ウイルス・スパイウエア

2012年8月21日 (火)

もしかして

ども、平日の更新はずいぶん久しぶりですね。
こんなの捕れました。


20120821


この手のやつのなかでも、プロセスの『mshta.exe』を停止すると画像が消えるタイプはユーザーフォルダにある『***.hta』という拡張子のファイルを削除した上でレジストリから該当のファイルが自動起動するキーを削除して対応していたんですが、今回は問題のファイルを見つけることができませんでした。

画像では消してありますが『ID』とか『加入日時』がご丁寧に表示されているので、どちらかを検索すれば問題のファイルやキーを見つけることはそれほど難しくないので今回も無事駆除できましたが、手口が新しくなっていくのは面倒ですね。この手の攻撃が収まらないのはお金を払っている人がまだまだ居るってことでもあるんでしょうけどね・・・。

| | コメント (0) | トラックバック (0)

2011年10月26日 (水)

System Restore ~まとめ1.0

先週にも少し書きましたが今週も複数対応しておりまして、ちょっと気になることもあるので現時点でのまとめを書いておきます。続きがないといいですけど…。

この手の記事を書くときには毎回書いていますが、ウイルスやスパイウエアに感染した場合は駆除ができた場合でも必要なデータの取り出しができたらリカバリが推奨です。今回も“とりあえず起動できるようになる方法”を書いているのに過ぎませんので、元通りになったように見えても安心してそのまま使い続けないようにお願いをします。

ーで、今回のウイルス(マルウエア?)ですが、Webサイトを見ている間におかしくなってしまったというお話なのでAdobeReaderかFlashPlayerの脆弱性を突かれたんじゃないかと思われます。まぁ、すでに感染源になってしまっているまぁまぁ大手のWebサイトが有るということですが…。

ーで、症状なんですが

こんなの(ごめんなさい、海外のサイトから勝手に拝借しました。まぁ本来はウイルス作成者のものなので著作権で問題になるとは思えませんが…。)とダミーだと思われる無数のエラーメッセージが画面いっぱいに表示されます。お客さまのお話によるとこの状態で操作不能になり、デスクトップのアイコン・すべてのプログラムの中身・壁紙がどんどん消えていくそうです。怖いですねぇ、PCは起動していますので消えたんじゃなくて『見えなくなっている』んですけど…。

~ここから解決編~

感染すると、操作ができなくなって(このあと復旧させるポイントをせっせと変更しているんだと思います。)しまいますので、

1.LANケーブルを抜いたり無線接続をオフにした後電源ボタン長押しで電源を切ってしまいます。

2.スタートボタン右クリック→プロパティ→カスタマイズ→詳細設定で、スタートメニューに表示されなくなってしまっている『ファイル名を指定して実効』などなどの項目を元に戻します。

3.セーフモードで起動して、『フォルダオプション』で『すべてのファイルとフォルダを表示する』を有効にします。

4.\All Users\Application Data\にあるランダムで13-14文字の実行ファイル2つ(判断が難しい場合はファイルが作成された日付で確認するか一旦リネームするのがいいでしょうね。)を削除します。

5.スタートボタンを右クリックして『エクスプローラー』をクリック、CドライブやDドライブ内のフォルダやファイルのプロパティを確認して『読取り専用』や『隠しファイル』にチェックが入っているのを必要に応じて解除をします。今回リカバリをおすすめするのはこのあたりをもとに戻すのが難しいと思われるんですよねぇ。Documents&Settingsあたりだと全部解除でもよさそうですけど、ProgramFilesやWindowsあたりのフォルダは元々非表示や読み取り専用になっているものがありますしね…。

6.スタートメニュー→ファイル名を指定して実効→regeditでレジストリエディタを起動して
『HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies』
のExplorerにある『NoDesktop』・Activedesktopにある『NoChangingWallPaper』・systemにある『DisableTaskMgr』の項目を削除するか値を『0』に変更する。

