こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

架空のファイルを検知し、削除不可能!?

「SUPERAntiSpyware 」というセキュリティソフトでスキャンすると、ユーザー名が1文字変更(例:タロウ→タロイ)された架空ファイルから、「Trojan.VXGame-Variant/D」というスパイウェアが検知され、一度隔離されます。そして、削除するのですが、再度スキャンするとまったく同じウィルスとファイルが検知されます。
セーフモードでソフトを起動しても、スキャン→隔離→削除→復活!という流れです。
「Trojan.VXGame-Variant/D」というウィルスを調べてみても見つかりませんし、「ウィルスバスター2009」、「Ad-Aware」でスキャンしても検知されないので、たぶん誤検知しているのだと思うのですが、心配です。
架空ファイルを検知することなどありえるのでしょうか?
どなたかご教授お願いします。

検知、隔離されるファイルは2ファイルあります。
1)C:\USERS\(ユーザー名1文字変更)\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\VIRTUALIZED\C\USERS\(同上)\APPDATA\LOCAL\MICROSOFT\WINDOWS SIDEBAR\GADGETS\SHOCK4WAY3D.GADGET\MSG.EXE

2)C:\USERS\(同上)\APPDATA\LOCAL\MICROSOFT\WINDOWS SIDEBAR\GADGETS\SHOCK4WAY3D.GADGET\MSG.EXE

投稿日時 - 2009-09-27 00:39:21

QNo.5321752

すぐに回答ほしいです

質問者が選んだベストアンサー

>Mirar、Findbasicについて:@nifty教えて広場
>http://oshiete1.nifty.com/qa5298673.html
> ↑これ私の質問です。

…大変申し訳ありませんでした。。しかしながら、

Frefox Datenausführungsverhinderung & totladen von Seiten - Trojaner-Board
http://www.trojaner-board.de/71793-frefox-datenausfuehrungsverhinderung-totladen-von-seiten.html

このページにも同様な検出の記述がありますので、誤検出ではないという当方の見解は変わりません。

>OSはヴィスタです。そして、もうすでにSpyware Guardを使用してしまいました。

今は何ともなくても、今後も予想外のトラブルに見舞われる可能性は否定出来ません。早急にアンインストールし、利用を中止されるべきだと考えます。

>あと、存在しないフォルダのことですが、一番最初に検出されたときは存在してました。そして、そのフォルダを完全に削除してからスキャンするとまた同じフォルダから検出されました。

既に申し上げてますが…こうしたケースでは、大本となる感染が残っている以上、末端の感染はシステム再起動時に復活することは珍しくありません。根治出来ない限りは前に進むことは難しいでしょう。

>あと、Malwarebytes' Anti-Malwareも導入したのですが、不具合がおきエラーが出て使用できなくなりました。
もう、リカバリしか手はないでしょうか?

Malwarebytes' Anti-Malwareは日本語版Windowsではエラーが発生する場合が多分にあるようです。環境依存の問題かと思われますが…根本的な解決策は今のところないようです。あるいは、システムをセーフモードで起動後に利用すれば上手く行くかも知れませんが、それでもダメなら利用は諦めるべきでしょう。

前回のご質問から既に半月近くも経ってます。これほど長く放置しておくのはまずいと思いますし、higaitaisaku.comに移動するつもりがないなら即刻リカバリされるべきでしょう。

で、リカバリしたとしても、これまで通りのやり方ではほぼ間違いなく同様な感染に遭うことになるでしょう。既に説明した通り、セキュリティホールの解消により注力されるべきです。

投稿日時 - 2009-10-01 18:35:43

お礼

>>ryu-fiz様

ご回答ありがとうございます。

今すぐ、higaitaisaku.comに行きます。

ご回答ありがとうございました。

投稿日時 - 2009-10-01 21:33:18

ANo.4

このQ&Aは役に立ちましたか?

3人が「このQ&Aが役に立った」と投票しています

回答(4)

ANo.3

次の質問を見つけました。

Mirar、Findbasicについて:@nifty教えて広場
http://oshiete1.nifty.com/qa5298673.html

そちらと同様の症状が出てます。1番さんと真逆の見解になりますが、誤検出だとは思えません。

『架空のファイル』(正確にはファイル、ではなくフォルダ、では?)からの検出、と書かれていますが…実際には存在しないフォルダ、なのではなく、実は存在しているフォルダなのかも知れません。例えば、ルートキットを利用した感染などでは、関連するファイルが隠蔽され不可視になることがあります。

>一度隔離されます。そして、削除するのですが、再度スキャンするとまったく同じウィルスとファイルが検知されます。

こうした症状が出る場合、大本となる未検出の感染がまだ存在している可能性が高いです。つまりSUPERAntiSpywareでも十分ではないのだと考えられます。

リカバリが最も望ましいと思いますが、どうしても…という場合は、この質問を締め切った上でhigaitaisaku.comの質問掲示板に移動されるのが良いと思います。

http://www.higaitaisaku.com/

他の対策ツールを試したいという場合には、Malwarebytes' Anti-Malware辺りが良いと思いますが、これを使えば確実に対応出来るとも言えません。

http://fine.tok2.com/home/heto2/0700SecurityApp/Malwarebytes/0001.htm

Windowsで安全にリカバリを進めるためには、次のURLを参考にしてください。
http://iwata.way-nifty.com/home/2004/10/1017.html

