ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« またもやStop:0x00000024。今度はierdfgh.exeとセット。 | トップページ | それでいいのかKingsoft! »

2009年4月20日 (月)

大丈夫かNOD32!

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

こちら、前記事の続き。

ierdfgh.exeなどの怪しい起動項目を駆除し、症状が出なくなったところで、ふとCドライブのルートで「すべてのファイルを表示」してみたら…。

な、なんじゃこりゃっ!!

C_malware_01

…なんかやたら怪しげなファイルのオンパレードです…。

こ、こりゃ放置できんよなぁ。

まだ納品前なので、ウイルス対策ソフトはお試し版ぐらいしかインストールできない。
じゃ、ここは一発、噂のNOD32を使ってみるか。

ESET Smart Security & ESET NOD32アンチウイルス:NOD32 アンチウイルス V3.0 体験版ダウンロード :キヤノンITソリューションズ

NOD32お試し版ダウンロードのサイトからダウンロードし、インストールしてアップデートして…。
さて、この怪しいCドライブのルートのファイルをチェックだ。どうだっ!!

…あれ??

-----

Cドライブのルートの検索結果。

検査ログ
ウイルス定義データベースのバージョン: 3553 (20081024)
日付: 2009/04/19
時刻: 19:12:51
検査したディスク、フォルダ、ファイル: C:\1qlgu2wv.bat; C:\1yl.cmd; C:\2sdsu3.cmd; C:\3u.cmd; C:\3yseow89.exe; C:\6hbb9d1d.com; C:\6q.exe; C:\8a9q.cmd; C:\8d.cmd; C:\8r.cmd; C:\9.exe; C:\9max.cmd; C:\__autorun.in_; C:\_autorun.in_; C:\_k8tb.ba_; C:\a81lkgv.com; C:\AUTOEXEC.BAT; C:\boot.ini; C:\bootfont.bin; C:\bqail0n.cmd; C:\CONFIG.SYS; C:\cx820.bat; C:\em0x.exe; C:\eq0bstg.com; C:\f.com; C:\fmg83i.exe; C:\foikf6np.bat; C:\hiberfil.sys; C:\IO.SYS; C:\iybim.exe; C:\j.bat; C:\jj.bat; C:\kqa.bat; C:\l.cmd; C:\las99dn3.com; C:\m8c.cmd; C:\MSDOS.SYS; C:\n.exe; C:\nt.com; C:\NTDETECT.COM; C:\ntldr; C:\o.exe; C:\pagefile.sys; C:\qn1.bat; C:\r88p9u9j.cmd; C:\s9.cmd; C:\teau.com; C:\tmxunsw.com; C:\v91qw.com; C:\vb8jc.exe; C:\w.com; C:\xj8guf.bat; C:\y6.bat; C:\ykvqe2n.com
C:\hiberfil.sys - を開く際にエラーが発生しました [4]
C:\pagefile.sys - を開く際にエラーが発生しました [4]
検査したファイルの数: 53
検出された脅威の数: 0
終了時刻: 19:12:54 検査に要した時間: 3 秒 (00:00:03)
注意: [4]
ファイルを開くことができません。ほかのアプリケーションまたはオペレーティングシステムが使用中の可能性があります。

う、嘘っ…。
これだけの怪しさ爆発のファイル名がCドライブのルートにあるのに…なんで???

パターンファイルが古いせいか?と思って何度もアップデートするが同じ。
「ウイルス定義データベースは最新です」と表示されるだけ。

とりあえず、追加としてウイルスバスターのオンラインスキャンをかけて放置して食事。
こちらではなぜかクッキーぐらいしか検出せず。
腑に落ちないまま、この日は作業を中断。

そして翌朝。

あらためて起動して、「ゆうべのは何だったんだ?」と首をかしげながら、今度はカスペルスキーのオンラインスキャン(なんかメンテ中で「英語版を使え」と出てましたので英語版)でも試してみるか…とやってみたところ…。

なんかNOD32のタスクトレイアイコンから吹き出しが連発。
長いですが、一応提示しておきます。
以下、細かいところは気にせず、ざっくりスクロールした方が早いかも(汗)。

