昨日の続きで申し訳ありません。
Returnil Virtual Systemと言うバーチャルマシンが本物なのか少し試して見たく、今日はワームウイルス二種類を実際にバーチャルマシン上で実行し、本システムへのダメージが無いかのテストレポートです。
テストに用意したのはワームウイルス二種類
Worm.Win32.Antinny.ae
Virus.Win32.Parite.b
テスト環境はWindowsXP ServicePack2 セキュリティ無しのデフォルトセットの状態でテスト。
カスペルスキーファイルスキャンでウイルスであるかを確認
Returnil Virtual Systemと言うバーチャルマシンが本物なのか少し試して見たく、今日はワームウイルス二種類を実際にバーチャルマシン上で実行し、本システムへのダメージが無いかのテストレポートです。
テストに用意したのはワームウイルス二種類
Worm.Win32.Antinny.ae
Virus.Win32.Parite.b
テスト環境はWindowsXP ServicePack2 セキュリティ無しのデフォルトセットの状態でテスト。
カスペルスキーファイルスキャンでウイルスであるかを確認
用意したA・Bそれぞれのワームを実行
カスペルスキーオンラインスキャンでワームに感染しているかを念の為確認
オンラインスキャンの検査結果詳細です。それぞれのワームウイルスに感染していることが確認出来ると思います。
カスペルスキー オンラインスキャナ レポート
2008年3月12日 12:53:13
OS: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
カスペルスキー オンラインスキャナ バージョン: 5.0.98.0
データベースの最終アップデート: 12/03/2008
データベースのレコード: 625083
スキャン設定:
スキャンでは次のデータベースを使用します: 拡張
アーカイブのスキャン: はい
メールベースのファイル: はい
スキャン対象 - マイ コンピュータ:
C:\
D:\
E:\
Z:\
スキャン統計:
スキャンしたオブジェクトの総数: 16897
検知されたウイルス: 2
感染したオブジェクト: 23
疑わしいオブジェクト: 0
スキャンの所要時間: 00:13:34
感染オブジェクト名 / ウイルス名 / 前回の処理
C:\501937d36072b823e0\sp1\update\update.exe 感染: Virus.Win32.Parite.b スキップ
C:\8dbb25d\sp1\update\update.exe 感染: Virus.Win32.Parite.b スキップ
C:\Documents and Settings\LocalService\Cookies\index.dat ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\LocalService\NTUSER.DAT ロックされています スキップ
C:\Documents and Settings\LocalService\ntuser.dat.LOG ロックされています スキップ
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat ロックされています スキップ
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG ロックされています スキップ
C:\Documents and Settings\NetworkService\NTUSER.DAT ロックされています スキップ
C:\Documents and Settings\NetworkService\ntuser.dat.LOG ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Microsoft\IMJP8_1\imjp81u.dic ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\cert8.db ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\formhistory.dat ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\history.dat ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\key3.db ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\parent.lock ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\search.sqlite ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\urlclassifier2.sqlite ロックされています スキップ
C:\Documents and Settings\test1\Cookies\index.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\Cache\_CACHE_001_ ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\Cache\_CACHE_002_ ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\Cache\_CACHE_003_ ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\Cache\_CACHE_MAP_ ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\History\History.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\History\History.IE5\MSHist012008031220080313\index.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Temp\dotnetfx3setup.exe 感染: Virus.Win32.Parite.b スキップ
C:\Documents and Settings\test1\Local Settings\Temp\rge1.tmp 感染: Virus.Win32.Parite.b スキップ
C:\Documents and Settings\test1\Local Settings\Temporary Internet Files\Content.IE5\6L8Z8JQF\dotnetfx3setup[1].exe 感染: Virus.Win32.Parite.b スキップ
C:\Documents and Settings\test1\Local Settings\Temporary Internet Files\Content.IE5\6L8Z8JQF\Firefox%20Setup%202.0.0.7[1].exe 感染: Virus.Win32.Parite.b スキップ
C:\Documents and Settings\test1\Local Settings\Temporary Internet Files\Content.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\test1\NTUSER.DAT ロックされています スキップ
