偽パソコン診断ソフト型ウイルスとルートキット感染

2012/12/16 17:02

このQ&Aのポイント

偽パソコン診断ソフト型ウイルスとルートキット感染によるパソコントラブルの解決方法
ウイルスバスターのファイアーウォール機能によるサイトアクセス不可の解消方法と駆除手順
ルートキット感染の症状と対処法およびリカバリーによるウイルス・ルートキットの駆除の可能性について

偽パソコン診断ソフト型ウイルスとルートキット感染

１ヶ月ほど前、File Restoreに感染し、素人なりに駆除したつもりだったのですが、ルートキット型ウィルスにも感染していたようで、駆除出来ず困り果てています。この場合リカバリーをすれば、ルートキット型ウイルスもパソコンから無くなり、購入前の状態に戻るのでしょうか？感染した経緯としましては、eoで契約をしており、月額版のウイルスバスターも入っているのですが、あるサイトにアクセスが出来ず、ウイルスバスターのファイアーウォール機能のせいかな？と思い、ウィルスバスターを一旦停止させたのですが結局そのサイトにはアクセス出来ず、再度ウィルスバスターを立ち上げたところ、その直後にFile Restoreというウィンドウがたくさん立ち上がり、デスクトップのアイコンなども消えてしまいました。家族のパソコンを使ってインターネットで調べたところ、ウィルスのようなものだとわかり、以下のサイトを参考に駆除を試みました。 http://www.geocities.co.jp/Playtown-Yoyo/6130/no … 上記サイトに書かれていた『Malwarebytes Anti-Malware Free』『Unhide』をインターネット接続したまま通常通りに起動し、実行したところ、File Restoreというウィンドウは立ち上がらなくなり、デスクトップアイコンも表示されましたので、とりあえずは駆除出来たかなと喜んでおりました。（セーフモードで起動した方が良かったのでしょうか？）ただ、【スタート→すべてのプログラム】で表示されるプログラムの数はかなり減っておりましたが、パソコンの調子がもともとあまり良くなかった為、時間がある時にリカバリーでもしようかと思っていたので、そのままパソコンを使い続けていたのですが、その後インターネットへの接続速度がどんどん遅くなっていきました。さらに、yahooなどで何か語句を入力して検索し、その検索結果をクリックすると、別のサイトに飛ばされる事がごく稀にあり、さすがにパソコンの調子が悪いという問題ではないなと思い、もう一度よくよく上記サイトを読み直してみると、ルートキットの複合感染の事が書かれており、症状について調べてみると、私の体験したものと同じでした。 http://lhsp.s206.xrea.com/misc/virus-tdss-rootki … ↑上記サイトをもとにルートキットの駆除も試みたのですが、 ●『TDSSKiller』 ●『FixTDSS』はクリックしても無反応で起動できませんでした。（ちなみに家族のパソコンではちゃんと起動出来ました） ●『FixZeroAccess』は実行しようとするとエラーが出て実行出来ませんでした。 ●『Dr.Web Cure It』は起動してスキャンも出来ましたが、何も見つかりませんでした。 ●『Rootkit Remover』では以下のような結果になりました。（「～」の部分は長いので省略しているだけです） Malware Found --> ZeroAccess trojan detected!!! --> Registry key: ～ ( fixed ) --> Malicious file: ～ ( will be deleted after restart ) --> Registry key: ～ ( fixed ) --> Malicious file: ～ ( will be deleted after restart ) ZeroAccess trojan was cleaned successfully! Error Loading Service Please ensure to run this tool as administrator. 上記の文章を読む限り,ZeroAccess trojanが見つかったが、再起動後に悪意のあるファイルは削除されると書かれていますし、駆除に成功したと書かれているように見えるのですが、「Error Loading Service」というのが気になります…どういう意味なのでしょうか？ ZeroAccess trojanの駆除に成功したのであれば、立ち上がらなかった『TDSSKiller』『FixTDSS』は立ち上がるようになっているかも？と思い、再起動後に立ち上げてみたのですが、やはり立ち上がりませんでした。また、気になるのがデスクトップに『File Restore』のショートカットの残骸が残っておりますが、削除しようとすると、懐中電灯マークが出てきて元ファイルが見つからない状態です。こういう状態でリカバリーした場合、ウィルスやルートキットに感染する前の綺麗な状態に戻るのでしょうか？（パソコンは富士通製で、リカバリーCDなどはすべてあります。Windows XPです）戻らない場合、何か対処法はありますか？パソコンの用語をあまり知らず、素人でもわかるように書いて頂けると助かります。本当に困っておりますので、わかる箇所だけでも結構です。どうかアドバイスよろしくお願いいたします。

noname#194322

ウィルス・マルウェア
回答数4
ありがとう数4

みんなの回答 （4）
専門家の回答

質問者が選んだベストアンサー

ベストアンサー

nekobox
ベストアンサー率49% (195/397)

