• 締切済み
  • 困ってます

なぜウィルスを防げなかったのか?

 以前このカテゴリで質問して、もう二度とお世話になるまいと思っていたのですが、この度ウィルスに感染してしまったのでお知恵を拝借したく質問させていただきます。 時間軸に沿って今回の事例を見ていきます。 1.自宅には二台パソコンがあり、いずれもWindowsログイン時にパスワードの設定をしてい なかった。  デスクトップPCはウィルスバスター2004が入っていて適切にアップデートされていた。  ノートPCにはノートンのInternet Securityが入っていてAnti Wirusのみ更新されている。  どちらもXPでWindowsUpdateは適切に行われている。 またルーターを使っていてノートPCは無線でインターネットに繋がっている。 2.デスクトップPCを作り直してからファイルやプリンタの共有はしていなかったが、つい最近必要性からデスクトップのDドライブをノートパソコンと共有できるようにした。 3.二日家を留守にしていて、今日デスクトップPCを起動すると程なくしてWORM_AGOBOT.HMの自動修復に成功したというメッセージが表示される。 4.ネットワークから切断し、SOUNDMAN.EXEを終了させる。念のためドライブの共有を解除する。 5.デスクトップPCで手動検索を行うとJS_SPAWN.Aが検出され、隔離される。手動で削除。 6.ノートPCからはウィルスは検出されなかった。 7.二台ともログインパスワードを設定した。 ここで質問です。 Q1.デスクトップPCではパスワードが未設定ではあったが、WORM_AGOBOT.HMの使う脆弱性を修復していて、ルーターもあり、最新の状態のウィルスバスターにしていたのになぜSOUNDMAN.EXEは起動していたのか? Q2.今となってはいつ感染したのかわかりませんが、なぜリアルタイム検索でJS_SPAWN.Aが防げなかったか? Q3.XPのシステムの復元を一度無効にする必要があるか? わかりにくい部分があれば補足要求してください。お願いします。

共感・応援の気持ちを伝えよう!

  • 回答数7
  • 閲覧数157
  • ありがとう数2

みんなの回答

  • 回答No.7
noname#22689
noname#22689

こんにちは。 Q3について、 「System Volume Informationinフォルダ→以後省略して(svi-F)」はパティションの数だけフォルダーが存在します(当然の事ですが) このフォルダは初期設定では、開こうとすると拒否され、プロパティで見ると0Bytです。この時このフォルダを右クリックして「ウイルス検査の実行」←をクリックして見ると瞬時に終わります。 一方、(svi-F)をセキュリティタブにてユーザー名を割り当て→るとこのファイルが開けるように成ります。←この状態で右クリックして「ウイルス検査の実行」←をクリックして見るとウイルスバスタの検査過程(検査中のファイル名が)が見られます。 --------------- 何を言いたいかと言うと、初期設定(ウイルスバスターでは有りません←osの話)ではウイルスバスターは(svi-F)←の中を検査しません。(例えウイルスに犯されたファイルが存在してても)←その為にウイルスに犯され場合は一度(svi-F)を破棄しましょうと言う話になります。 --------- Q2の問題のウイルスは(2000年)にパターン#707にて対応済みですが、私もかつてウイルスの種類は違いましたが過去のウイルスに遣られた経験が有ります。何故なのか今もって不思議に思っています。 -------------- Q1のlogonの為のパスワードって、スパイウエアやトロイ&その他のウイルスの起動時に何かの足しに成るのでしょうか? 既にosが起動して居る場所に侵入して来る訳ですから、オープンの場所で好き勝手に行動出来るのでは。そこで、ノートンさんとかトレンドさんに頑張って貰うのでは無いかなーと思いますが・・・ -------------------- BKDR_TASMER.B (別名=アゴボット) ↑ ・感染確認方法:  ワームを実行してしまった場合には、以下の改変が行なわれます。 以下のファイルが作成されます: <Windowsシステムフォルダ>\SOUNDMAN.EXE レジストリの値が変更されます。

共感・感謝の気持ちを伝えよう!

  • 回答No.6

音が出ているのであれば、削除されたのは私と同じくSound Effectだけですので、Sound Effectを頻繁に 使用されるのであれば、PCに付属しているCD-ROMを使ってもう一度ドライバを入れ直せば使用できるように なります。(厳密にいえばレジストリをいじられているので完全に回復したとは言えないと思いますが・・・) 一度、JS_SPAWN.Aとシステムの復元機能のことを含めてサポートにTELしてみたらいかがでしょうか。

共感・感謝の気持ちを伝えよう!

