ウイルススキャンで検出されたルートキットとは?対処方法を解説

前へ 次へ
このQ&Aのポイント
  • ウイルススキャンでルートキットが検出された場合、それはウイルスに感染すると被害を受ける可能性がある悪意のあるプログラムです。
  • 対処方法としては、隔離や検疫ができない場合は、セキュリティソフトをアップデートしたり、専門家に相談することをおすすめします。
  • ルートキットはしばしば重要なファイルやディレクトリに潜んでいるため、注意深く処理する必要があります。
回答を見る
  • ベストアンサー

ウイルススキャンをしたらルートキットが検出されました

ウイルススキャンをしたらルートキットが検出されました。 セキュリティソフトは Avira Antivir Personal ver.10.0.0.561です。(英語版最新) フルスキャンしたところウイルスは発見されなかったものの Hidden Object : 13 という結果が出ました。 いろいろ調べたら Hidden Object というのはルートキットというもので、 それ自体はウイルスではないものの、 ウイルスに感染したときに甚大な被害に遭う可能性があるらしいです。 とっても不安なんですが、みなさんはフルスキャンしたときに Hidden Object (ルートキット)は検出されますか? また検出されたときはどのように対処したらよろしいのでしょうか? 先ほどからネットで検索してるのですが、 あまりヒットしないので困っています。 セキュリティソフトもウイルスと認定していないので、 隔離や検疫などもできないみたいです。 何かアドバイスいただけたら嬉しいです。 ちなみに以下にスキャンレポートの抜粋を転記いたします。 ※13のルートキットの内、12個はc:\windows\repair\backup… で 1個はHKEY_LOCAL_MACHINE\System\ControlSet001… にあるみたいです。 ------------------------------------------------------------------- Starting search for hidden objects. c:\windows\repair\backup\servicestate\configdirectory\internet.evt c:\WINDOWS\repair\Backup\ServiceState [NOTE] The file is not visible. c:\windows\repair\backup\servicestate\configdirectory\tempkey.log c:\WINDOWS\repair\Backup\ServiceState [NOTE] The file is not visible. c:\windows\repair\backup\servicestate\configdirectory\userdiff c:\WINDOWS\repair\Backup\ServiceState [NOTE] The file is not visible. c:\windows\repair\backup\servicestate\configdirectory\userdiff.log c:\WINDOWS\repair\Backup\ServiceState [NOTE] The file is not visible. c:\windows\repair\backup\servicestate\eventlogs\appevent.evt c:\WINDOWS\repair\Backup\ServiceState [NOTE] The file is not visible. c:\windows\repair\backup\servicestate\eventlogs\secevent.evt c:\WINDOWS\repair\Backup\ServiceState [NOTE] The file is not visible. c:\windows\repair\backup\servicestate\eventlogs\sysevent.evt c:\WINDOWS\repair\Backup\ServiceState [NOTE] The file is not visible. c:\windows\repair\backup\servicestate\removablestoragemanager\ntmsdata c:\WINDOWS\repair\Backup\ServiceState [NOTE] The file is not visible. c:\windows\repair\backup\servicestate\removablestoragemanager\ntmsreg c:\WINDOWS\repair\Backup\ServiceState [NOTE] The file is not visible. c:\windows\repair\backup\servicestate\configdirectory c:\WINDOWS\repair\Backup\ServiceState [NOTE] The directory is not visible. c:\windows\repair\backup\servicestate\eventlogs c:\WINDOWS\repair\Backup\ServiceState [NOTE] The directory is not visible. c:\windows\repair\backup\servicestate\removablestoragemanager c:\WINDOWS\repair\Backup\ServiceState [NOTE] The directory is not visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist [NOTE] The registry entry is invisible. 313874 Objects were scanned with rootkit scan 13 Hidden objects were found

質問者が選んだベストアンサー

  • ベストアンサー
回答No.2

オンラインゲームなどをしているとその手のファイルは作られるようですので、Hidden Object=ルートキットとは言い切れないです。 ただし通常検出されない物であるし、ましてやオンラインゲーム等を楽しんでいなければ、その手が検出されることは稀です。 ルートキット・削除で検索すると数点無料の駆除ソフトがヒットしますので、それをお試しの上、駆除後も検出されるようでしたら、リカバリーを行ってはいかがでしょうか。

zukkyrsk
質問者

補足

何度も補足ですみません。 善は急げということで、今リカバリをしています。 手順どおりセットアップして、ウイルスソフトのみインストールしスキャンをかけたところ、また同じようなhidden object が検出されました。 数は11に減りました。 リカバリからスキャンまで一切LANケーブルや外部記憶装置など接続していません。 これは誤検出ということで間違いないでしょうか? 一応これからもう一度リカバリしてみます。

