system
August 2, 2011, 8:41am
1
こんにちは。avast無料版を利用させて頂いています。
「完全なシステム検査」をしたところ、危険度が高のRootkit:system modificationが検知され、処理は「チェストに移動」が選択できなかったので「削除」を選び、ブートタイム検査を推奨されたので、起動時の予約をし再起動させました。
再起動後もう一度検査したところファイル名の違うRootkitが検出され、再度上記と同じ対応をしました。
もう一度やってみましたが同じ症状でした。(検査時間が約3倍かかりました)タスクバーにいつもあるIMEとか入力モードとかが見当たらなくなり、メモ帳でも日本語入力が出来なくなりました。(ほとんど素人のもので)
とりあえず、1カ月前を復元ポイントとして復元させ、再度検査したところウイルスは発見されませんでした。
質問は 1、このままPCを使い続けてよいか(諸々のパスワードの変更等は必要か、Rootkit専用の対策ソフトでもう一度検査したほうが良いか。など) 2、想定される被害はあるかの2点です。詳しい方教えて頂ければ幸いです。
OSはVISTAです。2回目の検査結果のスクリーンショットを添付します。よろしくお願い致します。
こんにちは hajimechan さん
画像を見る限り、検出されているのはKB979899(.Net Framework 3.5 SP1)の関連ファイルのようですので、おそらく誤検知(avastの過剰反応)だと思います。
とりあえず現状で問題ないとは思いますが、もし誤検知だとするとWindowsUpdateの際にまた出るかもしれません。その際はファイルを削除せず、「無視」を選んでください。
心配でしたら、念のため追加で検査してみるとよいでしょう。ツールを3つほど紹介します。お好きなものを使ってみてください。
aswMBR
avastが開発中のMBR感染型ルートキット駆除ツールです。こちら からダウンロードできます。
起動後、"Scan"ボタンを押すと検査が始まります。"ROOTKIT "とか表示された場合は問題ですが、そうでなければ"Exit"で終了してしまって構いません。
終了時に"Are you sure you want to exit the program?"と聞かれますが、"はい"をクリックすれば終了します。
TDSS Killer
Kasperskyが開発しているルートキット駆除ツールです。使用法は以下になります。
以下のアドレスから TDSS Killer をダウンロードして、デスクトップに解凍する
http://support.kaspersky.com/downloads/utils/tdsskiller.zip
他のソフトをすべて終了しておく
解凍して出てくる TDSSKiller.exe を実行し、"Start scan"を押す
もし"Malicious Objects"(赤の!マーク)が見つかった場合は、操作が"Cure"になっていることを確認して"Continue"を押す
もし"Suspicious Objects"(黄色の!マーク)が見つかった場合は、操作が"Skip"になっていることを確認して"Continue"を押す
スキャン終了後、もし"Reboot Now"と表示されている場合は、"Reboot Now"を押すとパソコンが再起動します。再起動後、駆除が実行されます。
"Reboot Now"ではなく"Report"と表示されている場合は"Report"を押し、あとはソフトを終了してかまいません。
Malwarebytes Anti-malware
Rootkitにはあまり効果はありませんが、それ以外のウイルス・アドウェア・スパイウェア(特に新種)に非常に強い対策ソフトです。
使い方は
http://secur1ty.blog116.fc2.com/blog-entry-6.html
に詳しいです。
system
August 2, 2011, 1:42pm
3
NONさまご回答下さりありがとうございます。
ウイルスチェストにも移動できないことや、wikiで見たrootkitの特徴と思われる(検査のたびに)ファイル名が変わる症状でしたので相当悪質なウイルスに感染したのかと心配しました。
NONさまの回答と、教えて頂いたaswMBRを使い一応検査してみたところ無事検査にも成功したので安心いたしました。
ありがとうございました。
参考のためにファイル名が変わった感染したとされるもの載せておきます。
Package_for_KB972260~31bf3856ad364e35~x868.0.1.2.cat
Package_76_for_KB958483~31bf3856ad364e35~x86 6.0.1.2cat