すべてのカテゴリ » インターネット・パソコン » セキュリティ・個人情報

質問

終了

PCウィルスについて先日質問させていただきました。
PCが突然強制終了したあと、spooldr.sysというマルウェアがあるとマイクロソフトのエラーレポートがでました。 その後使っているセキュリティソフトのスキャンをかけてみましたが、特に感染がなく、そのあとこちらで教えていただいたオンラインスキャン(カスペルスキー、マカフィ、ノートン、トレンドマイクロ、windows onecare)をかけてみましたが、検出されてきません。 この後どのような対応をとったらいいのか分からなくて困っています。
先日もご丁寧に教えてくださってありがとうございます。 できましたら、pcに詳しい方お知恵をいただけたらと思います。 どうぞよろしくお願いします。

現在の状況としては、PCは普通に起動し使用できます。

  • 質問者:ウィルスで困っています
  • 質問日時:2008-11-19 09:27:47
  • 1

回答してくれたみんなへのお礼

みなさん本当にありがとうございました。 こちらで丁寧に教えていただくことが出来て感謝しています。 本来でしたら自分のポイントからでもお礼をさせていただきたいくらいですがそれが出来ないのでどうかお許しください。

セキュリティソフトのサポートに分析を依頼したところ、下記のような返事が返ってきました。

現在は具体的な問題が起こっておらず、検知をしないということであれば
問題は解消しているとご判断されてよろしいかと存じます。
ウイルス定義ファイルではこの度の問題を検知していないため、
感染の履歴につきましては確認はできません。

セキュリティソフトを装うアプリケーションやプログラムにつきましては、どこからどこまで
が悪意のあるプログラムかの基準があいまいで公の判断基準もございません。従いま
して弊社製品でも怪しいプログラムと認識していない場合もございます。
怪しいアプリケーションの中には、お客様に同意をさせてからインストールさせるような
アプリケーションもございます。このプログラムがウイルスと認識していない
場合、セキュリティソフトでもインストールをブロックすることは困難となって参ります。
こちらの点を何卒ご理解いただきますようお願い致します。

履歴については分からなかったのですが現状は駆除できているようです・・・ ちょっと一安心です。 また、いろいろとお伺いするかもしれませんその節もどうぞよろしくお願いいたします。 本当にありがとうございました。

前回も参考にアイデア出してみます。

楽観論でいくと、検出してspooldr.sysが見つからないというところからすると「マイクロソフトのエラーレポートが出た際に駆除が行われた」とも考えられます。

そうで無いとすると、spooldr.sysがリネームされたということが考えられます。
(ただし、パターンファイル検出のため本来は検出されるはず)
あるいは、ノーマルモードゆえに検出されないとか?

すると、現時点考えられる手は、以下の様になりますね。
1. セーフモードでスキャン(ウィルススキャン、ファイルスキャン)を試みる。
(くどいですが、念のためファイルスキャンは全てのファイルを表示するモードにて)
2. マイクロソフトのエラーレポートが出されたプロセスをもう一度呼び出す(?)
あるいは、
http://support.microsoft.com/?kbid=890830
のリンクからダウンロード出来る実行プログラムを、まず確認のためオプション「 /n /f」で実行してみる。
念のため、ノーマルモードとセーフモード。
(11月はwindows-kb890830-v2.4.exe)
/n は検出のみ
/f は強制フルスキャン
検出された場合は、「 /f」のみで実行か、手動で削除する。

===補足===
私のこの毎月の更新は手動で上記2つのオプションを付けてフルスキャン行っていて、「検出されませんでした」というメッセージを確認しています。
(かなりの時間スキャンしますが)

その場合、「/n」のオプションを付けないと削除する仕様になっていますので、恐らくノーマルスキャンの場合も検出された時点で削除を試みる仕様であると思います。

ところが、このマルウェア(スパイウェア)がそれ自身をパソコンのノーマルモード起動状態では執拗な延命策を講じるために、その様な挙動になったものと思われます。

したがって、再度、この検出をかけて検出されなければ、削除されたと考えていいと思います。
(そういう回答が来るのではないかと思います)

