SPY-BOTで

spy－botでスキャンをしたところ、Search For Itというのが検出されたのですが、これは一体どういったものなのでしょうか？
　windows XP spy-botは最新バージョンです。
特に、今現在これといった不具合は起きていません。

ryu-fiz 回答No.6

補足ありがとうございます。

ANo.5にてzoro2さんがご自身の症例に関して訂正を行っておられますので、

SpywareBlaster3.2でSearchForItに対する保護を有効にしている状態で、2004-08-30の定義ファイルに更新されたSpybot1.3が検出したSearchForItは誤検出で、削除してはならない。

という解釈が正しい、ということになろうかと思います。

もし、ANo.3での私のアドバイス通りにSearchForItを削除してしまった、ということであれば、再度SpywareBlasterを起動して全ての定義が有効かどうか確かめて下さい。

必ず一つのアイテムが無効になってる筈なので、"All Protection Enaable"をクリックするなどして、再度SearchForItに対する保護が有効になるようにして下さい。

zoro2 回答No.5

A#2
本件、検証時の私の操作に、一部誤認がありましたので無視してください。

～～～～～～～～～～～～～～～～～～～～～～～～
SearchForIt: 設定 (レジストリキー　, nothing done)
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\activex compatibility\{c109664b-ceb1-420b-b353-d55a561536dd}
～～～～～～～～～～～～～～～～～～～～～～～～
上記のキーが検出された場合、「Spybot-S＆D」の誤検出ですので「問題箇所の修正/削除」をクリックしてはいけません。

もし、クリックしてしまった場合は、ryu-fizさんのご説明どおり、「SpywareBlaster」の「Protection」「Status」画面で「Enable All Protection」をクリックして「Kill Bit」を復活させてください。

「Spybot-S＆D」の「リカバリ」を使って復旧する方法もありますが、もし本物の「SearchForIt」に感染していた場合、どれを復旧させるかの判別が難しいと思います。

ryu-fiz 回答No.4

すいません。
抜けましたが、SearchForItをSpybotで修正後SpywareBlasterの保護が無効になった場合は、『Enable All protection』をクリックするなどして、SearchForitに対する保護が再び有効になるようにして下さい。

当然と言えば当然ですが。

ryu-fiz 回答No.3

私のWindows98SE、SpybotS&D1.3、SpywareBlaster3.2でも同様の現象が起きてます。もちろん定義は全て最新です。

『アダ被』の掲示板も確認致しましたが、Spybotで問題箇所を削除した後の挙動が二通りに分かれるようですね。

１）SpywareBlasterがSearchForIt防御に設定したエントリが消去され、Blaster再起動後『InternetExplorer』部分の表示が『1 item have protection disable』と表示されてしまう。

２）問題修正後もエントリは消去されず、以降誤検出も起こらない。

私の環境では１）のケースになります。２）のケース報告例にはSpywareBlasterの保護が１件無効になるかどうかの明確な記述がないのが気になりますが…もしないのだとすれば全く挙動が分かれる、ということに。

現時点では何が原因でそうなるのかははっきりしない、ということになりましょうか？

いずれにせよはっきり言えるのは、Spybotの誤検出であってスパイウェア感染の心配はない、ということです。

まず一度Spybotで検出されたエントリを削除し、直後にBlasterを起動して無効が１件出てないか確認してみるようお勧めします。

異常がなければそれでよし、無効が出てしまう場合は次回以降の定義更新で改善されるまではSearchForItの検出エントリは無視、が妥当でしょう。

補足 2004/09/02 21:05

SpywareBlasterのインターネットの部分の表示が、
0　item have protection disable と表示されていますがこれで正常ということでしょうか？

zoro2 回答No.2

「Spybot-S＆D」の誤認の可能性が高いようです。

★「SearchForIt」に汚染されている場合
「HijackThis」のログに下記のように表示され、二つのファイルがインストールされています。

O3 - Toolbar: searchforit - {C109664B-CEB1-420b-B353-D55A561536DD} - C:\WINDOWS\system32\SYSsfitb.dll
O4 - HKCU＼..＼Run: [SYSsfitb] C:＼WINDOWS＼SYSsfitb.exe

C:\WINDOWS\system32\SYSsfitb.dll
C:\WINDOWS\SYSsfitb.exe

★定義ファイルに問題？

8月30日付の定義ファイルに問題があるようです。
私の場合「SearchForIt」に汚染されていないにもかかわらず、次のような結果が出ました。
～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
SearchForIt: 設定 (レジストリキー　, nothing done)
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\activex compatibility\{c109664b-ceb1-420b-b353-d55a561536dd}
～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

このレジストリキーは、SpywareBlasterによって「SearchForIt」を無効にするために作成された「Kill Bit」で、値が下記のように設定されています。
compatibility flags=0x00000400(1024)

「問題箇所の修正/削除」をクリックするとこのキーが削除されるか、compatibility flags=0になると予想したのですが、レジストリエディターで確認しても変化がおきません。

再スキャンすると「おめでとう！スパイウエアは検出されませんでした」になります。
レジストリキーはそのまま、値も変化無し、にもかかわらず2回目以降検出されないという不思議な現象が起きています。

通常、ここまで調べるほど閑人は、滅多に居ないでしょうから

１．「SearchForIt」を検知
２．「問題箇所の修正/削除」
３．再スキャンすると「おめでとう！スパイウエアは検出されませんでした」

というハッピー・エンディング・ストーリーになると思います。

★結論
最新のデータにアップデートしてスキャンしてください、
最初のスキャンで「SearchForIt」が検出されると思います。
「問題箇所の修正/削除」を実行すると次回以降検出されなくなると思います。

回答No.1

SpywareBlasterをお使いで
Internet Explore protectionをかけていらっしゃるのなら
誤検出っぽいです。

http://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=4430&type=0&space=0&no=2
↑アドレス欄にコピペしてから表示してください。
他掲示板から直接リンクは弾かれると思います。

SpywareBlasterをお使いでなければ検出項目を右クリックすると
クリップボードにコピーできますので詳細を貼り付けていただけると
何方かから回答戴けるかも知れません。

参考URL：

http://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=4430&type=0&space=0&no=2