- ベストアンサー
セキュリティポリシーにルートキットの痕跡?
先日Rootkit Revealer をダウンロードして起動したところ、 HKLM\SECURITY\Policy\Secrets という領域で2つ検出しました。 双方とも詳細は"Key name contains embedded nulls (*)"で、タイムスタンプはパソコンを使い始める前の2004/08/10になっていました。 これは、誰かがセキュリティを書き換えて見つからないよう偽装したということなのでしょうか? これらのファイルを削除する方法、また削除しても良いものなのでしょうか? また、これらのファイルの内容を確認する方法はあるのでしょうか? 現在入っているウイルス対策ソフトはウイルスバスターで、 頻繁に起動していますが、これらのファイルを検知したことはありません。 また、現在はリモートアシスタンスやリモートレジストリは切っていますが、結構長い間onの状態にありました。
- スパイウェア
- 回答数3
- ありがとう数3
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (2)
- wamos101
- ベストアンサー率25% (221/852)
当方、アングラ突入調査や対策ソフトなどのテストをしております。 日本語環境でRootkit Revealerを使用すると「Key name contains embedded nulls」がたくさん見つかるのは既に知られていることなのです。一般ユーザーではごく一部の人間しか知らないと思います。てか、そもそも日本語環境を想定していません。 で、このソフトに関してはスキルがある人じゃないと難しいと思います。システムのコア部分に関する知識も必要とされます。
お礼
日本語環境では使えませんか…同じ作者のprocess explorerにはお世話になっているので、活用できないのは残念です。 実は一度ウイルスバスターを入れているのにクライアント化ソフトのようなものが入っていて、検出は全くされなかったことがあったので、疑心暗鬼に陥っていました。 これを機にKasperskyにでも切り替えようかと考えています。 では、ご回答ありがとうございました。
- -Navi-
- ベストアンサー率36% (17/46)
以下のWebより引用 http://www.exconn.net/Blogs/team02/archive/2005/11/02/4479.aspx 今回の検査では、次のような問題点が報告されたが、結果的には、すべて問題はなかった。 <B>Key name contains embedded nulls</B> これは、レジストリのキー名にnull(値が0コード)のが使われていることを示す。nullは、文字列の終わりの印として使われるので、キー名にnullを含ませるとレジストリのキー名を隠すことができる。そのため、ユーザやウィルス検査ソフトからキー名を見えなくして、その存在を隠すためにこの手法が使われている。 ただし、日本語のキー名を使っている場合は、日本語コードにnullが含まれるためこの「Key name contains embedded nulls」がたくさん報告されることがある。したがって報告されたレジストリが確かに日本語を使っているのであれば、これは無視して差し支えない
補足
ありがとうございます。 日本語環境ではあまり気にする必要はないという事なのでしょうか。 少し安心しました。
関連するQ&A
- RootkitRevealerでFireFoxのキャッシュが検出された
さきほどRootkitRevealerでスキャンしたところいくつかのレジストリが Key name contains embedded nulls と検出され、 一つだけFireFoxのキャッシュがHidden from Windows APIと検出されました。プライバシー情報の削除でキャッシュを削除ご再スキャンするとレジストリのみの検出でした。 この状態はrootkitに関しては安全と考えていいのでしょうか?
- ベストアンサー
- ネットワーク
- IPセキュリティポリシーについて
お世話になります。 一つ疑問があるので質問します。MMCスナップイン(mmc.exe)からだとIPセキュリティポリシーをスナップインできますがmmc.exeを使わないで直接IPセキュリティポリシーを起動させたいのですが、そのIPセキュリティポリシーの元のファイルはどこに保管されているのでしょうか? よろしくお願いします。 OS:Windows XP Professional SP2
- ベストアンサー
- ネットワーク
- リモートデスクトップのセキュリティポリシーについて
ご教授下さい。 2003ServerへWinVistaからリモートデスクトップ接続(ユーザーログイン)をし、2003Serverでインストールしたプログラム(XXX.exe)を起動したいのですが、エラーで起動できません。セキュリティポリシーの設定かと思われるのですが、どのように設定をすれば良いのか分かりません。どなかた、お教え願います。
- 締切済み
- Windows Vista
- Rootkitの駆除方法 ルートキット
セキュリティソフトが「Rootkit.win32.Agent.abmh」というウイルスを頻繁に検知します。 セキュリティソフトはカスペルスキーKaspersky Internet Security 2010です。 起動しておよそ30分で下記のような再起動を促すメッセージが表示され、再起動後もやはり30分ほどすると同じメッセージが表示されます。 --------- 警告 --------- Kaspersky Internet Security 2010 は、悪意のあるソフトウェアを検出しました。 特別な駆除を実行するには、Windowsの再起動が必要です。 作業中のデータを保存し、ほかのアプリケーションをすべて終了してください。 特別な駆除を実行しますか? オブジェクト:C:\WINDOWS\system32\drivers\vmawgoe.sys ウイルス:Rootkit.win32.Agent.abmh →はい、実行する(推奨) 特別な駆除を実行し、Windowsを再起動します。 →いいえ、実行しない 選択した処理を実行します。 --------------------------- 完全に駆除・修復するためにはどのようにすればよいでしょうか? アドバイスお願いします!
