- 締切済み
なぜウィルスを防げなかったのか?
以前このカテゴリで質問して、もう二度とお世話になるまいと思っていたのですが、この度ウィルスに感染してしまったのでお知恵を拝借したく質問させていただきます。 時間軸に沿って今回の事例を見ていきます。 1.自宅には二台パソコンがあり、いずれもWindowsログイン時にパスワードの設定をしてい なかった。 デスクトップPCはウィルスバスター2004が入っていて適切にアップデートされていた。 ノートPCにはノートンのInternet Securityが入っていてAnti Wirusのみ更新されている。 どちらもXPでWindowsUpdateは適切に行われている。 またルーターを使っていてノートPCは無線でインターネットに繋がっている。 2.デスクトップPCを作り直してからファイルやプリンタの共有はしていなかったが、つい最近必要性からデスクトップのDドライブをノートパソコンと共有できるようにした。 3.二日家を留守にしていて、今日デスクトップPCを起動すると程なくしてWORM_AGOBOT.HMの自動修復に成功したというメッセージが表示される。 4.ネットワークから切断し、SOUNDMAN.EXEを終了させる。念のためドライブの共有を解除する。 5.デスクトップPCで手動検索を行うとJS_SPAWN.Aが検出され、隔離される。手動で削除。 6.ノートPCからはウィルスは検出されなかった。 7.二台ともログインパスワードを設定した。 ここで質問です。 Q1.デスクトップPCではパスワードが未設定ではあったが、WORM_AGOBOT.HMの使う脆弱性を修復していて、ルーターもあり、最新の状態のウィルスバスターにしていたのになぜSOUNDMAN.EXEは起動していたのか? Q2.今となってはいつ感染したのかわかりませんが、なぜリアルタイム検索でJS_SPAWN.Aが防げなかったか? Q3.XPのシステムの復元を一度無効にする必要があるか? わかりにくい部分があれば補足要求してください。お願いします。
- tochiyuking
- お礼率35% (5/14)
- ウィルス・マルウェア
- 回答数7
- ありがとう数2
- みんなの回答 (7)
- 専門家の回答
みんなの回答
こんにちは。 Q3について、 「System Volume Informationinフォルダ→以後省略して(svi-F)」はパティションの数だけフォルダーが存在します(当然の事ですが) このフォルダは初期設定では、開こうとすると拒否され、プロパティで見ると0Bytです。この時このフォルダを右クリックして「ウイルス検査の実行」←をクリックして見ると瞬時に終わります。 一方、(svi-F)をセキュリティタブにてユーザー名を割り当て→るとこのファイルが開けるように成ります。←この状態で右クリックして「ウイルス検査の実行」←をクリックして見るとウイルスバスタの検査過程(検査中のファイル名が)が見られます。 --------------- 何を言いたいかと言うと、初期設定(ウイルスバスターでは有りません←osの話)ではウイルスバスターは(svi-F)←の中を検査しません。(例えウイルスに犯されたファイルが存在してても)←その為にウイルスに犯され場合は一度(svi-F)を破棄しましょうと言う話になります。 --------- Q2の問題のウイルスは(2000年)にパターン#707にて対応済みですが、私もかつてウイルスの種類は違いましたが過去のウイルスに遣られた経験が有ります。何故なのか今もって不思議に思っています。 -------------- Q1のlogonの為のパスワードって、スパイウエアやトロイ&その他のウイルスの起動時に何かの足しに成るのでしょうか? 既にosが起動して居る場所に侵入して来る訳ですから、オープンの場所で好き勝手に行動出来るのでは。そこで、ノートンさんとかトレンドさんに頑張って貰うのでは無いかなーと思いますが・・・ -------------------- BKDR_TASMER.B (別名=アゴボット) ↑ ・感染確認方法: ワームを実行してしまった場合には、以下の改変が行なわれます。 以下のファイルが作成されます: <Windowsシステムフォルダ>\SOUNDMAN.EXE レジストリの値が変更されます。
- shotgun117
- ベストアンサー率0% (0/0)