  • 回答No.5
noname#194572
noname#194572

1、ブラクラについて。 JSと記載されているようにJavaスクリプトによって動作する「悪意のあるスクリプト」ですね。SPAWNはトレンドマイクロ社のサイト解説にもあるように「感染」しているわけではないです。 HPを閲覧するときには必ずそのファイルを一時的にHDDに引っ張ってきます。 有害なスクリプトごとHTMLファイルを引っ張ってしまうのでIEキャッシュから検出されてくるわけです。 IEでしたら終了毎にキャッシュを廃棄する設定がインターネットオプションの詳細設定にあります。 これで手動検索では検出してこないですよ。 2、_Restoreについて システムの復元のフォルダですね。これは一定期間でOSのバックアップを取る機能です。 ウイルスがRestoreに好んで入るのはなく、ウイルスファイルが存在した場合、 Windowsが状態をバックアップしてしまっていることにより検出するわけです。 Restoreからだけのウイルス検出は感染とは言えません。 Restore限定でウイルスを検出し放置していても、 ここからウイルスが出てきてシステムに感染したりすることはないです。 無論システムの復元を実行すると 「ウイルスファイルがある状態」に戻りますが。 感染時にはシステムの復元は ウイルスの種類に関わらず無効にしてから駆除すべきです。 ウイルス検出=ウイルス感染ではありません。 「ウイルスファイルが発見された」だけです。 ウイルスによりシステム改変があった場合に「感染」と呼びます。 #誤検出当たってましたね。 音が出ないのはSoundman.exe起動レジストリを削除してしまうせいだとか。 タスクアイコンが出てこないなら追加と削除で入れなおしましょう! Realtekで検索したら最新版がダウンロードできたはずですよ。 参考までにRealtek社のサイトURLを。 トレンドマイクロ社の誤検出は本当に困りますけど 迅速対応には感謝しています。がんばれ!!

参考URL:
http://www.realtek.com.tw/downloads/downloads.aspx

共感・感謝の気持ちを伝えよう!

  • 回答No.4

私も昨日のアップデートでWORM_AGOBOT.HMが検出され 、自動修復で再起動したところタスクトレイから Sound Effectが消えていたためサポートに問い合わせ ましたが、何だかはっきりしないような回答で、後日 メールしますという回答でしたが、トレンドマイクロ の、http://www.trendmicro.co.jp/support/news.asp?id=503 のところに誤警告と出ていました。 あと、この修復ツールはサウンドが鳴らなくなった 場合のみと記載がありましたので。 私の場合は音は出ていたのでRealtekのドライバを 入れ直しただけですみましたが、何だか後味悪いです。

参考URL:
http://www.trendmicro.co.jp/support/news.asp?id=503

共感・感謝の気持ちを伝えよう!

質問者からの補足

質問の段階でサポート情報に載っていたのに気付かずに質問してしまいました。誤警告はこれまでにも若干あるようですが、トレンドマイクロには緊急警告の方法を使ったりして、誤警告だったことをわかりやすく伝達して欲しかったです。怠慢に働くよりは少々過敏の方がまだマシですが。 >私の場合は音は出ていたのでRealtekのドライバを入れ直しただけですみましたが、何だか後味悪いです。 家も幸い音は出ていますが、タスクトレイには常駐していません。ドライバ入れ直した方がよろしいでしょうか? よろしければ下記の質問にも御回答お願いします。 2.5 ブラクラに出会った時駆除ソフトはどのような動きをするものなのでしょうか?JS_SPAWN.Aの特徴となってる30回云々は経験した覚えがないのです。すると、ウィルスバスターは読み込みを中断させたが、キャッシュの中は削除しなかったと、中途半端なことをしたのでしょうか? 3.5 今回はワームには感染してなかったわけですが、ウィルス感染時のシステムの復元機能についての疑問です。ウィルスを手動で削除するときいったん復元機能を無効にするべきウィルスがあります。復元機能を一時無効にする意味は、RESTOREフォルダ内にウィルスが感染したときだけ、削除する為なのでしょうか? 駆除後システムの復元でウィルス感染時の状態に戻さない為だと思っていたのですが。

