Author Topic: ウイルスRootkitについて  (Read 12856 times)

0 Members and 1 Guest are viewing this topic.

Offline hajimechan

  • Newbie
  • *
  • Posts: 2
ウイルスRootkitについて
« on: August 02, 2011, 10:41:40 AM »
こんにちは。avast無料版を利用させて頂いています。

「完全なシステム検査」をしたところ、危険度が高のRootkit:system modificationが検知され、処理は「チェストに移動」が選択できなかったので「削除」を選び、ブートタイム検査を推奨されたので、起動時の予約をし再起動させました。

再起動後もう一度検査したところファイル名の違うRootkitが検出され、再度上記と同じ対応をしました。

もう一度やってみましたが同じ症状でした。(検査時間が約3倍かかりました)タスクバーにいつもあるIMEとか入力モードとかが見当たらなくなり、メモ帳でも日本語入力が出来なくなりました。(ほとんど素人のもので)

とりあえず、1カ月前を復元ポイントとして復元させ、再度検査したところウイルスは発見されませんでした。

質問は 1、このままPCを使い続けてよいか(諸々のパスワードの変更等は必要か、Rootkit専用の対策ソフトでもう一度検査したほうが良いか。など) 2、想定される被害はあるかの2点です。詳しい方教えて頂ければ幸いです。

OSはVISTAです。2回目の検査結果のスクリーンショットを添付します。よろしくお願い致します。

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 4522
  • Whatever will be, will be.
Re: ウイルスRootkitについて
« Reply #1 on: August 02, 2011, 12:26:06 PM »
こんにちは hajimechan さん

画像を見る限り、検出されているのはKB979899(.Net Framework 3.5 SP1)の関連ファイルのようですので、おそらく誤検知(avastの過剰反応)だと思います。
とりあえず現状で問題ないとは思いますが、もし誤検知だとするとWindowsUpdateの際にまた出るかもしれません。その際はファイルを削除せず、「無視」を選んでください。

心配でしたら、念のため追加で検査してみるとよいでしょう。ツールを3つほど紹介します。お好きなものを使ってみてください。

aswMBR
avastが開発中のMBR感染型ルートキット駆除ツールです。こちらからダウンロードできます。
起動後、"Scan"ボタンを押すと検査が始まります。"**ROOTKIT**"とか表示された場合は問題ですが、そうでなければ"Exit"で終了してしまって構いません。
終了時に"Are you sure you want to exit the program?"と聞かれますが、"はい"をクリックすれば終了します。

TDSS Killer
Kasperskyが開発しているルートキット駆除ツールです。使用法は以下になります。
1. 以下のアドレスから TDSS Killer をダウンロードして、デスクトップに解凍する
http://support.kaspersky.com/downloads/utils/tdsskiller.zip
2. 他のソフトをすべて終了しておく
3. 解凍して出てくる TDSSKiller.exe を実行し、"Start scan"を押す
4. もし"Malicious Objects"(赤の!マーク)が見つかった場合は、操作が"Cure"になっていることを確認して"Continue"を押す
5. もし"Suspicious Objects"(黄色の!マーク)が見つかった場合は、操作が"Skip"になっていることを確認して"Continue"を押す
6. スキャン終了後、もし"Reboot Now"と表示されている場合は、"Reboot Now"を押すとパソコンが再起動します。再起動後、駆除が実行されます。
7. "Reboot Now"ではなく"Report"と表示されている場合は"Report"を押し、あとはソフトを終了してかまいません。

Malwarebytes Anti-malware
Rootkitにはあまり効果はありませんが、それ以外のウイルス・アドウェア・スパイウェア(特に新種)に非常に強い対策ソフトです。
使い方は
http://secur1ty.blog116.fc2.com/blog-entry-6.html
に詳しいです。
Main: Win10 Pro 2004 64bit / Core i5-7400 3.0GHz / 16GB RAM / Avast 20 Premier Beta / Comodo Firewall 12
Mobile: Win10 Pro 2004 32bit, Vista SP2 32bit / Core 2 Duo SU9300 1.2GHz / 4GB RAM / Avast 20 Free / Windows Firewall Control

Avast の設定について解説しています。よろしければご覧ください。

Offline hajimechan

  • Newbie
  • *
  • Posts: 2
ありがとうございます
« Reply #2 on: August 02, 2011, 03:42:59 PM »
NONさまご回答下さりありがとうございます。

ウイルスチェストにも移動できないことや、wikiで見たrootkitの特徴と思われる(検査のたびに)ファイル名が変わる症状でしたので相当悪質なウイルスに感染したのかと心配しました。

NONさまの回答と、教えて頂いたaswMBRを使い一応検査してみたところ無事検査にも成功したので安心いたしました。

ありがとうございました。

参考のためにファイル名が変わった感染したとされるもの載せておきます。
Package_for_KB972260~31bf3856ad364e35~x86~~8.0.1.2.cat
Package_76_for_KB958483~31bf3856ad364e35~x86~~6.0.1.2cat