普段はReducedPermissionsやRUNASAを使って制限つきユーザーとして起動して使うのが良いと思います。でなければ、HTAとWindows Scripting Hostは無効化しておくべきかと思います。 HTAStopによるHTAスクリプトの無効化 http://www.higaitaisaku.com/htastop.html Windows Scripting Hostを無効にする方法 http://service1.symantec.com/support/inter/navjapanesekb.nsf/jp_docid/20011030160535930

JADE44
質問者

お礼

勉強になります。 丁寧にアドバイスして頂いてありがとうございます。 被害対策.COMのほうにあるCHECKUNINSTALLLISTというソフトを使い、 UNINSTALL LOG CHECKERで確認したところ、詳細ログを要確認と1件でまして、 レジストリのバックアップを取った上で削除しました。 以下がそのログです。 [Key Name]="{349E1A87-7491-400E-87EF-A3E31816D79E}" "DisplayName"="Default" "Version"="0x01000000" "VersionMajor"="0x00000001" "VersionMinor"="0x00000000" "EstimatedSize"="0x00002C28" "InstallDate"="20060427" "InstallLocation"="" "InstallSource"="C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_is2\" "UninstallString"="MsiExec.exe /I{349E1A87-7491-400E-87EF-A3E31816D79E}" "Publisher"="Your Company Name" "Contact"="" "HelpLink"="http://www.yourcompany.com" "HelpTelephone"="555-555-1234" "Readme"="" プラス、Windowsの自動更新をしたところ、とりあえず毎日出ていた症状が2日ほど出ていませんが、 Anti-Malwareも実行してみます。 諸事情によりブラウザ変更はできないので、教えて頂いた対策をやってみます。

その他の回答 (1)

  • John_Papa
  • ベストアンサー率61% (1186/1936)
回答No.1

難しい相談ですね。 お気の毒ですが早めに諦めて再出発された方がよろしいかと思います。 既に調査済みかも知れませんが、clbcat.dllはTrojan.Boaxxeでもあるようです。 変種が報告されない週は無いとか・・・ 多くの別名ファイルが有り、レジストリの削除も必要なようです。 こちらのサイトの方法を試してみますか? http://www.pcthreat.com/parasitebyid-7421en.html ファイル名がこのリスト内で、他のマルウェアがインストールされて無ければ、これで良いと思います。 しかし、ここの解説を要約すると「ブラウザやそのアドオンソフトの脆弱性を利用して感染し、更なるマルウェアをダウンロードインストールし、金になる情報を盗み。システムファイルの改ざんとセキュリティソフトの無効化を図り、違法なネットワーク接続を始め多形の攻撃(いわゆるBOT)に使用します。 BOTの解説はこちら http://www.ipa.go.jp/security/antivirus/bot.html という事ですので、どこまでパソコンのBOT化が進んでいるかにもよりますが、通常フォーマットして再インストールし、バックアップが有ればリストアというのが常道でしょう。 普段から、cmd、regedit、netstatなどを使用されていれば、普段との違いで感染を確認できるかも知れません。GENOウイルスではcmdが起動できない場合が有りましたし、別件の相談ですが、最近こんな事がありました。 http://questionbox.jp.msn.com/qa5178364.html この度ウイルスバスターが検知しなければ、「何か変だ」でずっと知らずにいたでしょう。そういう性質のものです。 尚、再感染を防ぐためには、上リンク「6.ボット対策」を心掛ける訳ですが、Webコンテンツに使われる可能性があるソフトやDirectXのセキュリティアップデートも欠かせません。今年は特にアドオンのAdobe社のReaderとかFlashなどが狙われた事を追記しておきます。