  • 回答No.3
noname#194572
noname#194572

私もWORM_AGBOT.HMが検出されました。ちなみに友人も検出しています。 Soundman.exeはRealtek(蟹マークのやつですね) のPC内蔵サウンドまたは外付けサウンドカードに必要なものです。 これは予想の域を出ませんが 何となく誤検出のような気がしますね^^; サポートすごく繋がりにくいですが 本日電話するつもりです。 JS_SPAWN.Aはサイト閲覧で普通に出てきますね。いわゆるだーっと窓の開く「ブラクラ」ってやつです。 IEキャッシュに入るからインターネットオプションでキャッシュをクリアにしたらおしまいです。 ウイルス対策はインターネット利用において昨今では要と言っても過言ではないですが、 通常セキュリティ製品をきちんとアップデートし、 Windowsにパッチを当てていれば問題ないはずです。 私個人的にはそれ過剰に心配される必要はないと考えます。

共感・感謝の気持ちを伝えよう!

質問者からの補足

#4の方に紹介されましたのを見るとLost_Edenさんの予想通り誤作動だったようです… >ウイルス対策はインターネット利用において昨今では要と言っても過言ではないですが、 >通常セキュリティ製品をきちんとアップデートし、 >Windowsにパッチを当てていれば問題ないはずです。 >私個人的にはそれ過剰に心配される必要はないと考えます。 しっかり対策をしていたはずだったので(パスワードを除く)少し焦ったわけです。 #2の方の補足欄にも書きましたが以下の質問にも回答していただけたら嬉しいです。 2.5 ブラクラに出会った時駆除ソフトはどのような動きをするものなのでしょうか?JS_SPAWN.Aの特徴となってる30回云々は経験した覚えがないのです。すると、ウィルスバスターは読み込みを中断させたが、キャッシュの中は削除しなかったと、中途半端なことをしたのでしょうか? 3.5 今回はワームには感染してなかったわけですが、ウィルス感染時のシステムの復元機能についての疑問です。ウィルスを手動で削除するときいったん復元機能を無効にするべきウィルスがあります。復元機能を一時無効にする意味は、RESTOREフォルダ内にウィルスが感染したときだけ、削除する為なのでしょうか? 駆除後システムの復元でウィルス感染時の状態に戻さない為だと思っていたのですが。

  • 回答No.2
  • lic
  • ベストアンサー率18% (8/43)

他のことはわからないので(すみません^^;)、 「soundman.exe」についてだけ… 自分のSOTEC製のパソコンには当初からsoundman.exeはmsconfigでスタートアップに登録されていました。で、タスクバーにアイコンが表示されてクリックするとSound Effectsというウィンドウが出てきます。どこかの会社が作ったプログラムのようですね。

共感・感謝の気持ちを伝えよう!

質問者からの補足

♯1の補足ではトレンドマイクロ社側の誤認識した状態で述べており、大変失礼申し上げました。ご容赦ください。 今現在の疑問としては以下になります。 2.5 ブラクラに出会った時駆除ソフトはどのような動きをするものなのでしょうか?JS_SPAWN.Aの特徴となってる30回云々は経験した覚えがないのです。すると、ウィルスバスターは読み込みを中断させたが、キャッシュの中は削除しなかったと、中途半端なことをしたのでしょうか? 3.5 今回はワームには感染してなかったわけですが、ウィルス感染時のシステムの復元機能についての疑問です。ウィルスを手動で削除するときいったん復元機能を無効にするべきウィルスがあります。復元機能を一時無効にする意味は、RESTOREフォルダ内にウィルスが感染したときだけ、削除する為なのでしょうか? 駆除後システムの復元でウィルス感染時の状態に戻さない為だと思っていたのですが。 よろしければ御回答ください。

  • 回答No.1
  • lic
  • ベストアンサー率18% (8/43)

すみません、質問文から前の質問があるとわかりやすい状況なのかと思いますので、前の質問の番号等載せてもらうとわかりやすいのですが… Q1について、soundman.exeはCドライブのWINDOWSフォルダにあるものですよね?特にウィルスとは関係ないのでは?(間違っていたらごめんなさい) で、なぜ起動していたのか?についてですが、自動で起動するように登録されていませんか? Q2についてですが、わかりません。 Q3について、無効にする必要はないと思いますが、利用しないなら無効にしても構わないと思いますよ。

参考URL:
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_SPAWN.A

共感・感謝の気持ちを伝えよう!