音が出ているのであれば、削除されたのは私と同じくSound Effectだけですので、Sound Effectを頻繁に 使用されるのであれば、PCに付属しているCD-ROMを使ってもう一度ドライバを入れ直せば使用できるように なります。(厳密にいえばレジストリをいじられているので完全に回復したとは言えないと思いますが・・・) 一度、JS_SPAWN.Aとシステムの復元機能のことを含めてサポートにTELしてみたらいかがでしょうか。
1、ブラクラについて。 JSと記載されているようにJavaスクリプトによって動作する「悪意のあるスクリプト」ですね。SPAWNはトレンドマイクロ社のサイト解説にもあるように「感染」しているわけではないです。 HPを閲覧するときには必ずそのファイルを一時的にHDDに引っ張ってきます。 有害なスクリプトごとHTMLファイルを引っ張ってしまうのでIEキャッシュから検出されてくるわけです。 IEでしたら終了毎にキャッシュを廃棄する設定がインターネットオプションの詳細設定にあります。 これで手動検索では検出してこないですよ。 2、_Restoreについて システムの復元のフォルダですね。これは一定期間でOSのバックアップを取る機能です。 ウイルスがRestoreに好んで入るのはなく、ウイルスファイルが存在した場合、 Windowsが状態をバックアップしてしまっていることにより検出するわけです。 Restoreからだけのウイルス検出は感染とは言えません。 Restore限定でウイルスを検出し放置していても、 ここからウイルスが出てきてシステムに感染したりすることはないです。 無論システムの復元を実行すると 「ウイルスファイルがある状態」に戻りますが。 感染時にはシステムの復元は ウイルスの種類に関わらず無効にしてから駆除すべきです。 ウイルス検出=ウイルス感染ではありません。 「ウイルスファイルが発見された」だけです。 ウイルスによりシステム改変があった場合に「感染」と呼びます。 #誤検出当たってましたね。 音が出ないのはSoundman.exe起動レジストリを削除してしまうせいだとか。 タスクアイコンが出てこないなら追加と削除で入れなおしましょう! Realtekで検索したら最新版がダウンロードできたはずですよ。 参考までにRealtek社のサイトURLを。 トレンドマイクロ社の誤検出は本当に困りますけど 迅速対応には感謝しています。がんばれ!!
- shotgun117
- ベストアンサー率0% (0/0)
私も昨日のアップデートでWORM_AGOBOT.HMが検出され 、自動修復で再起動したところタスクトレイから Sound Effectが消えていたためサポートに問い合わせ ましたが、何だかはっきりしないような回答で、後日 メールしますという回答でしたが、トレンドマイクロ の、http://www.trendmicro.co.jp/support/news.asp?id=503 のところに誤警告と出ていました。 あと、この修復ツールはサウンドが鳴らなくなった 場合のみと記載がありましたので。 私の場合は音は出ていたのでRealtekのドライバを 入れ直しただけですみましたが、何だか後味悪いです。
私もWORM_AGBOT.HMが検出されました。ちなみに友人も検出しています。 Soundman.exeはRealtek(蟹マークのやつですね) のPC内蔵サウンドまたは外付けサウンドカードに必要なものです。 これは予想の域を出ませんが 何となく誤検出のような気がしますね^^; サポートすごく繋がりにくいですが 本日電話するつもりです。 JS_SPAWN.Aはサイト閲覧で普通に出てきますね。いわゆるだーっと窓の開く「ブラクラ」ってやつです。 IEキャッシュに入るからインターネットオプションでキャッシュをクリアにしたらおしまいです。 ウイルス対策はインターネット利用において昨今では要と言っても過言ではないですが、 通常セキュリティ製品をきちんとアップデートし、 Windowsにパッチを当てていれば問題ないはずです。 私個人的にはそれ過剰に心配される必要はないと考えます。
補足
#4の方に紹介されましたのを見るとLost_Edenさんの予想通り誤作動だったようです… >ウイルス対策はインターネット利用において昨今では要と言っても過言ではないですが、 >通常セキュリティ製品をきちんとアップデートし、 >Windowsにパッチを当てていれば問題ないはずです。 >私個人的にはそれ過剰に心配される必要はないと考えます。 しっかり対策をしていたはずだったので(パスワードを除く)少し焦ったわけです。 #2の方の補足欄にも書きましたが以下の質問にも回答していただけたら嬉しいです。 2.5 ブラクラに出会った時駆除ソフトはどのような動きをするものなのでしょうか?JS_SPAWN.Aの特徴となってる30回云々は経験した覚えがないのです。すると、ウィルスバスターは読み込みを中断させたが、キャッシュの中は削除しなかったと、中途半端なことをしたのでしょうか? 3.5 今回はワームには感染してなかったわけですが、ウィルス感染時のシステムの復元機能についての疑問です。ウィルスを手動で削除するときいったん復元機能を無効にするべきウィルスがあります。復元機能を一時無効にする意味は、RESTOREフォルダ内にウィルスが感染したときだけ、削除する為なのでしょうか? 駆除後システムの復元でウィルス感染時の状態に戻さない為だと思っていたのですが。
