• ベストアンサー

Actual Spy 2.8 について

最近Actual Spy 2.8がアンチスパイソフトで検出されます。 隔離した後フルスキャンしても何も検出されませんが、 次の日はまた検出されます。(再起動後かもしれません。) 場所は、 hkey_local_machine \microsoft\windows\currentversion\policies\explorer\run です。 本体がどこにあるのか?又はどこかのサイトで貰うのか? どの程度有害なのか教えて下さい。 よろしくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • doki2
  • ベストアンサー率51% (440/860)
回答No.8

調べてみました・・・ 最近、例のレジストリキーが偽アンティスパイウエアソフト等の「騙し商法」によく使われるようになっていることがわかりました。 Troj/Zlob-RJ http://www.sophos.com/security/analyses/trojzlobrj.html Trojan.Zlob.D http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.zlob.d.html TROJ_ZLOB.ZQ http://www.trendmicro.com.au/consumer/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=2&VName=TROJ_ZLOB.ZQ しかも、このキーは「HijackThis」では「O4」で検出されません。 「HijackThis」といえばスパイウエアの検出に世界中のフォーラムで使われているツールです。 「HijackThis」がスキャン対象にしていないキーを使う例が、今後、増えるものと思われます。 ☆ソフォスのフォーラムで、現在進行中の例です。 http://www.sophos.com/security/analyses/trojzlobrj.html Running Processで「Ztob」系のファイルが4つ検出されているんですが、回答者は気がついていないようです。 C:\WINDOWS\System32\ishost.exe C:\WINDOWS\System32\isnotify.exe C:\WINDOWS\System32\issearch.exe C:\WINDOWS\System32\ismon.exe ☆Silent Runner を使って検出した例です。 http://www.lavasoftsupport.com/index.php?showtopic=1237&pid=6457&mode=threaded&show=&st=&#entry6457 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} "ishost.exe" = "ishost.exe" [null data] "kernel32.dll" = "C:\WINDOWS\System32\isnotify.exe" [file not found] "issearch.exe" = "issearch.exe" [null data] ☆このキーに登録されて悪用されるファイル mssearchnet.exe mscornet.exe nvctrl.exe dcomcfg.exe ☆Noahdfearさんのページにこのキーの悪用例のリストがあります。 http://noahdfear.geekstogo.com/keys.htm ishost.exe issearch.exe kernel32.dll kernel32.dll notepad.exe notepad2.exe nvctrl.exe paint.exe wininet.dll winlogon.exe ということで、marmeeさんのおかげで私も少し賢くなりました。 ありがとうございました。

marmee
質問者

お礼

何度もお手数かけます。 いろいろ調べて下さってありがとうございます。

marmee
質問者

補足

リンク見たらこのキーに登録される悪質なものが結構あるんですね。 時々チェックしないといけませんね。 でもペストパトロールが毎回検出するので大丈夫かな。(空っぽでも検出するから・・・(^^)) ただ悪意のあるものがあると、除外出来ませんね。

その他の回答 (8)

  • sapoten
  • ベストアンサー率45% (137/298)
回答No.9

#7です。なんでしょうねぇ~、、、 該当キーはあるけど、中身が無い(ように見える)。けど、毎回再起動後にキーが出来る。 となると、「値が隠蔽されている?」とか考えちゃいます。 「Actual Spy 2.8 か、どうか」ではなく、「何かしら居るのかな?」などと。 「キーは残っているけど。で、他のキーに関しては、怪しいものは隠れているのか、または、他に怪しげなキーは作られないのか」とか疑問に思いつつ。 いっぺん、下記サイトで調査してもらっては? 「案ずるより産むが易し」かな、と。 http://www.higaitaisaku.com/index.html 超有名どころの掲示板、アダ被の「PCトラブル質問掲示板 」。 良く知りませんが、#8様には向こうでも会えるかもです。 あっちの掲示板の過去ログをチラリと見て、雰囲気と手順を知っておいてください。 (すみませんが、#7の「"1"にしても」は"0"に戻しといて下さい。または、削除でも良いと思います。削除して、また出来ているようなら、こっちに関係あるかもしれないですけど)

marmee
質問者

お礼

回答ありがとうございます。 多少の疑問は残りますがちょっと安心しました。 紹介のサイトも言って見たいと思います。 これまで回答頂いた皆様本当にありがとうございました。そろそろ締め切ろうかと思います。 また何かあったらよろしくお願いします。

