- ベストアンサー
Trojanが検出された
先日トロイの木馬の検出に定評があるa-squaredを友人に勧められたので取りあえずオンラインスキャンを使用してみたところ C/APSETUP/NAV/SUPPORT/NAVTOOLS/REPAR/FIXKAK.EXE ⇒Trojan.Win32.InSchool C/APSETUP/NAV/SUPPORT/NAVTOOLS/REPAR/FIXKAKB.EXE ⇒Trojan.Win32.InSchool が検出されました 心配なので調べたのですがWin32.InSchoolがa-squaredのサイトにもどういう物か詳しく書いてありませんでした。 それとFIXKAK.EXE FIXKAKB.EXE などダウンロードした覚えはないですがSymantec関連の場所にあったのでいじると不具合が起こりそうなので、 CドライブのみWindowsの再セットアップをしたところ始めから在り、すぐにwindowsとアンチウイルスソフトだけUPDATEしてスキャンしたところやっぱり検出されました。 そこで ・Win32.InSchoolがどういった物か? ・これはいわゆる誤検出で放って置いても大丈夫なのか? が知りたいです。 NECのノート OS WindowsXP 宜しくお願いします。
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
たびたびお邪魔します。 >ファイルを指定する時、別ウインドウが開きFIXKAK.EXEを選択して開くを >押しましたがFIXKAK.EXEを実行はしていないですよね? スキャンはしていますが実行はしていないはずなのでご安心を。あのスキャンは指定したファイルをそのまま送信しているような形なので、スキャンしただけならユーザーのPCに影響はありません。 >Fortinetだけsuspiciousと検出 「疑わしい」という意味ですね。しかし他のエンジンではまったく検出がないところを見ると、No.3の方の回答にもあるように誤検出の可能性が高くなりました。よほど新種のウイルスでなければ1社だけしか見つけられないことは少ないですし。 >>C/APSETUP/NAV/SUPPORT/NAVTOOLS/REPAR/ 正確には末尾は「REPAIR」ではないですか? これだとしたらノートンアンチウイルスにも最初から入っているプログラムのはずですが。 VirusTotalのサイトでスキャンしたファイルは、各社にもデータが送られるようなので、誤検出ならa-squaredでもそのうち定義更新時に修正されるはずですが…。 実は私の使っている別のウイルス対策ソフトでも何度か変な検出結果を出したことはあるので、VirusTotalでもファイルを調べると他のエンジンでは異常なしだったりもしてます。 こういうときはシステムに問題なさそうなファイルなら一時的に「ごみ箱」に隔離した上で様子を見、1~2週間ほどしてからまたそのファイルをスキャンしたら全部で完全に異常なしとなっていることばかりです。 どうも確信はないのですが、しばらくそのファイルを削除したりはせず様子を見るのが無難かと見ます。
その他の回答 (5)
- ryu-fiz
- ベストアンサー率63% (2705/4228)
決定的に情報が不足してます。まず、 1)WindowsXPはSP2ですか?それ以外ですか?ファイアウォールは利用してないのですか? 利用してない場合には、WindowsUpdateを行っているわずかな間に何かに感染する可能性はあるかと思います。 2)『アンチウィルスソフト』しかもSymantec関係の何かを使ってることだけは文面から推察出来るのですが…きちんとした製品名やバージョンのみならず製品版なのか試用版なのかも分かりません。 製品版であれば、やはりSymantecのサポートにきちんと問いただすべきではないでしょうか? もしパソコンに付属していた30~90日の限定版であるなら、NECに問い合わせは出来ないでしょうか。 いろいろ考えましたが…実際に質問者さんと全く同一なウィルス対策ソフト(バージョンから何から、試用版か製品版かまで同じもの)を使った人でないと正確な答えは出ないでしょうから、ここでの回答だけでは判断出来ないような気もします。 というか…もしもルーターであれ、ウィルス対策ソフト付属のものを含めたパーソナルファイアウォールであれ、ファイアウォールの類を全く使わずしてa-squaredのオンラインスキャンを受けに行ってるのだとしたら、それは本末転倒、ということになりはしないでしょうか? 空きポートを塞ぐ対策をしないまま、ある程度ネットに繋いでおく間に不正にアクセスされ、空きポートから侵入→不正なソフトを侵入させられるといった可能性が少なからずあるかと思います。 ファイアウォール未導入ならすぐに導入すべきです。 さて…こういうページを見つけたのですが。 http://forum.emsisoft.com/Default.aspx?g=posts&t=373 http://forum.emsisoft.com/Default.aspx?g=posts&t=375 検出されたファイルそのものは違うけど、やはりWin32.InSchoolが検出された、というこの方の場合…どうやら誤検出だったようです。 質問者さんの場合もたぶん誤検出、だろうとは思いますが…検出されたものが正しくノートン製品のインストールによって生成された、ということが立証出来ないうちはやはり明確な判断が出来ないと思います。
お礼
お礼が遅れてすみません回答有難う御座います。 もう少し詳しく書くべきでした。 >(1) XPのsp1でZoneAlarmが入っています。 >(2) ノートンアンチウィルス2003の90日限定版が始めからインストールされています。 仰る通りにNECに問い合わせてみたところ、やはり始めからインストールされている物で誤検出ではないかと言われました。 二つのEXEファイルに付いて詳しくはSymantecに聞いたほうが良いと言われましたが多分、皆さんが仰る通り誤検出と言われそうなので止めときます。
- doki2
- ベストアンサー率51% (440/860)