- lic
- ベストアンサー率18% (8/43)
他のことはわからないので(すみません^^;)、 「soundman.exe」についてだけ… 自分のSOTEC製のパソコンには当初からsoundman.exeはmsconfigでスタートアップに登録されていました。で、タスクバーにアイコンが表示されてクリックするとSound Effectsというウィンドウが出てきます。どこかの会社が作ったプログラムのようですね。
補足
♯1の補足ではトレンドマイクロ社側の誤認識した状態で述べており、大変失礼申し上げました。ご容赦ください。 今現在の疑問としては以下になります。 2.5 ブラクラに出会った時駆除ソフトはどのような動きをするものなのでしょうか?JS_SPAWN.Aの特徴となってる30回云々は経験した覚えがないのです。すると、ウィルスバスターは読み込みを中断させたが、キャッシュの中は削除しなかったと、中途半端なことをしたのでしょうか? 3.5 今回はワームには感染してなかったわけですが、ウィルス感染時のシステムの復元機能についての疑問です。ウィルスを手動で削除するときいったん復元機能を無効にするべきウィルスがあります。復元機能を一時無効にする意味は、RESTOREフォルダ内にウィルスが感染したときだけ、削除する為なのでしょうか? 駆除後システムの復元でウィルス感染時の状態に戻さない為だと思っていたのですが。 よろしければ御回答ください。
- lic
- ベストアンサー率18% (8/43)
すみません、質問文から前の質問があるとわかりやすい状況なのかと思いますので、前の質問の番号等載せてもらうとわかりやすいのですが… Q1について、soundman.exeはCドライブのWINDOWSフォルダにあるものですよね?特にウィルスとは関係ないのでは?(間違っていたらごめんなさい) で、なぜ起動していたのか?についてですが、自動で起動するように登録されていませんか? Q2についてですが、わかりません。 Q3について、無効にする必要はないと思いますが、利用しないなら無効にしても構わないと思いますよ。
補足
>前の質問の番号等載せてもらうとわかりやすいのです>が… 今回のウィルスとは関係ないのですが、特に差し支えないですし、一応記しておきます。481125になります。 >soundman.exeはCドライブのWINDOWSフォルダにあるものですよね?特にウィルスとは関>係ないのでは? >(間違っていたらごめんなさい) 確かにC:\WINDOWSにもありますが、これは特定の環境だけだと思うのですが。どうでしょうか?問題なのはシステムフォルダ中ではないでしょうか?(以下参照)http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.HM しかし、今タスクマネージャー見てもSOUNDMAN.EXEがありますからこれはC:\WINDOWSの方なのかもしれません。すると最初から当方の勘違いだった可能性がありますね。レジストリにもなかったからこの可能性大なのかもしれません。タスクマネージャーのプロセスの元のプログラムがわかる(ここでは見分けがつくという意味)方法はありますでしょうか? >Q3について、無効にする必要はないと思いますが、利用しないなら無効にしても構わない >と思いますよ。 Symantecのサイトには無効にせよとあったので気になったのですが、SOUNDMAN.EXEが正常なプログラムの方である可能性が出てきましたので保留とさせていただきます。
関連するQ&A
- ウィルス駆除ができません
すいません、かなりPC初心者で全然ウィルスのことが分かってなく、駆除としてAVGを教えてもらって駆除を頑張ってたのですが、次々と新しいウィルスに感染して、遂にはWorm/Agobot.15.Qというウィルスと駆除することができませんでした。どなたかこのウィルスの駆除方法が分かるのであれば教えて頂けませんか?