ただし、あくまでも可能性の参考ですが、検出さない場合にも影響は無いものの残骸というか痕跡が残る場合はあります。

これはウィルス系ソフトの宿命というか仕様の様な物で、たとえば約10年前に「Laroux(ラルー)」というエクセルのマクロウィルスが流行した時に、そのウィルス対策動作は実は「マクロの起動部分を無効化する」というだけの物で、ファイルの中に残骸が残り、さらにファイルからシートをコピーするとそのまま残骸を引き継いでしまうということがありました。
Officeのある時点で修正されたかもしれませんが、当時のOfficeのままで新規作成すること無くそのシートを引き継いで現在でも使用していれば、恐らくその残骸をくっ付けたままのみっともないファイルの状態で残存していることと思います。
(少なくとも当時の修復ファイルは残骸が残ったままです)

逆に、これが「疑わしきは罰する」で引っかかる要因の一つであり、ウィルスソフトベンダによってマチマチで、「検出されたからと言って必ずしも危険という訳では無い」ということを意味するのです。

ただし、そもそも、ウィルス、マクロウェア、スパイウェアは日々進化するでしょうし、もちろんどこかで被害が検出されてウィルスソフトのパターンファイルが作成される訳ですから、「常時完全な物はどこにも無い」ことは明白で、「一番気をつけなければいけないのは日常の操作」ということになると思います。

もし、期限内に回答があった場合は、私も今後の参考にさせていただきたいと思いますの、ぜひ情報をお寄せください。

この回答の満足度
  
とても参考になり、非常に満足しました。回答ありがとうございました。
お礼コメント

詳しいご回答ありがとうございます。 セーフモードでのフルスキャン完了しましたが、検出されてきませんでした。 次のご提案をがんばってやってみたいと思います。 また後ほどご報告いたします。

追記: マイクロソフトのHPを確認してまいりました。 ここにある検出された場合・・・というのが強制終了したあとにあらわれでた表示にそっくりです。 onecareでフルスキャンをしてくださいという窓も開きました。 マイクロソフトの自動更新は以前からかけていましたのでこれに反応したのでしょうか・・・ 説明が難しいのでもう一度じっくり読んできます。
ありがとうございます。

追記2:教えてくださったサイトに書いてある自動更新状態に以前からしてありました。 悪意のある~が検出された場合という項目にあるエラーを報告し~はじまる動作が強制終了後に起こったことにそっくりです。 こちらで対処してくれたと考えていいものなのでしょうか・・・ 
セキュリティソフトはきちんと入れてあったのに、どうしてだろう?と思います。 念のためサポートセンターに連絡して分析してもらうように依頼しました。(返答はまだですが)
何度もいろいろ教えていただきありがとうございます。

並び替え:

他の方が言うように自分も感染はしていないと思います。
セキュリティソフトは何をお使いでしょうか?使っているのであればシステムに感染する以前に隔離しているでしょうし、まだ削除されていないのであればインターネットに繋いだ時点でファイアーウォールの警告が出ると思います。
比較的駆除は容易な方だと思いますが。

PC-clean 等のスパイウェア対策に特化したソフトがかなり有効でしょうね。
自分はAdvanced SystemCareというフリーソフトを使っています。

  • 回答者:Sooda! ちゃん (質問から7時間後)
  • 0
この回答の満足度
  
とても参考になり、非常に満足しました。回答ありがとうございました。
お礼コメント

回答ありがとうございます。 すでに駆除できているとありがたいのですが・・・
使っているセキュリティソフトのサポートに分析を依頼してみました。 返答はまだ帰ってきていないのですが・・・

