悪代官の伏魔殿掲示板
深刻な状態です失礼します
※投稿失敗したようなので再度失敗します。
こんにちは緊急事態になりましてこちらから失礼します。
混乱してる為に初めてのこともあり不手際があればすみません。パソコンはネットから切り離しておりスマホから見づらい状態で入力してますので不備あるかも知れません。
環境はWindows10 64bitガレリア SSDとHDDの構成でセキュリティ対策はカスペルスキーですがうかつに触れないため現在これ以上の情報は得る事が出来ません。
ウイルスが入ってる可能性の高い家族の外付けHDDを不本意ながらパソコンに接続しました。
セキュリティに疎い家族が使ってたので嫌な予感はしてました。
カスペルスキーは外部メディア接続時の設定が簡易スキャンでした。
USB3.0で疑惑のHDD(元々バックアップ用でOSデータなど無し)を接続、カスペルスキーは特に反応なかったもののウイルスが入ってるであろう確信があったので問題のHDDをカスタムスキャン致しました。
すると悪意のあるツールを検出しました駆除できませんと出たのですが駆除出来ないケースが初めての為一度カスペルスキーと駆除出来ないケースの組み合わせでググったのですが同じような状況が見当たりませんでした。
とりあえず削除を一度選びましたが削除しきれてなかったようでセーフモードで再起動させ再び同じソフトが検出されたので削除しました。
セーフモードだとカスペルスキーが本来の性能を発揮できないと警告は出てたのですが旧来からの考えでの事でした。
セーフモードのまま完全スキャンを選択し実行したのですがスリープで中断された経験があったのでデスクトップからマウスをクリックし設定メニュー電源スリープの項目まで進んだところ
「このアプリケーションでスタックベースのバッファーのオーバーランが発生しました このオーバーランにより悪質なユーザーがこのアプリケーションを制御できるようになる可能性があります」とエラーダイアログが出てスマホでこのワードをググったとこ全く同じ事例は出ませんでしたがmicrosoftコミュを見るとかなり深刻そうでしたのでこちらに伺いました
  • まるお
  • 2019/10/06 (Sun) 19:29:15
返信フォームへ 
Re: 深刻な状態です失礼します
対策はもとよりですが最も知りたい事柄としましてexeファイルを実行しなくても外部メディアを接続しただけでウイルスに感染するのかウイルス対策ソフトがウイルスのexeファイルをチェックした時点でもウイルスとして動き出すのか
すでにパソコンの他のファイル(写真など救出したい)に広がってるのか教えて頂きたいです。
憔悴しており日本語変なとこあるかも知れませんがすみません。
  • まるお
  • 2019/10/06 (Sun) 19:32:59
返信フォームへ 
各ログに関して
追記:昔他のパソコンでお世話になったのでログetcの件は存じてますが今回は急な状況でネット切りましたので準備出来ませんすみません。セーフモードのまま現状維持してます。
  • まるお
  • 2019/10/06 (Sun) 19:40:18
返信フォームへ 
追記
セーフモードのまま現状維持してますが外付けメディアを外しカスペルスキーでパソコン本体を完全スキャンしたところ検出無しでした
  • まるお
  • 2019/10/06 (Sun) 19:44:45
返信フォームへ 
仕事に使うPCでは協力できませんが
こんばんは。
説明をうかがいました。
以前も相談された方ですか。

ログを取れない現時点では解析もできないのでできる説明も限られますが、添付された画像を見ると現在お仕事に使っているPCでのトラブルですか?
仕事に使うPCでのトラブルには自分も含め外部の人間はタッチできないと思ってください。

ただ画像で見るとカスペが検出したのはダウンロードフォルダに置かれたspeedupmypcのインストーラーファイルらしく、それをインストールしてなければ実害は受けていないはずです。
アプリも悪評多いのでカスペが隔離するか、手動でゴミ箱に移動してかまいません。
ゴミ箱に移せなければ起動中ということなのでなにがしかの対処は必要になりますがそのおそれは薄いでしょう。

>スマホでこのワードをググったとこ全く同じ事例は出ませんでしたがmicrosoftコミュを見るとかなり深刻そうでしたのでこちらに伺いました

あちらのコミュに相談しなかったのは賢明です。解決に役立つレスも、解決できそうな場所への誘導もNGとなってしまって見識ある回答者は流出してしまいましたから。。

>ソフトがウイルスのexeファイルをチェックした時点でもウイルスとして動き出すのか
>すでにパソコンの他のファイル(写真など救出したい)に広がってるのか教えて頂きたいです。

件のアプリなら悪評は多い物のインストールしてなければ起動もしないし、バックアップも進めてかまわないでしょう。

カスペで検出したファイルの隔離できたらPCを通常モードで再起動して再度カスペでスキャンして、検出がなくなれば沈静化したということでHJTとインストール情報ログをとってからそれをレスで見せてもらえますか。
またお仕事に使うPCか否かも教えてください。
そのログを見てから可能な範囲で案内しましょう
  • 悪代官
  • 2019/10/06 (Sun) 21:13:31
返信フォームへ 
こんばんは
返信ありがとうございます
渦中のパソコン自体は完全にプライベートで仕事利用してませんが面倒起こした外付けHDDの中身は昔家業で家族が使ってたパソコンのマイドキュメント周りで仕事絡み的には若干エクセルをバックアップしたものになります。難しいでしょうか?
セーフモード/カスペ完全スキャン中に設定開いた際のエラーも改めて画像添付致しましたがコチラも特に気にしなくてネット接続してもよい感じでしょうか?
完全スキャンのセキュリティレベルを推奨から上限の高レベルまで上げてセーフモード完全スキャン後に通常モードで再起動させて同様に高レベル設定で完全スキャンしましたが反応は特に無しでした。
アプリに関してはそれらしきexeファイルは3件なのに検出としては100件ちょっと(exeファイル内の有害コード検出回数ですかね?)で隔離項目も無かったのでそのまま削除としました。
  • まるお
  • 2019/10/06 (Sun) 21:56:07
返信フォームへ 
私からも説明しますね
こんばんは、IVNOと申します。
各種補足を行いたいと思います。