C:\Documents and Settings\test1\ntuser.dat.LOG ロックされています スキップ
C:\Documents and Settings\test1\UserData\index.dat ロックされています スキップ
C:\Documents and Settings\test1\デスクトップ\(サントラ) ファイナルファンタジーXII Final Fantasy12 FF12 OST\virus\A.EXE 感染: Virus.Win32.Parite.b スキップ
C:\Documents and Settings\test1\デスクトップ\(サントラ) ファイナルファンタジーXII Final Fantasy12 FF12 OST\virus\B.exe 感染: Virus.Win32.Parite.b スキップ
C:\Documents and Settings\test1\デスクトップ\(サントラ) ファイナルファンタジーXII Final Fantasy12 FF12 OST\virus.zip/B.exe 感染: Worm.Win32.Antinny.ae スキップ
C:\Documents and Settings\test1\デスクトップ\(サントラ) ファイナルファンタジーXII Final Fantasy12 FF12 OST\virus.zip/A.EXE 感染: Virus.Win32.Parite.b スキップ
C:\Documents and Settings\test1\デスクトップ\(サントラ) ファイナルファンタジーXII Final Fantasy12 FF12 OST\virus.zip ZIP: 感染 - 2 スキップ
C:\Documents and Settings\test1\デスクトップ\RVS_free.exe 感染: Virus.Win32.Parite.b スキップ
C:\f1933ea2cb1f1dab225\sp1\update\update.exe 感染: Virus.Win32.Parite.b スキップ
C:\Program Files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller5865.exe 感染: Virus.Win32.Parite.b スキップ
C:\Program Files\Common Files\Microsoft Shared\DW\DW20.EXE 感染: Virus.Win32.Parite.b スキップ
C:\Program Files\Common Files\Microsoft Shared\DW\DWTRIG20.EXE 感染: Virus.Win32.Parite.b スキップ
C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe ロックされています スキップ
C:\Program Files\Internet Explorer\OLD2.tmp 感染: Virus.Win32.Parite.b スキップ
C:\Program Files\Messenger\messenger_config.exe 感染: Virus.Win32.Parite.b スキップ
C:\Program Files\Messenger\msmsgsin.exe ロックされています スキップ
C:\Program Files\MSBuild\msbuild_loader.exe 感染: Virus.Win32.Parite.b スキップ
C:\Program Files\TechSmith\techsmith_login.exe 感染: Virus.Win32.Parite.b スキップ
C:\Program Files\Windows Media Player\dlimport15ab.exe 感染: Worm.Win32.Antinny.ae スキップ
C:\RETURNIL\RVSYSTEM.DAT ロックされています スキップ
C:\RETURNIL\RVSYSTEM.IMG ロックされています スキップ
C:\System Volume Information\MountPointManagerRemoteDatabase ロックされています スキップ
C:\System Volume Information\_restore{365A80B6-1450-49B1-89FC-5B58D65D9DC8}\RP23\A0007210.exe 感染: Worm.Win32.Antinny.ae スキップ
C:\System Volume Information\_restore{365A80B6-1450-49B1-89FC-5B58D65D9DC8}\RP23\A0007211.EXE 感染: Virus.Win32.Parite.b スキップ
C:\System Volume Information\_restore{365A80B6-1450-49B1-89FC-5B58D65D9DC8}\RP23\change.log ロックされています スキップ
C:\WINDOWS\Debug\PASSWD.LOG ロックされています スキップ
C:\WINDOWS\SchedLgU.Txt ロックされています スキップ
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log ロックされています スキップ
C:\WINDOWS\Sti_Trace.log ロックされています スキップ
C:\WINDOWS\system32\CatRoot2\edb.log ロックされています スキップ
C:\WINDOWS\system32\CatRoot2\tmp.edb ロックされています スキップ
C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb ロックされています スキップ
C:\WINDOWS\system32\config\AppEvent.Evt ロックされています スキップ
C:\WINDOWS\system32\config\default ロックされています スキップ
C:\WINDOWS\system32\config\default.LOG ロックされています スキップ
C:\WINDOWS\system32\config\SAM ロックされています スキップ
C:\WINDOWS\system32\config\SAM.LOG ロックされています スキップ
C:\WINDOWS\system32\config\SecEvent.Evt ロックされています スキップ
C:\WINDOWS\system32\config\SECURITY ロックされています スキップ
C:\WINDOWS\system32\config\SECURITY.LOG ロックされています スキップ
C:\WINDOWS\system32\config\software ロックされています スキップ
C:\WINDOWS\system32\config\software.LOG ロックされています スキップ
C:\WINDOWS\system32\config\SysEvent.Evt ロックされています スキップ
C:\WINDOWS\system32\config\system ロックされています スキップ
C:\WINDOWS\system32\config\system.LOG ロックされています スキップ
