セキュリティ アワード
secur1ty.blog116.fc2.com
BitDefender Online Scanでウイルスをスキャンせよ
Malware City
プロフィール

トライデント最高司令

Author:トライデント最高司令
気分は永遠の20歳。京大中退。某バイオテクノロジー企業取締役。ウイルス・微生物・細菌、ガン化学療法を主に研究中。愛車は真っ赤なブガッティ・ヴェイロン。全国駆け巡ってるのですれ違ったら宜しく。

【今日のぼやき...】

ご報告が遅くなりましたが、先月より仕事でフランスへ飛んでおります。フランスからだと回線の関係で日本へのアクセスが非常に遅く、データ容量も大きいので通信料が高額になるため、おちおちネットができません(T T)帰るのは年末になりそうです。それまでブログの更新が停滞しますが、ご理解のほどをお願いします。

スポンサーサイト

<!-- passive:etc --><div style="text-align:center;margin-bottom:10px;"><iframe src='//assys01.fc2.com/1380' style='width:300px;height:250px;border:none;' scrolling='no'></iframe><!-- FC2管理用 --><img src="//media.fc2.com/counter_img.php?id=1368" width="1" height="1"><!-- FC2管理用 --></div><div style="font-size:8px;">上記の広告は1ヶ月以上更新のないブログに表示されています。<br />新しい記事を書く事で広告が消せます。</div>
82

【お知らせ】当ブログでのウイルス駆除情報について

閲覧者の皆さん、いつも応援ありがとうございます。さて、偽セキュリティ・偽システムユーティリティの駆除について、お知らせがあります。当ブログに掲載している駆除ガイドは、できる限り最新の情報を収集・掲載するよう留意してはおりますが、ウイルスの急速な進化に伴い、記載の手法が通用しないケースも多くなってきています。また、この件に関してたくさんの方よりご相談いただいております。当ブログとしても掲載している限... <span style="font-size: small;"><span style="font-family: Comic Sans MS;"><img src="https://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/1308837495_Symbol-Information.png" alt="" /><br /><br />閲覧者の皆さん、いつも応援ありがとうございます。<br /><br />さて、偽セキュリティ・偽システムユーティリティの駆除について、お知らせがあります。<br /><br />当ブログに掲載している駆除ガイドは、できる限り最新の情報を収集・掲載するよう留意してはおりますが、ウイルスの急速な進化に伴い、記載の手法が通用しないケースも多くなってきています。<br /><br />また、この件に関してたくさんの方よりご相談いただいております。<br /><br />当ブログとしても掲載している限りは、全力でサポートしていきたいと考えていますが、諸般の事情から、個別に返信することができなくなっています。<br /><br />各記事にて掲載させていただいていますが、当ブログでの駆除ができない方は、確実に何らかの回答が得られる「Yahoo!知恵袋 ウイルス・セキュリティ対策カテゴリ」にご相談いただきますよう、お願いいたします。<br /><br />知恵袋ウイルス・セキュリティ対策カテゴリ:<a href="http://list.chiebukuro.yahoo.co.jp/dir/list/d2078297437/new">list.chiebukuro.yahoo.co.jp/dir/list/d2078297437/new</a><br /><br />Yahoo!知恵袋に相談される際は「Yahoo! ID」の取得が必要です。IDをお持ちでない方は以下より作成されてください。<br /><br />ID新規作成:<a href="https://account.edit.yahoo.co.jp/registration?.intl=jp&.done=http://list.chiebukuro.yahoo.co.jp/dir/list/d2078297437/new?dnum%3D2078297437%26amp%3Bflg%3D0&.src=ks">account.edit.yahoo.co.jp/registration</a><br /><br />またYahoo!知恵袋にて質問される際は、必ず以下の情報を添えてください。<br /><br /><strong><span style="font-size: medium;">・感染した偽セキュリティ・偽ユーティリティソフトの名称<br /><br />・お使いのOS(Windows XP/Vista/7)<br /><br />・具体的な進捗状況</span><br /></strong><br />※当ブログを参考にしていただいたと添えていただけると、当ブログへの二重誘導が起こるのを防ぐことができます。<br /><br />ご理解をお願いいたします。<br /></span></span><br />
73