- 締切済み
- ウィルス・マルウェア
- WORM_AGOBOT.AGIでお聞きします。
ウィルスバスター2005のリアルタイム検索で、「WORM_AGOBOT.AGI」というウィルスが検出され、検出処理が「隔離(安全です)」と出たのですがこれは大丈夫なのでしょうか? 隔離されたものを削除し、手動検索をしたところ「WORM_AGOBOT.AJD」というのが出たのですが、これも「隔離(安全です)」と出てきました。 (この時は、ネットに繋げたままでした) 使用しているOSはウィンドウズXPです。 よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- WORM_AGOBOT.JFの駆除方法
WORM_AGOBOT.JFというウィルスの駆除方法が 分かりません。 駆除も隔離も出来ませんと出てきました。 ウィルスバスター2004のウィルスデータベース で調べてみたところ、英字ばかりで読めません。 また、WORM型ウィルスという事で、ダメージ クリーンナップサービスを実行し駆除しようと しましたが、全く効果なしです。 ウィルスによる被害は、まだ出てないようですが (気付かないだけかも・・・)PCを起動する度に WORM_AGOBOT.JF(感染ファイルを隔離できません) と出るので、怖いです。また、このウィルスと同時に DOS_AGOBOT.HMの表示も出てきます。 (このウィルスは、隔離成功してます) どなたか、駆除方法(対策)を教えてください。 ※WORM_AGOBOT.JF 感染ファイル:C:\WINDOWS\SYSTEM32\MSAWINDOWS.EXE ※DOS_AGOBOT.HM 感染ファイル:C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
- ベストアンサー
- ウィルス・マルウェア
- 感染ファイルが消せません
質問させて頂きます。 本日ウイルス検索を行った所。 DOS_AGOBOT.HM 感染ファイルhosts WORM_AGOBOT.GEN 感染ファイルDrscfg.exe と表示されました。 DOS_AGOBOT.HMはウイルスバスターの隔離で簡単に削除できたものの、 WORM_AGOBOT.GENは手動削除しようとしても出来ません。 レジストリのrun,RunServicesから CDR Processor Drscfg.exeを2項目 削除し、そのままファイルを 削除でも再起動後でもDrscfg.exeファイルを 削除する事が出来ません。 また再起動するたびにDOS_AGOBOT.HM 感染ファイルhostsとレジストリのCDR Processor Drscfg.exeが2項目とも復活してしまい非常に困っています。 お手数ですがわかりやすく答えて頂けると幸いです。
- 締切済み
- ウィルス・マルウェア
- AGOBOTウイルスの本体について
AGOBOT.HM及びAGOBOT.HIが検出されてレジストリにあるMicrosoftexeは2つRANとRANSERVICEから取り除けたのですが、hostと言うファイルが見つかりません HMの感染の後、これで治った!と喜びもつかの間 あらたにHIが検出され困っています この手のウイルスはアウトルックのアカウントを可変して使えなくしてしまうためPOPサーバーをLOCALHOSと 書き換えます 毎回、立ち上がるたびアウトルックの アカウントを書き換えるハメになっております どうかご存知の方 素人でも解るように説明してはもらえませんか?
- ベストアンサー
- ウィルス・マルウェア
- 3つのウイルスを一度に駆除する方法はありますか?
ここ最近、誰に限らずメールが来る度に添付ファイル付きのメールが来るようになり、開封はせずに削除はしていました。(メールをくれた友達がウイルスにかかっていたようです)先程ウイルススキャンをしましたら【JS_SPAWN.A】【WORM_KLEZ.H】【VBS_REDLOF.A-1】の3種類が検出され、最後のVBS…だけは駆除可能と出ていました。http://www.trendmicro.com/jp/home/enterprise.htm こちらで解決方法も載っているのですが、全く知識が無いため専門用語がわからず、他のPCを使って解決するように書いてあるウイルスもあり戸惑っています。一度に駆除出来る方法はありますでしょうか?よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- DOS_AGOBOT.HMを検出しましたが、元になっているワームを検出できず、駆除できません
症状:1.Norton AntiVirusや、Outlook Expressが正常に動作しない 2.ウィルス対策系のサイトにアクセスできない <これまでの経過> 上記のような症状が現れたので、トレンドマイクロ オンラインスキャンにかけたところDOS_AGOBOT.HMというウィルスが検出されました。このウィルスは症状2を引き起こしているようです。そこでトレンドマイクロのサイトにある駆除方法で駆除しましたが、症状2はなくなりませんでした。また、このウィルスはAGOBOT系のワームによって引き起こされるとの記述があったので、そのワームを駆除しない限り、再起動するごとに自動的に元の位置に作られてしまうようです。 そこでそのワームの特定をしたいのですが、トレンドマイクロ オンラインスキャンではワームは検出されませんでした。また、トレンドマイクロ ウィルスデータベースで「WORM_AGOBOT」で検索すると127タイプのAGOBOT系ワームが表示されましたので、その駆除方法をしらみつぶしに見て、レジストリの改変パターンで当てはまるものがないか全てチェックしましたが、どれも当てはまりませんでした。 また、確証はないのですが、ウィルスに感染したと思われるのは、あるサイトでShockwaveをダウンロードした際ではないかと思います。 トレンドマイクロのサイトにも症状2によって、基本的にアクセスできませんが、www.trendmicro.co.jpは(trendmicro.comと違い)ウィルスがアクセスを妨害するサイトのリストに入っていないため、アクセスでき、オンラインスキャンを受けることができました。 以上が今までの経過です。 どうしてもパソコンを直さなければならない状況で、大変困ってます。どなたかよいアドバイスをよろしくお願いします!