このあたりで再起動をするとどうにかファイルの取り出しくらいは出来るんじゃないかと思います。症状が軽くて済んだ場合はここでネットに接続してウイルススキャンをかけてしまってもいいと思いますが、症状が進んでしまうとPCのショートカットファイルをすべて削除してしまったりもするようですから復旧はますます難しくなります。

また、近頃の傾向としてすぐにたくさんの亜種が出てきますので、脆弱性が疑われるものについては早急なアップデートが必要です。よくわからない場合は専門の業者に聞いてくださいね。あと、今回書いているのは“とりあえず起動する”ことを目指したものですがすべてのケースで効果があることを保証しているわけではありませんし、コメント欄で質問をされてもお応えできませんのでご了承ください。Facebookページなら少し頑張ってみますけど…。
今回『非表示』で済ませているのが“警告”で無いことを祈りたいですね…。

| | コメント (0) | トラックバック (0)

2011年10月16日 (日)

ここまでやりますか…、

続きをゆっくり書こうと思ったのですが、昨日を上回る6台の並列作業をやる羽目になりへろへろです。ーということで簡単に少し…。

昨日駆除したウイルスはトロイの木馬で、『Win32/Kryptik.TXX』の亜種(NOD32)というやつらしいです。実は同じ症状のものを今日も作業したところセーフモードで問題なく起動できるので、\All Users\Application Data\ ーにできているランダム13-14文字の単独の実行ファイルを削除してしまっても問題ないようです。通常に起動した後レジストリの整理をゆっくりやってからウイルススキャンできます。

昨日は、デスクトップの無効・フォルダの隠し属性・壁紙の変更不可・タスクマネージャの起動不可まで書きましたが、もう少し作業を進めてみると嫌がらせはまだ続いていました。

AdobeReaderのバージョンが古いままだったのでアップデートしようとしたんですが、アップデートを始めようとすると『起動しているAdobeReaderを終了してください』と表示が出てそこから進めません。間違いなくアプリケーションは終了させているのですが、もしやと思ってタスクマネージャからプロセスを確認すると一覧の下の方に『AdbReXXX』(ごめんなさい、控えるのを忘れました。)というプロセスがあって、終了させるとアップデートが進み出します。

同じように、おかしなアドオン(検索窓を利用すると海外サイトにリダイレクトされる)が消せなくなっているInternetExplorerの設定をリセットしようとしても、『起動しているInternetExplorerを終了してください』と出ます。これもプロセスを確認すると同じように『iexpXXX』(これも忘れました、重ねてすみません)というのがあったので終了させてリセットが出来るようになりました。

これでだいたいどのあたりから感染したのか想像できますが、どういうふうに作っているんだろうかと考えるとちょっと気持ち悪いですね。データは問題なく取れてリカバリすることになりそうですからいいんですけど…。

| | コメント (0) | トラックバック (0)

2011年10月15日 (土)

手が込んでますな

はい、久しぶりのウイルス駆除です。今日はドタバタしながらの作業で画像をとっていないのがとても残念なのですが、なかなかおもしろい症状でしたので何かの参考にしていただければと思います。

ーで、持ち込まれたのは『デスクトップアイコンとすべてのプログラムの中身が全部消えてしまった』という症状でした。まぁWindows自体は起動していますので『見えなくなっている』ということなんでしょうね。さらにしばらくするといわゆる偽マルウエア駆除ソフトが出てきますので何かにやられてしまっているのは確定ですね。ただここからは4台のPCを同時に作業しないといけなくなってしまったので、ウイルス(マルウェア?)の駆除はツールを使うことにします。

ちょうどMicrosoftのStandaloneSystemSweeperの最新版CDを作成したばかりだったので、シャットダウンからCDブートして3時間ほどかけてフルスキャンを行います。なんだかいろいろと20個ぐらい検出されたのですべて削除して再起動でとりあえずおかしなものは起動しなくなりました。

ただ、まだデスクトップアイコンもすべてのプログラムも表示されないままですからスタートボタンの右クリックでエクスプローラーを表示して確認するとCドライブもDドライブも中身が全部『隠しファイル』属性になってしまっています。