  • sapoten
  • ベストアンサー率45% (137/298)
回答No.7

何でしょうねぇ~^ ^; #5です。 ちなみに、その "NoCDBurning"=dword:00000000 って、 "NoCDBurning"=dword:00000001 にしても、再起動後は、元に戻ってます? (ちなみに、誤検出かどうかで言えば、そのキーだけで Actual Spy 2.8 と判断したCAの検出結果は、宜しくないと思います。けれど、現状では、「じゃあ、なんで、このキーが毎回出来るわけ?」って答えが出て来てないんです^ ^; あと、#5でも述べましたが、OSとPCの型番は今後も伏せておくのでしょうか? )

marmee
質問者

お礼

遅くなりました。 何度もありがとうございます。

marmee
質問者

補足

OSとPCの型番は伏せてる分けではありません。書き忘れでした。(^^) Windows XP Home SP2 NEC PC-VL570AD です。 NoCDBurningについては再起動後は書き換えたままです。 「じゃあ、なんで、このキーが毎回出来るわけ?」ここが気になるんですよね。 6#さんの回答を見ると削除すると出ないみたいですよね。 OSの違いでしょうか?

  • doki2
  • ベストアンサー率51% (440/860)
回答No.6

試してみました。 例のレジストリキーを削除 > パソコンを再起動 例のレジストリキーはありませんでした。 下記、試して見てください。 1.インターネットの回線を切断。 2.ペストパトロールをアンインストール 3.例のレジストリキーを削除 4.パソコンを再起動 その結果、例のレジストリキーが現れなければペストパトロールがおかしいということになります。 これでも、例のレジストリキーが現れるようであれば、スタートアップに登録されている他のプログラムがこのキーを登録していることになります。 「Autoruns」を使って調べてみてください。 「Autoruns V 8.42」詳解 http://fine.tok2.com/home/heto2/0401Autoruns/mokuji.htm

marmee
質問者

お礼

何度もお手数かけます。 ありがとうございます。

marmee
質問者

補足

1.2.3.4.とやって見ました。 例のレジストリキーはあります。プログラムはありません。 Autorunsで調べても登録されたプログラムはありませんでした。 やはりペストパトロールの誤検出?そう思いたいですね。

  • sapoten
  • ベストアンサー率45% (137/298)
回答No.5

#3です。 該当するものが何も無いことは、心配する事柄ではないと思います。 今日は該当キーを既に隔離(修正、または、削除)していらっしゃるのでしょうから、明日また見てください。 または「バックアップ機能」や「リカバリー機能」ようなものがあり、隔離したものを元に戻せるなら、それでも良いです。 該当キーを利用するのは、そのソフトだけではありませんが、CAはこのキーだけを理由に Actual Spy 2.8 と判断しているのだと思います。 このキーを利用しているソフトが、「ほんとうに Actual Spy 2.8 なのか?」、異なる場合は、「そのソフトは安全なものか?」を判断して下さい。 該当キーの「データ」に記されているファイル名が何か確認して下さい。 そのファイル名を元に、該当ファイルを探し、このファイルの存在するフォルダ名や、右クリックメニューの「プロパティ」→「バージョン情報」などから、判断して下さい。見に覚えのあるソフトなら、それだけで十分だと思います。 これだけでは不安な場合、そのソフトに常駐機能の「オン・オフ」があるなら、常駐をオフにして、該当キーをチェックしてみて下さい。 自身で判断できない場合は、該当キーをエクスポートし、「補足」欄などに貼り付けてください。 (エクスポートしたファイルの右クリックメニューから「編集」で開けます) (これを元に調査してくれる回答者がいるかもしれませんが、OSやPCの型番を提示するなどの配慮はあるべきと思います) 安全なものであった場合は、「Actual Spy 2.8」とする検出結果は誤検出と判断し、以後、同様の検出結果であれば気にする必要はないと思います。 検出されるレジストリキーが増えた場合は、都度チェックして下さい。

marmee
質問者

お礼

何度もありがとうございます。

marmee
質問者

補足

常駐をオフにして再起動し該当キーをチェックして見ました。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run の中には既定とあるだけでプログラムはありません。 この状態でペストパトロールでスキャンすると検出します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorerには "NoCDBurning"=dword:00000000  がありますが関係ありませんよね。 ペストパトロールの誤検出でしょうか?