XP SP3やVista、それ以降のOS搭載機に関しては、基本的にXP SP2と同様と考えてください。


なお、昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。

次のような点に注意すべきだと考えます。対処出来ていない点がないかどうかをチェックしてみてください。(意味が分からない用語は、e-Wordsで調べるなどして理解に努めてください。)
http://e-words.jp/

1)各種アプリケーションソフトのセキュリティ更新を怠らない。

Windows Updateの必要性はこれまでも叫ばれて来ましたが、悪用されるセキュリティ上の問題点=脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと主流が移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、

・Firefox、Operaなどのブラウザ。
・Sun Java 仮想マシン(JRE)。
・Flash PlayerやShockwave Playerなどのプラグイン。
・Real Player、QuickTimeなどのメディアプレイヤー。
・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。

最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。

http://internet.watch.impress.co.jp/
http://www.itmedia.co.jp/enterprise/security/

こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。

2)標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。

IEで扱うことの出来るJavaScriptはJScriptといい、Windowsを直接操作出来るように拡張されており、各種感染に悪用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。

でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。

http://www.mozilla-japan.org/products/firefox/
http://jp.opera.com/

もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。

XPまでのWindowsで、もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsやRUNASAのようなソフトの利用を検討してください。

http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html
http://www.oshiete-kun.net/archives/2007/04/vistauacxprunasa.html

制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsやRUNASAを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。

ReducedPermissionsの入手は、次の各URLから行うことが出来ます。
http://download.cnet.com/Reduced-Permissions/3000-2239_4-10572884.html
http://www.softpedia.com/get/System/System-Miscellaneous/Reduced-Permissions.shtml

なお、Windows Vista以降のIEでは、保護モードにおいて感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点=脆弱性の影響には十分注意しなくてはいけません。その辺は1)で説明した通りです。

3)ファイアウォールを有効にする。

出来ることなら、ファイアウォール機能の付いたブロードバンドルーターを介してネットに接続することが望ましいです。それが出来ない場合には、パーソナルファイアウォール機能を含むウイルス対策ソフトを利用しましょう。

最低でもWindowsファイアウォールを有効にしておけばそれなりの効果は期待出来ますが、例えば各種共有機能が有効になっているとそれ関係のポートが開かれたままの状態になり、ネットワークウイルス感染や不正侵入を防げない可能性もあります。より確実に不正な通信をブロックするためには、やはりブロードバンドルーターかパーソナルファイアウォールを別途導入するのが望ましいです。

4)怪しいリンクをクリックしたり、怪しいファイルをダウンロードしたりしない。

興味深いネタへのリンクと称して怪しいリンクを踏ませたり、動画再生に必要なコーデックなどと偽って怪しいファイルをダウンロード、実行させようとする手口は後を絶ちません。十分な注意が必要です。

このような騙しに遭わないためにも、先述したようなニュースサイトで最新の情報を常時チェックされるのが望ましいです。

5)オートラン設定を無効化しておきましょう。

最近いわゆる『USBメモリを介する感染』というのが増えていますが、感染が広がる要因の一つと言われているのがUSBメモリ内プログラムの自動実行などに使われるオートラン機能です。

実はこのオートラン機能、標準設定ではハードディスクなどあらゆるメディア上で有効になっているために、これを悪用した感染が簡単にPC全体に波及することになりがちです。

Windows の自動実行機能を無効にする方法
http://support.microsoft.com/kb/967715/ja

上記URLにて『自動実行機能を無効にするための必要条件』とされている更新プログラムをダウンロード、インストール後に、次のURLにてWindowsの各バージョン毎に紹介されている方法に従って、自動実行機能を無効化してください。

http://www.ipa.go.jp/security/txt/2009/05outline.html

ここまでの説明がどうしても理解出来ないようなら、次のサイトの初心者向けコンテンツだけでも理解するようにしてください。

国民のための情報セキュリティサイト
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.htm

なお、Spyware Doctorについてですが、私が知る限りでは、海外のセキュリティフォーラムやダウンロードサイトでの評価は概ね高く、いんちきであるという意見は日本語圏以外ではそれほど聞かれないように思われます。日本語版Windowsでの利用が推奨されないという意見に異論はありませんが…Drive Cleanerなどの偽セキュリティソフトとSpyware Doctorを全く同じタイプのものと結論付けるのはどうかと思います。

