こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

オフラインPCのautorunウイルス対策について

職場でオフラインにて使用しているパソコンが、度々autorunウイルスに感染して困っております。

まず職場内のパソコンですが、二種類の状況のものがあります。

A)ネットワークに繋がっているパソコン
・ある企画で上の機関が導入したパソコンで、ネットワーク構築されています。全てウイルスバスター導入済み、定義ファイルも常時更新されているため(たぶん)ウイルスに感染したことはありません。
・上の機関によってフィルタがかけられており、アクセスできるサイトは限られています。(例えばOKWaveは閲覧できますがYahoo知恵袋はアウトだったりしますし、BLOG・掲示板類は独自ドメインでもない限り見ることは出来ません。)

B)オフラインのパソコン
・職員の業務効率化のため、職場内の予算で購入した複数台のパソコンです。
・Aのネットワークは上の機関が設定・管理しているため、職員が勝手に繋ぐことはできません。

外部記録媒体は、使用に際して特に規制は設けられておりません。
名簿等、媒体を紛失した際に個人情報が漏洩されることになるデータのみ、外部持ち出し禁止です。



昨年5月に一部の職員から「自宅でフラッシュメモリを使おうとしたらウイルスが検出された。自宅はウイルス対策しているため感染していないようだったが、職場内のパソコンは大丈夫だろうか。」という相談を受け、全てのパソコンをウイルスチェックしたところ、Bの状況のパソコン全てからウイルスが検出されました。
最近のウイルス情報はブログで発信されている物が多いため職場ではフィルタのせいで調べることができず、自宅で検索、翌日出勤してから確認という作業を繰り返し、「ierdfgh.exe」がウイルス本体で「autorun.inf」を悪用するウイルスの一種と知り、なんとか手動で駆除しました。
その後しばらくavastの体験版を利用し、試用期間中はAのパソコンで最新のパターンを落とし、フラッシュメモリで運んでBのパソコンのパターンを更新する、という作業を行っていました。
しかし、秋からavastは閲覧できても体験版もパターンファイルもフィルタに引っかかり、落とすことができなくなってしまいました。

職員にはautorun機能をオフにするとどうなるか説明した上で、全てのBのパソコンでレジストリを書き換え、autorun機能はオフにしています。("NoDriveTypeAutoRun"=dword:000000b5 にしています。)
職員のフラッシュメモリも、ウイルスの駆除方法が分かった時点で全員持参するようにいい、私が駆除しました。
また、「nokill..\」というフォルダを内包する「autorun.inf」フォルダを作成するバッチを知ったので、全てのBのパソコンと私がウイルスチェックを行ったフラッシュメモリには、全て「autorun.inf」フォルダを作成しております。
各自、自宅のパソコンもウイルス対策をするように言いました。
しかしそれでも今なお同じウイルスに時々感染しています。

Bのパソコン自体はオフラインであるため、今のところバックドアが作られようがパスワードを保存されようが困ることはないかもしれませんが、そのウイルスを知らずに持ち帰った方が自宅のパソコンで被害にあったら気分が良くありませんし、現在はデータを盗むのが主流なだけでいつ破壊型のウイルスが入るか分かりません。
それに、ウイルスがなにか挙動しているせいでBのパソコンが起動直後から砂時計マークが消えず、何も作業できないといった状況が時々発生します。(この時にウイルスを探すと、やはり「ierdfgh.exe」が見つかります。)

自分が使っているフラッシュメモリはautorunウイルス対応のもので今回一切被害がなかったため、職員にはなるべくそのようなものを使用するよう勧めております。
今は私がウイルスチェック・駆除をできますが、派遣のようなものなので、いついなくなるかわかりません。
ウイルス対策ソフトの購入は、一台分ならともかく複数台となると、予算的に難しいと思いますし、ネットワークに繋がっていないため、定期的に購入する必要がでてきてしまいます。
建物の修繕費も切迫されている状況ですし、異動によりソフトウェアの更新ができる人間がいなくなる年も考えられます。

以上のような状況なのですが、他に何かできることなどありましたら、ご教示いただければと思います。

投稿日時 - 2010-01-05 11:49:07

QNo.5569022

困ってます

質問者が選んだベストアンサー

>他に何かできることなどありましたら
一つだけですが…
>"NoDriveTypeAutoRun"=dword:000000b5 にしています。
それだとWindowsエクスプローラ上で当該のデバイスのアイコンをダブルクリックしたときにautorun.infが実行されてしまいます。
http://www.atmarkit.co.jp/fwin2k/win2ktips/1139autrun/autrun.html
http://support.microsoft.com/kb/967715/
修正パッチを導入した上で、そのエントリに「FF」を設定し、さらにHonorAutorunSetting エントリを設定しないとならないのでは?

投稿日時 - 2010-01-05 14:06:23

お礼

アイコンダブルクリックで自動再生されていたので、完全にオフにするにはどうしたものか悩んでいたんですが、値を変えるだけだったんですね、勉強になりました。
ありがとうございます!

KB967715を適用し、オートランをFFに設定、またKB967715が有効であることを確認できました。

ただ、一台だけXPのSP2が適用されていないので、KB967715が適用できないとアラートが出てしまいましたxxx
SP2をオフラインのパソコンに適用するところから再挑戦します。

投稿日時 - 2010-01-06 14:11:42

このQ&Aは役に立ちましたか?

1人が「このQ&Aが役に立った」と投票しています

回答(2)

ANo.2

1.アンチウイルスソフトを1台分だけ導入する。
2.出来ればBの状況の全PCを初期化後「Windows SteadyState」を導入し小まめに
再起動するようにする。
MS、共有PCの状態を再起動のたびに初期化できる「Windows SteadyState」を公開
http://www.forest.impress.co.jp/article/2007/06/20/steadystate.html
http://www.microsoft.com/japan/windows/products/winfamily/sharedaccess/default.mspx
再起動でクリーンな状態に戻りますが設定の変更や新規アプリケーション導入等が
出来ないので、変更の必要がある時のみ1.のアンチウイルスソフトを最新状態に
した上で変更するPCをチェックし問題なければ変更を保存するようにすると良いと
思います。
1.のアンチウイルスソフトにはエフセキュアのように手動更新しやすい製品にするか
http://www.f-secure.com/ja_JP/products/home-office/antivirus/index.html
http://www.f-secure.com/ja_JP/security/security-lab/tools-and-services/definition-databases/
G DataのようにUSBブート可能な製品にし定義ファイルの更新のみAのネットワークに
繋がっているPCを利用すると良いと思います。
http://www.gdata.co.jp/product/2010/isu/

投稿日時 - 2010-01-06 00:36:53

補足

回答ありがとうございます。

1 職場のパソコンですので、将来万が一にも訴えられる可能性があることはやりたくありません。
また先述の通り、今後のアップデートを誰が行うのか、定期的に購入する予算をどこから出すのか、という問題もあります。

2 全職員が外部記録媒体を所有しているわけではなく、パソコンにデータを保存する必要がある他持ち出し禁止のデータもありますので、再起動ごとに初期化する設定はできません。

投稿日時 - 2010-01-06 14:23:43

お礼

すみません、お礼で書けばよかったですね。
どうもありがとうございました。
質問の環境では使えない手段でしたが、今後似たような状況になることがありましたら、参考にいたします!

投稿日時 - 2010-10-19 17:31:41

あなたにオススメの質問