- 締切済み
- ウィルス・マルウェア
- Cookie_Questionmarket・セキュリティポリシー
先日、ウィルスバスター(2007)が 疑わしい変更「危険度 高」を 検出しました。 検出した結果「セキュリティーポリシー」が変更されていましたので 変更を元に戻し、また同じような変更が再びあった場合、変更しないという設定にしました。 その後すぐ、アップデートを実行し、その後 ウイルスとスパイウェアの検索を実行しました。 すると、1件のスパイウエア(Cookie_Questionmarket)が見つかり、そのまま 削除しました。 (ウイルスバスターでは「Cookie~」から始まるものは、スパイウエアではない可能性があると書いてあったのですが こちらの掲示板で同じような質問がされていたので、拝見してみると 削除したほうがよいと書かれていたので、削除しました。) またその際、同じようなスパイウエアが見つかった場合、自動削除するように設定しました。 設定後、本当にスパイウエアがいないかどうか確かめるために 再度 検索をしてみたところ、またしても 同じ名前のスパイウエアが検索され、驚きました! そのときは、同様に削除し、昨日はそれで終了しました。 そして本日、PCを立ち上げた途端、また ウィルスバスターが またしても 疑わしい変更「危険度 高」を 検出しました。 昨日と同様、セキュリティーポリシーが変更されていました。 一応、昨日と同じ手順で設定を戻したのですが、なんだか不安です。 今日は、まだ スパイウエアを確認していないのですが、本当に削除しきれているのかもわかりません。 このPCは 銀行振り込み等も行なっているため、情報が流れたのではないかと不安でたまりません。 どうか ご助言を願います。よろしくお願い致します。
- ベストアンサー
- ウィルス・マルウェア
- セキュリティポリシーを変更したい!
サーバ上に実行ファイルを配置してネットワーク上のクライアントPCから起動を試みたのですが、”セキュリティポリシーにより許可されていません・・・必要なアクセス許可を与えてください”といったエラーがでました。.NET Framework 2.0 Configurationにて正常に動くように環境を設定するにはどのようにすればいいのでしょうか?又、今後、複数台のクライアントPCからサーバ上の実行ファイルを起動するようになるのですが、このアクセス許可設定は、毎度やらないといけないのでしょうか?(それとも開発環境にて構成ツールにて一括変更できるのでしょうか) ご教授願います。
- ベストアンサー
- Visual Basic
- セキュリティーポリシーの適用を解除したいのですが
この前にMyPictursのアイコンが変わってしまいましたと質問させて頂いておりますが、MyPicturの入っているMyDocumentはMEとWIN2KをデュアルブートしているためDドライブにMyDocumentのフォルダーをつくりWIN MEもWIN2KのMyDocumentを一つにし共用しております。 その為アイコンの表示が変わってしまったのかと思い WINME側のMyDocumentリンク先を標準に戻したところWIN2K側のMyDocumentのフォルダーの中は空になってしまい再度ME側のMyDocumentのリンク先をDドライブに移しました。そうしたらMyDocumentのフォルダーの中にSecurityフォルダーが新たに出来その中にDatabaseフォルダーがあります。Databaseフォルダーの中には13個のファイルがありWIN2K起動時セキュリティーポリシーを適用していますと表示されます。セキュリティポリシーを適用させないようにするにはどうしたらよろしいのでしょうか。宜しくお願いします。
- 締切済み
- Windows NT・2000
- ウィルスセキュリティーの
ウィルスセキュリティーの、隔離したファイルの管理というボタンを何度押しても、再起動しても、隔離の削除(編集?)ページが出てきません。 どうすれば良いのでしょうか? 削除しないと溜まる一方なので本当に困っています。 お教え下さいますと助かります。
- 締切済み
- その他(ソフトウェア)
- グループポリシーの設定
OutlookExpressで全てのユーザーが添付ファイルを利用できなくする (開いたり保存したり出来なくする)ように、グループポリシーで 設定したのが、上手く反映されません。 (1)「グループポリシー」画面で、左ペインのツリーを展開し 「ローカルコンピュータポリシー」→「ユーザーの構成」→ 「管理用テンプレート」→「Windowsコンポーネント」→ 「InternetExplorer」をクリック (2)右ペインで「OutlookExpressを構成する」をダブルクリック (3)「設定」タブの「有効」をクリックし、「ウイルスを含む 可能性がある添付ファイルをブロックする」にチェックしOK ↑セキュリティ対策の本(2004年版)に載っていた内容です。 添付ファイルは「exeファイル」です。 是非よろしくお願いします。
- ベストアンサー
- Windows XP
- batファイルでローカルセキュリティーポリシーを変更できますか?
お世話になります。 教えてください。 新規のクライアントPC(OSはXPProです)をキッティングするのですが、ログオン時に最終ユーザー名を表示しないように設定したいと考えております。 最初はうろ覚えで、レジストリの 「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon」内に 「DontDisplayLastUserName」を作成し、値を1にすることで可能ということは調べなおしてわかったのですが、どうやらこれはWin2Kでは有効とのことで、確かにXPで試してみたところ、有効にならず、再起動しても、ユーザー名は最終ユーザーが残ってしまっていました。よって、regファイルでは、できないと考えました。 そこで、セキュリティポリシーから、ローカルセキュリティーにて、変更可能なことは知っているのですが、batファイルなどでローカルセキュリティーの値を変更する方法はあるのでしょうか。 もしありましたら、ご教授いただけると幸いです。 よろしくお願いします。
- ベストアンサー
- Windows系OS
お礼
ログを見直したところ、上の方が当てはまりました。 と、いうことは、セキュリティ領域で2つ検出したのは、 問題ない動作ということなんですね…。 大変参考になるアドバイス、ありがとうございました。