2012/12/16 17:41 回答No.1

こんにちは。セキュリティー通のnekoboxと申します。これはWebサイトを開いただけで感染を可能にさせるドライブ・バイ・ダウンロードという攻撃を食らって今回の感染に至ってます。なぜ、そういったことが可能になるかと言いますと、Adobe ReaderやAdobe Flash Player、Java Runtimeなどアプリケーションのプログラム上の欠陥である脆弱性を突くことによって、本来のプログラム処理手順から外れてウイルスプログラムの処理手順へのジャンプが起きて感染に至るのです。で、質問文にお書きになってる駆除ツールなどが起動できなくなったりしてますよね。これはある意味当然でして、ウイルス開発側でもこれらの駆除ツールの存在は当然承知してまして、これらが機能しないように妨害してるからです。能書きはこれくらいにしまして、結局どうすればいいかといいますと、6つ下の質問と実質的に同じでしてOSのインストールからやり直す以外ないです。 ※ 一度投稿されて再度投稿しなおされたようですが、そもそもここはメーカーのサポートセンターと違いましていつも誰かがスタンバっているわけではないです。基本的に通りすがりの人間が気ままに書いていくだけですから。それと、一応セキュ板ですけどスキルレベル的にぜんぜん駄目な回答者も少なくないです。それは頭に入れておいたほうがいいです。

質問者

お礼 2012/12/16 18:01

早速のご回答ありがとうございます。＞ドライブ・バイ・ダウンロードという攻撃を食らって今回の感染に至ってます。そうだったのですね…　どうしていいかわからず途方に暮れておりました。＞OSのインストールからやり直す以外ないです。これはつまり通常のリカバリーと同じと思ってよろしいでしょうか？＞一度投稿されて再度投稿しなおされたようですがこれは日時を更新したかったわけではなく、タイトルを変更したかった為です。 File restoreというのが一般的なウィルス名ではなかったのと、今回の質問はルートキット型ウィルスの駆除がメインの質問だと思いましたので、再度質問し直しさせて頂きました。どこに相談したらいいかもわからず本当に困っておりましたので助かりました。どうもありがとうございました。

その他の回答 (3)

nekobox
ベストアンサー率49% (195/397)

2012/12/17 01:27 回答No.4

「同じ過ちを繰り返さないために」 http://itpro.nikkeibp.co.jp/article/COLUMN/20120817/416402/ http://www.forest.impress.co.jp/lib/inet/security/antiadspy/secuniapsi.html JRE(Java Runtime Environment)をインストールしている場合は即刻アンインストールしましょう。

質問者

お礼 2012/12/17 06:09

確かにまた同じ目に遭わないよう気をつけなければ… ＞JRE(Java Runtime Environment)をインストールしている場合は即刻アンインストールしましょう。はい！次回パソコン起動時にチェックしてみます。パソコンの電源を落としてしまい、今は携帯からの為、教えて頂いたサイトもパソコン起動時に合わせて読ませて頂きますね。この度は本当にありがとうございました。

nekobox
ベストアンサー率49% (195/397)

2012/12/17 00:56 回答No.3

>光学ドライブからのブート？？何の事だかさっぱりわかりません…　無知ですみません。 CD/DVDドライブです。 >メーカーがいうリカバリーでは不十分でしょうか？セットアップ中、パーティションを一から切り直して設定できればOKです。

質問者

お礼 2012/12/17 06:03

何度もご親切にありがとうございます。早速アドバイス通りにリカバリを実行したところ元に戻り、起動しなかった駆除ツールも起動するようになりました。相談する相手もおらず困り果てておりましたので、本当に助かりました。どうもありがとうございました。

nekobox
ベストアンサー率49% (195/397)

2012/12/16 18:15 回答No.2

>これはつまり通常のリカバリーと同じと思ってよろしいでしょうか？メーカーがいうリカバリというのは購入時の状態へ戻すことを言っていますが、光学ドライブからのブートでOSを最初から入れ直します。パーティションもまるっきり一から全部切り直す。

質問者

お礼 2012/12/16 19:27

再度のご回答ありがとうございます。＞光学ドライブからのブートでOSを最初から入れ直します。パーティションもまるっきり一から全部切り直す。光学ドライブからのブート？？何の事だかさっぱりわかりません…　無知ですみません。メーカーがいうリカバリーでは不十分でしょうか？もしまだ見てくださっているようなら再度ご回答頂けると助かります。どうぞよろしくお願いいたします。

偽パソコン診断ソフト型ウイルスとルートキット感染

偽パソコン診断ソフト型ウイルスとルートキット感染