• ベストアンサー

ウィルス&スパイウエアの削除

ウィルスかスパイウエアかわからないファイルに悩まされています。 ウィルスソフト「カスペルスキー InternetSecrity7.0」でスキャンしても検知されませんが、Dosプロンプトで"attrib -r -h -s c:\ /a"とすると、l1lyxiy1.exe、mxuclt.exeが存在し、autorun.infもあります。 Cドライブをダブルクリックすると、新しいウィンドウで開くようになり、Yahoo!メッセンジャーのような常駐通信ソフト等に不具合を出しています。 セーフモードのコマンドプロンプトで、 attrib -r -h -s c:\・・・・.exe del c:\・・・・.exe と削除しても消えず、親玉がどこにあるのか?わからずにリカバリーします。 しかし、USBメモリー等の中のファイルを開いたり何かの拍子でPCに進入してしまいます。 USBメモリ等も開く際に必ず見て削除してから開くようにしているのですが。。。 同じような症状で対応策をご存知の方いらっしゃいませんか?

質問者が選んだベストアンサー

  • ベストアンサー
  • ryu-fiz
  • ベストアンサー率63% (2705/4228)
回答No.3

私自身はこの種の感染に遭った経験がないのですが…一応アドバイスをさせていただきたく思います。 カスペルスキーをご利用になっているにも関わらず、感染に上手く対処出来ていないというのは非常にお気の毒だと思います。しかしながら…リカバリしてもなお、症状の再発を防ぐことが出来ないというのは、やはり対処手順のどこかに誤りがあるからなのではないかと思う次第です。 >しかし、USBメモリー等の中のファイルを開いたり何かの拍子でPCに進入してしまいます。 > >USBメモリ等も開く際に必ず見て削除してから開くようにしているのですが。。。 USBメモリが感染源であるのはほぼ疑いのないところです。この取り扱いに重大な誤りがあると思います。次のURLに関連事項が書かれている筈ですが。 http://www.ipa.go.jp/security/txt/2007/07outline.html 1)USBメモリ内部にautorun.infが存在する場合、システム上の設定などによっては、PCに挿しただけでこのファイル上の記述に従って各種プログラムの実行が行われます。感染を誘発するように記述されたautorun.infならば、感染の引き金が引かれることになります。 2)autorun.infによる自動実行を止めるためには、Vista機の場合にはWindows上で設定を行うことは必要です。XP機の場合には、自動実行を行うためのユーティリティソフトがインストールされている筈なので、それをアンインストールするか、あるいはソフトの設定で自動実行を回避するべきです。 3)Windows上での自動実行設定が有効な場合であっても、Shiftキーを押しながらPCに差し込めば、autorun.infに基づく自動実行は行われません。 4)Shiftキーを押しながら安全に差し込むことが出来ても、マイコンピュータ上から該当ドライブを『ダブルクリック』すると、autorun.infに基づく自動実行が行われてしまい、これまでの苦労は水の泡になります。 質問者さんが引っ掛かっているのは、おそらくこの辺でしょう。USBメモリの中を確認する際には、該当ドライブを決してダブルクリックせず、右クリックからの『開く』を利用してください。 右クリックから開いてから、あるいはエクスプローラ上からは一切開かずに、カスペルスキーなどでUSBメモリ内も含めてウイルス検査を行えば、感染を根絶やしにすることは十分に可能だろうと思います。 カスペルスキーにはルートキット対策機能も付属している筈です。ですので、例えばカーネルレベル、つまりWindowsOSの深部に取り入るような感染であっても、事前に保護を導入していれば何とか対処出来ると思われるのです。でも…感染に遭ってから入れたのではダメですが。 なお、次のURLもこの種の感染対策への一助となるはずです。 CD-ROM/DVD-ROM認識エラー(オートランを抑制する) http://www.losttechnology.jp/Tips/cddvderror.html HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer このレジストリ値を適切に変更すれば、この種の感染の抑制に役立つと思います。曰く、固定ドライブ上でautorun.infを利用するケースは稀ですので、少なくとも固定ドライブを無効化するようにしておけば、例えCドライブに悪質なファイルが生成されたとしても、それを自動実行させることが難しくなります。 また、PC上のハードディスクに存在する全てのドライブ上に"autorun.inf"という名前の空フォルダを作成すると良い、とする意見もあります。 http://is702.jp/special/usb/index2.php 昨今の感染は以前よりも多様化、深刻化しています。いかにカスペルスキーが優秀だからといっても、それに頼り切りで他には何もしなくてもいいというのではマズイと思います。次のような点に注意が必要だと考えます。 昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。同様な感染を防ぐために次のような点に注意してください。 1)各種アプリケーションソフトのセキュリティ更新を怠らない。 Windows Updateの必要性はこれまでも叫ばれていますが、悪用されるセキュリティ上の問題点=脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、 ・Firefox、Operaなどのブラウザ。 ・Sun Java 仮想マシン(JRE)。 ・Flash PlayerやShockwave Playerなどのプラグイン。 ・Real Player、QuickTimeなどのメディアプレイヤー。 ・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。 最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。 http://internet.watch.impress.co.jp/ http://www.itmedia.co.jp/enterprise/security/ こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。 2)標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。 IEで扱うことの出来るJavaScriptはJScriptといい、Windowsを直接操作出来るように拡張されており、各種感染に悪用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。 でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。 http://www.mozilla-japan.org/products/firefox/ http://jp.opera.com/ もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。 もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsのようなソフトの利用を検討してください。 http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html 制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。 なお、Windows Vista上のIE7では、感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点=脆弱性の影響には十分注意しなくてはいけません。その辺は1)で説明した通りです。 対策ソフトとしてはカスペルスキーは最高峰の位置にあると思いますので、敢えて他のスパイウェア対策ソフトなどを無理に追加する必要はないかと思います。それよりも、OSやアプリケーション上のウイークポイントをより確実に解消していくことの方が重要だと思われます。

great_man2
質問者

補足

実はカスペルスキーでも検出できないファイルのようです。 エクスプローラーから開くとは知りませんでした。 私のPCはリカバリをして元の状態に戻せますが、客先からもらったデータをUSBにしてもらった際に問題があるのだと思い、USBを挿入してからDOSコマンドで、attrib -r -h -s c:\ /aで中身を見てから削除して開くようにしているのですが。。。 挿入した段階で進入していますよね? 今後の対応策を考えます(^^;

