Skiaフォントでマルウェア感染?ESETが反応
- 無料のSkiaフォントをインストールしようとした際、ESET NOD32がマルウェアを検知したが駆除できたとのメッセージが表示された。
- 別のPCでも同様にESETが反応し、さらにスキャン後に削除されたメッセージが表示された。
- 状況についての質問として、ESETの過剰反応ではなくマルウェア感染の可能性や実害、対処方法について尋ねている。また、どこから安全なSkiaフォントをダウンロードできるかも尋ねている。
- ベストアンサー
Skiaというフォントからマルウェアに感染したかも
「ウイルス入ったかも」と相談され、内容を調べています。 Skiaという無料のフォントをインストールしようとしたところ、マルウェア対策ソフト ESET NOD32が反応した(ESET ログ1)そうですが、駆除できたというメッセージが出たので、そのままインストールしたそうです。 すると、また何かESETが反応した(ESET ログ2)そうです。 怪しかったけど駆除できたっポイから大丈夫だろうと、別のPCにインストーラ持って行って、またフォントをインストールしたところ、そちらのPCでもESET NOD32が反応したそうです。(ESET ログ3) その後、スキャンしたりして警戒したら、また何か削除されたようなメッセージが出ているようです。(ESET ログ4、ESET ログ5) これは、どういう状況でしょうか? ESETの過剰反応とかでなく、ガッツリマルウェアにやられたのでしょうか? 無料のfontのインストーラにマルウェアを仕込まれている状態でしょうか? どのような実害が予想されますか? スキャンして自動で駆除されるのですが、されずに残っている場合もあったりします。 もうOS初期化するしかなさそうですか? Skiaというフォントがどうしても欲しいそうです。 安全に使用できるSkiaフォントをダウンロードできるサイトはありますか? あるいは、このインストーラを浄化する事はできますか? 以上、よろしくお願いします。 【SkiaのダウンロードURL】 http://jp.ffonts.net/Skia.font (気を付けて下さい!!) 【ESET ログ1】 レベル 重大な警告 スキャナ リアルタイムファイルシステム保護 対象 ファイル 名前 F:\Skia_downloader_by_Ffonts.exe ウイルス Win32/Somoto.Aの亜種 望ましくない可能性があるアプリケーション 情報 アプリケーションによって新規作成されたファイルでイベントが発生しました: C:\WINDOWS\explorer.exe. 【ESET ログ2】 レベル 重大な警告 スキャナ リアルタイムファイルシステム保護 名前 C:\DOCUME~1\user1\LOCALS~1\Temp\BetterInstaller.exe ウイルス Win32/Somoto.Aの亜種 望ましくない可能性があるアプリケーション 情報 アプリケーションによって新規作成されたファイルでイベントが発生しました: C:\Documents and Settings\user1\デスクトップ\Skia_downloader_by_Ffonts.exe. 【ESET ログ3】 レベル 重大な警告 スキャナ リアルタイムファイルシステム保護 対象 ファイル 名前 C:\DOCUME~1\user2\LOCALS~1\Temp\BetterInstaller.exe ウイルス Win32/Somoto.Aの亜種 望ましくない可能性があるアプリケーション 情報 アプリケーションによって新規作成されたファイルでイベントが発生しました: C:\Documents and Settings\user2\デスクトップ\Skia_downloader_by_Ffonts.exe. 【ESET ログ4】 レベル 警告 スキャナ リアルタイムファイルシステム保護 名前 C:\System Volume Information\_restore{4203F65C-1384-4E7E-81AE-9C815E2F88D5}\RP757\A0088069.exe ウイルス Win32/Somoto.Aの亜種 望ましくない可能性があるアプリケーション アクション 削除されました - 隔離しました ユーザ NT AUTHORITY\SYSTEM 情報 アプリケーションによって変更されたファイルでイベントが発生しました: C:\WINDOWS\system32\svchost.exe. 【ESET ログ5】 レベル 警告 スキャナ リアルタイムファイルシステム保護 名前 C:\System Volume Information\_restore{4203F65C-1384-4E7E-81AE-9C815E2F88D5}\RP758\A0088124.exe ウイルス Win32/Toolbar.Babylonの亜種である可能性 望ましくない可能性があるアプリケーション アクション 削除されました - 隔離しました ユーザ NT AUTHORITY\SYSTEM 情報 アプリケーションによって変更されたファイルでイベントが発生しました: C:\WINDOWS\system32\svchost.exe.