セーフモードでもスキャンして問題ないとなると、異常がないとの事です。
ウィンドウズのONECAREで問題が出ないと言う事が決定的に大丈夫だと、自分はそう考えています。
以前自分の場合、ウィルスソフト会社から未知のウィルスなのか?分からないとの事で、検体をディスクにいれ提出しました。プログラムのアップデートの中の何かが反応しているようでした。
その際もウィンドウズのONECAREでスキャンをしたら問題がなかったので、そのままにしています。

===補足===
自分はPC-Cleanと言うのも同時に使っています。韓国の情報局も使っています。お勧めします。http://www.vector.co.jp/soft/dl/win95/util/se376167.html
からフリーソフトです。開発はアメリカです。

  • 回答者:匿名 (質問から2時間後)
  • 0
この回答の満足度
  
とても参考になり、非常に満足しました。回答ありがとうございました。
お礼コメント

ご回答ありがとうございます。 先ほどから、セーフモードでフルスキャンをしましたが、検出されてきませんでした。 問題がないと考えていいのでしょうか。 念のため、他の方が教えてくださった方法をあわせてやってみようと思います。 また、ご報告いたします。

追記:教えてくださったものも試してみましたが検出されてきませんでした。 ありがとうございます。

ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FNUWAR%2EAQL&VSect=Sn
上記トレンドマイクロのHPで対処の仕方がのっています。

このウィルスはセーフモード起動しないと、発見も駆除も出来ません。
感染原因は、恐らくですがメールもしくは意図しないHP(リンク含む)の閲覧で
観戦した物だと思います。

飲酒運転でも同じ事が言えますが、こういった類の物は感染する前に対策取らないと危険です。
玄関の鍵を開けたまま旅行に行ってしまう物であると思いましょう。

===補足===
少し気になったのでどういう動作をするウイルスなのか調べて見ました所
主に、メーラーを介しての物のようで、偽装HPに飛ばして該当場所をクリックすると
メールアドレスを収集するトロイと呼ばれる部類のウイルスのようです。

他の方が指摘している通り、Windowsのシステムファイルに偽装・トロイのコードを付加して
該当のファイルをウイルス化する機能も有るそうです。
ただ、『PCが突然強制終了したあと、spooldr.sysというマルウェアがあるとマイクロソフトのエラーレポートがでました。』
とも有る様に、対策ソフト側が対処した可能性が高いと見るのが無難な気がします。

ご心配で有るならば、OSの再インスト位しか対処の仕方が無いと思います。
役立たずで申し訳ない。

この回答の満足度
  
とても参考になり、非常に満足しました。回答ありがとうございました。
お礼コメント

さっそくの回答ありがとうございます。 教えていただいたトレンドマイクロの方法(セーフモード検索)を試みましたが、検出されませんでした。 念のため spooldr. ですべてのファイル(隠しファイルなどもふくむ)でやってみました。 ここで検出されないとなると心配はないのでしょうか? 何度も申し訳ありません。 どうぞよろしくお願いします。

スピアーノさんが教えてくださったマイクロソフトのサイトを見てきました。 ここに出てくる悪意のあるソフトウェア削除ツールの検出された場合・・・という項目の状況にそっくりでした。 強制終了したあと次に窓がひらき、検出されましたとのアラートでした。
こちらで、削除してくれたと考えていいのであればとてもうれしいのですが、なにぶん説明が難しいのでもう一度じっくり読んできます。 ありがとうございます。

追記2:このマルウェアの作用まで調べていただき本当に恐縮です。
なんとか完全に駆除できるようにしたいと思っています。
強制終了したりするまではなんだか近頃PCが重いなぁと思うことが多かったのですが、いろいろなスキャンをかけ、onecareでレジストリクリーンもかかったせいか、とても快適にpcが動くようになりました。 浮気許すまじさんほかこちらで教えていただけたおかげと感謝しています。 本当にありがとうございます。

関連する質問・相談

Sooda!からのお知らせ

一覧を見る