こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

Hacktool.Rootkitが検出された後の対応について

Windows 2000 Professional・Norton Internet Security 2006(アップデートは毎日しています)を利用しています。
昨日、システムの完全スキャンをかけたところ、「Hacktool.Rootkit」に感染している、と出ました。
場所とファイルは

 C:\Documents and Settings\ユーザー名\Local Settings\Temp\stdmemio.sys

でした。
その後、次のことをしました。

1.再起動して、もう一度スキャン→感染項目はナシ。
2.検疫のところで、該当ファイルを削除→削除は出来ました。
3.セーフモードで起動して、スキャン→感染項目はナシ。

とりあえず、ここまでやったのですが、今後、次のようにしようと思っています。

1.ちょうど、このマシンにWindows XP Professionalを入れようと思っていたので、新しいHDDを設置し、XPをインストール。
2.必要なデータをXPのドライブに移動。
3.2000は再インストールする。

上記のようにすれば、もう一度、2000を使ってみても大丈夫でしょうか?
それとも、XPを導入する前にまだやっておいた方が良い事はあるでしょうか?
一応、ネットで調べてみたところ、別ドライブに新しいOSを導入し、他の所にあるファイルを救助する方法も有効、と書いてあるのを見かけたので、この方法が良いように思えました。ですが、除去したとは言え、感染したファイルがあったドライブと同じマシンで使うのも、少々心配です。
今まで結構長いことパソコンを使っていますが、ウイルスやこういったスパイウェア?に感染したことがなかったので、とても不安です。
もし良かったら、分かる方、どうすればベストなのか、教えてください。
(もしかすると、僕の認識が甘く、まだまだやらなくてはならない事がたくさんあるかも知れません)
どうぞよろしくお願いいたします……!

投稿日時 - 2008-04-20 03:03:16

QNo.3961405

すぐに回答ほしいです

質問者が選んだベストアンサー

宜しくお願いします。

>「Hacktool.Rootkit」に感染している、と出ました。
Hacktool.Rootkit については以下の URL を参照してください。

Hacktool.Rootkit
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2002-011710-0057-99

比較的過去のマルウェアであることが分かります。
通常 Symantec のウイルス情報のページでは駆除手順も書かれていますが
Hacktool.Rootkit にはそれがありませんのでスキャン駆除で十分かと。

どういった経緯でこれが入り込んだかは分かりませんが
オンラインスキャンも実行してみてはいかがでしょうか。

Windows Live OneCare -
http://onecare.live.com/site/ja-JP/default.htm

Microsoft でのスキャンとなります。
Microsoft Windows XP/Server 2003/2000 上で動作します。
Internet Explorer 6 以上の環境が必要になります。
ウイルスの検知と除去や PC 内の不要なファイルの削除など
PC のパフォーマンスの向上も実行されます。
時間は掛かりますが試してみてください。

>新しいHDDを設置し、XPをインストール。
今は Windows 2000 に NIS2006 がインストールされているんですよね。
先に Windows XP にセキュリティソフトをインストールしてください。
手順は以下のとおりとなります。

OS をインストール → 各ドライバのインストール → Windows Update →
Windows を最新の状態へ → セキュリティソフトをインストール

Windows XP にセキュリティソフトをインストールして
セキュリティソフトもアップデートしてからデータの移動を行ってください。

全ての操作は自己責任でお願いします。
宜しければ結果も教えてください。

投稿日時 - 2008-04-20 13:22:52

補足

詳しいお話、ありがとうございます。
長い時間かかりましたが、Microsoftのスキャンが完了しました。
ウイルスの検出はなかったのですが、「不要なレジストリ」として、398個が検出され、382個が削除、16個がエラーとなりました。
これは、Hacktool.Rootkitの動作によってレジストリが書き換えられていた、という事になるんでしょうか…?
そして、ウイルスの検出がなければ、Windows 2000の方は再インストールしなくても、良さそうなのでしょうか?

それから、SymantecのHacktool.Rootkitの記事も拝見しました。
ただ、感染経路が本当によく分からないのです。ネットはそれほどせず、回るサイトもだいたい同じもの、全部国内のサイトです。(ブラウザはFirefox2.0.0.13を利用しています)
添付メールを展開した記憶もありませんし、HTMLメールもテキスト表示にしていまして、これらは、よく知っている人・場所からのメールでないと受信せず、サーバで消しています。

唯一、これかな?と記憶があるのが、最近、wikipediaの項目から外部リンクとして繋がっているアダルトサイトに一度だけ訪問したことですが……その時もNIS2006は動作していました。
やっぱり、この辺が原因なんでしょうか……。

とりあえず、XPのインストールについては、お教えいただいた方法を利用し、それから、2000の方のデータを移すことにします。
その結果はここの「お礼」でまたご連絡差し上げますが、もし他に色々ありましたら、是非、アドバイスでもご意見でも、何でも結構ですので、どうぞよろしくお願いします!