C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\IMJP8_1\imjp81u.dic ロックされています スキップ
C:\WINDOWS\system32\h323log.txt ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP ロックされています スキップ
C:\WINDOWS\wiadebug.log ロックされています スキップ
C:\WINDOWS\wiaservc.log ロックされています スキップ
C:\WINDOWS\WindowsUpdate.log ロックされています スキップ
Z:\System Volume Information\MountPointManagerRemoteDatabase ロックされています スキップ
スキャンプロセスは完了しました。
果たして、バーチャルマシンは完全なのか、少し不安ながらパソコンを再起動し通常のシステムで同様にオンラインスキャン。
スキャン結果を参照頂く事で確認頂けると思うのですが、完璧にワームは取れてます。
上記スキャン結果の詳細です。
カスペルスキー オンラインスキャナ レポート
2008年3月12日 13:14:06
OS: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
カスペルスキー オンラインスキャナ バージョン: 5.0.98.0
データベースの最終アップデート: 12/03/2008
データベースのレコード: 625083
スキャン設定:
スキャンでは次のデータベースを使用します: 拡張
アーカイブのスキャン: はい
メールベースのファイル: はい
スキャン対象 - マイ コンピュータ:
C:\
D:\
E:\
Z:\
スキャン統計:
スキャンしたオブジェクトの総数: 21113
検知されたウイルス: 0
感染したオブジェクト: 0
疑わしいオブジェクト: 0
スキャンの所要時間: 00:13:49
感染オブジェクト名 / ウイルス名 / 前回の処理
C:\Documents and Settings\LocalService\Cookies\index.dat ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\LocalService\NTUSER.DAT ロックされています スキップ
C:\Documents and Settings\LocalService\ntuser.dat.LOG ロックされています スキップ
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat ロックされています スキップ
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG ロックされています スキップ
C:\Documents and Settings\NetworkService\NTUSER.DAT ロックされています スキップ
C:\Documents and Settings\NetworkService\ntuser.dat.LOG ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Microsoft\IMJP8_1\imjp81u.dic ロックされています スキップ
C:\Documents and Settings\test1\Cookies\index.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\History\History.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\History\History.IE5\MSHist012008031220080313\index.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Temporary Internet Files\Content.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\test1\NTUSER.DAT ロックされています スキップ
C:\Documents and Settings\test1\ntuser.dat.LOG ロックされています スキップ
C:\RETURNIL\RVSYSTEM.DAT ロックされています スキップ
C:\RETURNIL\RVSYSTEM.IMG ロックされています スキップ
C:\System Volume Information\MountPointManagerRemoteDatabase ロックされています スキップ
C:\System Volume Information\_restore{365A80B6-1450-49B1-89FC-5B58D65D9DC8}\RP23\change.log ロックされています スキップ
C:\WINDOWS\Debug\PASSWD.LOG ロックされています スキップ
C:\WINDOWS\SchedLgU.Txt ロックされています スキップ
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log ロックされています スキップ
C:\WINDOWS\system32\config\AppEvent.Evt ロックされています スキップ
C:\WINDOWS\system32\config\default ロックされています スキップ
C:\WINDOWS\system32\config\default.LOG ロックされています スキップ
C:\WINDOWS\system32\config\SAM ロックされています スキップ
C:\WINDOWS\system32\config\SAM.LOG ロックされています スキップ
C:\WINDOWS\system32\config\SecEvent.Evt ロックされています スキップ
C:\WINDOWS\system32\config\SECURITY ロックされています スキップ
C:\WINDOWS\system32\config\SECURITY.LOG ロックされています スキップ
C:\WINDOWS\system32\config\software ロックされています スキップ
C:\WINDOWS\system32\config\software.LOG ロックされています スキップ
C:\WINDOWS\system32\config\SysEvent.Evt ロックされています スキップ
C:\WINDOWS\system32\config\system ロックされています スキップ
C:\WINDOWS\system32\config\system.LOG ロックされています スキップ
C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\IMJP8_1\imjp81u.dic ロックされています スキップ
C:\WINDOWS\system32\h323log.txt ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP ロックされています スキップ
C:\WINDOWS\WindowsUpdate.log ロックされています スキップ
Z:\System Volume Information\MountPointManagerRemoteDatabase ロックされています スキップ
スキャンプロセスは完了しました。
Returnil Virtual Systemの簡単な仕組みの説明