2009/04/20 6:21:10 リアルタイムファイルシステム保護 ファイル C:\xj8guf.bat Win32/Pacex.Genの亜種 ウイルス NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:21:02 リアルタイムファイルシステム保護 ファイル C:\ykvqe2n.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:21:02 リアルタイムファイルシステム保護 ファイル C:\ykvqe2n.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:21:01 リアルタイムファイルシステム保護 ファイル C:\y6.bat Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:21:01 リアルタイムファイルシステム保護 ファイル C:\y6.bat Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:50 リアルタイムファイルシステム保護 ファイル C:\w.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:50 リアルタイムファイルシステム保護 ファイル C:\w.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:49 リアルタイムファイルシステム保護 ファイル C:\vb8jc.exe Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:49 リアルタイムファイルシステム保護 ファイル C:\vb8jc.exe Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:48 リアルタイムファイルシステム保護 ファイル C:\v91qw.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:48 リアルタイムファイルシステム保護 ファイル C:\v91qw.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:47 リアルタイムファイルシステム保護 ファイル C:\tmxunsw.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:47 リアルタイムファイルシステム保護 ファイル C:\tmxunsw.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:47 リアルタイムファイルシステム保護 ファイル C:\teau.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:47 リアルタイムファイルシステム保護 ファイル C:\teau.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:46 リアルタイムファイルシステム保護 ファイル C:\s9.cmd Win32/AutoRun.PSW.OnlineGames.W ワーム 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:46 リアルタイムファイルシステム保護 ファイル C:\s9.cmd Win32/AutoRun.PSW.OnlineGames.W ワーム 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:45 リアルタイムファイルシステム保護 ファイル C:\r88p9u9j.cmd Win32/PSW.OnLineGames.OHP トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:45 リアルタイムファイルシステム保護 ファイル C:\r88p9u9j.cmd Win32/PSW.OnLineGames.OHP トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:44 リアルタイムファイルシステム保護 ファイル C:\qn1.bat Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:44 リアルタイムファイルシステム保護 ファイル C:\qn1.bat Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:44 リアルタイムファイルシステム保護 ファイル C:\o.exe Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:44 リアルタイムファイルシステム保護 ファイル C:\o.exe Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:43 リアルタイムファイルシステム保護 ファイル C:\nt.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:43 リアルタイムファイルシステム保護 ファイル C:\nt.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:42 リアルタイムファイルシステム保護 ファイル C:\n.exe Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:42 リアルタイムファイルシステム保護 ファイル C:\n.exe Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:41 リアルタイムファイルシステム保護 ファイル C:\m8c.cmd Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:41 リアルタイムファイルシステム保護 ファイル C:\m8c.cmd Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:40 リアルタイムファイルシステム保護 ファイル C:\las99dn3.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:40 リアルタイムファイルシステム保護 ファイル C:\las99dn3.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:40 リアルタイムファイルシステム保護 ファイル C:\l.cmd Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:40 リアルタイムファイルシステム保護 ファイル C:\l.cmd Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:39 リアルタイムファイルシステム保護 ファイル C:\kqa.bat Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:39 リアルタイムファイルシステム保護 ファイル C:\kqa.bat Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:38 リアルタイムファイルシステム保護 ファイル C:\jj.bat Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:38 リアルタイムファイルシステム保護 ファイル C:\jj.bat Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:37 リアルタイムファイルシステム保護 ファイル C:\j.bat Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:37 リアルタイムファイルシステム保護 ファイル C:\j.bat Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:37 リアルタイムファイルシステム保護 ファイル C:\iybim.exe Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:37 リアルタイムファイルシステム保護 ファイル C:\iybim.exe Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:36 リアルタイムファイルシステム保護 ファイル C:\fmg83i.exe Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:35 リアルタイムファイルシステム保護 ファイル C:\fmg83i.exe Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:34 リアルタイムファイルシステム保護 ファイル C:\f.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:34 リアルタイムファイルシステム保護 ファイル C:\f.