まずカスペで検出されたものですが、こちらはアド(広告)ウェアのインストールファイルですね。
広告収入を目的としたもので、実際には不必要であるにもかかわらず、あたかも課金しなければPCが壊れるかのごとく過剰に利用者の不安を煽って、ソフトウェアの購入(課金)を促す類のものです。
こちら「だけ」であるのなら、PCにインストールしていなければ感染の可能性はゼロです。

さて次にバッファオーバーランが発生した件についてですが、これはよくあるバグの一種ですね。
早い話が、あなたは1~100までの数字を扱えますよとPCが決めているのに、1~100まで全部使い切って101以降の数字を使ってしまった状態です。
このバグのことをバッファオーバーランあるいはバッファオーバーフローと言います。
クラッカーがこのバグを悪用してPCを乗っ取る場合もありますが、一般的にクラッカーが個人所有のPCを狙うことはまずありません。
個人のPCを乗っ取り情報を搾取したとして、そこにいかほどの価値があるかと言う話ですね。
同じ労力を割く(リスクを負う)のであれば、企業PCから情報を搾取し、その情報を売って金銭にする方がはるかに効率的です。
もし個人所有のPCを狙うとするなら、キーボードの入力情報を自動でクラッカーに送信するキーロガーと呼ばれるマルウェアを使うのが一般的です。
そしてキーロガーを使う場合、これらのバグを利用する必要性は一切ありません。
以上のことから、今回発生したバッファオーバーランは、カスペによるフルスキャン等メモリ消費量の増大によってメモリ不足に陥り、結果として偶然発生したものと推測され、感染とは無関係であると思われます。

では次に、外付けHDDを挿入しただけで感染するか否かについてですが、Windowsにはメディアとデバイスの自動再生と言う機能があります。
外付けHDDに自動再生を行うためのAutorun.infと言うファイルがあり、かつそのAutorun.infが感染により内容を書き換えられているのであれば、外付けHDDを挿入しただけで感染する可能性はあります。
この自動再生に関してはコントロールパネルで設定の変更ができます。
詳細は添付した画像をご確認ください。

もう一方のセキュリティソフトによる検査で該当ソフトウェアが起動するというのは、仕組み上あり得ません。
たとえ話ですが、セキュリティソフトによる検査は言うなれば自動車の車内や足回りを点検して安全かどうかを確認するものです。
これに対して感染するとは、自動車を運転して意図的に暴走させる行為です。
ですので、セキュリティソフトが引き金となる感染はありません。

と言うことで、私からの補足は以上となります。
後は悪代官さんのご判断をお待ちください。
  • IVNO
  • 2019/10/07 (Mon) 01:21:54
返信フォームへ 
共用PCでのトラブルは全ユーザーの同意協力が不可欠です
レスが遅くなってすみません。

IVNOさん、フォローありがとうございます。

まるおさん、該当のPCはご家族と共用ということですね。
とすると、まるおさんおひとりの判断では処置できないことになります。

>渦中のパソコン自体は完全にプライベートで仕事利用してませんが面倒起こした外付けHDDの中身は昔家業で家族が使ってたパソコンのマイドキュメント周りで仕事絡み的には若干エクセルをバックアップしたものになります

仕事に関係ないファイルでも共用ユーザーのものが入っているPCでのトラブル時は、そのPCを共用しているユーザー全員に状況を説明の上、全員が協力と同意のうえでのみ対処が可能になります。
仕事とは無縁のデータでも作業中に破損で失われたら復元は困難だし、ましてや仕事データとなるとご家族でも下手に見るのは職場だけでなく取引先との信用問題にも発展します。

何より当掲示板で作業に使っている各種ツールは「個人非商用PCでのみ使用可」のフリーソフトなので、仕事絡みのPCには使うことはできませんし自分もその案内はできません。

可能な範囲でできる案内としては、共用ユーザー(ご家族)に事態を説明したうえで、仕事関係を含む必要データのバックアップしたうえでPCの初期化後、PC環境を再構築するのが無難ですね。
ただしこれも仕事場との兼ね合いと、全ユーザーの同意協力を得たうえで行う対処で、どなたかおひとりでも同意得られなければ無理に進めることもNGです。

IVNOさんも仰られたように該当のインストーラファイルは実行してインストールしていなければ危険もまず受けてないはずです。
どこかの行儀悪いサイトで他のアプリのダウンロード時にでもおまけで入れられた可能性が高いと思われますが実行してなければそのファイル削除で片付きます。

個人経営の小規模事業所のデータでも、衆人環視の掲示板上にログを公開するのは損はあっても得はありません。
現在ご家族がPCを使っていないとしても不要なデータであれば削除を兼ねて一度初期化しておくのが確実と認識してください
  • 悪代官
  • 2019/10/07 (Mon) 21:15:25
返信フォームへ 
かしこまりました
お二人ともありがとうございます
とりあえず後はカスペを信頼して本件はこれで終わりにします。
  • まるお
  • 2019/10/07 (Mon) 22:55:36
返信フォームへ 

返信フォーム
プレビュー (投稿前に内容を確認)
  
Template by  マシマロック