Win32:Rootkit-gen[Rtk]が検出されました

[REDACTED]

はじめまして。
avastの検出結果について質問させていただきたく投稿しました。

今日、パソコンをフルスキャンしたところ1つのファイルが検出されました。
ファイル名は「utau0276inst.exe」で、ウィルス名は「Win32:Rootkit-gen[Rtk]」です。
このファイルは数年前にダウンロードして、そのまま放置していたものなのですが
今日まで何もなかったので誤検出？と思いながらも、とりあえずチェストに隔離しました。

その後、念のためにブートタイムスキャンをすると9個の「Java:Malware-gen[Trj]」が見つかりました。
どれも「しめじ」というデスクトップアクセサリの
「bin\com\group_finity\mascot\script\Script.class」
「src\bin\com\group_finity\mascot\script\Script.class」というファイルで、全てチェストに隔離することができました。

そしてブートタイムスキャンが終わったあとに、ウィルスチェストを確認してみると
上記の際にチェストに送ったファイル以外のものが「Win32:Rootkit-gen[Rtk]」として隔離されているのに気づきました。
ファイル名は「FJRb0dSO.exe.part」で、元の場所は「C:\Users\（ユーザ名）\AppData\Local\Temp」です。
「utau～」が検出された時のスキャンの結果には表示されませんでしたが、転送時刻は「utau～」が検出される少し前となっていました。
今のところパソコンに不自然な動作などはありませんが、ファイル名で検索しても何も出ないのと
このファイルが最後に編集された時刻が今日深夜のパソコンを起動していなかった時間帯なので少し気味悪く思っております。

既にrootkitに感染してしまったあとでしょうか？
なにか対処法などがあったら教えてくださると嬉しいです。よろしくお願いします。

[NON]

こんばんは hita さん


UTAUもしめじもどちらも通常のソフトですので、この2点に関しては、おそらく誤検知であろうと思います。

もう一つの「FJRb0dSO.exe.part」に関しては、名前からするとFirefoxのダウンロード一時ファイルですね。
何かダウンロード中にウイルスが検知され、ダウンロードが遮断されたことはなかったでしょうか。
ただ、仮にこれが本物のマルウェアとしても、チェストにいるということはブロックされているはずですので、とりあえずは心配ないでしょう。

他の方にもおすすめしたのですが、このあたりのソフトで追加で確認をしておくと安心できるかもしれません。

Malwarebytes Anti-Malware
http://www59.atwiki.jp/malware_laboratory/pages/7.html

[REDACTED]

NON様、返信ありがとうございます。

UTAUとしめじの2つは誤検知であろうとのことで安心いたしました。
もう1つ、気がかりだった「FJRb0dSO.exe.part」にも差し当たり心配はないようで良かったです。
何かをダウンロード中にダウンロードが遮断された、ということは最近には無かったように思いますが
サイトを見て回っているときに、avastによる「接続を遮断しました」というポップアップが
表示されることはたまにありましたので、その中に紛れ込んでいたのかもしれません。以後、気をつけます。

おすすめしてくださった「Malwarebytes Anti-Malware」ですが、
はじめに間違えてDドライブにインストールしようとしたところ、最後のインストール中に
もう少しで終わるという状況で動きが止まってしまい、キャンセルを押しても応答なしのままでしたので
タスクマネージャから終了させ、コントロールパネルからアンインストールしました。
その次に試みた、最初から指定されていた場所へのインストールは無事に完了しましたので
早速スキャンをした結果「PUP.Optional.InstallCore」が検出されましたが特に問題なく検疫という処理ができたようです。
URL先にあったようなスキャン中の再起動はなく、時間もかからず11分程度で終わりました。
そしてソフトから推奨された再起動後、再度のスキャンにも問題はありませんでした。

ただ、スキャンのログで「メモリ、スタートアップ、ファイルシステム…」などといった項目が
有効となっているのに、ルートキットのみは無効となっているのを見ました。
設定の検出オプションの「ルートキットスキャンをする」という項目のチェックも外れていたので
チェックをつけて再度スキャンをしましたが、これも問題はないという結果でした。
インストール直後はこの項目のチェックは外れているということでしたら申し訳がありません。
インストールに1度失敗したことや、スキャン中に進捗状況の青いバーが不思議な動作をしていたという
ことがあったので少し疑心暗鬼になっているようです。
長ったらしく、あやふやな説明となってしまいすみません。

最初に質問させていただいたファイルに関しては一先ず、過度の心配をしなくてもよくなったと思って良いでしょうか？
拙い質問にお答えくださり、ありがとうございました。

[NON]

早速スキャンをした結果「PUP.Optional.InstallCore」が検出されましたが特に問題なく検疫という処理ができたようです。
URL先にあったようなスキャン中の再起動はなく、時間もかからず11分程度で終わりました。
そしてソフトから推奨された再起動後、再度のスキャンにも問題はありませんでした。

InstallCoreというと、何かフリーソフトをダウンロードした際などに、本家ではなく偽サイトから広告付きのインストーラーをダウンロードされたようですね。
検索で上位に出てくるサイトは本家ではなく偽だったりしますので、お気を付けください。

ただ、スキャンのログで「メモリ、スタートアップ、ファイルシステム…」などといった項目が
有効となっているのに、ルートキットのみは無効となっているのを見ました。
設定の検出オプションの「ルートキットスキャンをする」という項目のチェックも外れていたので
チェックをつけて再度スキャンをしましたが、これも問題はないという結果でした。

チェック付でも問題がなければ、大丈夫でしょう。

最初に質問させていただいたファイルに関しては一先ず、過度の心配をしなくてもよくなったと思って良いでしょうか？

現段階で危険を思わせる内容は無いかと思います。
警告が続くようならまた考える必要がありますが、現状であればとりあえず心配はないでしょう。

[REDACTED]

こんにちは、NON様。

直接的にはavastと関係ないようなことにまで説明いただいてすみません。
基本フリーソフトの類は窓の杜やVector等の信頼できそうなサイトからダウンロードするようにしているのですが
そこに登録されていないようなソフトは、やっぱり検索上位にあるサイトから入手してしまっていました。
アドバイスありがとうございます。
これからは配布元がきっちりしないようなソフトの使用やサイトからのダウンロードは控えるようにします。

チェストにある件のファイル類を検査すると、相変わらずルートキットやマルウェアが検出されるとの結果が出ますが
これらはもう既に隔離されているようですし、avastでのスキャンやMBAMでも現状はなにもないようなので
あんまり深刻なほうへと考えるのはやめにしようと思います。
MBAMの設定についても大丈夫だとのお答えで助かりました。

今までにもavastによってウィルスが検出されることは何度かありましたが、それらは全て誤検知のようでしたので
特に心配はしてきませんでした。
けれど今回は、見つかったのが自分では到底対処できないようなルートキットというので焦ってしまい
こうやって質問させていただくということに相成りました。

早まってのリカバリなどせずにすんだのはNON様のおかげです。
本当にありがとうございました。

[NON]

可能であれば、まだ検知されたままになっているファイルについて、チェストから『ウイルス研究所に提出』を押して誤検知として報告して頂けると、他のユーザーさんの助けになるかと思います。

もし問題がありましたら、またお越しください。