>>C/APSETUP/NAV/SUPPORT/NAVTOOLS/REPAR/ というのが気になります >これはどう要ったことですか? FIXKAK.EXE FIXKAKB.EXEは、それぞれ単体でダウンロードして起動できるものです。 インストーラーを使ってインストールするプログラムの場合、インストーラーがフォルダを指定してインストールされますが、単体のプログラムの場合、通常、このように深いディレクトリに保存することがありません。 それぞれのディレクトリの名前は下記の意味だと思います。 APSETUP:Application Setup NAV:NortonAntiVirus SUPPORT:Support NAVTOOLS:NortonAntiVirusTools REPAR:Repair このようなフォルダ構造は、NortonまたはNECが作ることが多いという意味です。
お礼
度々の回答有難う御座います。お礼が遅れて済みません。 やはり皆さんが仰る通り誤検出そうですね。 取りあえず様子を観てみます。
- doki2
- ベストアンサー率51% (440/860)
お問い合わせのファイルはいずれも、Wscript.Kakworm とWscript.KakWorm.B を駆除するツールでシマンテックのサイトからダウンロードできます。 FIXKAK.EXE (128,448 バイト) http://www.symantec.com/avcenter/venc/data/wscript.kakworm.removal.tool.html http://www.symantec.com/avcenter/fixkak.exe FIXKAKB.EXE (128,960 バイト) http://securityresponse.symantec.com/avcenter/venc/data/kak.worm.b.fix.html http://www.symantec.com/avcenter/fixkakb.exe インストールされている場所が、C/APSETUP/NAV/SUPPORT/NAVTOOLS/REPAR/ というのが気になりますが、NECが初期設定でこの場所にインストールしたのではないでしょうか。 a-squaredは私も使いかけたことがありましたが、初めて使ったときに130以上のウィルスが検出され、調べてみたところ殆どがHotSoup関係のファイルでした。 これらをウィルスと誤認されては、まともにパソコンを使えませんのであわててアンインストールしました。 今回の件も、ファイルサイズが同じであれば、誤検出ではないかと思います。 >Win32.InSchoolがどういった物か? a-squaredが勝手に定義して、勝手にウィルス検出しながら何の説明も無いのでは、第三者にわかるわけがありません。
お礼
回答有難う御座います。 仰る通り始めから在るFIXKAK.EXE FIXKAKB.EXE も同じサイズでした。多分同じものですね。先にも書きましたがそのシマンテックのサイトからダウンロードしたFIXKAK.EXE もWin32.InSchoolと検出されています。 Win32.InSchoolがどういった物か?に関しては諦めようかと思います。 シマンテックがそんなにまずい物を配布するとは思えませんよね。 それと >C/APSETUP/NAV/SUPPORT/NAVTOOLS/REPAR/ というのが気になります これはどう要ったことですか?
- lesson
- ベストアンサー率37% (555/1493)
再びお邪魔します。 感染が疑われるファイルはわかっているようなので、ではそのFIXKAKB.EXEというファイルを下記のオンラインスキャンにかけてみてください。 http://www.virustotal.com/xhtml/index_en.html ::::: VirusTotal ::::: これはひとつのファイルだけを、マカフィーやノートンなど16のエンジンでスキャンするもので、A社のスキャンで検出できないウイルスでもB社のスキャンなら検出可能だったりするので、本当にウイルスなら他のエンジンのスキャンでもなにか出てくると思います。 結果が出たらそれを正確に補足してみてください。別の名前でもわかれば情報がつかめるかもしれません。 「参照」でファイル指定、「Send」でスキャン開始ですが少し時間はかかります。
お礼
再びの回答有難う御座います。 早速VirusTotalのスキャンをしてみたところ。 FIXKAK.EXE FIXKAKB.EXE 二つとも同じ結果で Fortinetだけsuspiciousと検出されそれ以外は皆 no virus found でした。 どうなんでしょう?問題無いような気がしてきました。 それとVirusTotal の参照でファイルを指定する時、別ウインドウが開きFIXKAK.EXEを選択して開くを押しましたがFIXKAK.EXEを実行はしていないですよね?
- lesson
- ベストアンサー率37% (555/1493)
>InSchool 日本だとマカフィーのサイトに情報があるこれでしょうか? http://www.mcafee.com/japan/security/virIdos.asp?v=Inschool マカフィー株式会社--セキュリティ情報-- マカフィーのオンラインスキャンをかけてみてください。 http://nai.com/japan/mcafee/home/freescan.asp マカフィー - ウイルス対策と侵入防止ソリューション
お礼
回答有難う御座います。 直ぐにマカフィーのオンラインスキャンをしてみましたが 検出されませんでした。 >日本だとマカフィーのサイトに情報があるこれでしょうか? 読んで見ましたが違うようです。 FIXKAKB.EXEですがノートンのここに多分同じ物がありました http://www.symantec.com/region/jp/sarcj/data/w/wscript.kakworm.fix.html もう一度再セットアップすれば良いと思い、ダウンロードしてa-squaredのオンラインスキャンをしてみたところ落としたFIXKAKB.EXEも Win32.InSchool と検出されました やはり誤検出なのでしょうか? このトロイがどんな物か解らないので実行しなければ問題無い気もしますがネットに繋ぐ前に削除したほうがいいでしょうか? a-squaredもノートンも有名な物なのでどこかに載っていて良いはずなのですが。
お礼
三度の回答有難う御座います。お礼が遅れて済みません。 >正確には末尾は「REPAIR」ではないですか? すみません間違えました「REPAIR」でした。 VirusTotalも大丈夫そうなので安心しました。 仰る通り取りあえず様子を観てみます。