こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

悪質なマルウェア&ウイルスに感染してしまいました・・・

自作パソコンにて
「Windows XP pro sp2」を使用しています。

ウイルス対策ソフト(以下AVS)は「Kaspersky Internet Security 7.0」(常駐)
スパイウェア対策補足にはspybot(非常駐設定)

です。


初期段階で全ドライブ(SATA500GBx4)の完全スキャンを行っていて
あとは常駐にしてました。
しかし、やはり少しでもPCの動作を軽くするために
ここ最近はスタートアップの簡易スキャン以降はAVSを切っていました。感染してから起動&駆除すればよいという実に安易な考えをしていました。

それならAVSの意味がないとツッコまれそうですが、
案の定その通りで、悪質なマルウェアやウイルスにひっかかってしまいました。思い当たる節は怪しげな海外サイトでフリーソフトをDL、インストールしてからです。

実感できる上での初期の症状は
・デスクトップいっぱいに赤く大きな画面で「Warning! Spyware detected on your computer~」なる偽警告の表示が出る (閉じるボタンで消せる/クリックしたらURLへ飛ばされる)
・タスクマネージャがいかなる方法でも起動できない、
・レジストリも起動できない
・スタートメニューからコンパネが消える(コンパネはファイル名指定実行より閲覧可)
・タスクトレイに「VIRUS ALERT!」の表示
・定期的にWarning系ポップアップログが表示される というのが初期の状態でした。

すぐにAVSを起動し再スキャン、20近くのトロイと、アドウェアや多数のリスクウェアを発見。そして駆除&削除。更にspybotでも怪しき物を駆除。
更にネットでいろいろ調べて、ようやく幾つかの不具合は解消されました。

しかし、あとはタスクトレイの「VIRUS ALERT」の表示と、
OS起動時にデスクトップいっぱいに赤いwarningが出てくるのだけは解決できませんでした。

現在のところ、前者の表示は無視して、後者は表示後すぐに閉じれば、あまり問題はないです。
また、AVSが C:\WINDOWS\Explorer.EXEというものに反応しました。現在は隔離して様子を見てますが、最初これに反応した時に「実行を終了する」を選んだらデスクトップからタスクバーも全て消えてカーソル操作可のみの画面とタスクマネージャだけ呼び出せる状態になりました。(その時は再ログインにて戻れる) よって隔離扱いしてます。

また、以前まではBIOSに入れたりしたのですが、
現在はBIOSにもセーフモードにも入れずに、PCを起動したら
Windowsにログイン後カーソルが表示される所から画面表示&操作が可能となります。ちなみに起動時にF8を押しっぱなしにしてるといつまでたっても起動されませんし、画面も黒いまま変わりません。
何も押さなかったら起動できるという状態です。

タスクマネージャや、、同様のソフト(ProcessExplorer)で現在稼動してるプロセスを見ても、特にコレといった怪しいものはないようです。

しかし、上記2点だけ不具合が残っているため、
これはもうリカバリ(クリーン再インストール)しかないのでしょうか?
時間的/労力的都合で、完全に動作困難になるまでは再インストールはしないつもりでいます。

重要なデータのバックアップは定期的に別ディスクに保管してますが
できれば再インストール以外で、上記2つの不具合を治す方法があれば是非ご教授よろしくお願いしますm(__)m

投稿日時 - 2008-10-29 07:34:40

QNo.4438093

すぐに回答ほしいです

質問者が選んだベストアンサー

Explorer.exe自体が感染するということもあります。かつて、Worm_Explorerzipというトロイが感染して、多くの企業で問題になってことがあります。私もKasperskyを使っていますが、

Explorer.EXE 1002.5 KB 2008/10/29 06:10

が本当にウィルス感染しているかどうかを、Virustotalにアップロードして、調べてみてください。10社以上のウィルスベンダーが黒と判断すれば、間違いなく、Explorer.exeがやられています。

http://www.virustotal.com/jp/
ここから、Explorer.EXE 1002.5 KB 2008/10/29 06:10 をvirustotalにアップロードしてください。30秒ほどで結果が出ます。万一、やられていたら、元のexplorer.exe に戻さないといけませんので、やや面倒なことになりそうです。

https://www.ccc.go.jp/flow/index.html
ここの手順3のcccクリーナーをダウンロードして実行してみてください。何等かの手応えがあるかもしれません。