ツールをインストールすると、任意の仮想ドライブが作成されます(システムセット領域内)。Session Lockを有効にすることで既存のシステム領域(CドライブにWindowsをセットしている場合Cドライブ全てプロテクト)は完全にプロテクトされ、作成された仮想ドライブにシステムをミラーリングし仮想領域でWindowsを操作することになる様子です。
仮想領域で作業した内容はWindowsを再起動する事で、Session Lockを有効にする前の状態にリストアされますとの事。
このツールを用いれば、勝手にウイルステストがこれでもっと作業が楽になりそうです。
カスペルスキー オンラインスキャナ レポート
2008年3月12日 12:53:13
OS: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
カスペルスキー オンラインスキャナ バージョン: 5.0.98.0
データベースの最終アップデート: 12/03/2008
データベースのレコード: 625083
スキャン設定:
スキャンでは次のデータベースを使用します: 拡張
アーカイブのスキャン: はい
メールベースのファイル: はい
スキャン対象 - マイ コンピュータ:
C:\
D:\
E:\
Z:\
スキャン統計:
スキャンしたオブジェクトの総数: 16897
検知されたウイルス: 2
感染したオブジェクト: 23
疑わしいオブジェクト: 0
スキャンの所要時間: 00:13:34
感染オブジェクト名 / ウイルス名 / 前回の処理
C:\501937d36072b823e0\sp1\update\update.exe 感染: Virus.Win32.Parite.b スキップ
C:\8dbb25d\sp1\update\update.exe 感染: Virus.Win32.Parite.b スキップ
C:\Documents and Settings\LocalService\Cookies\index.dat ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\LocalService\NTUSER.DAT ロックされています スキップ
C:\Documents and Settings\LocalService\ntuser.dat.LOG ロックされています スキップ
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat ロックされています スキップ
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG ロックされています スキップ
C:\Documents and Settings\NetworkService\NTUSER.DAT ロックされています スキップ
C:\Documents and Settings\NetworkService\ntuser.dat.LOG ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Microsoft\IMJP8_1\imjp81u.dic ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\cert8.db ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\formhistory.dat ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\history.dat ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\key3.db ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\parent.lock ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\search.sqlite ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\urlclassifier2.sqlite ロックされています スキップ
C:\Documents and Settings\test1\Cookies\index.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\Cache\_CACHE_001_ ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\Cache\_CACHE_002_ ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\Cache\_CACHE_003_ ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Mozilla\Firefox\Profiles\0vyq8fpj.default\Cache\_CACHE_MAP_ ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\History\History.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\History\History.IE5\MSHist012008031220080313\index.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Temp\dotnetfx3setup.exe 感染: Virus.Win32.Parite.b スキップ
C:\Documents and Settings\test1\Local Settings\Temp\rge1.tmp 感染: Virus.Win32.Parite.b スキップ
C:\Documents and Settings\test1\Local Settings\Temporary Internet Files\Content.IE5\6L8Z8JQF\dotnetfx3setup[1].exe 感染: Virus.Win32.Parite.b スキップ
C:\Documents and Settings\test1\Local Settings\Temporary Internet Files\Content.IE5\6L8Z8JQF\Firefox%20Setup%202.0.0.7[1].exe 感染: Virus.Win32.Parite.b スキップ
C:\Documents and Settings\test1\Local Settings\Temporary Internet Files\Content.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\test1\NTUSER.DAT ロックされています スキップ
C:\Documents and Settings\test1\ntuser.dat.LOG ロックされています スキップ
C:\Documents and Settings\test1\UserData\index.dat ロックされています スキップ
C:\Documents and Settings\test1\デスクトップ\(サントラ) ファイナルファンタジーXII Final Fantasy12 FF12 OST\virus\A.EXE 感染: Virus.Win32.Parite.b スキップ