- webuser
- お礼率85% (1391/1635)
- ウィルス・マルウェア
- 回答数2
- ありがとう数3
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
BitDefenderでは反応しませんね。 ただし途中のBabylonなどインストールは全て拒否しましたが。 想像ですが「Babylon」がウィルスとされたのではないでしょうか? すでにBabylonToolberがインストールされたのなら、これをきちんと削除すれば問題ないと思います。 またこのフォントがどうしてもほしいということですが、このインストーラー使わずとも入手可能です。 貴方が示されたリンクで「ダウンロードする」をクリック後、自動でダウンロードが始まるのはキャンセルします。 (ダウンロードしてしまってもそのまま削除する) 「ダウンロードする」をクリックした際、ページが自動で変わってるはず。 そのページで「リンクをダウンロード 1」の部分をクリックすれば、「Skia.zip」がダウンロード可能です。
その他の回答 (1)
- nekobox
- ベストアンサー率49% (195/397)
こんにちは。 解説しましょう。 ミソはダウンローダーということです。 普通にフォントのzipなりrarなり仕入れてきて自分で変更する作業とは違うということです。 ダウンローダーってのは指定された外部のサイトから目的とするプログラムファイルをDLしてそのままローカルPC側で起動します。目的とするプログラムはセットアップファイルですよ。 つまりは、Babylonのインストールと抱き合わせ(チェックボックス見逃すと)になってるということです。 Downloaderやinstallerといったオブジェクトが検出されるのはおそらくBabylonそのもののオブジェクトではないが、Babylonのインストールに至ってしまう関連オブジェクトであるために検出されてるとおもいます。 なお、System Volume Information\_restoreアリアで検出されてるのは何か新しくプログラムのインストールなどを行うと自動的にシステムが復元ポイントを作成するからです。当然ESETが検出対象とするオブジェクトが含まれるからです。 こういったことを解説できるのがセキュリティー通です。
お礼
なるほど、ありがとうございます。
関連するQ&A
- 亜種 トロイの木馬の削除について
新規購入のデスクトップパソコン(windows8.1)のセキュリティーソフトの期限が切れていたので、ESETセキュリティソフト(ESET Smart Security)の体験版 http://www.eset-smart-security.jp/ を試してみたところ、 C:\Users\*******\ダウンロード\ZipExtractorSetup(1).exe - Win32/Kryptik.BWJCの亜種 トロイの木馬 - 削除によって駆除されました - 隔離しました [1] C:\Users\*******\ダウンロード\ZipExtractorSetup(2).exe - Win32/Kryptik.BWJCの亜種 トロイの木馬 - 削除によって駆除されました - 隔離しました [1] C:\Users\*******\ダウンロード\ZipExtractorSetup(3).exe - Win32/Kryptik.BWJCの亜種 トロイの木馬 - 削除によって駆除されました - 隔離しました [1] C:\Users\*******\ダウンロード\ZipExtractorSetup.exe - Win32/Kryptik.BWJCの亜種 トロイの木馬 - 削除によって駆除されました - 隔離しました [1] 以上の画面が出ました。 しかし、一番下に注意書きが2つあり、 「[1] ウイルス本体のみで構成されていたため、ファイルは削除されました。」 「[4] ファイルを開くことができません。ほかのアプリケーションまたはオペレーティングシステムが使用中の可能性があります。」 との表記があります。 (2つ目の注意書きは開けなかった、関係のないほかのファイルのことだと思いますが・・・) これは「亜種 トロイの木馬」は削除され、ひとまず安心と考えていいんでしょうか? それとも、削除はされたが、やっぱりリカバリーが必要などの事後対策が必要なんでしょうか? 体験版の表示をprint screenでペイントを使って画像添付しようと思いましたが、なぜかアップロードすることができませんでした。 パソコンは10年くらい使ってますが、詳しいことは分かりません。よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- 感染…?
インターネットにつないだところ、突然ウイルス感染しましたとの警告が出ました。 ノートン2002(定義ファイルは最新です)でレポートをを見てみたところ下記のようなログが。 C:\WINDOWS\system32\vmnbly.exeはW32.Spybot.Wormウイルスに感染しています。 このファイルを修復できません。 C:\WINDOWS\system32\vmnbly.exeはW32.Spybot.Wormウイルスに感染しています。 ファイルへのアクセスが拒否されました。 C:\WINDOWS\system32\TFTP3968はW32.Randex.genウイルスに感染しています。 このファイルを修復できません。 C:\WINDOWS\system32\TFTP3968はW32.Randex.genウイルスに感染しています。 ファイルへのアクセスが拒否されました。 しかしその後に一度自動でスキャンされたようですが、その際の感染・修復はともに0でした。 また、シマンテックのサイトでも調べましたが、検出はされませんでした。 これは感染しているのと考えてもいいのでしょうか? また、感染しているとすればどのように対策すればいいのか教えていただけると助かります。
- 締切済み
- ウィルス・マルウェア
- 感染してるんでしょうか?