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:34 リアルタイムファイルシステム保護 ファイル C:\eq0bstg.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:33 リアルタイムファイルシステム保護 ファイル C:\eq0bstg.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:33 リアルタイムファイルシステム保護 ファイル C:\em0x.exe Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:33 リアルタイムファイルシステム保護 ファイル C:\em0x.exe Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:32 リアルタイムファイルシステム保護 ファイル C:\cx820.bat Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:32 リアルタイムファイルシステム保護 ファイル C:\cx820.bat Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:31 リアルタイムファイルシステム保護 ファイル C:\bqail0n.cmd Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:31 リアルタイムファイルシステム保護 ファイル C:\bqail0n.cmd Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:30 リアルタイムファイルシステム保護 ファイル C:\a81lkgv.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:30 リアルタイムファイルシステム保護 ファイル C:\a81lkgv.com Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:29 リアルタイムファイルシステム保護 ファイル C:\9max.cmd Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:29 リアルタイムファイルシステム保護 ファイル C:\9max.cmd Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:29 リアルタイムファイルシステム保護 ファイル C:\9.exe Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:29 リアルタイムファイルシステム保護 ファイル C:\9.exe Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:28 リアルタイムファイルシステム保護 ファイル C:\8r.cmd Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:28 リアルタイムファイルシステム保護 ファイル C:\8r.cmd Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:27 リアルタイムファイルシステム保護 ファイル C:\8d.cmd Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:27 リアルタイムファイルシステム保護 ファイル C:\8d.cmd Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:26 リアルタイムファイルシステム保護 ファイル C:\8a9q.cmd Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:26 リアルタイムファイルシステム保護 ファイル C:\8a9q.cmd Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:26 リアルタイムファイルシステム保護 ファイル C:\6q.exe Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:25 リアルタイムファイルシステム保護 ファイル C:\6q.exe Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:24 リアルタイムファイルシステム保護 ファイル C:\3yseow89.exe Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:24 リアルタイムファイルシステム保護 ファイル C:\3yseow89.exe Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:24 リアルタイムファイルシステム保護 ファイル C:\3u.cmd Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:23 リアルタイムファイルシステム保護 ファイル C:\3u.cmd Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:22 リアルタイムファイルシステム保護 ファイル C:\2sdsu3.cmd Win32/Obfuscatedの亜種である可能性 トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:22 リアルタイムファイルシステム保護 ファイル C:\1yl.cmd Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:21 リアルタイムファイルシステム保護 ファイル C:\1yl.cmd Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:21 リアルタイムファイルシステム保護 ファイル C:\1qlgu2wv.bat Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションによって変更されたファイルでイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/20 6:20:21 リアルタイムファイルシステム保護 ファイル C:\1qlgu2wv.bat Win32/PSW.OnLineGames.NMY トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Program Files\Internet Explorer\iexplore.exe.
2009/04/19 19:57:59 リアルタイムファイルシステム保護 ファイル C:\WINDOWS\system32\revo0.dll Win32/PSW.OnLineGames.NMP トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Documents and Settings\Owner\Local Settings\Application Data\Trend Micro\HCMS\checkup\jp\checkupsvc.exe.
2009/04/19 19:57:59 リアルタイムファイルシステム保護 ファイル C:\WINDOWS\system32\revo1.dll Win32/PSW.OnLineGames.NMP トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Documents and Settings\Owner\Local Settings\Application Data\Trend Micro\HCMS\checkup\jp\checkupsvc.exe.
2009/04/19 19:57:55 リアルタイムファイルシステム保護 ファイル C:\WINDOWS\system32\pytdfse2.dll Win32/PSW.OnLineGames.NMP トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Documents and Settings\Owner\Local Settings\Application Data\Trend Micro\HCMS\checkup\jp\checkupsvc.exe.
2009/04/19 19:57:22 リアルタイムファイルシステム保護 ファイル C:\WINDOWS\system32\haozs0.dll Win32/PSW.OnLineGames.NMP トロイの木馬 削除によって駆除されました - 隔離しました NT AUTHORITY\SYSTEM アプリケーションがファイルにアクセスしようとしたときにイベントが発生しました: C:\Documents and Settings\Owner\Local Settings\Application Data\Trend Micro\HCMS\checkup\jp\checkupsvc.exe.

