system
1
ウィルスに感染したかもしれません。
【経緯】
昨夜(2/7夜)、Yahoo!知恵袋の閲覧をしていて(※1)、リンクをクリックしたところ(※2)、Avastから「マルウェアの感染をブロックしました」みたいなメッセージが表示されました。ブロックしたならいいかな、と思っていたのですが、翌日クイックスキャンをすると、ウィルス検知しました。
(※1)Yahoo!知恵袋「携帯のSDカードを買いたいのですが」,http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12151347182
(※2)返信:microSDカード128GBを激安3000円で買ってはいけない理由(原因のリンク先URL記載は控えます)
【ウィルスの詳細】
元のファイル名:128GB-microSDXC-ebay[1].htm
元フォルダ:C:\Users\ユーザー名\AppData\Local\Microsoft\Windows\INetCache\IE\フォルダ名
最後に編集:2016/02/07 11:32:50
チェストに移動:2016/02/08 8:16:44
カテゴリ:感染していたファイル
ウィルスの説明:HTML:Script-inf
元のファイル名と、(※2)のリンクのプロパティ名「128GB-microSDXC-ebay.html」が酷似しているため、やはりこれが原因のように思います。
【対処】
とにかくまず、「チェストに移動」しました。さらに「ブートタイムスキャン」をしたのですが、こちらは問題ありませんでした。
さらに、無意味かもしれませんが、感染元ファイルが「INetCache」履歴等に関連?しているかもと思い、履歴の削除で一時ファイルやクッキー、履歴、パスワード等を削除しました。また、「CCleaner」アプリにてクリーンアップやレジストリの削除を行いました。
【不安要素】
チェストに移動したのでひとまず安心かなと思うのですが、既にウィルスが活動していたとしたら、どんな危険があるのかあまり想像がつきません。現時点でウィルスが見つからないということは、
①危険はたたれた(PCのっとりとか、情報を盗むとか?)と考えていいのでしょうか。パソコンのリフレッシュ、復元等を行うべきでしょうか。
②また、それとは別に、既にパスワード等が盗まれているような可能性を考えて対処(パスワード変更等)が必要でしょうか。
【今後の処理】
おそらく削除してよい(削除すべき)ファイルだと思うのですが、隔離してあるこのファイルを削除すれば後処理は完了でしょうか。
以上、長文になってしまいましたが、ご回答の程、よろしくお願い致します。
NON
2
Webシールドでブロックされたものが HTML:Script-inf ということですので、ブートスキャン等で問題がないのであれば、ひとまず安心してよいと思います。
以下のページ等を参考に、セカンドオピニオンとして Malwarebytes Anti-Malware でのスキャン等も行ってみてはどうでしょうか。
http://www59.atwiki.jp/malware_laboratory/pages/7.html
system
3
NONさん、このような長文を読んで頂き、ご回答をありがとうございます。
ご紹介頂いた「Malwarebytes Anti-Malware」をインストールし、スキャンしてみました。
その結果、3件の脅威が検出されてしまいました。
【脅威3件の詳細(ログより)】
レジストリキー: 1
Adware.Kraddare, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\LiveIconJnt_nissen_pre, 隔離, [2485cc9280197cbafc91e19fae52e61a],
レジストリ値: 1
Adware.Kraddare, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|LiveIconJnt, C:\Program Files (x86)\LiveIconJnt\bin\LiveIconJLauncherNT.exe, 隔離, [2485cc9280197cbafc91e19fae52e61a]
ファイル: 1
Adware.Kraddare, C:\Program Files (x86)\LiveIconJnt\bin\LiveIconJLauncherNT.exe, 隔離, [2485cc9280197cbafc91e19fae52e61a],
【処理】
「隔離」しました。
※ちなみに先日ウィルス検知してから、なるべくネットワーク接続を最低限にしています。(隔離したのに)無意味というか怖がりすぎでしょうか…?
【検出された脅威について】
よくは分からないのですが、「Adware.Kraddare」と「LiveIconJnt」「LiveIconJLauncherNT.exe」などがポイントになりそうです。
それぞれキーワード検索したのですが、どんなものなのか分かりませんでした。
Hitするページもあったりもしたのですが、なんとなく怪しそうなサイト(日本語がおかしかったり…)が多かったのであまりアクセスできませんでした。
(というか、その中で比較的安全そうなサイトを閲覧しようとしたら、また「マルウェアの感染をブロックしました」と通知がきてしまい、それ以上閲覧する気になれませんでした。その後念のためAvast、Malwarebytes Anti-Malwareにてスキャン→ウィルスなし確認済です)
「LiveIconJnt」下層フォルダの「bin」に「LiveIconJHelperNT」「LiveIconJServiceNT」というアプリがあったのですが、プロパティをみると、言語が「韓国語」になっていました。それがイコール危険なのかは分からないのですが、ちょっと怪しいのかという気もします。
【今後の処理】
「隔離」にあるこれら3件のウィルスを削除すればもう安心でしょうか?