ウィルス対策ソフトにNOD32を使っています。 ここ一週間ほど、頻繁にウィルス検出のメッセージが出ます。 内容はいつも同じで ファイル C:WINNT\System32\oqzhet.exe ウィルス Win32/Conficker.Gen ワーム の亜種 となっています。 1時間に1度くらいの頻度でメッセージが出るのですが、これはウィルスに感染してしまっているのでしょうか?
- ベストアンサー
- ウィルス・マルウェア
- ウイルス感染対処方
ウイルスに感染してしまいました。ノートンインターネットセキュリティが「ウイルス警告 ウイルスが検出しました・適応処理:ファイルへのアクセスが拒否されました」と警告表示が出続けています。 Cドライブから直接削除も試みましたが、消すことができません。どなたか対処方法を教えて頂けないでしょうか。 ウイルス名:PWSteal.Etavirp.A オブジェクト名:C¥WINDOWS\System32\MSLIB.DILL OS:WINDOWS XP インターネットセキュリティ2005(ライブアップデートは常に行ってるので最新の状態) 同じウイルスがC¥WINDOWS\System32\user32.exeにも感染しましたが、こちらは上記ソフトウエアーでファイルごと除去できました。(除去したはいいが、ウインドーズ起動時にuser32.exeが見当たらないと注意がでてしまいますが。。。) よろしくお願いします。
- ベストアンサー
- スパイウェア
- ウイルスTROJ_Generic SMALL.BWUに感染しました。
昨日ウイルスバスターの検索により、下記のウイルスが発見されました。処理は隔離となっているのですが、リアルタイム検索により約五分おきに同じ検出メッセージが出ます。system32\{} {}の数字は毎回違うようです。現在使用しているウイルス対策ソフトはSpybot Ad-Aware SE ウィルスバスター2006(全て最新バージョン)です。検索したものの何も検出されませんでした。大変困っています。何方かお教え下さい。 使用OS WINDOWS XP SP2 ウイルス名:TROJ_SMALL.BWU ファイル名: C:\WINDOWS\system32\{551779CF-6542-4F33-805A-60E7C88FD655}.exe ウイルス名:TROJ_Generic ファイル名:C:\WINDOWS\system32\{4E77E679-D343-42EF-8B7F-CEF43794C64A}.exe ウイルス名:TROJ_Generic ファイル名C:\WINDOWS\system32\{94EC1F86-EE49-4DD6-946E-C44DE379F7EB}.exe
- ベストアンサー
- ウィルス・マルウェア
- このウイルスはなんでしょうか?
さきほどキャノンのESETのリアルタイム検出で 下記のような警告がでました。 C:\DOCUME~1\ユーザ名\LOCALS~1\Temp\V2MKFHa03788 Win32/Adware.FunWeb アプリケーション 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって新規作成されたファイルでイベントが発生しました: C:\Documents and Settings\ユーザ名\Local Settings\Application Data\Trend Micro\HCMS\checkup\jp\checkupsvc.exe. とでました。多分アドウェアの類いかとおもうのですが 心配なのは保存データの流出等です。 どうでしょうか? それと参考情報ですがトレンドマイクロのオンラインスキャンの後に警告が出たような気がします。
- ベストアンサー
- ウィルス・マルウェア
- autorun.inf ウイルスに感染しました。解決できません。
昨日、何がきっかけで感染したのかは分かりませんが、使用してるNOD32が警告を出してきました。 ファイル C:autorun.inf ウイルス Win32/AutoRun.Agent.BE ワーム コメント アプリケーションの新規ファイル作成時にイベントが発生しました C:\WINDOWS\system32\spoolsv.exe. ファイルは隔離されました。 このような処理が延々と繰り返されます。 spoolsv.exeをプロセスから終了して削除したりもしたのですが再起動するとこの症状が再度現れます。 またCドライブだけではなく外付けのHDDのFドライブも感染していると警告が出ます。 autorun.infを隠しファイルの表示や保護されたオペレーティングシステムファイルを表示させて探して見たのですが見当たりません。 詳細な検査をしても引っかかりません。 このウイルスの除去方法を検索してみたのですが、解決方法が載ってるサイトなどを見つけることができませんでした。 システムの復元も効果はありませんでした。 自分の力だけでは解決することができません、どなたか解決方法等分かる方がいれば教えてください。