投稿日時 - 2008-04-20 17:53:39

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(6)

ANo.6

#3です。
ご返答ありがとうございます。

>「stdmemio.sys」が検出されてしまいました……!
KIS で検出されたそのファイルも Temp フォルダにあったものでは?
KIS は使ったことはありませんがその発生源を確認してみてください。

次から次へと検出されてご不安かと思います。
これを機に OS を一本化してそこに対策を集中させてはいかがでしょうか。
Windows 2000 はMicrosoft のサポートも終了していたかと思いますので
Windows XP を中心に使うのもありかと思います。

#5の方も仰っているとおり Kaspersky Internet Security の補完として
フリーの対スパイウェアソフトを導入するとセキュリティは高まります。

以下のURLを参照してください。

Spybot S&D 1.4によるスパイウェアの除去方法
http://www.higaitaisaku.com/spybot2.html

Ad-Aware 2007によるスパイウェアの除去方法
http://www.higaitaisaku.com/adaware.html

SpywareBlasterによるスパイウェア感染の予防
http://www.higaitaisaku.com/spywareblaster.html

全てフリーソフトになります。
Spybot は現在 Ver.1.5 が公開されているようです。
OS は対応しているか KIS と競合しないかなど確認してお使いください。

アダ被 higaitaisaku.com
http://www.higaitaisaku.com/

higaitaisaku.com は Microsoft も推薦しているほど役に立つサイトです。
ここ OKWave からのリンク先としても人気があります。
何かあったときはぜひ参考にしてください。

最後にインターネットの接続にはルータを使っていますか?
ルータの導入もセキュリティ度を高めますので導入を検討されてください。

ご健闘をお祈りしています。

投稿日時 - 2008-04-21 09:45:11

補足

回答ありがとうございます。
おっしゃる通り、次から次へと検出されて、不安をいだいております。
KISで検出されたファイルは2000の時と全く同じフォルダに存在しています。
今、2000がCドライブ、XPがFドライブにインストールされていますが、
F:\Documents and Settings\ユーザー名\Local Settings\Temp\stdmemio.sysという検出結果で、XPを入れた方に入っています。
KISは基本的にNISと同じような感じですので、除去は出来ましたが、どうしてこれがまた、作成されたのか分かりません……やはり、2000自体が深刻な問題になっている、という事なのでしょうか。
よろしければ、XPにもファイルが作成されてしまう仕組みを、おわかりになる範囲でお教えいただければ幸いです。

なお、インターネットの接続はルータを利用しております。
今後はもちろん、XP中心に使用するつもりですが、やはり、XPももう一度、最初からインストールしなおした方が良いのでしょうか?
そして、その際はひとまず、2000のHDDは抜いておいて、XPのインストール完了後、もう一度つなげて、データを出した方が良いのでしょうか?
ひょっとして、もう2000にあるデータはあきらめないといけないのでしょうか……?

皆様の優しさに甘えて、聞いてばかりで申し訳ありません。
一生懸命頑張りますので、どうかまた、アドバイスなどよろしくお願いします……!

投稿日時 - 2008-04-21 11:34:16

お礼

ありがとうございます!解決しました!

その後、XPのインストール3度目を試みて、またもやstdmemio.sysというファイルが作成されてしまい、気になったので各種ドライバのインストールを一つずつ、確認しながら進めていきましたところ、原因が分かりました。
今、使用しているマシンはAlbatron社のグラフィックカードが入っているのですが、それに付属しているドライバのCD-ROMを自動起動すると、このファイルが作成されるようです。
つまり、このCD-ROMからドライバをインストールする場合、必ず作成されてしまうファイルなので、新規インストールしても、回避不能だったわけです。
ただ、2000は丸3年ほど利用していまして、その間ずっと、このファイルは存在していたわけで、それが急にNISなどにひっかかるようになったのがよく分かりません……。

とりあえず、解決策としては「nVIDIAから直接ドライバをダウンロードし、インストールすればstdmemio.sysは作成されない」という事で終わりにさせていただきたいと思います。

皆様、色々とご迷惑をかけて本当に申し訳ありませんでした。
結局のところ、すごく大変な事でもなかったのに、時間を割いていただいてしまって、すごく反省しています。すみません……。
本当ならば回答いただいた方、全てにポイントを差し上げたいのですが、お二人までしか出来ないようですので、回答数の多い方から順につけさせていただきます。
重ね重ね、申し訳ありませんが、どうぞご了承ください。

投稿日時 - 2008-04-22 04:30:25

ANo.5

NO1追加
>再インストールをしなくても大丈夫、な話なんでしょうか

NO3の方(NO2)のとおり、とりあえず安全と考えて差し支えはないとは私も思います。(Tempのため)
ただ、感染経路が不明ですから、できればクリーンインストールをした方がよいのではないでしょうか。