NON
4
いずれもアドウェアですね。
【検出された脅威について】
よくは分からないのですが、「Adware.Kraddare」と「LiveIconJnt」「LiveIconJLauncherNT.exe」などがポイントになりそうです。
それぞれキーワード検索したのですが、どんなものなのか分かりませんでした。
Hitするページもあったりもしたのですが、なんとなく怪しそうなサイト(日本語がおかしかったり…)が多かったのであまりアクセスできませんでした。
(というか、その中で比較的安全そうなサイトを閲覧しようとしたら、また「マルウェアの感染をブロックしました」と通知がきてしまい、それ以上閲覧する気になれませんでした。その後念のためAvast、Malwarebytes Anti-Malwareにてスキャン→ウィルスなし確認済です)
「LiveIconJnt」下層フォルダの「bin」に「LiveIconJHelperNT」「LiveIconJServiceNT」というアプリがあったのですが、プロパティをみると、言語が「韓国語」になっていました。それがイコール危険なのかは分からないのですが、ちょっと怪しいのかという気もします。
【今後の処理】
「隔離」にあるこれら3件のウィルスを削除すればもう安心でしょうか?
パスを見る限り、今回のAvastの警告「HTML:Script-inf」で感染したものというよりは、ほかのフリーソフト等に付いてきたアドウェアが検出された、といった感じですね。
他に何も出ないのであれば、心配しなくてもよいと思います。
Windows Updateのほか、Adobe Flash Player や Java、Adobe Readerの更新等も忘れずに。
system
5
NONさん、再びのご回答ありがとうございます。
Windows Updateのほか、Adobe Flash Player や Java、Adobe Readerの更新等も忘れずに。
気を付けますね。ご助言ありがとうございます^^
今回検出されたアドウェアについて、また質問をさせてください。
アドウェアの知識があまりなかったので少し調べてみました。
アドウェアは、ダウンロードアプリに付随してくることが多いようですが、
アドウェアをウィルスソフトで削除すると、アプリのアンインストールができなくなるとありました。
①アプリが不要で、アドウェアを削除したい場合、一度復元させて、アンインストールするとよいのでしょうか?
②その際、オフラインで行うとより安全になるのでしょうか?
(アドウェアの危険性は低いように見受けられるので、オンラインで復元したところで危険はないのかもしれませんが)
③逆に、アプリが必要な場合、アドウェアを隔離しておいてソフト自体は使い続ける、ということになるのでしょうか?
またMBAMソフトですが、起動の度に必ず、次のダイアログが表示されます。
「次のプログラムにコンピュータへの変更を許可しますか」
プログラム名:Malwarebytes Anti-Malware
確認済の発行元:Malwarebytes Corporation
ファイルの入手先:このコンピュータ上のハードドライブ
④MBAMのアップデートは手動で行う設定だと思うのですが、一体何を変更しようとしているのでしょうか?
発行元等はしっかりしていると思うのですが、危険は考えられますか?
(ちなみにMBAMは、ご紹介頂いたサイトのリンクからのダウンロードがうまくできず、確かSoftnicからダウンロードしたと思います)
NON
6
これはアドウェアによります。
昔のアドウェアはアプリそのものに組み込まれていたので、削除するとアプリが動かなくなるケースもありましたが、
最近はアプリはアプリ、アドウェアはアドウェアで独立しているケースがほとんどです。
今回のアドウェア(LiveIconJnt) がどのアプリから入ってきたかは分かりませんが、特に使えなくなったアプリがないのであれば、心配はないでしょう。
またMBAMソフトですが、起動の度に必ず、次のダイアログが表示されます。
「次のプログラムにコンピュータへの変更を許可しますか」
プログラム名:Malwarebytes Anti-Malware
確認済の発行元:Malwarebytes Corporation
ファイルの入手先:このコンピュータ上のハードドライブ
④MBAMのアップデートは手動で行う設定だと思うのですが、一体何を変更しようとしているのでしょうか?
発行元等はしっかりしていると思うのですが、危険は考えられますか?
(ちなみにMBAMは、ご紹介頂いたサイトのリンクからのダウンロードがうまくできず、確かSoftnicからダウンロードしたと思います)
リンクが切れていた件については、確認せず申し訳ありません。管理人さんには連絡しておきました。
ただ、Softonic は、まさにこう言ったアドウェアを仕込んでくるサイトの代表です。
インストーラーを直接ダウンロードさせず、自社のダウンローダーでラッピングしてダウンロードさせ、一緒に他のソフト(≒アドウェア)を入れる手口が多いです。
※もっとも、インストーラーを最終的にはダウンロードさせてはくれるので、まだ良心的な方かもしれません・・・
使い終わったらMalwarebytes Anti-Malware は不要ですので、アンインストールしてしまった方が面倒がないでしょう。
ちなみに、リンク先ページの管理人さんはアドウェア駆除等も請け負っていますので、相談してみてもよいかもしれません。