以上2点、実行してみてください。

投稿日時 - 2008-10-29 10:41:52

お礼

ありがとうございます。
Explorer.EXEを隔離から外しました。
そしたら、特に弊害は発生しませんでした。
(カスペルによる再検知もされなかった)

帰宅後、再度PCを起動して同じくExplorer.EXEが検知されたら
お教えいただいたVirustotalにて調べてみたいと思います。

------------------------------------

追記:(経過)

OS復元の設定を切った上で
とりあえず「カスペルスキー重要スキャン」と
「spybotスキャン」を行って、検知された怪しいものは削除、
「CCleaner」にてクッキーやら一時ファイル類、削除ファイルの残骸などをクリーン。
「SmitfrauFix」にてスキャンディスク&レジストリを修復。
(なんかセーフモードから入らなくても自動でセーフモードに変更されて作動しました)

一旦、ログオフ-再ログイン。
(この時点で、特に妙な検知や妙な動作は見当たりませんでした)

最後にもう1度カスペルスキーで(C)ドライブ完全スキャン。

500GBいっぱいの(C)ドライブ完全スキャン(推奨レベルにて)に
5時間近くかかりまして放置してましたが、その間特に何かに反応したり、何かが動作したりなどは一切ありませんでした!
スキャン結果、検知は0でした。

ここで復元設定を元に戻して
OSをシャットダウン してきました。

残るは帰宅後、再度PCをつけてからの結果次第でしょうか。


-----------------------------------------

どんなファイルであれ、たとえ正規品でも
ネット上からダウンロード&インストールする際は必ずウイルススキャンが鉄則ですね。

そして、ネット用と、制作用/作業用のPCは分けた方がいいのだと
改めて痛感しました。

投稿日時 - 2008-10-29 16:18:34

このQ&Aは役に立ちましたか?

3人が「このQ&Aが役に立った」と投票しています

回答(5)

ANo.5

こんにちは。

私はクラッカーサイト巡りや対策ソフトの性能テストなどをしております。

ここまでの経緯を読ませて頂きました、おそらくもう大丈夫です。やはり、不測に事態に備えるために正常時のシステムバックアップは欠かせませんよね。もちろん、今回はユーザー自身の運用不備によるものです。

でですね、ちょっと補足致しますと、これはおそらくUserinit.exeあたりに注入されたためと思われます。ブートシーケンスに関係するプロセスです。私はProcess Injecting Trojanなどもテストでたくさん取り扱ってるのでわかるのですが、最近は非常に高度化してきてるのでやはり多角的な防御が必要です。

あと、KIS 2009にアップして下さい。性能的にはかなりレベルアップしました。進化と言ってもいいです。

投稿日時 - 2008-10-29 21:32:37

お礼

ありがとうございます。
Userinit.exe・・・ですか。
特に手動でインストールした覚えはないのですが、
何らかのプロセスにて自動で組み込まれたんでしょうか。

次の質問で、新たな問題を書いてますが
これが原因で、PCが通常起動できなくなったんでしょうかね・・・

KIS 2009が出ましたね!
とりあえず後日、PCが落ち着いたらバージョンアップを
考えてます。(再度ライセンス購入になるんですよね?)

ご指摘の通りユーザー自身による不備です。
今まで幾度となくトラブルを経験して、なんとか乗り越えてきたつもりでしたがそれが逆に、安心感?をもたらして今回の不始末に終わりました。日々進化するネット情勢の中で、防御は決して怠ってはいけないのだと痛感しました。

投稿日時 - 2008-10-31 10:05:41

ANo.4

spybotとKasperskyの両方で反応がでないのであれば、ほぼ一安心というところですね。ただ、私の場合、spybot, kasperskyを使っていても、PCtoolsのspywaredoctorで見付けたこともあります。念には念を入れて、どこかのベンダーでオンラインスキャンしてみてください。あと、explorer.exe がやられていたら大変ですので、virustotalで確認だけはしておいたほうがよろしいかと思います。

オンラインスキャンは、
http://www.bitdefender.com/world/
などがおすすめです。画面左下に scan online があります。kasperが見落としたものを何度か発見してくれています。見つかった場合、削除は手作業となりますが。