JADE44
質問者

お礼

BOT解説ページはとても参考になりました。 アドバイスありがとうございます。

  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. スパイウェア

関連するQ&A

  • ウイルス?TROJ_FAVADD.G

    先ほどウイルススキャンをしたところ、short.dllと言うファイルの中にTROJ_FAVADD.Gが入っているのは検知されました。 駆除が出来ないとの事だったのですが、このshort.dllごと削除しても良いのでしょうか? 確かこのファイルはsystem32と言うファイルに入っているものだったと思います。 どなたかアドバイスをお願いします。

  • TROJ ウイルス

    ウイルスバスターによりTROJ MSLAGENT.Aウイルスが発見されましたが、ウイルスバスターはこれを駆除・隔離できないようです。”ウィルスが見つかった”というリアルタイム検索の画面が登場したきり消えません。解決策はこのウィルスがいるファイルを削除するのがいいと思うのですが、これ潜んでいるファイル”msklive.dll”は削除しても差し支えないファイルなのでしょうか?このファイルはC:\WINDOWS\system32のフォルダにあります。アドバイスお願いします。

  • TROJ TOFGER

    初めまして。Q&Aを見たのですが対処法がよくわからないのでご教授お願いしたいです。 症状としては、HPがabout:blankになってしまうのと、海外のアダルトサイトの広告が勝手に出てきたりします。 ウィルスバスターオンラインスキャンで調べたところ、「TROJ TOFGER.AQ」と「TROJ TOFGER.DLL」というウィルスが見つかりました。 で、感染しているファイルは見つけたのですが、削除しようとしてもエラーが出て削除できません・・・。 ちなみにファイル名は「copta32.dll」 「rotom32.dll」です。 何やらたまに右下のアイコンの方に(文字化けしてるけど)スパイウェアか何かの警告もでます。 これってやばそうですよね・・・?どなたか助けて下さいませTT

  • トレンドマイクロのウィルスデータベースに該当情報無し

    パソコンがウィルスに感染しているようでしたのでトレンドマイクロのオンラインスキャンを実施したところ、以下のウィルスが検知されました。同サイトのウィルスデータベースを検索しましたが、該当のウィルス情報が無く、どのように駆除すれば良いのか分かりません。どなたか駆除方法(手動削除を含む)に関しご教授頂ければと思い質問次第です。 【症状】 インターネット中、ユーザの意志に関係なく、他のWebが起動されます。 ※起動されたWebを終了するも、時間が経過すると また起動されます。 ※起動されるWebは何種類かあります。 ※マカフィーのソフトでスキャンすると検知されません。 【ウィルス】 ウィルス名           感染ファイル (1)TROJ_AGENT.BT  c:WINDOWS\SYSTEM|\rulesak.dll (2)TROJ_AGENT.BT  c:WINDOWS\TEMP\rulesak.dll (3)TROJ_NARRATOR.A c:WINDOWS\pqhwap.exe (4)TROJ_NARRATOR.A c:WINDOWS\gpcoqg.dll 以上、何卒宜しくお願い致します。

  • TROJ_AGENT.ACとTROJ_DLOADER.に

    初めまして。 デスクトップとIEのTOPが変わってしまったのでウイルスバスター検索した所いくつかのウイルスに感染してしまっていました。多くのは駆除できたのですがTROJ_AGENT.ACとTROJ_DLOADER.Eが駆除できませんでした。 TROJ_AGENT.ACの方はC:\WINDOW\System32\kbdd.dllがそうであると書かれていたので手動で消そうと検索したところ見つからず、 TROJ_DLOADER.はC:\WINDOW\System32\fey.exeto と表示されたので手動駆除しようとした所削除できませんと表示されました。 OSはWindows XP Home Editionです。 どなたか教えてください。お願いします。

  • TROJ_ROOTKIT.Nというウィルスらしいのですが

    ウィルスバスターのリアルタイム検索にTROJ_ROOTKIT.Nという ウィルスが検知されるのですが、 削除しても削除してもCドライブに出てくるようで 10分くらいで20~30個、隔離フォルダに出てきます。 それも同じものばかりなんです。 削除しようと見てみるのですが英語でよくわからず、 しかもBiosの何かをいじるのかな? 英語が苦手なのでそのあたりがあまり理解できないため削除しようにも不安で・・・ このウィルスの駆除方法、ご教授お願いします。