そこで、同じWindowsXPのPCを用意して同じ内容になるようにフォルダごとの属性を変更すると『すべてのプログラム』は表示されるようになりました。次はそれでもまだ表示されていないデスクトップです。

レジストリで『HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer』をみてみると、『NoDesktop』という項目がありますので項目ごと削除して再起動をするとようやくデスクトップアイコンが表示されるようになりました。

さらにさらに壁紙の変更とタスクマネージャの起動もできなくなっていたので、『HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Activedesktop』の『NoChangingWallPaper』と『HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System』の『DisableTaskMgr』という項目の値を『0』に変更して再起動で問題なくなりました。

まぁ、全部レジストですから復元でも良さそうなものですが…。疲れました。

| | コメント (0) | トラックバック (0)

2011年8月16日 (火)

君もか、

本日のお客様、

何もしていないのに突然インターネットに繋がらなくなったとおっしゃるのでお預かりしてみてみることになりました。

症状を詳しくみると、LANケーブルを接続するとLANアダプター傍のランプは点灯するものの、IPアドレスは取得せず。無線LANで接続すると問題なく接続できる。ならばということで、USB接続のLANアダプタを新たに取り付けてみても同じくランプは点灯してIPアドレス取得せず。
ーということで、パーソナルファイアウォールあたりに遮断されてしまっているようですね。

そこで、PCをよくみてみるとNortonInternetSecurityがインストールされているのにさらにAVGインターネットセキュリティをインストールしようとしてインストールに失敗してパーソナルファイアウォールがおかしくなっているようです。

ここは、後からインストールしたAVGを先にどうにかしたいところですが、インストールに失敗した時点で削除ができなくなってしまったらしく、先にNortonInternetSecurity(期限切れ)をまずアンインストールしてからAVGを新たにインストールして、さらにアンインストールすることにします。

30分ほどかけて、アンインストール→再起動→インストール→再起動→アンインストールと進んで最後に再起動すると問題なくIPアドレスが取得できるようになったので終了です。セキュリティソフトはお届けの際にご相談になりますね。

PCにたくさんメモリが搭載されるようになったのと、セキュリティソフトが軽く軽快になったせいか二重インストールは最近の定番ですね。以前のように『問題がある時はエラーが出るから』というわけにはいかなくなっていますのでご注意を。

| | コメント (0) | トラックバック (0)

2011年6月 5日 (日)

退治

またまたこんなのでました。デスクトップにしっかり張り付いています。

20110529

プロセスの『mshta.exe』を停止すると画像は消えるのですが、これは昨年も同じのを対応していますのでもう覚えました。\Windows\system32にある『mshta.exe』は元々Windowsにあるファイルなので削除したりリネームするのではなく、別の場所に潜んでいる拡張子が『○○○.hta』であるファイルを削除するんでしたね。

今回は、問題の画像にあるお客様IDの『SZJV8FTR』を検索するとユーザーフォルダの\AppData\Roamingに同じ名前のフォルダがあって、htaファイルと画像がセットで保存されていました。フォルダの作成時刻も画像の『ご登録日時』とビンゴですので間違いなさそうですね。念のためレジストリエディタで『mshta』を検索すると、『HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run』に問題のhtaファイルの自動起動項目がありましたので削除。htaファイルがあるフォルダはリネームして再起動して問題なくなりましたので削除。ーで終了です。

ファイルの保存場所やフォルダ・ファイル名は色々変わるようですが、大まかな仕組みは同じですので時間jをかけて丁寧に探せばそれほど難しくなさそうですね。 ただ、レジストリエディタの操作は間違えると取り返しが付かなくなることもありますので、難しいなと思ったらお近くの業者をお探しください。

| | コメント (0) | トラックバック (0)

2011年6月 2日 (木)

Sweeper

OS起動前にウイルススキャンできる「Microsoft Standalone System Sweeper Beta」
ブート用のCD/DVDやUSBメモリを作成してOSが起動していない状態でスキャン可能