その他の回答 (1)

回答No.1

ルートキットだとしたら、1回以上進入した跡・踏み台の跡・再び進入した時の受け皿なので削除しないと、他のマシンに影響が出ます。 面倒がらずにLANケーブル抜いて、データバックアップしてリカバリーしてください。 それが一番確実で、面倒がありません。 もちろん何度もフルスキャンしても、ルートキットなんか一度も出たことは無いです。

zukkyrsk
質問者

補足

回答ありがとうございます。 やっぱりリカバリが一番確実ですかね。 バックアップはとってあるのでいつでもリカバリ可能なんですが…ひとつ疑問が。 このHidden Objectというのは検出されたら間違いなくルートキットなのでしょうか? icerubさんのおっしゃる「ルートキットだとしたら」というのはHidden Object=ルートキットとは必ずしも限らないということでしょうか? 自分もスキャンレポート見た限りではルートキットだと断定できないので(汗) Aviraは誤検出も多いという噂も聞きますが、リカバリ後もこのような結果にならないか心配です。

  1. カテゴリ
  2. パソコン・スマートフォン
  3. Windows
  4. Windows XP

関連するQ&A

  • ウイルス検出について

    こんばんわ 今回は先ほどウイルス検出ソフトで検出されたウイルス処理についてお話が伺いたくこの場をお借りさせていただきました。 私は今30日間無料版でESET smart security4を使用させていただいてます 問題なのはノートPCのほうです ノートPCをつけていたら ファイル:C:\System Volume Infomation\_restore・・・ 脅威:未知のNewHeur_PEである可能性 ウイルス コメント:アプリケーションによって変更されたファイルでイベントが発生しました C:\WINDOWS\system32\svchost.exe.分析のためこのファイルをESETに提出してください と表示が出ました・・・ ウィンドウズの大事なシステム内から出てる!? 削除ボタンと何もしないボタンはあるものの 下手に削除できないプログラム内だと思いこまっています; でも削除しないで何もしないまま放置してるのも怖いです; この場合どうすればいいでしょうか?; OSはXPで、富士通のPCを使っています PCぜんぜん詳しくなくて困っています; よろしければ手助けのほうどうかよろしくお願いします><

  • ウイルスが検出されたんですが、、、

    ウイルスが検出されたので、ノートンのウイルス警告がでてファイルを修復しました。とでてきます。OKをおすとまた警告がでてきてきりがありません。するとたまに修復できませんでした。などが出るんですが、困ってます。ファイルを消せばすむんですが、HDのCのなかに入ってるウィンドウズのシステムなどうかつには消せないファイルです。どうしたらいいんでしょうか?

  • ルートキット?

    ウィルスルバスター2012を常駐させていたのですが、表題のウィルスに感染してしまっだようで、PCの動きが遅く、窓を2~3開くとフリーズししまい、ウィルスを検出削除し続けています。理由はご想像の通り、恥ずかしい自業自得の結果です。 トレンドマイクロの担当の方に指示された方法でログ等のデータを送りましたが解析等に時間がかかるようです。WEBで少し調べましたがリカバリしか方法はないようですのでお聞きしたいのですがPCのハードディスクにしかないデータも有り、リカバリの後、下記データをPCに再保存したいのですが大丈夫でしょうか。あるいは持って行ってはいけないファイルはどのあたりでしょうか。 ウィルスに影響を受けるファイルとして検出されているのは「C:¥Windows¥Installer¥{422e62c9-1d23-bfa0-9115-46679ef93c74}¥U・・・・なのですが。 下記ファイルは再保存したいと考えています。 ・CADデータ ・写真 ・以前から利用していたC:\Program Filesにあるフリーソフト ・メールやアドレスのバックアッププロファイル などです。 よろしくお願いします。

  • ウイルススキャン

    ウイルススキャンでスキャンしたところ、C:\WINDOWS\...\FO35SF3I\connect[2].htmに Exploit-CodeBase.gen というウイルスがありました。 これはどのようなウイルスで、いつ、どのようにして感染したのか知りたいです。 又どのようなファイルなのか教えてください。 お願いします。