質問者からの補足

>前の質問の番号等載せてもらうとわかりやすいのです>が… 今回のウィルスとは関係ないのですが、特に差し支えないですし、一応記しておきます。481125になります。 >soundman.exeはCドライブのWINDOWSフォルダにあるものですよね?特にウィルスとは関>係ないのでは? >(間違っていたらごめんなさい) 確かにC:\WINDOWSにもありますが、これは特定の環境だけだと思うのですが。どうでしょうか?問題なのはシステムフォルダ中ではないでしょうか?(以下参照)http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.HM しかし、今タスクマネージャー見てもSOUNDMAN.EXEがありますからこれはC:\WINDOWSの方なのかもしれません。すると最初から当方の勘違いだった可能性がありますね。レジストリにもなかったからこの可能性大なのかもしれません。タスクマネージャーのプロセスの元のプログラムがわかる(ここでは見分けがつくという意味)方法はありますでしょうか? >Q3について、無効にする必要はないと思いますが、利用しないなら無効にしても構わない >と思いますよ。 Symantecのサイトには無効にせよとあったので気になったのですが、SOUNDMAN.EXEが正常なプログラムの方である可能性が出てきましたので保留とさせていただきます。

関連するQ&A

  • WORM_AGOBOT.AGIでお聞きします。

    ウィルスバスター2005のリアルタイム検索で、「WORM_AGOBOT.AGI」というウィルスが検出され、検出処理が「隔離(安全です)」と出たのですがこれは大丈夫なのでしょうか? 隔離されたものを削除し、手動検索をしたところ「WORM_AGOBOT.AJD」というのが出たのですが、これも「隔離(安全です)」と出てきました。 (この時は、ネットに繋げたままでした) 使用しているOSはウィンドウズXPです。 よろしくお願いします。

  • WORM_AGOBOT.JFの駆除方法

    WORM_AGOBOT.JFというウィルスの駆除方法が 分かりません。 駆除も隔離も出来ませんと出てきました。 ウィルスバスター2004のウィルスデータベース で調べてみたところ、英字ばかりで読めません。 また、WORM型ウィルスという事で、ダメージ クリーンナップサービスを実行し駆除しようと しましたが、全く効果なしです。 ウィルスによる被害は、まだ出てないようですが (気付かないだけかも・・・)PCを起動する度に WORM_AGOBOT.JF(感染ファイルを隔離できません) と出るので、怖いです。また、このウィルスと同時に DOS_AGOBOT.HMの表示も出てきます。 (このウィルスは、隔離成功してます) どなたか、駆除方法(対策)を教えてください。 ※WORM_AGOBOT.JF 感染ファイル:C:\WINDOWS\SYSTEM32\MSAWINDOWS.EXE ※DOS_AGOBOT.HM 感染ファイル:C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

  • ウィルススキャンしたら・・・

    今日ウィルススキャンしてみたらやっぱり感染してました。100ものファイルが感染してました。 WORM_KLEZ.ZとVBS_REDLOF.AとJS_SPAWN.Aという3種類でした。後ろ二つが一つずつで、ワームが98個検索されました。 で、駆除しようと思いウィルスバスターのお試し版をダウンロードしてインストールしたら出来ないんです! 以前ダウンロードしていた‘Mc Afee ウィルススキャンv4.0.3a‘というのがPCにあるのでそれを削除せよと… で、アプリの追加と削除で試みますが削除できないんです。英語の分からないダイヤログが開きます。 で、Mc Afeeを立ち上げてみようとしても立ち上がらないんです。 友人曰く、『中途半端に残ってるんでは…』と。 私のパソコンはどぉなってしまうんでしょう? どなたか救いの手をさしのべてください。

  • restoreフォルダ

    WORM.AGOBOT~が検出され、システムの復元を無効にしrestoreフォルダを削除してみてはと教えていただいたのき復元は無効にしたのですが、restoreフォルダはwindowsフォルダのsystem32フォルダにあるものがそうなのでしょうか? また、このフォルダに3つ程ファイル?「rstrui」「srdiag」「srframe」とかいうものがありますがこれも一緒にフォルダごと普通に削除すればよろしいのでしょうか? それと、WORM.AGOBOTですが、WORM.AGOBOT.PRAというものを検出し、検出されたのは、C(Windowsが入っているドライブです):Documents and Settings\All Uses\Documents\Srv325.exeでした。 一番最後のSrv325.exeがウィルス名です。 OSはXPで、ウィルスバスター2005を使っています。 よろしくお願いします。

