rootkitウイルスの検出と駆除について

[kinari]

初心者です。ウイルスが検出されたのですが、うまく処理が出来ず、今後どう対処してよいかわからず、こちらから質問させていただいております。<internet security 7>を利用しています。
経緯経過：
　　　　　　１１/３０　完全なシステム検査で、６個の高脅威のRootkit hidden fileを検出→削除→アクセス拒否→ブートタイム検査→不検出
　　　　　　１２/１　　ブートタイム検査で、２個の中脅威のWin32;WrongInf-F[Susp]を検出→１個はチェストに移動成功、１個はファイルが見つからないとのこと
　　　　　　　　　　　→更なるブートタイム検査で、同ウィルスを１個検出→削除成功
その後、毎日ブートタイム検査をするも不検出。
念のため、こちらのフォーラムを参考に、rootkitremover,TDSSkiller,aswMBRも試してみましたが、すべて不検出。
今のところ、とくに不具合はないのですが、どこかにまだ潜んでいるのではないかと思うと不安でなりません。
リカバリ等、今後どのような対応をするのが良いかわかりません。
どうか、ご教授のほど、宜しくお願いいたします。

[NON]

こんばんは kinari　さん

かなり念入りに処置されたようですね。専門家の指導なしで取りうる対処としてはほぼ全てなされているかと思います。
一応、ブートタイム検査で検知されたファイルのパスや、最初のRootkit hidden fileで検知されたファイルのパスなど、分かれば教えてください。

私としては十分問題ないレベルまで処置が行われていると考えますが、もし追加で何かチェックを行うとすれば、Malwarebytes Anti-Malwareによるスキャンかと思います。
外部のブログ記事ですが、
http://milksizegene.blog.fc2.com/blog-entry-7.html
あたりに使い方が詳しいので参考になさってください。


それから、kinari さんのメールアドレスがフォーラムユーザーに公開される設定になっているようです。
1. 右上の"PROFILE"をクリック
2. 左側の"Account Settings"を開く
3. "Allow users to email me"のチェックを外す
4. 下の方の"Current Password"欄にパスワードを入れる("Choose Password"ではありません)
5. 一番下の"Change Profile"を押す
の手順で、メールアドレス非表示の設定を行われることをお勧めします。
なお、同じ画面にて"Preferred Language"を"Japanese"にすることで、画面の表示を日本語にすることが可能です。

[kinari]

こんばんはNONさん

この度は、至れり尽くせりの御指導、本当にありがとうございます。
プロフィールの変更は、教えていただいた通り行いました。
また、malwarebytes　も早速ＤＬして、スキャンを行いましたところ、なんと、また２個のウイルスがひっかかりました・・・無事、削除いたしました。

　Ｍａｌｗａｒｅ　Ｔｒａｃｅ　というファイルですが、c:\windows\systemu32\selfDel.bat  と、
　　　　　　　　　　　　　　　　　　　　　　　　　　　 c:\windows\sysWOW64\selfDel.bat  から見つかりました。

また、先にご質問いただいたＡＶＡＳＴ！で検出したファイルですが、
６個のrootkit は、
　　　　　　　　　　　　　　　　　　　　　　　　　　　　c:\windows\winsys\...\AcRes.dll と、
　　　　　　　　　　　　　　　　　　　　　　　　　　　　c:\windows\winsys\...\Acxtrnal.dll  から。
２個（３個？）のファイルは、
　　　　　　　　　　　　　　　　　　　　　　　　　　　　c:\Users\***\...\npnj5Agent.exe
                                                        c:\Users\...\npnj5Waiting.exe     ←これは、ファイルが見当たらないとでました。
　　　　　　　　　　　　　　　　　　　　　　　　　　　　c:\Users\***\...\PTMain.exe

以上、検出されたものです。

ここまで書いて、改めて恐ろしくなってきました。
今後の対応に関して、更なるご教授を願えれば幸いです。

どうか宜しくお願いいたします。　　
　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　　　　　　　　　　　　　　　　　　　　　　　　　　
                     

[NON]