C:\Documents and Settings\test1\デスクトップ\(サントラ) ファイナルファンタジーXII Final Fantasy12 FF12 OST\virus\B.exe 感染: Virus.Win32.Parite.b スキップ
C:\Documents and Settings\test1\デスクトップ\(サントラ) ファイナルファンタジーXII Final Fantasy12 FF12 OST\virus.zip/B.exe 感染: Worm.Win32.Antinny.ae スキップ
C:\Documents and Settings\test1\デスクトップ\(サントラ) ファイナルファンタジーXII Final Fantasy12 FF12 OST\virus.zip/A.EXE 感染: Virus.Win32.Parite.b スキップ
C:\Documents and Settings\test1\デスクトップ\(サントラ) ファイナルファンタジーXII Final Fantasy12 FF12 OST\virus.zip ZIP: 感染 - 2 スキップ
C:\Documents and Settings\test1\デスクトップ\RVS_free.exe 感染: Virus.Win32.Parite.b スキップ
C:\f1933ea2cb1f1dab225\sp1\update\update.exe 感染: Virus.Win32.Parite.b スキップ
C:\Program Files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller5865.exe 感染: Virus.Win32.Parite.b スキップ
C:\Program Files\Common Files\Microsoft Shared\DW\DW20.EXE 感染: Virus.Win32.Parite.b スキップ
C:\Program Files\Common Files\Microsoft Shared\DW\DWTRIG20.EXE 感染: Virus.Win32.Parite.b スキップ
C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe ロックされています スキップ
C:\Program Files\Internet Explorer\OLD2.tmp 感染: Virus.Win32.Parite.b スキップ
C:\Program Files\Messenger\messenger_config.exe 感染: Virus.Win32.Parite.b スキップ
C:\Program Files\Messenger\msmsgsin.exe ロックされています スキップ
C:\Program Files\MSBuild\msbuild_loader.exe 感染: Virus.Win32.Parite.b スキップ
C:\Program Files\TechSmith\techsmith_login.exe 感染: Virus.Win32.Parite.b スキップ
C:\Program Files\Windows Media Player\dlimport15ab.exe 感染: Worm.Win32.Antinny.ae スキップ
C:\RETURNIL\RVSYSTEM.DAT ロックされています スキップ
C:\RETURNIL\RVSYSTEM.IMG ロックされています スキップ
C:\System Volume Information\MountPointManagerRemoteDatabase ロックされています スキップ
C:\System Volume Information\_restore{365A80B6-1450-49B1-89FC-5B58D65D9DC8}\RP23\A0007210.exe 感染: Worm.Win32.Antinny.ae スキップ
C:\System Volume Information\_restore{365A80B6-1450-49B1-89FC-5B58D65D9DC8}\RP23\A0007211.EXE 感染: Virus.Win32.Parite.b スキップ
C:\System Volume Information\_restore{365A80B6-1450-49B1-89FC-5B58D65D9DC8}\RP23\change.log ロックされています スキップ
C:\WINDOWS\Debug\PASSWD.LOG ロックされています スキップ
C:\WINDOWS\SchedLgU.Txt ロックされています スキップ
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log ロックされています スキップ
C:\WINDOWS\Sti_Trace.log ロックされています スキップ
C:\WINDOWS\system32\CatRoot2\edb.log ロックされています スキップ
C:\WINDOWS\system32\CatRoot2\tmp.edb ロックされています スキップ
C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb ロックされています スキップ
C:\WINDOWS\system32\config\AppEvent.Evt ロックされています スキップ
C:\WINDOWS\system32\config\default ロックされています スキップ
C:\WINDOWS\system32\config\default.LOG ロックされています スキップ
C:\WINDOWS\system32\config\SAM ロックされています スキップ
C:\WINDOWS\system32\config\SAM.LOG ロックされています スキップ
C:\WINDOWS\system32\config\SecEvent.Evt ロックされています スキップ
C:\WINDOWS\system32\config\SECURITY ロックされています スキップ
C:\WINDOWS\system32\config\SECURITY.LOG ロックされています スキップ
C:\WINDOWS\system32\config\software ロックされています スキップ
C:\WINDOWS\system32\config\software.LOG ロックされています スキップ
C:\WINDOWS\system32\config\SysEvent.Evt ロックされています スキップ
C:\WINDOWS\system32\config\system ロックされています スキップ
C:\WINDOWS\system32\config\system.LOG ロックされています スキップ
C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\IMJP8_1\imjp81u.dic ロックされています スキップ
C:\WINDOWS\system32\h323log.txt ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP ロックされています スキップ
C:\WINDOWS\wiadebug.log ロックされています スキップ
C:\WINDOWS\wiaservc.log ロックされています スキップ
C:\WINDOWS\WindowsUpdate.log ロックされています スキップ