  • スーパーセキュリティZEROでスキャンできない

    PCが壊れたので、買い替えてOSをWIN10にしました。 ウイルスソフトをスーパーセキュリティZERO(WIN10対応版)にしたのですが、パスワードで保護されたファイルがスキャンできないというメッセージが出ます。 パスワードをファイルに設定した覚えがなかったので、ウイルスかなと思い、削除しようと思ったのですが、ファイルが見つかりません。 ログファイルを保存したものの一部が下記のとおりです。 [+]Resolved issues: [-]Objects that were not scanned: Object Path Reason Final Status C:\Windows\MFGSTAT.zip=>NECdiskID.log Password-protected Not scanned (file was password-protected) C:\Windows\MFGSTAT.zip=>AODBuild64.LOG Password-protected Not scanned (file was password-protected) C:\Windows\MFGSTAT.zip=>ver.txt Password-protected Not scanned (file was password-protected) C:\Windows\MFGSTAT.zip=>ReadDriveNums.ps1 Password-protected Not scanned (file was password-protected) ログファイルの中によく出てくる「MFGSTAT」という単語を、PC内部で検索しても見つかりませんし、よく出てくる記号の「=>」も意味が分かりません。 どなたか詳しい方、至急ご回答賜りますよう、よろしくお願いします。

  • ウイルスを検出しました

    avast!4を今日はじめてインストールし、起動したらRedlofというウイルスを検出しました。感染してたファイルはC:\WINDOWS\VMMHIBER.W9Xです。 とりあえず隔離しようとしましたが駄目でした。単に駆除してもPCが動作しなくなりませんか。どなたか詳しい方、この後の処理手順を教えてください。

  • ウィルス検出

    ウィルスセキュリティZero で、c:/Windows/Temp/tmp00046f/ の下のtmp0000???というファイルで、  ウィルスを検出しました。 Hacktool(000047b11)と  不要プログラムを検知しました。 Adware(0051c1531)が出続けるのですが、どうすればよいのか、わかりません。パソコンを再起動するとしばらくは出ないのですが、しばらくするまた、表示されます。 作業中ずっと出続けています。 ソースネクストのマイページに行って、サポートに入ると Q&Aしかなく新規に問い合わせるリンクがありません。 どこに問い合わせしたらいいのかわかりませんでしたので、こちらで問い合わせさせていただきます。 ※OKWAVEより補足:「ソースネクスト株式会社の製品・サービス」についての質問です。

  • ウィルススキャンでは検出できない何かが通信しています。

    windows2000 SP4を使っています。調子が悪くなったのでクリーンインストールを行ったところ、ネットにつないだ瞬間(LANドライバを入れてNTTフレッツADSLの接続設定を行い回線をつないだ瞬間)から勝手に何かが通信を行っています。 ウィルスソフトを持っていないので、トレンドマイクロ、シマンテックのオンラインスキャンをしたところ (1)DOS_AGOBOT.GEN  (C:WINNT/SYSTEM32/DRIVERS/ETC/HOST) (2)WORM_AGOBOT.SZ  (C:WINNT/SYSTEM32/WINHELP32.EXEとSYSTEMCFG.EXE) (3)BKDR_SDBOT.DP  (C:WINNT/SYSTEM32/MSCONFG.EXE) (4)WORM_SDBOT.BR  (C:WINNT/SYSTEM32/WINGAMED.EXE) が検出されたのでトレンドマイクロのページの対処方法に従い、SAFEモードで起動し、感染したファイルを削除し、レジストリの ・HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices ・HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run ・HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run に存在した感染したファイルのついた値を削除しました。 再起動をかけ、もう一度ネットにつなぐとまだ勝手に通信が行われています。そのためもう一度オンラインスキャンをかけたのですが感染ファイルは発見されませんでした。 Macafeeのスティンガーや、SPYBOTでもスキャンしてみましたがなにも検出できませんでした。 どこに原因があるのかわかりません。皆様、対処方法など知恵をお貸しください。

  • ウイルスの検出並びにその対策について

    現在、ウイルスバスター14を使用しています。先日、ウイルス検出でVERONIKA-2をC:\windows\system32\IMM32.DLLで検出したとメッセージ表示されました。そこで手動で再検索しましたが、ウイルスは検出されませんでした。感染はしていないのでしょうか。また、他のウイルスチェックを起動させたら開けないファイルは検索できないとメッセージされましたどうすればよろしいですか。

  • DLLから検出されたウィルス

    昨日ウィルス検索をしたところ、2箇所からウィルスが検出されました。いずれも『TROJ DELF.LVZ』です。 しかし、削除も隔離もできずに困っています。 「隔離ファイルの管理」より、追加ボタンを押して対象のファイルを追加しようとしても、隔離できませんというダイアログが出てきます。 直接削除しようとも、「削除できません。アクセスできません。」といったダイアログが出てきて削除できません。セーフティモードでも同様でした。 しかも、検出された所がいじらないほうがいいよ、と言われた箇所だったので、余計に心配です…。 C:\WINDOWS\system32\cliconf.dll C:\WINDOWS\SYSTEM32\CLICONF.DLL PCはWindowsXP 使用している対策ソフトはNTTのウィルス対策ソフトです。 どうかよろしくおねがいします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する