ダウンロードした実行ファイルを起動して、『IMAPI v2.0』がありませんとかのエラーが出る場合はGoogleで検索するとMicrosoftのダウンロードページが見つかるので、WindowsXP32BitならWindowsXP-KB932716-v2-x86-JPN.exeをダウンロードして実行するといけるみたいです。

クイックスキャンなら7-8分で完了できますので、一つ持っておくのもいいと思います。作成するCDの中身は毎回新たにダウンロードように見えるのですが、どのくらい駆除できるのかとともにまた記事にしたいと思います。二度と出てこなかったら、そのくらいのものだったということで…。

| | コメント (0) | トラックバック (0)

2011年3月11日 (金)

また君か、

本日のお客様、

WindowsVistaのノートPCをご利用なんですが、起動して壁紙やデスクトップのアイコンは表示されるものの全く操作ができないというお話でお預かりとなりました。たぶんCPU使用率が100%になってしまっているんだと思うのですが、30分ほど待ってもタスクマネージャさえ起動できないのでハードディスクのアクセスランプが消えているのを確認した上で電源ボタン長押しをしてセーフモードで起動することにしました。

セーフモードで起動すると、これまでにはなかった『KingsoftInternetsecurity』のアイコンがありますね。元々このPCにはNTT西日本のセキュリティ対策ツールがインストールされていますので原因はほぼ確定です。通常ならウイルス対策ソフトは2重にインストール出来ない様になっているはずですが、NTT西日本用にカスタマイズされたものは認識されなかったりするんでしょうかね?まぁ、無料がいいのであればマイクロソフトのSecuryEssentialsありますし、積極的にKingsoftを選ぶこともないでしょうね。

ーで、『KingsoftInternetSecurity』を削除して再起動したらスッキリ問題なくなりましたので、念のため各種のアップデートを何度か再起動しながら確認して終了です。

昨年あたりから『どうも今後“検索”は良くないらしい』といろんなところで読んだり聞いたりするのですが、今回のケースなどは『ウイルス対策・無料』などと検索して上位にヒットしたものを簡単に信用してはいけないと言えるのかもしれませんね。無料のソフトをダウンロード・インストールさせて紹介料を得ている業者や無料でソフトを提供して広告で収入を得ているメーカーにしてみればインストール数が重要なわけですね。インストール数を稼ぐためには、まずお金をかけてそのソフトが検索上位に表示されるようにするでしょうし、インストールの後で不具合がでようが知った事ではないのかもしれないですし、インストールを妨げるような仕組みは外してしまおうと考えるのかもしれませんね。

世の中に無料で提供されているものには感心させられるような仕組みのものから“詐欺同然”のものまでいろいろあるのは以前からだと思うのですが、手軽さとかスピードとかいったところが以前と違うところでしょうか? サービスを提供する側も受ける側も“手軽に早く”できるようになってるという部分は注意が必要ですね。一度懲りるのが一番かもしれませんが…。

~追記~
コメントいただいたので追記です。今回の記事では『KingsoftInternetSecurity』をインストールする際のトラブルについて書いていますが、他のウイルス対策ソフトがインストールされていない状態で問題なくインストールができた場合のソフトウエアの挙動については触れておりません。『ようこそ』にも書いている通り、記事では『実際にあったこと』を書いていますが他の条件での動作の検証はやっておりませんので、記事の情報だけで製品の評価を決めることは避けて頂けると幸いです。facebookには追加の情報も書いていますのでそちらもよろしくお願いします。

| | コメント (0) | トラックバック (0)

2011年3月10日 (木)

また君か、

本日のお客様、

WindowsVistaのノートPCをご利用なんですが、起動して壁紙やデスクトップのアイコンは表示されるものの全く操作ができないというお話でお預かりとなりました。たぶんCPU使用率が100%になってしまっているんだと思うのですが、30分ほど待ってもタスクマネージャさえ起動できないのでハードディスクのアクセスランプが消えているのを確認した上で電源ボタン長押しをしてセーフモードで起動することにしました。