Z:\System Volume Information\MountPointManagerRemoteDatabase ロックされています スキップ
スキャンプロセスは完了しました。
果たして、バーチャルマシンは完全なのか、少し不安ながらパソコンを再起動し通常のシステムで同様にオンラインスキャン。
スキャン結果を参照頂く事で確認頂けると思うのですが、完璧にワームは取れてます。
上記スキャン結果の詳細です。
カスペルスキー オンラインスキャナ レポート
2008年3月12日 13:14:06
OS: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
カスペルスキー オンラインスキャナ バージョン: 5.0.98.0
データベースの最終アップデート: 12/03/2008
データベースのレコード: 625083
スキャン設定:
スキャンでは次のデータベースを使用します: 拡張
アーカイブのスキャン: はい
メールベースのファイル: はい
スキャン対象 - マイ コンピュータ:
C:\
D:\
E:\
Z:\
スキャン統計:
スキャンしたオブジェクトの総数: 21113
検知されたウイルス: 0
感染したオブジェクト: 0
疑わしいオブジェクト: 0
スキャンの所要時間: 00:13:49
感染オブジェクト名 / ウイルス名 / 前回の処理
C:\Documents and Settings\LocalService\Cookies\index.dat ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\LocalService\NTUSER.DAT ロックされています スキップ
C:\Documents and Settings\LocalService\ntuser.dat.LOG ロックされています スキップ
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat ロックされています スキップ
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG ロックされています スキップ
C:\Documents and Settings\NetworkService\NTUSER.DAT ロックされています スキップ
C:\Documents and Settings\NetworkService\ntuser.dat.LOG ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Microsoft\IMJP8_1\imjp81u.dic ロックされています スキップ
C:\Documents and Settings\test1\Cookies\index.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\History\History.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\History\History.IE5\MSHist012008031220080313\index.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Temporary Internet Files\Content.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\test1\NTUSER.DAT ロックされています スキップ
C:\Documents and Settings\test1\ntuser.dat.LOG ロックされています スキップ
C:\RETURNIL\RVSYSTEM.DAT ロックされています スキップ
C:\RETURNIL\RVSYSTEM.IMG ロックされています スキップ
C:\System Volume Information\MountPointManagerRemoteDatabase ロックされています スキップ
C:\System Volume Information\_restore{365A80B6-1450-49B1-89FC-5B58D65D9DC8}\RP23\change.log ロックされています スキップ
C:\WINDOWS\Debug\PASSWD.LOG ロックされています スキップ
C:\WINDOWS\SchedLgU.Txt ロックされています スキップ
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log ロックされています スキップ
C:\WINDOWS\system32\config\AppEvent.Evt ロックされています スキップ
C:\WINDOWS\system32\config\default ロックされています スキップ
C:\WINDOWS\system32\config\default.LOG ロックされています スキップ
C:\WINDOWS\system32\config\SAM ロックされています スキップ
C:\WINDOWS\system32\config\SAM.LOG ロックされています スキップ
C:\WINDOWS\system32\config\SecEvent.Evt ロックされています スキップ
C:\WINDOWS\system32\config\SECURITY ロックされています スキップ
C:\WINDOWS\system32\config\SECURITY.LOG ロックされています スキップ
C:\WINDOWS\system32\config\software ロックされています スキップ
C:\WINDOWS\system32\config\software.LOG ロックされています スキップ
C:\WINDOWS\system32\config\SysEvent.Evt ロックされています スキップ
C:\WINDOWS\system32\config\system ロックされています スキップ
C:\WINDOWS\system32\config\system.LOG ロックされています スキップ
C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\IMJP8_1\imjp81u.dic ロックされています スキップ
C:\WINDOWS\system32\h323log.txt ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP ロックされています スキップ
C:\WINDOWS\WindowsUpdate.log ロックされています スキップ
Z:\System Volume Information\MountPointManagerRemoteDatabase ロックされています スキップ
スキャンプロセスは完了しました。
Returnil Virtual Systemの簡単な仕組みの説明
ツールをインストールすると、任意の仮想ドライブが作成されます(システムセット領域内)。Session Lockを有効にすることで既存のシステム領域(CドライブにWindowsをセットしている場合Cドライブ全てプロテクト)は完全にプロテクトされ、作成された仮想ドライブにシステムをミラーリングし仮想領域でWindowsを操作することになる様子です。
仮想領域で作業した内容はWindowsを再起動する事で、Session Lockを有効にする前の状態にリストアされますとの事。
このツールを用いれば、勝手にウイルステストがこれでもっと作業が楽になりそうです。