なにはともあれ、ひとまず安心というところですね。おっしゃるように、PCはネット専用、仕事専用という形で分けなければなりません。私は、今使っているノートはネット専用です。仕事をするときには、ネットには普段接続しないようにして仕事をします。使い分けが必要ですね。

投稿日時 - 2008-10-29 16:47:03

お礼

virustotalでExplorer.EXEを検査してみましたが特に異常はなかったです。やはり誤検知だったんでしょうかね・・・

でも考えてみれば、プロセス内でExplorer.exeが2つ存在してたときがあったので、紛れも無く1つは偽装ウイルスですね。
とあるサイトで、そのようなことが書いてありました。

となると別の場所に保管されてる同ファイルだったのかなぁ・・
手動削除とは、普通にファイルをshift+Delでいいのでしょうか?


ご指摘の通り、改めてネット専用のサブマシンが欲しいと痛感しました。一応ネット用のサブノートは所持してるのですが職場専用にしてますので自宅用にもう1台追加したいところです。

サブノートはネットとHDD量だけに特化させて防御を完全にするといいかもしれませんね。

サブマシンで受信したファイルをメインPCに移動、またはメインPCで制作したデータをネットで送信する場合は
メインとサブでローカルネットワーク?みたいなのを組めばいいんでしょうかね。HDDから別HDDへ移動並の速さでメインとサブのやり取りをできればいいのですが。。

投稿日時 - 2008-10-31 10:17:31

ANo.2

No.1です。書き忘れました。こちらも参考にしてください。

http://pasokoma.jp/45/lg452209

この流れから、SmitFraudFixが出てきます。

投稿日時 - 2008-10-29 08:12:01

お礼

ありがとうございます。
セーフモードから起動できなかったけれど
試しに通常状態でSmitFreudFixを実行してみました。
なんと、自動でセーフモードに切り替わって
作動してくれました!

最終的に問題が解決した?状況でシャットダウンしてきました。
帰宅後、PCを起動してから経過を見てみたいと思います。

投稿日時 - 2008-10-29 16:06:45

ANo.1

Trojan.Zlob系だと思います。

上手くいくかどうかわかりませんが、

http://wiki.higaitaisaku.com/wiki.cgi?page=SmitfraudFix+%A4%CE%BB%C8%A4%A4%CA%FD

上記リンクを参考に、SmitfrauFixを試してみてください。

ご参考までに。 

投稿日時 - 2008-10-29 08:07:20

補足

初期質問に補足をつけたかったので
こちらから失礼します。

C:\WINDOWS\Explorer.EXE
ですが、explorer.exeとは重要ファイルのようですが
これに感染するということもあるのでしょうか?

最初も述べましたように、
カスペルがこれの実行に反応してポップアップで知らせてくれます。
実行か隔離かしか選べないため、隔離を選んだ途端、
先述したようにデスクトップからタスクバー含む表示が消えてしまいます。

しかし、アクティブなアプリケーションは続行可能状態です。
(IEを開いてたら、バックに何もなくてもIEだけが表示されていて操作も可能/他のソフトも起動してアクティブ表示させていたら同様)

何も起動させてなかったら、それこそカーソルオンリーで
タスクマネージャくらいしか開けなくなる

といった状況です。
仮にタスクマネージャで再ログインすると、
explorer.exeは隔離されたままなのに、通常の状態に戻れます。

隔離中なのに、また定期的にexplorer.exeの実行に反応してしまいます。

ただの誤認識なんでしょうかねぇ・・
次に表示されたら「実効」を選んで様子を見てみようと思います。


参考として、カスペルが反応した時の文章

疑わしいオブジェクトです: リスクウェア Hidden data sendin C:\WINDOWS\Explorer.EXE 1002.5 KB2008/10/29 06:10: VIRUS ALERT!

投稿日時 - 2008-10-29 08:11:19

お礼

ありがとうございます。

SmitfrauFixはダウンロードしましたが、
これはセーフモードでの起動推奨のようです。

しかし、そのセーフモードすら立ち上げることができない状態です。

投稿日時 - 2008-10-29 08:10:16

あなたにオススメの質問