…うーむむむむむ…。
どうやら、IEを使ってカスペルスキーオンラインスキャンで該当ファイルに「触った」時に、NOD32のリアルタイムスキャンが反応したようです。

もう一度、NOD32の設定画面をよくよく見てみたら、アップデートの画面では…。

ウイルス定義データベースのバージョン:4019(20090418)
↑クリックで拡大します

ウイルス定義データベースのバージョン:4019(20090418)

なんですが、検査画面では…。

ウイルス定義データベースのバージョン:3353(20081024)
↑クリックで拡大します

ウイルス定義データベースのバージョン:3353(20081024)

…( ̄△ ̄;
なんか古いまんまなんですけど…。

どうもこの体験版NOD32、動きがおかしいんじゃないかと…。
おそらく、リアルタイム検出では最新版、手動検索では古い版で検索してしまっているようです…。
お試し版でそんな調子じゃぁ、あきませんやん…。

※追記 2009/04/26
コメントにてご指摘をいただきましたが、どうやらこの表現は正確ではないようで、「コンピュータの検査」画面では、「『前回の手動検索に使用した』ウイルス定義データベースのバージョン」を表示している可能性が高いようです。
あの画面写真では不明確ですが、状況から考えるとそう解釈できますので、まだ検証してませんが追記しておきます。

とはいえ、手動チェックでは見落としていた、

C:\WINDOWS\system32\revo0.dll
C:\WINDOWS\system32\revo1.dll
C:\WINDOWS\system32\pytdfse2.dll
C:\WINDOWS\system32\haozs0.dll

は検出してくれてました。
検出時間から言えば、これはゆうべのトレンドマイクロのオンラインスキャンをかけた時に「リアルタイム検出」してくれてたようですね。
他のファイルをゆうべ検出しなかったのは何でだろう??
まぁ、一応は、インストールしておいてよかったと言えますね。
ちなみに、カスペルスキー博士は、NOD32が駆除してくれた後だったからでしょうか、クッキーとインターネット一時ファイルぐらいしか検出しませんでした。

なんかだんだん信用できなくなってきたので、さらにシマンテックオンラインスキャンをかけてみた。
これも長いので、しばらく放置。
で、検出されたのは…。

C:\2sdsu3.cmd は W32.Gammima.AG に感染しています。
C:\6hbb9d1d.com は Trojan.Packed.NsAnti に感染しています。
C:\foikf6np.bat は Trojan.Packed.NsAnti に感染しています。
C:\xj8guf.bat は Trojan.Packed.NsAnti に感染しています。

まだ消し残しがあったようです…。
Cドライブのルートにこの手の余分なファイルはあるはずもないので、とにかく削除です。

で、前回の記事でリネームで対処した悪性ファイルに関しては、というと…NOD32、ウイルスバスターオンラインスキャン、カスペルスキーオンラインスキャン、シマンテックオンラインスキャン、全てにおいて検出しませんでした。

最終的に、納品時にインストールしたウイルス対策ソフトは、お客様のご希望をお聞きして、更新料金と年次更新の手間がポイントでウイルスセキュリティZEROになったんですが、それでもリネームした本体は、悪性ファイルとして検出しませんでした。
まぁわかっているものなので削除して終わりですが、以前はリネームしたものも削除してくれてたように記憶してたんですが…気のせいですかねぇ。

いろいろありましたが、なんとかStop:0x00000024のブルースクリーンから生還し、ウイルスも除去し、予防までできたわけです。
お客様としては満足していただけたようです。

…とまぁこんな感じの引取修理をやってます。
詳しくは、http://pcdoc.jp/ をご覧ください。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2009年04月20日(月) ウィルス・スパイウェア関連, ソフトウェア不具合関連, ソフトウェア不具合関連(セキュリティホール), パソコントラブル, パソコン・インターネット, 企業(メーカー・プロバイダ等)の姿勢, 日記・コラム・つぶやき |

« またもやStop:0x00000024。今度はierdfgh.exeとセット。 | トップページ | それでいいのかKingsoft! »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連」カテゴリの記事

ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

企業(メーカー・プロバイダ等)の姿勢」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/44761475/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: 大丈夫かNOD32!:

コメント

2.5 → 2.7 → 3.0.x → 4.0.x と NOD32 を愛用しています。
本日 ESET NOD32 V4.0.314 から V4.0.424 にアップデートしました。

上書きインストールすると、
Update virus signature database は
Update is not necessary - the virus signature database is current.

でも Last successful update の日付は 2009/04/24 で
Version of virus signature database の日付は 20090409 なり。