  • 感染ファイルが消せません

    質問させて頂きます。 本日ウイルス検索を行った所。 DOS_AGOBOT.HM 感染ファイルhosts WORM_AGOBOT.GEN 感染ファイルDrscfg.exe と表示されました。 DOS_AGOBOT.HMはウイルスバスターの隔離で簡単に削除できたものの、 WORM_AGOBOT.GENは手動削除しようとしても出来ません。 レジストリのrun,RunServicesから CDR Processor Drscfg.exeを2項目 削除し、そのままファイルを 削除でも再起動後でもDrscfg.exeファイルを 削除する事が出来ません。 また再起動するたびにDOS_AGOBOT.HM 感染ファイルhostsとレジストリのCDR Processor Drscfg.exeが2項目とも復活してしまい非常に困っています。 お手数ですがわかりやすく答えて頂けると幸いです。

  • ウィルスの削除について

    弟夫婦のパソコンについてなのですが つい1ヶ月前からインターネットをするようになったのですが、ウィルス対策ソフトは入れていないまま、ファイアーウォールなんかも無いまま インターネットに接続していました。 今日、パソコンに1ヶ月お試しのウィルスバスターを入れてウィルスチェックを行ないました。 6個くらいウィルスが検出されたので削除したのですが、削除も隔離も出来ないウィルスが3個検出されました。 1つはウィルの詳細を見て、手動削除手順どおりに、セーフティーモードで立ち上げレジストリキーの削除、レジストリの値を修正などしたのですが 残り2つのウィルスについて、詳細から手動削除まですべてが英文で何をどうやっていのかわからず困っています もし削除などのやり方わかる方いましたら教えてください ウィルスは TREND MICRO のウィルスソフトで検出して WORM_WOOTBO.IA WORM_RBOT.BMK 以上の2個でした

  • WORM_AGOBOT.HK

    WORM_AGOBOT.HKというウィルスに感染 してしまいました。 ウィルスバスター2004を使っているのですが 隔離できませんでしたと表示されます。 トレンドマイクロのウィルスデータベース で調べてみたんですが、英語表記で意味不明です。 当方PCド初心者なので他に対処法もわからず・・・ どなたか対処法をわかりやすくご教授 お願いします。 ※WORM_AGOBOT.HK 感染ファイル:C:\WINDOWS\SYSTEM32\NETSVCS.EXE

  • 朝になるとDOS.AGOBOT.HMが・・・

     昨日の朝一番、メール受信できたのですが、次に送受信を行うと、できなくなっており、プロバイダの問題かと思って、しばらく放置していましたが、その後もできませんでした。  ウィルス感染かと思い、ウィルス対策のHPの行ったところ表示できず・・・。  結局てんやわんやの末、オンラインスキャンで、DOS.AGOBOT.HMを発見。削除しましたが、再起動する→また作られるの繰り返しで、結局、システムの復元を利用し、おととい朝に戻しました。  ところが、今日、PCを立ち上げ、ネットにつなぐと・・・またメールが見れません。  そしてDOS.AGOBOT.HMが・・・。    ウィルス対策ページに書いてあったWORM_AGOBOT.HMはオンラインスキャンで発見できませんでした・・・。  (オンラインスキャンを使用した理由はノートンが期限切れになっておりまして・・・。GW中に新いソフトを購入予定です。)    どなたか、よい方法を教えてください。

  • 感染ファイルを隔離・駆除できません。

    ウイルス感染し、ウイルスバスターで隔離できません。 ウイルス名は、WORM_AGOBOT.GEN 検出ファイル名は、 C:\WINDOWS\SYSTEM32\IEXPLORER.EXE 検出時の処理は、隔離できませんでした。 手動処理しようとWINDOWSのレジストリエディタの使用を試みましたが、一瞬だけ起動するだけで、パッと消えてしまうので、使用不可能でした。 いろいろHPでも調べたのですが、手動処理しか掲載されていません。 駆除できる方法を教えて頂きたいです。 (隔離でも構いません)。 宜しくお願い致します。

  • 2台のWindows7のPC同士での共有について

    Windows7のPCが2台あります。 デスクトップとノートです。 このPC間でファイルを共有したいのですが、うまくできません。 ノートPCからは、デスクトップPCの共有フォルダは見えるのですが、デスクトップPCからネットワーク上のノートPCにアクセスしようとすると、 「ネットワーク パスワードの入力」というウィンドウが出てきます。 ユーザー名とパスワードを求められています。 しかし、パスワードなど設定した覚えがないので、何を入れていいのやらわかりません。 以前は相互にできていたのですが、最近ノートPCのOSを再インストールして、できなくなりました。 詳しい方、ご指導よろしくお願いいたします。