セーフモードで起動すると、これまでにはなかった『KingsoftInternetsecurity』のアイコンがありますね。元々このPCにはNTT西日本のセキュリティ対策ツールがインストールされていますので原因はほぼ確定です。通常ならウイルス対策ソフトは2重にインストール出来ない様になっているはずですが、NTT西日本用にカスタマイズされたものは認識されなかったりするんでしょうかね?まぁ、無料がいいのであればマイクロソフトのSecuryEssentialsありますし、積極的にKingsoftを選ぶこともないでしょうね。

ーで、『KingsoftInternetsecurity』を削除して再起動したらスッキリ問題なくなりましたので、念のため各種のアップデートを何度か再起動しながら確認して終了です。

昨年あたりから『どうも今後“検索”は良くないらしい』といろんなところで読んだり聞いたりするのですが、今回のケースなどは『ウイルス対策・無料』などと検索して上位にヒットしたものを簡単に信用してはいけないと言えるのかもしれませんね。無料のソフトをダウンロード・インストールさせて紹介料を得ている業者にしてみれば、まずお金をかけてそのソフトが検索上位に表示されるようにするでしょうし、インストールさせてお金になるのであればインストールの後で不具合がでようが知った事ではないのかもしれないですし、インストールを妨げるような仕組みは外してしまおうと考えるのかもしれませんね。

世の中に無料で提供されているものには感心させられるような仕組みのものから“詐欺同然”のものまでいろいろあるのは以前からだと思うのですが、手軽さとかスピードとかいったところが以前と違うところでしょうか?一度懲りるのが一番かもしれませんが…。

| | コメント (2) | トラックバック (0)

2011年3月 8日 (火)

続々と、

本日のお客様、

WindowsXPをご利用で起動しても壁紙が表示されるだけでデスクトップのアイコンやタスクバーが表示されないというトラブルで呼んでいただきました。

このトラブルも最近増えてきたように感じますね。WindowsUpdateができているPCでこの症状になったケースで多くの場合は最後にインストールした(またはインストールしようとした)アプリケーションソフトでトラブルが起きていますのでセーフモードで起動することができたら問題のアプリケーションソフトをアンインストールしてしまえば元に戻ります。逆にセーフモードでも起動しない場合はPCのどこかの部品(ハードディスクやメモリだったりノートPCだったらタッチパッドだったりですね。)が壊れている可能性を考えるのが良さそうです。

ーで、今回もセーフモードなら問題なく起動しますので問題が起きていそうなアプリケーションソフトを削除しようと思って『プログラムの追加と削除』を開いてびっくりです。

お客様によると、元々はマイクロソフトのMicrosoft Security Essentialsがインストールされていたところに、AVG Free - Antivirusをインストールして、さらにavast! free-antivirusをインストールして、またさらにAd-Aware FreeをインストールしようとしたところでPCが突然シャットダウンして、再度起動しても壁紙しか表示されなくなってしまったそうです。たぶん、CPU使用率が100%になってしまっていて起動プロセスが進まなくなっているんでしょうね。お客様、なかなかの強者です…、っていうかインストールできちゃうんですね。

その後、セーフモードのまま何度も再起動しながら全部アンインストールして最後の再起動で通常起動したら問題なくなりましたので、お客様と相談の上Microsoft Security Essentialsをもう一度インストールした後しばらく使っていただいて問題がないことを確認していただいて終了です。

お客様は、お知り合いから『WindowsXPを使っているならセキュリティ対策をしっかりしておいたほうがいい』と言われたので紹介されたツール類を全部インストールしてしまおうと考えたそうです。WindowsXPは確かに古いOSなのでセキュリティ面での不安はありますが、フリーのソフトやツールの類は必要最小限にして、できるだけシンプルな状態を保つことが長く使うコツだと思いますね。“WindowsXPを今後も使うためにインストールしたアプリケーションソフト”のおかげで起動しなくなったりしたのではシャレになりません。

| | コメント (0) | トラックバック (0)

より以前の記事一覧