また、SUPERAntiSpywareについてですが…質問者さんもご存知であろう通り、海外のセキュリティフォーラムでも評価の高いまっとうなソフトです。

http://fine.tok2.com/home/heto2/0700SecurityApp/SuperAntiSpy/mokuji.htm

Malwarebytes' Anti-Malwareの解説ページを作成された方が、このソフトの解説もされています。ちなみに氏は、以前はhigaitaisaku.comの常連だった方で、この掲示板でも回答者として多数の良回答をされています。

あと…Spyware Guardについても参考URLを。

SpywareGuardによるスパイウェア感染の防御
http://www.higaitaisaku.com/spywareguard.html

higaitaisaku.comでは、現時点でこのソフトの利用を推奨されていないようです。また、サイト上の説明にもあるように、開発元であるJavacool Softwareもこのソフトの利用を積極的には勧めていません。ましてや、

SpywareGuard®
http://www.javacoolsoftware.com/spywareguard.html

"SpywareGuard has also not been tested with Windows Vista."とあります。記されているファイルパスから推測すると、質問者さんはVistaユーザーのようですので、このソフトは使うべきではありません。

投稿日時 - 2009-10-01 04:21:40

補足

>>ryu-fiz様

ご回答ありがとうございます。

>>次の質問を見つけました。
Mirar、Findbasicについて:@nifty教えて広場
http://oshiete1.nifty.com/qa5298673.html
 ↑これ私の質問です。

>>『架空のファイル』(正確にはファイル、ではなくフォルダ、では?)からの検出、と書かれていますが…実際には存在しないフォルダ、なのではなく、実は存在しているフォルダなのかも知れません。例えば、ルートキットを利用した感染などでは、関連するファイルが隠蔽され不可視になることがあります。
 そうです。ファイルではなくフォルダです。勘違いしてました。

>>higaitaisaku.comでは、現時点でこのソフトの利用を推奨されていないようです。また、サイト上の説明にもあるように、開発元であるJavacool Softwareもこのソフトの利用を積極的には勧めていません。
 OSはヴィスタです。そして、もうすでにSpyware Guardを使用してしまいました。

あと、存在しないフォルダのことですが、一番最初に検出されたときは存在してました。そして、そのフォルダを完全に削除してからスキャンするとまた同じフォルダから検出されました。
あと、Malwarebytes' Anti-Malwareも導入したのですが、不具合がおきエラーが出て使用できなくなりました。
もう、リカバリしか手はないでしょうか?

投稿日時 - 2009-10-01 07:58:52

ANo.2

こんにちは。

>>URLを参考に「検出されたファイルの詳細」をクリックすると
↓のようなページが出てきました。

URLを見ました。
どうやら、「偽の感染情報」を流して、「有料版」を買わせようとするような、つまり、Spyware Doctorと同じような傾向にあるようですね。

参考までに、Spyware Doctorに関する質疑応答:
http://okwave.jp/qa5319756.html

大変失礼に言い方かも知れませんが、初級、中級位で、あまり凝った(特殊な)ソフトは導入しない方がベターかと思います。

特に、無料版は、基本的にサポートがありませんので、「自己責任」「自己完結」が前提です。
自分で解決できないようなソフトは「やめた方が良い」のではないでしょうか。

「SUPERAntiSpyware」については、少なくとも、私は聞いたことのないソフトです。

もっと、メジャーなソフトから導入することをお勧めします。
スパイウェアの「検索」「削除」はできませんが、予防線として導入されるのであれば、次のサイトの「Spyware Guard」などはいかがでしょうか。
http://www.geocities.jp/primarystage/spyware.html

ウイルスバスターやAd-Awareで「検出」されなければ、一応「正常」と考えて良いのではないか、と思われます。
つまり、SUPERAntiSpywareの検出は「偽検出」では?・・・。

投稿日時 - 2009-09-28 07:40:00

ANo.1

こんにちは。

「競合」について質問された方ですね。

またまた、私です。

次は参考になりませんか?
http://www.softnavi.com/superantispyware.html

「誤検出」の可能性もあります。

なお、そのサイトに書かれていますが、「有料版」では「常駐」のようですね。「無料版」は「非常駐」だとか・・・。

投稿日時 - 2009-09-27 14:20:47

補足

>>bungetsu様

またまた、ご回答ありがとうございます。

URLを参考に「検出されたファイルの詳細」をクリックすると
↓のようなページが出てきました。
http://www.superantispyware.com/applicationdisplay.html?id=12307&trial=no&activated=no&appid={995019A4-16A3-4BE5-9DE4-4B525F9EA07D}
ファイルの詳細のようですが、英語でなにが書いてあるか分かりません。
一応翻訳サイトで調べたのですが、

「vxgame trojanの部品。 WindowsとSystem32フォルダーの多くの小さいファイルをインストールします。」
「警戒レベル(1-10): 8」
「Processes : *
MA11X1DD12111V.GAME
MA11X1DDQ121111V.GAME」
あまりよくわかりません。
どういうことなのでしょうか?

投稿日時 - 2009-09-27 23:54:20

あなたにオススメの質問