MBAMで見つかりましたか。Malware Traceは「マルウェアの痕跡」ということで、マルウェアそのものではありませんが…

avastで検知されたファイル「npnj5Agent.exe」「PTMain.exe」はゲームガードのnProtect関連のファイルですが、問題のファイルが検知される前にオンラインゲームなど使われていましたか？
もし使われていたとすれば、nProtectはその仕様上ウイルスと間違われることも多いソフトなので、avastの過剰反応である可能性もあります。

ただ、ファイルのパス(なぜC:\Program Files\ではなくC:\Users\にあるのか)や、MBAMで検知された項目の問題もあるので、必ずしも誤検知と断言できない状況です。


十分な時間があるのであれば、精神衛生面も考え、リカバリしてしまった方が気が楽かもしれません。
あるいは、このavastフォーラムにもマルウェア駆除の専門家がいますので、やり取りは英語になってしまいますが、そちらの方に解析をお願いしても良いかと思います。
その場合は、できる限りはフォローしますので。

[kinari]

こんにちは　ＮＯＮさん

早々に、丁寧なご回答をいただきまして、誠にありがとうございます。

オンラインゲームに関してですが、オンラインゲーム自体、一度もやったことがなく、なぜそんなものが自分のＰＣに入り込んでいるのか
皆目検討がつきません。
リカバリをする時間的余裕は、なんとか作ることはできるのですが、実は、もしリカバリをするとなると、今年２度目になるのです。
春に、当時いれていたＭＳ　essentials の警告なりすましにやられてウイルス感染し、即座にリカバリをし、
このままではいけないと、avast!を導入した次第です。

自分の知識の無さが引き起こしたことかとも思いますが、こう頻繁にやられてしまうと、正直ターゲットにされているのでは？と不安をぬぐいきれません。
あまり頻繁にＰＣを利用する方ではないのですが、
怪しいメールは開封しない・頻繁にwindows updateを行う（自動更新設定ですが）・怪しいサイトはもちろん見にいかない・・等々、
基本的なことは守っているつもりです。

このまま泣き寝入りというか、リカバリして無かったことにするだけでは、今後に不安が残ります。

せめて、リカバリする前に、どこから感染してしまったのか？ということがある程度わかれば・・と考えています。

そこで、アドバイスいただいた解析をお願いしてみたいのですが、
私程度の知識でも、対応出来るものなのでしょうか？

また、どのような手順でお願いすれば良いものか、教えていただけますでしょうか？

お忙しいところ本当に申し訳ありませんが、どうか宜しくお願いいたします。

[NON]

オンラインゲームに関してですが、オンラインゲーム自体、一度もやったことがなく、なぜそんなものが自分のＰＣに入り込んでいるのか
皆目検討がつきません。

どうも怪しいですね。

そこで、アドバイスいただいた解析をお願いしてみたいのですが、
私程度の知識でも、対応出来るものなのでしょうか？

また、どのような手順でお願いすれば良いものか、教えていただけますでしょうか？

”Virus and Worms”セクションに解説がありますので、下に概要を記載します。
少々手順が多いですが、aswMBRやらTDSS Killerやら使われたことがあるようなので大丈夫でしょう。
やり取りはどうしても英文になりますが、困ることがあればこちらのトピックに書き込んで頂ければ対応したいと思います。


MBAMによるスキャン
MBAMをアップデート後にクイックスキャンを行い、検知された全エントリについて駆除を行ってください。
駆除後に表示されたログを分かりやすい場所に保存しておいてください。あるいは、前回のログが残っていれば、それでもかまいません。

OTLログの取得
こちらのリンクからOTLをダウンロードし、デスクトップに保存してください。
起動後、上方の「Scan All Users」と「Include 64bit Scans」(もしあれば)にチェックを入れ、下部の「Custom Scan/Scripts」に以下の内容を入力(コピペ)してください。

netsvcs
BASESERVICES
%SYSTEMDRIVE%\*.exe
/md5start
services.*
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
/md5stop
CREATERESTOREPOINT

