これは古いバージョンのカスペルスキーを使っていて問題が起きたケースです。
やり取りは長いですが、無事解決しています。
質問
突然、パソコンに、カスペルスキーの警告の小さいサイズの黄色のバナーのようなものが出てきました。
そこには
ファイルC:\programData\--------はユーザーに隠されています(隠蔽されています)
という表示が次から次へと出てきました。
はじめてのことなので恐ろしくなってスキャンしたところ、検知した脅威というものが、⚠のものがずらりと並んでいて、どれも、HiddenObject.Multi.Genericとでています。
これは、ウイルスとかスパイウエアに感染してしまったのでしょうか?
状態の部分は アクティブではありません となっていますが、はじめの頃は 駆除していません のような表示だったと思います。
駆除する方法があったら教えてください。
カスペルスキー2013というものを使っています。
全くパソコンに無知なので分かりやすく教えていただけると助かります。
今の状況がどのようなものなのか、
また、対処の方法を詳しく教えていただけるとありがたいです。
私のコメント
詳しい状況を教えてください。
①C:\ProgramData 配下のパス
おそらく検知したファイルリストは決まったフォルダ内に多数出力されています。
その共通のフォルダ名を教えてください。
②検知したファイル名の共通点
拡張子は決まってるんじゃないかと思います。tmpかなと思うのですが。。。
ファイルタイムスタンプはどうなってますか?起動に合わせた時間になっているとか、あるいは定時間間隔になっているとかありませんか?
③検知したのはいつから?
質問者さんのコメント
①C:\ProgramData 配下のパス
「パス」という所がProglamDateの後は
Corel\Messages\54025131_00750~~~tmp
などとなっているものがたくさんあったり
Corel\Messages\54025131_00750~~~log
C:¥Programfiles(x86)¥kaspersky ~~_preview.jpg
C:¥Programfiles(x86)¥kaspersky Lab\~~~\content blocker@kaspersky.com~~~lsi_sas3.inf_loc
といったような感じのものなどがありました。
②検知したファイル名の共通点
tmp というものもあれば、
log、loc、xml、cab とか dll などというものもあり、様々でした。
ファイルタイムスタンプはどうなってますか?
ファイルタイムスタンプいうものが今一つ分からないのですが、検知された日時というものがどれも
10月26日の21:49~22:09までの約20分間の間です。
隠しファイルの検知(2850件)となっています。
③検知したのはいつから?
上記と同じ21:49からです。
私のコメント
Corel 社のソフトは使っていますか?
例えば富士通のパソコンならCorel Digital Studioがプリインストールされていると思います。
その他にも多数あり、RoxioもCorel社の一部門です。
そういったソフトは何かありますでしょうか?
それとkasperskyの製品名とバージョンを詳しく教えてください。
質問者さんのコメント
fujitsu なので初めから corel が入ってました。
それとRoxioも五年位前から入ってます。
カスペルスキーはinternet security2013です。バージョンは 13.0.1.4190(n) と書かれてます。
28日からパソコンの立ち上げたさいに画面が真っ黒だったり反応しないという症状が出てます(>_<)
ウイルスのせいですかね?
私のコメント1
まず、本来の C:\ProgramData\Corel\Messages\ 配下の用途はCorel社のソフトウェア(Corel Digital StudioやRoxio)の言語メッセージフォルダです。
Messages フォルダ配下には大量のフォルダ(54025131_00750など)があります。
この一つ一つが、各言語フォルダとなっています。
例えば、「設定」という文字があったとします。
英語なら「540213843_000000」フォルダ内のデータを取ってきて「Settings」と表示したりします。このようにすることで多言語の表示を実現できるんですね。
「54025131_00750」フォルダ内のデータが何語用なのかは調べたけどちょっと分かりませんでした。中を実際に見れば見当つくかもしれないですが。。。
もし「54025131_00750」フォルダがビンゴで日本語用だった場合にはCorel社のソフトの画面表示がバグる可能性があります。デフォルトの英語になる、あたりが可能性として高いです。
私のコメント2
Kasperskyの方ですが、
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2013\QB
ということはありますでしょうか?
チェックポイントは QB フォルダかどうかです。
QBフォルダであれば、検知したファイルを隔離する隔離フォルダになります。この場合、特別な問題はないです。
他のフォルダの場合、可能性としてはKasperskyを不正に止めたいウイルスの可能性もあります。まだ断定はできないです。
私のコメント3
HiddenObject.Multi.Generic は ヒューリスティック検知アルゴリズム での検知名です。
詳しく言うと、ウイルスとは断定していません。
カスペルスキーがファイルをスキャンしたときに、そのファイルが疑わしいと判断したものです。
この疑わしいと判断する方法は、ファイルの中に書かれたデータ(つまりプログラム用語で言う関数)が不正な動きをしそうという理由です。
これもこれだけでは過剰検知の可能性はあります。
私のコメント4
カスペルスキー2013のライセンスはどうなっていますでしょうか?