その他の回答 (4)

  • wamos101
  • ベストアンサー率25% (221/852)
回答No.5

#2です。 >、autorun.infを起動させないだけでファイルは存在したままなのですよね??(^^; はい、そうです。ですが、autorun.infがトリガですので読み込ませなければ発動しません。 USBメモリを挿す時はShiftキーを押したまま挿せば自動起動は機能しません。 で、相手先から渡されたUSBメモリを使うのではなく、こちらが用意したUSBメモリに空のautorun.infフォルダを作成しとけば感染マシンからのautorun.infのコピーに失敗します。

great_man2
質問者

お礼

ありがとうございました。 autorunl.infの空フォルダを作成して対応しました。

  • ryu-fiz
  • ベストアンサー率63% (2705/4228)
回答No.4

>挿入した段階で進入していますよね? 何もせずにただそのまま挿したのでは、感染する可能性は高いでしょう。Vista機ならほぼ間違いなく感染です。 >今後の対応策を考えます(^^; すでに説明済みですが…USBメモリ内の悪質なファイルの実行や、Cドライブに飛び火した際の自動実行を食い止めるためのレジストリ値変更など、やれることは十分あります。もう一度前回の回答及び参考URLを十分参照して対処を。 >実はカスペルスキーでも検出できないファイルのようです。 そこまで酷い感染だと分かっているなら…もうUSBメモリをフォーマットしちゃったらどうですか?どうしても捨て切れないデータなら、感染元のPCを管理する責任者に責めを負ってもらうべきじゃないでしょうか。 また、カスペルスキーで検出出来なくても、それ以外の対策ソフトのオンラインスキャンでなら検出可能なケースもあるかと思います。トレンドマイクロのものなどを試してみる価値はあると思います。 いずれにせよ…感染に至る経緯をきちんと理解し、必要な手を打っておけばUSBメモリ内の感染が他に広がらないようにすることは十分可能なんです。 質問者さんの場合、現状それが出来ていないので、USBメモリをPCに挿すとそのPCに感染が飛び火してしまう→一旦は削除されたとしても、感染済みのPCから再度アクセスすることでUSBメモリに再感染、という悪循環が発生していると思います。 手法さえ理解出来れば、それほど難しい作業ではない筈なんですが。。

great_man2
質問者

お礼

すべての対応策を講じました。 念の為PCもリカバリして自分所有のUSBメモリもフォーマットしました。 これから脆弱性を考慮した対応をします。 ありがとうございました。

  • wamos101
  • ベストアンサー率25% (221/852)
回答No.2

こんにちは。 私はクラッカーコミュティー巡りや対策ソフトの性能テストなどをしております。KAV 2009ユーザーです。 えーと、私の心象ではたぶん情報漏洩系のTrojanですね。他プロセスへの介入も行ってる可能性があります。 で、ドライバを探らないと駄目ですね。Autorunsを使ってみて下さい。セーフモードでやったほうがいいです。 USBメモリ内のファイルを見るときはスタートメニュー右クリの「エクスプローラ」を使わないと駄目です。autorun.infがある場合は「マイコンピュータ」からアクセスしては駄目です。ここら辺のことで堂々巡りになってるかもしれませんね。 まあ、悪質な部類に入るTrojanだと思いますのでリカバリも考えておいたほうがいいでしょう。

great_man2
質問者

お礼

ありがとうございます。マイコンピューターからではなくエクスプローラーから開くとは知りませんでした。。。 ただ、autorun.infを起動させないだけでファイルは存在したままなのですよね??(^^;

回答No.1

こんにちは。 ウイルス対策ソフト(カスペルスキー)が導入されているようですが、スパイウェア対策ソフトは導入していますか? ウイルス対策ソフトにもスパイウェアの「検出」「駆除」機能は付随してありますが、やはり、スパイウェア専門の会社と違い、スパイウェアと認識する数が違います。 従って、多くの方は、ウイルス対策ソフトとスパイウェア対策ソフトを導入しています。 スパイウェア対策ソフトで「スキャン」をしてみてはいかがでしょうか。 もし、スパイウェア対策ソフトを導入されていないなら、以下のサイトでインストールしてみてください。割合、メジャーで使いやすく、そして、「無料」です。 Spybot S&D: http://enchanting.cside.com/security/spybot1.html Ad-Aware2008: http://www.forest.impress.co.jp/lib/inet/security/antiadspy/adawarese.html 「リカバリ」をすれば、すべて、消えます。

great_man2
質問者

お礼

両方インストールしてスキャンしてみましたが、ドライブに滞在する悪質と思われるファイルは検出されませんでした。 マルウエアと判別するに至らないファイルと見られているのでしょうか? mxuclt.exeとl1lyxiy1.exeとautorun.infです。 autorun.infは検地されますが。。。

関連するQ&A

専門家に質問してみよう