入力後、左上の「Run Scan」をクリックしてください。数分経つと2つのログが表示されます。


aswMBRでのスキャン
aswMBRでスキャンを行い、スキャン完了後、「Save Log」をクリックし、ログをデスクトップに保存してください。


投稿
こちらのリンクを開き、投稿画面を開いてください。
次に、下部の「詳細オプション」をクリックし、OTLで生成されたログ2つ、MBAMのログ、aswMBRのログの4つを添付してください。
もし添付しきれない場合は、2つに分けて投稿してください。
題名には avast found "Rootkit hidden file" とか入れておきましょう。
本文にはこれまでの経緯を簡単に書いておけば大丈夫だと思います。

[kinari]

こんにちは　ＮＯＮさん

お世話になっております。

詳しい御説明をいただきまして、本当にありがとうざいます。

英語でのやりとりが、私のつたない英語力で大丈夫なのか？という不安はぬぐえませんが、
なんとかチャレンジしてみたいと思います。

また、自分の力では解決できない問題が出てしまいましたら、
御相談お願いすると思います。

その際は、どうか宜しくお願いいたします。

[kinari]

こんにちは　NONさん

先日より、相談に乗っていただき誠にありがとうございます。

実は、こちらのフォーラムに投稿する前に、avast!サポートセンターにチケット提出していたのですが、昨日、回答が届きました。
（返事が待てずにこちらへも投稿していた次第です。）

回答によれば、ｎProtectに関しては、avast!で削除できているので、気にしなくて良いとのこと。

また、rootkitに関しては、正直はっきりしたことはわからないのですが、avast!はrootkitの検査はヒューリスティックに基づき行うため、
誤検知もありうるので、MS　Revealer　等で再検査してみてほしい・・・というような内容でした。

これについてはダウンロード後は出来るものの開くことが出来ず、検査はしていませんが、
NONさんに教えていただいたTDSSkiller や、MBAM、それにRootkit Remover でも検査し、不検出でしたので、それをもって再検査としたいと思います。

NONさんに、ログの解析依頼の方法を教えていただき、それに従って準備はしていたのですが、
今回は依頼は見送ろうかと思います。
せっかく、詳しく記述をいただいたのに本当にすみません。

サポートセンターより、サンドボックスやセーフゾーンの使用をすすめられたので、それでしばらく様子をみてみようかと思います。

サンドボックス等はすぐに設定をしたのですが、
今度は0ffice IMEがおかしくなり、？？？となってしまいました。
いろんなサイトを参考にして、MS IME に変更したら使えるようになりましたが、
avast!のサンドボックスはoffice IMEと相性が悪いのでしょうかね?

とにもかくにも、いろいろとご相談してしまいお騒がせしました。

また、解決できない問題が起こった時には、どうか宜しくお願いいたします。

[NON]

NONさんに、ログの解析依頼の方法を教えていただき、それに従って準備はしていたのですが、
今回は依頼は見送ろうかと思います。
せっかく、詳しく記述をいただいたのに本当にすみません。

お気になさらず。

サンドボックス等はすぐに設定をしたのですが、
今度は0ffice IMEがおかしくなり、？？？となってしまいました。
いろんなサイトを参考にして、MS IME に変更したら使えるようになりましたが、
avast!のサンドボックスはoffice IMEと相性が悪いのでしょうかね?