なお、NO2の方の「マルウェア」でしたら、アンチウィルスソフト(スパイウェア機能ももっていますが専門ではない)のみインストールするのでなく専門のスパイウェア・アドウェア・マルウェア対策ソフト(得意分野があるので複数が望ましい)もインストールし、検査する方がよいと思います。(フリーソフトで充分)



>NISでチェックをかけていれば、大丈夫……ではないのでしょうか

個々のウィルス削除方法を見るとわかると思いますが、「システムの復元」を「無効」にして削除しないと、せっかく削除してもOS再起動でレジストリに潜んでいる場合(全てのウィルスが潜むのではありません)のウィルスは復活してしまいます。

投稿日時 - 2008-04-21 05:40:43

補足

回答ありがとうございます。
再インストールの件は、よく分かりました。
やはり念のため、2000はやり直しをしようと思っています。

ただ現在、新規にインストールしたXPにも同様のファイルが検出され、困っています。
「システムの復元」は2000では見た事のないものですし、検出されて削除した後、2度の再起動でスキャンをかけていますが、検出されていないので、復活していない、と考えています。でも、これも間違いでしょうか……?
もし良かったらまた、アドバイスなどよろしくお願いいたします!

投稿日時 - 2008-04-21 09:21:24

ANo.4

当方、アングラ突入調査や対策ソフトなどのテストをしております。

>上記のようにすれば、もう一度、2000を使ってみても大丈夫でしょうか?

はい、問題ありません。

投稿日時 - 2008-04-20 23:40:55

補足

回答ありがとうございます。
調査や対策ソフトテストの方、との事で、すみません、是非、現状打破にご協力いただけないでしょうか?
詳しい状況はANo.3の補足に書いてあります。
どうか、アドバイスなど、よろしくお願いいたします……!!

投稿日時 - 2008-04-21 03:41:09

ANo.3

ご返答ありがとうございます。

>Hacktool.Rootkitの動作によってレジストリが書き換えられていた
いろいろなものをインストールまたはアンインストールしたりしていると
レジストリにはその残骸が残っていくものだと思います。
その残骸を不要なレジストリとして検出したのだと思います。

>ウイルスの検出がなければ、Windows 2000の方は再インストールしなくても
Norton Internet Security 2006 の LiveUpdate は最新の状態で
[システムの完全スキャン] を実行したのですよね。
またその上でセーフ モードでのスキャンも実行されたのですよね。
感染源が Temp ファイルで且つそれを削除済みとのことですので
とりあえず安全と考えて差し支えはなさそうです。

ただ Windows 2000 で使えるとはいえ NIS2006 はバージョン的にも古いので
今後の対策は必要になるかと思います。

取りあえず参考まで。

投稿日時 - 2008-04-20 20:33:57

補足

遅くなって申し訳ありません。
ここでお教えいただく事を続けるべきかどうか迷っているのですが、ひとまず報告いたします。

その後、お教えいただいた方法でWindows XP Professionalをインストールし、Kaspersky Internet Security7.0をインストールしました。
そしてシステムの完全スキャンをかけたところ、新しくXPをインストールしたドライブから同じ「stdmemio.sys」が検出されてしまいました……!
午前1時からスキャンを開始し、その間、XPの入っているマシンでは何もしていないはずなのに、何故か午前3時21分付けでファイルが作成され、それが検知されているのです。
これは……どういう事なのでしょうか?
もしかして、XPをインストールする時、2000の方のHDDを抜いておいた方が良かったのでしょうか?
度々、申し訳ありません……どうか、解決の手段をお教えください!
よろしくお願いいたします……。

投稿日時 - 2008-04-21 03:32:35

ANo.1

>2000は再インストール

クリーンインストールすれば感染したウィルスについては心配ありません。
バックアップしたデータファイルの復元(コピー)により再感染はないとは言えませんが。

\Temp\は一時ファイルですからレジストリに潜まない限りTempフォルダ内ファイルの削除とセキュリティ対策ソフトによる検疫、削除で安心してよいのでは?

投稿日時 - 2008-04-20 06:50:05

お礼

回答ありがとうございます。
もしかして、過敏に反応しすぎで、実は再インストールをしなくても大丈夫、な話なんでしょうか……。
そして、すみません、分からない部分が多いので、更に教えていただきたいのですが、「レジストリに潜まない限り」というのは、レジストリが書き換えられていなければ、という事でしょうか?
それは、NISでチェックをかけていれば、大丈夫……ではないのでしょうか?
質問ばかりで申し訳ないのですが、良かったらまた、アドバイスをお願いします!

投稿日時 - 2008-04-20 11:30:45

あなたにオススメの質問