  • TROJ_SCTHOUGHT.Cで困ってます

    初心者ですのでよろしくお願いします。 ウイルスバスター2004でウイルス検索したところTROJ_SCTHOUGHT.Cというウイルスが出てきました。 今は隔離しているんですけどこれからどうしたらいいんでしょうか?削除しても問題は無いのでしょうか? よろしくお願いします。

  • TROJ_ISTBARDW

    WinXPでウイルスバスター2004を使っています リアルタイム検索でTROJ_ISTBARDW と_ _ _ のウイルスが検索されました。ウィルス名 TROJ_ISTBARDW 感染元 istactivex.dll (C\Documents and Settings\** **\Local Settings\Temporary Internet Files\ContentIE5\1VFBHXOE\0006[1].cab)ウイルス名 _ _ _ 感染元 C\Documents and Settings\** **\Temporary Internet Files\Content IE5\1vFBHXOE\0006[1].cabです。ウイルスログには、隔離できませんとでています。削除したいんのですが手順がわかりませんどうかアドバイスをお願いします。

  • TROJ_SMALL.FOのウィルスて?

    PC初心者です。 マイクロソフトのオンラインスキャンで TROJ_SMALL.FOというウィルスが見つかりました。 ウィルスバスターを入れてなかったので、 安心ネットという所に入って、スキャンした所 ウィルスは発見されませんでした。再度マイクロソフトの オンラインでスキャンしてみたが、やはり上記の ウィルスが出てくるのです。 ネット検索で検索してみると、 TROJ_SMALL.FOというウィルス名はなく TROJ_SMALL.AG TROJ_SMALL.AW の名のウィルスはあるのですが・・ 同じウィルスなのでしょうか? どうやって ウィルスを削除していいか困ってます。 また、このウィルスによって、他の方に迷惑になるような メールが行ってしまうのか心配です。 素人でもわかりやすいように説明して頂けますか? 宜しくお願い致します。 PCはWin Me です。

  • ウイルスバスターでTROJ_REALPLAY.CDというウイルスが見つかりました

    初めまして。カイリといいます。 先程ネットで音楽関連のサイトを見て回っていたところ、 いきなりウイルスバスターのポップアップ窓が出てきたので 何かと見てみると ウイルスを隔離しました。という画面が出てきたんですね。 それが3ページほどあったので次を見ていくと 1個はちゃんと隔離されたみたいなんですが、2個ほどウイルスが隔離できませんでした。というものがありまして。 それで調べてみたところ、隔離できないものはどうやら手動で削除しなければいけないみたいでした。 そこでウイルスを削除しようと、ウイルスバスター(2006を使っています)でウイルス検索もしてみたんですけど、 同じファイル名のものが出てこなかったんですね。 危険度はあまりないみたいですが、やはり隔離できていない状態なので PCになにか悪影響が出るんじゃないかと不安です; 1つ隔離されたのはVBS_EXPLOIT.HYというやつでして、 隔離されなかったものは↓TROJ_REALPLAY.CDというやつです。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_REALPLAY.CD 見つかった場所は Documents and Settingsの中のユーザ名\Local Settings\Temporary Internet Files\Content.IE5\4X8NSZ4D\real10[1].js です。 それで知りたいのですが、これってそのまま放っておいても大丈夫なものなのでしょうか? 検索して出てこないんなら大丈夫かなとも思うんですが、 ウイルスバスターのログには隔離できなかったと書いてあるし・・・。 どうしたらいいかと困っています; PCを再インストールしたりした方がいいのでしょうか? 誰かもし何かご存知の方いらっしゃいましたら、教えていただけると幸いです。 どうか宜しくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する