特に問題があるという話は聞いていないのですが・・・私もMicrosoft Office IME 2010を使っていますし。
？？？とはどういう状態でしょうか？

[kinari]

こんにちは　NONさん

Office IME　の不具合ですが、
①タスクバーに置いている言語バーが非表示となったり、項目が欠落して表示されたりする。
　(タスクバーの中の”隠れているインジケーターを表示する”をクリックすると元に戻る)
　　　　　　　　　　　　　　　　　　　　　　　　　　↓
　これに関しては、サンドボックスに設定する前から、突然起こるようになりました。

②サンドボックス設定をした直後から、①に加えて、入力モード、変換モードの切り替えができない
　（入力モードは半角英数字のまま、変換モードは無変換のままで、キーボードでも画面をさわっても動かない。）

これらの不具合を繰り返し、入力が出来なかったので、MS　IME２００７　を既定にして現在使用しています。


また、office IME 2010が無償でダウンロード出来ることを知らなかったので（２００７のままです）、慌ててバージョンアップをしようとしたところ、
［拡張属性が矛盾している］との表示が出てしまいうまくいきません。

この［拡張属性が～］に関しては、NONさんから教えていただいたOLTをDLする際も表示され、何度かやり直すうちにいつの間にか
成功していました。

一度、ブラウザをサンドボックスよりはずして、それでDLしたほうがよいのでしょうか？

[NON]

②の方の問題ですが、こちらでも再現しました。以前は問題なかったのですが、いつの間にかダメになったようです・・・
これはいけないですね。問題提起しておく必要があるかもしれませんが、今出しても埋もれそうなので、次のβ版の時にでも出します(βは開発者のレスポンスが良いので)。
とりあえずは、以下の設定を変更することでIMEが使えるようになるようです。
メインウィンドウ -> 追加の保護 -> サンドボックス -> 詳細な設定 -> パラメータ -> 詳細な設定 -> 「プロセス間通信(IPC)オブジェクトを～」のチェックを外す -> OK

「拡張属性が矛盾している」については確認できませんでしたが、調べてみるとUAC関連ということで、おそらく同じところの「仮想化されたアプリケーションを制限ユーザー権限で実行する」当たりの設定が原因かと思います。
UACはVistaが出たばかりのころにもIME関連でトラブルがあったので、似たような事例かと思います。

動作が怪しいときは、一度サンドボックスから外して実行してください。

[kinari]

問題提起、ぜひよろしくお願いします！
サンドボックスで安全に使用できるようになっても、文字入力に不具合があっては快適とは言い難いですから。

自動サンドボックス設定をしていると、いつもかならずctfmon.exeがサンドボックスに入っています。
これがIMEの不具合に関係しているのでしょうか？

教えていただいた設定方法、早速試しました。
おかげさまで、無事、入力・変換モードととも、不具合無く使えるようになりました。

ただ、ブラウザを開いた状態で、avast!を開くと、IMEの設定が、勝手にMS　IME　２００７に切り替わってしまいます・・・。

Office　IME　２０１０　はサンドボックスから出してDLしたら、嘘みたいにすんなりできました。

windows update 等、windows関連は問題なく自動アップデートされるので、
拡張属性の矛盾については、NONさんのおっしゃる通りなのだろうと思います。

またわからないことがあったら質問させて下さい。

いつも的確な回答、誠にありがとうございます！

[NON]

MS-IMEだと日本語入力できることを確認しました。デフォルト設定以外のIMEだと入力可能？未確認ですがそんな気がします。
もしやと思ってセーフゾーンを調べたら、案の定こちらでも日本語入力ができませんでした。
これはベータ待たずに報告を上げた方が良いかもしれないですね。ちょっと検索してみたところ、同様の記事を書いていらっしゃる方がいました。

自動サンドボックス設定をしていると、いつもかならずctfmon.exeがサンドボックスに入っています。
これがIMEの不具合に関係しているのでしょうか？

私のところでは出ませんでした。
ctfmon.exeは確か言語バー関連のEXEだったはずで、むしろサンドボックスに入ってくれるのであれば同じサンドボックス内、日本語入力できそうなものですが・・・

ただ、ブラウザを開いた状態で、avast!を開くと、IMEの設定が、勝手にMS　IME　２００７に切り替わってしまいます・・・。

これについては、複数のIMEが入っている場合はアプリごと(プロセスごと)に利用するIMEを切り替えられるようなので、ブラウザに戻せばまた元のIMEに戻るはずです。