体験版ではなく、本家の最新版の話です。どうやらこれは仕様のようです。

投稿: 青鉛筆 | 2009/04/24 22:46:50

>検査ログ
>ウイルス定義データベースのバージョン: 3553 (20081024)
>日付: 2009/04/19

検査前にアップデートしてなかっただけではないかと。

投稿: やまかん | 2009/04/26 2:09:16

青鉛筆 さん

製品版も同じですか…。
そういう話って聞いたことがなかったので、貴重な情報をありがとうございました。


やまかん さん

>パターンファイルが古いせいか?と思って何度もアップデートするが同じ。
>「ウイルス定義データベースは最新です」と表示されるだけ。

って書いてるのを読んでなかっただけではないかと。

投稿: ささもと | 2009/04/26 6:11:43

久しぶりにコメントさせて頂きます。
いつもブログを楽しみに拝見しております。
自分もNOD32を推奨しておりましたのでブログの内容は衝撃的でした。
今までウィルス駆除の際にNOD32の体験版も利用していました。
しかし記事のような現象は起きておりませんでした。
まさかと思い現在ウィルス駆除作業中のPCで試してみましたがやはり最新パターンファイルで手動検査も完了しております。
ただブログのスクリーンショットから実際に起きた現象だというのは間違いないと思われます。
他の方のコメントでも仕様という風に書かれていますが、もしこれが仕様であれば致命的です。
今回の原因は分かりませんがトレンドマイクロのオンラインスキャンでもかからなかったというのが気になります。。。
ささもとさんのブログの影響は大きいのでもう一度別のPCで試されてはいかがでしょうか?
自分もお客さんにはNOD32をお勧めしておりますので今回の原因が気になっております。

投稿: EDO | 2009/04/26 11:59:28

いあ、ですから、SSを見ると、
前回スキャン日2009/04/19 19:12:54
そのときのDBが2008/10/24になっています。

ちなみに、nod32_01.jpgは、手動検索に使われる内容を
表示しているのではなく、最後に手動検索を実施したときの
内容を表示している・・・ということで認識あってますよね?

そして、データベースのバージョンが上がったのが
2009/04/19 19:50:00
となっています。
(ここで2009/04/18版に上がってますね)

この情報を見ると、2009/04/19 19:12頃?に
スキャンを始めたときは古いものだった。
けど、その後(スキャンが終わった後?)に、
データベースが更新された。
というふうに私には見えます。

その後に何度アップデートしようと、
「ウイルス定義データベースは最新です」と出るのは
当然だと思います。

重要なのは、スキャンした後のデータベースのバージョンではなく、
スキャンに使用したデータベースのバージョンだと思います。
終わった後に何度バージョンを確認してもあまり意味はないと
思います。

私もついさっき試してみましたが、体験版インストール後に
アップデートしたところ、EDOさんが書かれているように
最新パターンで手動検索に成功しましたよ。

というわけで、手動検索実施前にバージョンを確認
していなかっただけではないですか?

投稿: やまかん | 2009/04/26 16:29:21

参考情報として。

NOD32 V4.0 が ESET のサーバーにアクセスすると、
通知領域の「目玉」アイコンがグルグル回転します。
今回のバージョンアップでも目玉は回ったのですが……。
今さらですが、スクリーンショットをとっておけばよかったですね。

投稿: 青鉛筆 | 2009/04/26 17:22:44

やまかん さん

あの一行コメントではご指摘ポイントが違うのでそこまで分かりませんでしたが、ようやくご指摘内容を理解できました。

>ちなみに、nod32_01.jpgは、手動検索に使われる内容を
>表示しているのではなく、最後に手動検索を実施したときの
>内容を表示している・・・ということで認識あってますよね?

要するに、この画面でのバージョン表示は、「今から手動検索で使われるバージョン」ではなく、「最後に手動検索をした時のバージョン」を表示していた、と、こういうことですよね。

最初からそう書いていただければ、ああいう返し方はしなかったんですけど…。

記事に追記しておきます。
ご指摘ありがとうございました。

EDO さん
コメント返信が前後しますが…
どうやら「この表示方法」が「仕様」ということのようです。
とはいえ、あの表示方法(「アップデート」画面と同じフォーマット)では、「これからの手動検索に使われるバージョン」なのか「前回検索に使われたバージョン」なのか、一瞬わかりません。
おそらく、普通の人にはそこまでわからないでしょう。
そういう意味で言っても「大丈夫かNOD32!」になりますが。
お勧めする際にはご注意を。

それにしても、ウイルスバスターのオンラインスキャンでCのルートのマルウェアが発見されなかったのは気になります。
ログファイルから言えば、そのタイミングでスキャンがかかっていたのは間違いないはずですので…。

投稿: ささもと | 2009/04/26 18:14:58

ネットカフェでNOD32が結構導入されているんですよ。
んで、PCの電源を切ったり、再起動時にPCに保存した内容が
削除されるのはネットカフェの常識。
その中で当然ウィルス定義ファイルも「元のバージョンに戻る」んですね。

かなり怖いかも。
ただ、PCの環境が元に戻るソフトがインストールされているからという
理由でウィルス対策ソフトがインストールされていないネットカフェもあります。
すみませんちょっと話がそれました・・・

投稿: | 2009/04/27 2:53:50

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« またもやStop:0x00000024。今度はierdfgh.exeとセット。 | トップページ | それでいいのかKingsoft! »