悪代官の伏魔殿掲示板

こんばんわ悪代官様、知恵袋にての相談についてですが、他ユーザー様の掲示板では別の件について相談している最中なのでこちらにお邪魔させていただきました。　　　　　　　　　　　　　　　　　　　　　　知恵袋でお答えしたウイルス検知の結果についてですが、　　　　　　　　　　　　　　　　　　　　　　実は先月に私のPCはウイルスにやられてしまった為、やむおえずリカバリをしました。　　　　　　　　　その後更新プログラムのインストールは行いましたがwin10への更新はしておりません。　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　ただoutlookメールの使用やセキュリティソフトの再インストールの為に3日ばかりセキュリティソフトなしの状態で少しの間ネットを使用してしまいました；←この時のスキャンでC:\Windows.old\Documents and Settings\All Users\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\K7 Computing\K7TSecurity\K7AntiVirus\Quarantine\C06B059A2FE0CBA971A0EE21CDA316E5.k7v is a Trojan ( 004b8bad1 ) 削除されました　　　　　　　　　　　　　　　　　という検知が出たのです。それでもしや上記の作業中にまたウイルスが入り込んだのかと思い、知恵袋にて相談にのってもらっていたんです。　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　ですが、悪代官様からの返信を見ますと検知されたのは過去にウイルス感染したファイルの情報ということで、　本物のウイルスに感染したという検知ではないという見解でよろしいでしょうか？　

こんばんは。
知恵袋から移動された方ですね。
あちらでもレスしたakuda_ikanこと悪代官です。

↓サイトでの投稿も見せていただきました。
http://ore-sama123.bbs.fc2.com/?act=reply&tid=5674894

現在そちらでの作業が進行中なので、こちらでは自分からの作業指示は控えておきます。

oldフォルダがあったのはWin10へのアップグレードではなく、PCのリカバリしたためですね。
それならリカバリ自体は問題ないでしょう。

>検知されたのは過去にウイルス感染したファイルの情報ということで、　本物のウイルスに感染したという検知ではないという見解でよろしいでしょうか？

リカバリ前に入りこんだモノが本物のマルウェアか、または行儀悪いだけの迷惑プログラムなのかはいまははっきりわかりません。
ただ、リカバリすると以前のWindowsのデータのいくばくかはoldフォルダに記録されます。
といっても、マルウェアなどがそのまま保存されるのではなく、過去のデータを項目ごとに並べて「資料」として保存しているような形と思ってください。
リカバリ前のデータがリカバリ後に動くこともないので、既にもう危険はないものの名前だけがリストに残っていると思えばわかりやすいでしょうか。

ZEROでoldフォルダから検出されるのも、以前に残っていたマルウェアの残骸名にZEROが反応してそれを検出し続ける状態です。

この場合の対処ですが、ZEROで該当エントリの「除外設定」すれば以後はそこからの検出もなくなります。

>Windows.old\Documents and Settings\All Users\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\K7 Computing\K7TSecurity\K7AntiVirus\Quarantine

「スーパーセキュリティZERO」なら除外設定は下記ページの手順ですね。
http://www.sourcenext.com/support/qa/?faq=BD-06280&c=3519a1df-c338-471f-9804-5c5eeea6f370

これをやったあと、しばらく様子見してから件の検出が沈静化したか、まだ続くかをレスで教えてください。

なお、「マルウェアなんでも掲示板」の作業はそちらの指示に従って続けてください

現在はスキャンをしても以前のような検知はされませんが、現在使用しているソフトは普通のセキュリティZEROの方なのでできればこちらの除外設定方法を教えていただければ助かります。

>現在使用しているソフトは普通のセキュリティZEROの方なのでできればこちらの除外設定方法を

はい、では下記ページをサンショウウオ↓
http://www.sourcenext.com/support/qa/?faq=VS-01542

それと、あちらの掲示板でシリアルを公開しているようなのでそこは至急編集で削除したほうがいいです

現在ルーター電波の調子が悪くネットに繋がらないので携帯から返事してます。 シリアル番号は管理人様が削除してくださっていました;迂闊でした;;

参考を元に先程除外設定をしました。ご協力ありがとうございました。 前回の検知結果の正体を自分なりに把握してみましたが とりあえず私のPCは現在はウイルス感染はしておらずソフトの誤検知だったという事でしょうか？

レスが遅くなってすみません。
先程まで風呂入ってました（←うちの風呂には由美○おるはいません

>とりあえず私のPCは現在はウイルス感染はしておらずソフトの誤検知だったという事でしょうか？

簡単に言えばそうなりますね。
以前に入りこんだマルウェアを残したままPCをリカバリしたせいで、マルウェアそのものは消えたはずですがその『記録』だけがoldフォルダに保存されたせいでZEROがその記録データに過剰反応して検出を続けていたようです。
珍しい症状ではありますが、今回は実害はないのでよしとしましょう。

少し説明すると、ある種の巧妙かつ凶悪なマルウェアの中には、普通にリカバリしても消えず、その後もPC内にしっかり残って活動を続けるモノも存在します。

一例を挙げると、HDD内に特殊なパーティション（ドライブ）を作成してその中に隠れるマルウェアがあり、この種のマルウェアだけでも当掲示板で複数回見つかって処置したことがあります。
これのどこが凶悪かというと、一般的な手順のリカバリではCドライブまたはCとDドライブだけをリカバリするという形が多いですが、ユーザーが自ら新たなパーティションを作成設定してPC運用していると、リカバリの菜にもそのパーティションはリカバリされずそのままになります。
これと同様、マルウェアが勝手に作成したパーティションも普通のリカバリでは消えないのでそのパーティションに隠れたマルウェアもそのまま残るわけです。

普通のユーザーではリカバリ後も同じ異常を引きずるマルウェアなど考えもつかなかったでしょう。
他の種のマルウェアとはまったく異なる、危険度も段違いの超凶悪マルウェアです。

これが見つかった時は当然相談者さんには再度PCのリカバリしてもらいましたが、普通にリカバリしてもまた同じことの繰り返しなので、もうひと手間かけて作業してもらいました。
その手順説明はここでは省きますが、仕掛けがわかればその対処はさほど難しくはありません。

リカバリが万能の対処法と油断することはないよう覚えておいてください。

さてZEROで除外設定後は件の検出も治まってますか？
もし続いていればそれを教えてください。

治まっていればこっちはいいので、「マルウェアなんでも掲示板」での作業を続けてください。
複数の場所で異なる回答者から別の指示を受けて作業を同時に行うと、互いの作業干渉による不具合や失敗も起きます。
こちらでは自分からの指示は控えるので、あちらの指示を優先してください。

自分もあちらの掲示板はできるだけ見ておきますので、必要と判断したら自分からも続きのレスします

返信遅れました; 明日全スキャンをかけてみて何か反応があればまた報告いたします。 ちなみに私のPCのリカバリは購入時に付いていた専用のリカバリディスクから実行しました。 (このディスクがないと初期化自体できない仕様のPCだったので;) 悪代官様の言っておられるリカバリしても消えないマルウェア感染だけは勘弁願いたいものです;(恐)
ではまた明日....

除外設定有効状態での全スキャン完了しました。
異常はありませんでした、これからは別件の解決作業に専念いたします。