早急なリカバリを!インターネット上からファイルをダウンロードする際に【○○にはウイルスが含まれていたため、削除されました。】という警告メッセージについて

【スポンサーリンク】

皆様、こんばんは。

改めまして失礼します。

それでは今回の投稿にまいりましょう。

【スポンサーリンク】

【○○にはウイルスが含まれていたため、削除されました。】という警告メッセージについて

今回の投稿は、前回のVNware playerの記事とは異なるマルウェアの投稿となります。

まずは皆様、最近知恵袋にて相次いでいる以下のようなご質問をご存知でしょうか?

ファイルのダウンロードができなくなりました。


知恵袋のご質問


【質問に対するご回答】

アンチウイルスのソフトを一時的に切れば解決するかも多分ウイルスの基準が高すぎて消されるんじゃないでしょうか



○○にはウイルスが含まれていたため、削除されました。

最近の知恵袋では、インターネット等からファイルをダウンロードする際に、上記の警告が表示されてダウンロード出来ないというご質問が相次いでいます。

確かに上記のご回答にあるように、セキュリティソフトの検出によるダウンロードの阻止という場合もあるでしょう。

しかし今回のような事例では当てはまらないと思います。今回の事例のように、インターネット等からのダウンロードがことごとく阻止されるという症状がセキュリティソフトで発生するということは考えにくいからですね。

ではこの表示される警告は何なのか…。

この答えを教えて頂いたのも、同様に知恵袋でのご質問者さんでした。以下をご覧ください。

[大至急]ウイルスでしょうか?解決方法教えてください!

ご紹介いただいたソフトをダウンロードしようとしたのですが、「ウイルスが含まれているため削除されました」と出てきてダウンロードできません


知恵袋のご質問(1)

知恵袋のご質問(2)


ご質問者さんが投稿されている画像を見てください。見えにくいとは思いますが、ノートンでは以下の検出名を挙げています。

Trojan.ZeroAccess

つまりこの警告の原因は、セキュリティソフトではなくマルウェアというわけです。

また最近知恵袋を拝見している際に、別のご質問者さんでは、ダウンロードを阻止される症状とブラウザを起動するとホーム設定とは異なる別のサイトにリダイレクトされる症状も発生している方もいらっしゃいました。

このリダイレクト症状も、Trojan.ZeroAccessの感染症状の一つと言えます。

先の画像のご質問者さんには、僕も回答させて頂きましたが、残念ながらセーフモードで起動してもダウンロードを阻止される症状は変わらず、またノートンパワーイレイサーはダウンロード可能で実際にダウンロードを行いPCを検査するも、ダウンロードを阻止される症状は改善されなかったということです。

これはつまり今回のマルウェアについては、セーフモード下でも起動し、ノートンパワーイレイサーのような駆除ツールを用いても除去することが出来ないということを意味しているのです。

ではなぜセーフモード下でも起動できるのか…。その答えは、知恵袋のご回答者であるmark_levinson_no53さんがご説明しています。

★ネットからファイルをダウンロードしようとすると「このファイルにはウイルスが含まれていたため、削除されました」と出て削除できません★



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Shell”

「値のデータ」がexplorer.exeになっているかを調べさせたのは、感染の有無を確かめたかったのが第一。 ダウンロードが阻止されているのでツールを使って検出する、以外の方法を考えたわけです。個人的にShellがHijackされているかどうか確認したかったのが第二。 もちろん感染だと判断できたらリカバリを指示するつもりでした。

専用ツールを使って駆除行為を実行し、仮にダウンロードできるようになったとしても、それで完治したといえないでしょうね。 (個人的には駆除方法を模索するのは好きです。そういう過程があって前進、上達すると思いますので)

「ウイルスが含まれていたため、削除されました」でググってみると、いまだにセキュリティソフトの残骸記事がトップになっている。 それを見て、この期に及んでこの手の質問に対して、セキュリティソフトの残骸が原因だ、競合だ、IEの不都合だ、なんて言っているのは時代の波に乗り遅れた頓珍漢怪答と思いますね。

はい、そうこう言っている間にも、 Antivirus Security Pro+ 「ウイルスが含まれているため、削除されました」での質問が立っていますね。 http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1211431197…

ここを閲覧しているお方用に、↓もペタンコしておきます。 http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1111422369…

吾輩としては現時点も、これからも、「リカバリ指示」がベストと考えます。



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Shell”

ここの部分が非常に重要なのです。Winlogonというのは、windowsのログオンを制御するシステムファイルなのですね。

例えばこの上記の部分にプログラムの値を登録すると、そのプログラムはwindowsの起動時に自動的に実行されるようになります。そしてここからが非常に重要ですが、このレジストリに登録されると、explorer.exe(windowsシステムの基幹を担うファイル)よりも早く起動することが出来るという点です。

つまり簡単に申しますと、windowsのシステムが起動する前に、マルウェアが起動するというわけですね。これではPCをセーフモードで起動しても意味がないということです。

そして他方、今回の件に関連しているものが、Trojan.ZeroAccessという非常に凶悪なマルウェアであるという点でしょうか。

Trojan.ZeroAccessについては、以前に投稿を行わせて頂いたことがあります。

「hey is this your skype profile pic?」 「hi, really nice photos of you not?」 蔓延するスカイプのメッセージ機能を悪用するウイルス、今度はルートキットを感染させる…、その名はTrojan.Zeroaccess (凶悪化するスカイプウイルスについて)

昨年のちょうど今頃から流行したスカイプウイルスにも、Trojan.ZeroAccessを感染させるタイプが存在していました。特にこのような凶悪なルートキットを同時感染させる事例は、今年に入ってからも増加しているのです。

以下に凶悪なルートキットを同時感染させる事例をマルウェアを挙げてみましょう。


【system care antivirus】

system-care-antivirus

【antivirus security pro】

antivirus-system-pro1


どちらも今年流行した(現在も流行中)、マルウェアですね。特に今回のダウンロードを阻止される事例については、現在でもantivirus security proに感染された方に見受けられています。

これはFake avというPCの表面に現れるマルウェアを隠れ蓑として、実際には裏でTrojan.ZeroAccess等の凶悪なマルウェアを感染させるという手法が増加しているということを表すのではないでしょうか。

【スポンサーリンク】

対処方法

それでは最後に今回の件の対処方法を記載しておきたいと思います。

ここまで記載しますと結論はご理解いただけると思いますが、リカバリしかないと思います。

そもそも完全に検出→除去という図式が成り立つか不明なTrojan.ZeroAccessです。

決して甘く見てはいけません。それくらいルートキット感染というものは凶悪であり、いかに強力な駆除ツールを用いても完全な検出が出来るか否か不明なマルウェアなのです。

必ずリカバリを行うことをお願いいたします。そしてリカバリ後はくどいようですが、必ず脆弱性対策の徹底を重ねてお願いいたします。

ウイルスに感染しにくくするために実行するべき6つのこと

上記の記事をよく熟読してください。

あとがき

さて今回の投稿は以上となります。

今回の投稿で記載する記事以外のマルウェアの対策方法に関連する記事に興味がある方は、ぜひ一度以下のマルウェアの対策方法に関連する記事のまとめを参照してください。


<マルウェアの対策方法に関連する記事のまとめ>

1、URL

マルウェアの対策方法に関連する記事のまとめ


それでは以上です。