- ベストアンサー
- ウィルス・マルウェア
- マルウェア?の感染について
はじめまして。パソコン初心者です。 今日パソコンを新しく購入して、セキュリティーソフトの 「ウイルスセキュリティZERO」で検索をかけたところ、 「not-a-virus risktool.win32.PsKill.au」が引っかかり、隔離も駆除もできないと言われてしまいました。 このファイル名と場所が、 C\Program Files\Sensible Vision\Fast Access\falou.exe とありました。 OSは Windows Vista Home Premiumです。 インターネットで検索してみてもあまり解決策が見当たらず困り果てている状態です。 このマルウェア?ってやばいんですか? どのようにしたら駆除することができるのでしょうか。 どうか、助けてください。 ご回答を宜しくお願いいたします。
- 締切済み
- ネットワーク
- ウイルスを検出した時の対処について
ウイルスを検出した時の対処を教えていただきたいです。 OSはウィンドウズ7でESET smart security 7を使っています。 ウイルスを検出するまでの経緯を書かせて頂きます。 デフラグを行おうと思い、最初にパソコン全体をウイルスチェックをしてから 回線を抜きESETの保護などを一時無効にしてからデフラグを行いました。 デフラグが終わってからESETを有効にして 詳細設定も戻っていないかもしれないので全て規定にしました。 それからウイルスチェックをしたら3件のファイルを隔離しました。 一つがDTLite4471-0337.exeで 理由がWin/DownWare.L 望ましくない可能性があるアプリケーション おそらく数年前に入れたフリーソフトのdaemon tools liteだと思われます。 二つ目が恐らくhaojapan_p1v1.exe 理由がWin/Hao123.Aの亜種 望ましくない可能性があるアプリケーション 三つ目がtn-opencd_sc_hao123inst-japan.exe 理由がWin/Hao123.Aの亜種 望ましくない可能性があるアプリケーション この3つです。dtliteには覚えがありますが、hao123についてはいつ入ったかわかりません。ファイル名はURLの右側にあったものを記載しました。 回線は抜いていましたが、ESETを一時無効にしたから感染したのか、 元々入っていたものがESETの設定を規定にしたから新たに発見されたのかはわかりません。 パソコンの動作はたぶん正常です。 質問は この3つの隔離されたファイルはどの程度危険なものでしょうか? ウイルスは隔離されましたが、パソコンは初期化したほうが良いでしょうか? まだ検出されていないウイルスがある、パソコンが監視されている可能性はあるでしょうか? 回答よろしくお願いします。
- ベストアンサー
- スパイウェア
- これはウィルスに感染しているのですか?
パソコン暦1年中年初心者です。よろしくお願いします。ノートンのインターネットセキュリティ2003を使っています。システムの完全スキャンをすると感染は無しと出るのですが、活動ログのレポートのウイルス警告には上部窓にウイルス名Backdoor.jeem自動的に削除・・となっているのですが、下の窓にはファイルC;\ programFiles\internetExplore\ptpmynlc.exeはBackdoor.jeemに感染していますとなっています。さらに上部窓にBloodhound.Exp...アクセス拒否・・Bloodhound.Exp...修復できませんでしたとなっています。しかし下の窓には情報表示だけで感染したとはなっていません。これはどう理解したらいいのでしょうか、ノートンの解説書みてもいまいち良く解かりません。セーフモードから立ち上げて完全スキャンしたらログのレポートのウイルス警告には何も出ませんでした。PCはバリュースターVL300・XPです。宜しくご指導お願いします。
- ベストアンサー
- ウィルス・マルウェア
お礼
ありがとうございます。 つまりは、fontのインストーラに何かのツールバーなどが抱き合わせで仕込まれていて、それがマルウェア扱いされているという事でしょうか。 >想像ですが「Babylon」がウィルスとされたのではないでしょうか? のようです。 「ウイルスWin32/Toolbar.Babylonの亜種」とハッキリ出ていますので、 ESETのパターンファイル上では「Babylon」はウイルスWin32にカテゴライズされているようです。 教えて頂いた方法でzipが入手できました。 今考えると、fontなので、そもそもインストーラなんて必要ないので、最初から怪しかったですね。