- ベストアンサー
- ウィルス・マルウェア
- 増えちゃう
はじめまして ウイルスバスターを使ってるのですが DOS_AGOBOT.GENというウイルスに感染してるらしく 駆除できないらしいのでファイルごと削除してくださいと書いてあったのでファイルを削除したのですが またいつの間にかDOS_AGOBOT.GENが出てきます WORMは検出されません、この場合 どうすればDOS_AGOBOT.GENの発生を止めることが出来るのでしょうか? やはりWORMが悪さしてるのでしょうか? いつもWINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS というとこに検出されます
- ベストアンサー
- ウィルス・マルウェア
- ウィルススキャンしたら・・・
今日ウィルススキャンしてみたらやっぱり感染してました。100ものファイルが感染してました。 WORM_KLEZ.ZとVBS_REDLOF.AとJS_SPAWN.Aという3種類でした。後ろ二つが一つずつで、ワームが98個検索されました。 で、駆除しようと思いウィルスバスターのお試し版をダウンロードしてインストールしたら出来ないんです! 以前ダウンロードしていた‘Mc Afee ウィルススキャンv4.0.3a‘というのがPCにあるのでそれを削除せよと… で、アプリの追加と削除で試みますが削除できないんです。英語の分からないダイヤログが開きます。 で、Mc Afeeを立ち上げてみようとしても立ち上がらないんです。 友人曰く、『中途半端に残ってるんでは…』と。 私のパソコンはどぉなってしまうんでしょう? どなたか救いの手をさしのべてください。
- 締切済み
- ウィルス・マルウェア
- Windows XPの管理者共有を削除したい
ネットワークワームの、WORM_AGOBOT.AK、WORM_AGOBOT.BE、BKDR_AGOBOT.FI等の攻撃をたびたび受けています。 ウイルスバスター2004のFWが止めてくれるので 今のところ感染はしていません。 調べてみたところWindows XPのデフォルトでオンになっている管理者共有から進入してくるとの事、自分は利用してないのできれいに削除してしまいたいのですがどのように行えばいいのでしょうか?。 よろしくお願い致します。
- ベストアンサー
- ウィルス・マルウェア
補足
質問の段階でサポート情報に載っていたのに気付かずに質問してしまいました。誤警告はこれまでにも若干あるようですが、トレンドマイクロには緊急警告の方法を使ったりして、誤警告だったことをわかりやすく伝達して欲しかったです。怠慢に働くよりは少々過敏の方がまだマシですが。 >私の場合は音は出ていたのでRealtekのドライバを入れ直しただけですみましたが、何だか後味悪いです。 家も幸い音は出ていますが、タスクトレイには常駐していません。ドライバ入れ直した方がよろしいでしょうか? よろしければ下記の質問にも御回答お願いします。 2.5 ブラクラに出会った時駆除ソフトはどのような動きをするものなのでしょうか?JS_SPAWN.Aの特徴となってる30回云々は経験した覚えがないのです。すると、ウィルスバスターは読み込みを中断させたが、キャッシュの中は削除しなかったと、中途半端なことをしたのでしょうか? 3.5 今回はワームには感染してなかったわけですが、ウィルス感染時のシステムの復元機能についての疑問です。ウィルスを手動で削除するときいったん復元機能を無効にするべきウィルスがあります。復元機能を一時無効にする意味は、RESTOREフォルダ内にウィルスが感染したときだけ、削除する為なのでしょうか? 駆除後システムの復元でウィルス感染時の状態に戻さない為だと思っていたのですが。