  • doki2
  • ベストアンサー率51% (440/860)
回答No.4

*長いレジストリキーの検索には下記のツールが便利です。 ☆コピペで楽々 ~レジストリジャンプ~ http://fine.tok2.com/home/heto2/0500MiniTool/0501RegJumper/001.htm >hkey_local_machine \microsoft\windows\currentversion\policies\explorer\run  正しくは下記のキーのことだろうと思います。  HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run  このキーにプログラムを登録してパソコンの起動時にプログラムを自動実行させることができますが、通常はこのキーでなく下記のキーが使われます。  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  レジストリエディターで下記のキーを開いて、プログラムが登録されているかどうか調べてみてください。  おそらく何も書き込まれていないと思います。  HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run  多分、このキーを削除すればウィルス騒ぎは収まると思います。 ☆念には念を入れて・・・    レジストリエディターでこのキーを選択して右クリック、メニューの「エキスポート」を選択してデスクトップにでも保存しておいてしばらく様子を見てください。  もし、異常があればバックアップしたレジストリファイルを右クリックして「結合」を選択すれば元通りになります。 ☆内緒の話  「HijackThis」に表示されない「Run」設定ということで少しばかり血が騒ぎました。  さては「Rootkit」??? こうなると実際に「Actual Spy」をインストールして調べるしかありません。  しかし、「BlackLight」「RootkitRevealer」「RootKit Hook Analyzer」で調べてもそれらしい形跡はありません。  「Actual Spy」を弄り回しているうちに、メニューの「Settings」「Startup Option」で「Start at the system loading」にチェックを入れると例のキーが追加され、「application=C:\Program Files\ASMonitor\ASMonitor.exe」が登録されることがわかりました。  CAはこのキーを検出したようですが、トレンドマイクロ、シマンテックはこのキーへの登録に気がついていないようです。  「HijackThis」でもRunning processesには表示されますが、「O4」には出てきません。  「Autoruns」は、見事、このキーを検索して表示してくれます。  さらに、「Actual Spy」で「Start at the system loading」のチェックをはずすと例のキーから、「application=C:\Program Files\ASMonitor\ASMonitor.exe」が削除され空のレジストリキーだけが残ることがわかりました。 ☆「Actual Spy」  「プログラムの追加と削除」できれいにアンインストールができます。使い方さえ間違わなければ行儀のいいプログラムだと思いました。

marmee
質問者

お礼

確認してたら遅くなりました。 回答ありがとうございます。

marmee
質問者

補足

回答ありがとうございます。 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run 確かに↑でした。 CAのペストパトロールを使用しています。Actual Spy 2.8はインストールしていません。又ファイル、フォルダー、他のレジストリキー も見つかりません。 もちろん「プログラムの追加と削除」にもありません。 いろいろ試したら再起動するとこのキーが現れます。削除しても再起動 すると又現れます。 ちょっとおかしいのですが、ペストパトロールで該当キーを検出して、 隔離や削除せずにレジストリエディタでこのキーを確認すると、Actual Spy 2.8はHKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run に無いのです。ペストパトロールで該当キーを隔離するとrunが消えます。 これはペストパトロールの不具合でしょうか?

  • sapoten
  • ベストアンサー率45% (137/298)
回答No.3

何と言うソフトで検出されたか記されていませんが、CAのペストパトロールをお使いですか? 検出されたものは上記の一点ですか? 「隔離した後」ということは、ファイルも存在したということでしょうか? 最初にそれが検出されたときと、現在とでは、検出結果は異なりますか? レジストリエディタが使えるのなら、該当キーをチェックして下さい。 使用したスパイウェア対策ソフトの名前が不明なので何とも言えませんが、対処法など記されていたのなら、それに従い、該当ファイルの削除等を行ってください。 CA以外のソフトウェアをご使用で、且つ、質問者様の使用しているメーカーのサイトに有用な情報がない場合、下記の「参考URL」を参考にして下さい。

参考URL:
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453098665
marmee
質問者

お礼

回答ありがとうございます。 検出したソフトはCAのペストパトロールです。 検出されたものは一点だけです。ファイルは存在せずレジストリキーのみです。 現在は該当キーはありません。ペストパトロールも検出しません。 ここ一週間で5回検出して隔離してます。 リンクを見ましたが該当ファイル、フォルダー等何も見つからないので不安です。

回答No.2

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=SPYW%5FACTUAL%2EB&VSect=Sn または http://www.symantec.com/region/jp/avcenter/venc/data/spyware.actualspy.html に出ているのがおっしゃっているActualSpyだと思います。ウイルスバスターやノートンのオンラインスキャンで、確認してください。それでもし検出されるなら、上記サイトを参考に処理してみてください。 でも、本当にインストールされていたならば、気持ち悪いのでリカバリがいいかと思います、私も。

marmee
質問者

お礼

回答ありがとうございます。 二つのリンク見ましたが該当するキーやフォルダー等見当たりません。 バージョンの違いでしょうか? リカバリ考えて見ます。

  • junra
  • ベストアンサー率19% (569/2863)
回答No.1

http://translation.infoseek.co.jp/?ac=Web&lng=en&submit=&selector=0&dsp=0&outer&web_translate_url=http%3A//www.soft32.com/download_26066.html キーロガーですので入力情報がすべて筒抜けです。 機器本体の情報は把握されます、今も調べてたらダウンロードされそうになりました。 心配でしたらOSをインストールしなおしてきれいにされてはいかがですか

marmee
質問者

お礼

回答ありがとうございます。 キーロガーですか?怖いですね。 原因がわからないので不安です。最悪はリカバリーも考えて見ます。

関連するQ&A