|
||||||
 |
||||||
|
||||||
|
||
|
はじめての方へ- このQ&Aは役に立った
- 役にたった:0件
質問 |
||
| 質問者:xxRuinxx | Exploit.PHP.Userpic.aについて | |
|---|---|---|
困り度:
|
Exploit.PHP.Userpic.aというトロイの木馬ウイルスに感染したようなのですが、 駆除できずに困っています。削除で良いのでしょうか…? OSはWindowsXP、使用ソフトはカスペルスキー試用版です。 PCへの知識はあまり無い方だと思います。 調べてみても、このウイルスについての日本語のページはなく、 検索で出てきた、カスペルスキー公式英語サイトのフォーラムを見てみたのですが、英語が読めずに…; 翻訳システムを使ったところ、誤検出ではないか?という内容みたいなのですが、不安になっています…。 カスペルスキー公式サイトにも、詳細情報は載っていないようです。 この前に、F-Secureのオンラインスキャンを試してみたところ、 連続で3回ほどマルウェア感染表示が出まして、それで余計に不安になっているのかもしれないです。 (内2回はトラフィッククッキー、1回はSubSevenの類のようでした) ウイルスバスターのオンラインスキャンでは何も表示されませんでした。 削除してもいいものか、誤検出なのか…どのような対処を取ったら良いか分からず、すごく困っています。 どなたかExploit.PHP.Userpic.aについての情報をお持ちの方、 また、対処の仕方が分かる方がいましたら教えてください。 長文ですみませんが、よろしくお願いします。 |
|
質問投稿日時:08/07/12 10:27 質問番号:4170287 |
||
この質問に対する回答は締め切られました。
最新から表示|回答順に表示|良回答のみ表示
回答良回答20pt |
|
| 回答者:wamos101 | #2です。返信ありがとう御座います。 >mumbojumbo、というものが身に覚えの無いものだったので(検索しても覚えがなく;) >削除してフルスキャンをかけたところ、今は何も見つからない状態になっているのですが… そうですか。なら問題無いと思います。mumbojumbo以下は削除して下さい。多分、やってるとは思いますが。なんかゲーム関連みたいですよね。何かのソフトを使ったときにCreatされたのか、あるいはサイト閲覧などでクリックなどによって設置されたとか。わからないですけで。 念のため、Process Explorerというソフトを使って見慣れないプロセスなどが稼動してないかどうか確認してみて下さい。 http://cowscorpion.com/Process/ProExp.html 初回起動時に同意を求められるので「agree」を押して下さい。 起動すると「Description」のところにベンダ名とか表示されます。 任意のプロセスを選択した上で、ダブルクリックすると詳細が、右クリックでそのプロセスに対するいろいろな操作が選択できます。 なお、ツリー表示になってると思いますが各々のプロセスの主従関係を表してます。 |
|---|---|
| 種類:回答 どんな人:一般人 自信:参考意見 |
|
| |
回答日時:08/07/12 23:26 回答番号:No.3 |
|
| この回答へのお礼 | 何度も詳しい説明、有難うございます。 私も全く身に覚えがないソフトなので、 いつインストールされたのか不安なのですが; しばらく様子を見てみようと思います。 プロセスを見るソフトも教えて下さりありがとうございます! 早速DLしてチェックしてみようと思います。 |
回答 |
|
| 回答者:wamos101 | こんにちは。 Kaspersky Antivirus 2009(beta)を使っております。 なるほど。カスペフォーラム見てきましたけど、あそこではZAのインストーラーに対してInfectionとしてますから、FPの可能性もありそうですね。あと、本家カスペサイトの検索でもその検出名でやってもヒットせず。 で、隔離は選択できないでしょうか。てか、#1さん言われるようにどのファイルに対して検出されたのかを書いていただかないと。 でですね、ちょっと気になるのが「SubSevenの類のようでした」というのと、今回の検出名ですよね。セキュリティ通の方ならすぐピンとくるんですが、PHPの脆弱性を狙ったExploitですよね(LFI、RFI)。フォーラムとかでアバター画像登録とかありますし。実はPHPの脆弱性を狙った攻撃として、画像ファイル中にスクリプトを挿入できるツールとかあるんですよね。で、アバター画像として登録するときにPHPに脆弱性があると不正なコードが挿入されてしまうと。Webアプリですから閲覧者にも影響します。ドライブ・バイ・ダウンロードもあり得ます。 で、結論的にはさっき言ったように検出パスを書いていただくということです。この時点で判断がつくかもしれません。 |
|---|---|
| 種類:回答 どんな人:一般人 自信:参考意見 |
|
| |
回答日時:08/07/12 21:44 回答番号:No.2 |
|
| この回答への補足 | 検出パスの記入漏れ、申し訳ありません。 #1さんへの補足にも書いたのですが、 感染しています: トロイの木馬 Exploit.PHP.Userpic.a c:\documents and settings\all users\application data\mumbojumbo\mjolauncher\oberon\luxor_ar_web\locale\english\data\bitmaps\fonts\score.0pg というところに感染していたようです。 隔離は選択できなかったので(#1さんへの補足と被りまくりですが;) 削除してフルスキャンをかけたところ、今は何も見つからない状態になっているのですが… 果たしてこの対応で良かったのか心配です…。 |
| この回答へのお礼 | この回答にお礼をつける(質問者のみ) |
回答良回答10pt |
|
| 回答者:FMVNB50GJ | 的確な回答が来るまでの暇つぶしに。 http://www.viruslistjp.com/viruses/encyclopedia/?chapter=153318608 カスペではExploitはハックツールと呼んでいるらしい。 それがPHPで書かれているということらしい。Perlで書かれていれば、Exploit.perl〜 Userpic これを検索すると難しそうでわからないが、ブラウザに絡んでいるものらしい。 それよりもどこにそれを検出したのか、どのファイルなのか?どういう状況で?というのがまるで欠落しているのは不思議だね。 |
|---|---|
| 種類:アドバイス どんな人:一般人 自信:参考意見 |
|
| |
回答日時:08/07/12 20:21 回答番号:No.1 |
|
| この回答への補足 | すみません、あわてていたもので、 どこで検出したかを書くのを忘れていました… そのままコピペしても良いのか分からないのですが… 感染しています: トロイの木馬 Exploit.PHP.Userpic.a c:\documents and settings\all users\application data\mumbojumbo\mjolauncher\oberon\luxor_ar_web\locale\english\data\bitmaps\fonts\score.0pg という風に出てきまして… mumbojumbo、というものが身に覚えの無いものだったので(検索しても覚えがなく;) そのまま削除してもう一度フルスキャンしたところ、 脅威は見つかりませんという表示になっています。 うまく説明できずすみません… |
| この回答へのお礼 | この回答にお礼をつける(質問者のみ) |
- このQ&Aは役に立った
- 役にたった:0件
はじめての方へ