最新だとカスペルスキー2017だと思います。
ライセンスを更新しているのであれば最新版へのバージョンアップが可能かと思います。
更新していない場合、パターンファイルの更新が行われないので、防御力がほとんどないことと、サポートされないので誤検知の可能性があります。(悲惨なのはライセンス更新しないとわざと誤検知するケースがあります。カスペでそんなことがあるかどうかはちょっと分からないです)
私のコメント5
カスペルスキーのライセンス状況にもよりますが、下記のオンラインスキャンをしてみてください。
フリーで使えるオンラインスキャン
http://secstar.blogspot.jp/2016/09/blog-post_79.html#online-scan
手順はカスペルスキーの検知を一旦無効化して、そのうえでスキャンします。トレンドマイクロがいいかと思います。
ここまでの回答がそろったら、次考えてみたいと思います。
質問者さんのコメント1
① はじめの、
---もし「54025131_00750」フォルダがビンゴで日本語用だった場合にはCorel社のソフトの画面表示がバグる可能性があります。
というものは、特に緊急でどうにかしないとならないというものではないですかね。
ひとまず放っておいていいのでしょうか。
質問者さんのコメント2
②-----Kasperskyの QB フォルダかどうか
という件について。
QBではなく、FFExt や IEExt や KLWFPX64 や skinというものでした。
2013より後ろの部分は以下のような感じでした。(全ての検知されたものを載せるのは不可能なので一部分だけです)
2013¥FFExt\content_blocker@kaspersky.com\chrome\components\contnt blocker pcom gecko17\lsi_sas3.inf_loc
2013¥FFExt\online_banking@kaspersky.com\chrome\components\online banking xpcom gecko15\boder_3lines_07.png
2013¥FFExt\url_adviser@kaspersky.com\chrome\components\url_advisor_xpcom_gecko22\File format gpr
2013¥KLWFPX64\spr2013fpo2_3v2dt.xml
これはカスペルスキーのブロックするようなものですか?
質問者さんのコメント3
③カスペルスキー2013のライセンス
有効となっています。
有効期限が表示されてませんが。
ライセンスは更新していますが
バージョンアップをしてこなかったので意味ないかもしれません( ノД`)シクシク…
④トレンドマイクロがいいかと思います。
ありがとうございます。実行してみました。
でも 2/3以上までスキャンしている途中では、検出されたものが1件と表示されていましたが、
そこから席を外したらその間に終わったのか
いままでスキャンをしていると表示されているところが
真っ白な画面になっていて、ただ「30日無料お試し」みたいなものと「製品を購入」というものだけになっていました。
結局スキャンで検出された1件についての詳細も何だったのか分からず仕舞いです。
それで結局わからなくなてしまったので、カスペルスキー2013をいったん削除して
17.0.0.611(b) のバージョンにしましたが、やっても平気でしたか?
質問者さんのコメント4
新しくしたカスペルスキーをインストールして、完全スキャンした後に検知した物が8つあって、そのどれもが以前にスマホのバックアップを取ったものでした。
詳細を見たら、HEUR:Trojan-Downloader.script.Generic と出ていて、オブジェクトの種別が、トロイの木馬となっていました。
これって、感染したってことですよね 泣
これらの検知したオブジェクトに対して「解決」とあったので、クリックしたところ、「駆除」というボタンがなく、「スキップ」と「削除」と「キャンセル」だったので、削除をしました。
でも本当にできているのか不安です。
あなたにお伺いする内容がどんどん山のように増えてしまって、本当に心苦しいですが、分からな過ぎて恐くて不安です。
分からない言葉が出てくるたびにスマホで検索しながら、色々調べたりして、でもまた分からないことに出くわしたりして...泣
このあと、どうすればいいでしょう。
私のコメント
まず、古いバージョンでのスキャンのことは忘れましょう。
その時の検知ファイルは、Corelの言語ファイルと旧バージョンのカスペルスキーのフォルダの中だけなので、問題はないです。
新バージョンの方ですが、Trojan-Downloader.script.Generic はトロイの木馬でスクリプトをインターネットからダウンロードする機能を持っています。
ただし、Generic と書かれています。一般的にインターネットからファイルをダウンロードする機能を持ってるファイルを多数検知するものです。完全にウイルスかどうかは分かりません。
もしスマホのバックアップであれば、そういったファイルがあったというだけなので、感染はしていないです。
安心していいです。
このまま新バージョンのカスペさんに守ってもらえばいいと思いますよ。
質問者さんのコメント
今朝、カスペルスキーのユーザーサポートに電話してあれやこれやと状況を説明しながら何とか助けていただきました。
オペレーターの方も「保護されている」と現在なっているなら大丈夫と仰っていました。なので、ひとまず様子を見てみようと思います。
何が問題だったか?
カスペルスキーのバージョンが古かったことが一番問題だったと思います。
カスペルスキーは「カスペルスキー2017」といった風に「年」が入っているので、常に最新版で動作させる必要があります。
参考URL
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13166084538
0 件のコメント:
コメントを投稿