偽システムユーティリティ:Windows 7 Recoveryの駆除方法

OS名を騙り、あたかもWindows正規のプログラムであるかのように装った偽システムユーティリティが確認されました。各OSのインターフェースを精巧に真似ており、攻撃者の狡猾さがうかがえます。・Windows XP Recovery・Windows Vista Recovery・Windows 7 Recovery【重要】この偽システムユーティリティは「ルートキット」と呼ばれる、危険度の高いマルウェアを同時に感染させてくるようです。ルートキットはステルス型の隠蔽プログ... <span style="font-family: Comic Sans MS;"><img alt="" style="width: 390px; height: 260px;" src="https://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/Windows7Recovery_convert_20110520003513.png" /><br /><br /><span style="font-size: small;">OS名を騙り、あたかもWindows正規のプログラムであるかのように装った偽システムユーティリティが確認されました。各OSのインターフェースを精巧に真似ており、攻撃者の狡猾さがうかがえます。<br /><br />・Windows XP Recovery<br />・Windows Vista Recovery<br />・Windows 7 Recovery</span><br /><br /><strong><span style="font-size: medium;">【重要】<br /><br />この偽システムユーティリティは「ルートキット」と呼ばれる、危険度の高いマルウェアを同時に感染させてくるようです。ルートキットはステルス型の隠蔽プログラムで、通常の手法では検知することが困難です。手元にバックアップがある場合、以下の駆除手順を試してもPCに不調が残ったりする場合は、ためらうことなくリカバリーするようにしてください。なお「システムの復元」はPCに変調をきたす可能性があるので実行しないでください。</span></strong><span style="font-size: medium;"><br /><br /><span style="color: rgb(0, 0, 255);">【ステップ1:ツールをダウンロードする】<br /><br /></span><span style="font-size: small;">ルートキットを駆除するには、専用のスキャナが必要です。またウイルスが動き続けていると、駆除が妨害されることがあるので、ウイルスのプロセスを停止させた後、ルートキットを駆除するようにします。<br /><br />①</span></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: medium;"><span style="font-size: small;">ルートキットはセーフモード下では活動できないので、</span></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: medium;"><span style="font-size: small;">PCを「セーフモードとネットワーク」で起動し、以下のツール類をダウンロード。<br /><br /></span><em><strong><span style="font-size: small;">・rKill</span></strong></em><span style="font-size: small;"> (以下のいずれかひとつをダウンロード)<br /><br />1)<a href="http://download.bleepingcomputer.com/grinler/rkill.scr">download.bleepingcomputer.com/grinler/rkill.scr</a><br /><br />2)<a href="http://download.bleepingcomputer.com/grinler/WiNlOgOn.exe">download.bleepingcomputer.com/grinler/WiNlOgOn.exe</a><br /><br />3)<a href="http://download.bleepingcomputer.com/grinler/iExplore.exe">download.bleepingcomputer.com/grinler/iExplore.exe</a><br /><br /></span><em><strong><span style="font-size: small;">・TDSSKiller</span></strong></em><span style="font-size: small;"><br /><br /><a href="http://support.kaspersky.com/downloads/utils/tdsskiller.exe">support.kaspersky.com/downloads/utils/tdsskiller.exe</a><br /><br /><strong><em>・Malwarebytes Anti-Malware(MBAM)</em></strong><br /><br /><a href="http://www.malwarebytes.org/products/malwarebytes_free">www.malwarebytes.org/products/malwarebytes_free</a><br /><br />↑FREE版の「Download Now」をクリック<br /><br /><em><strong>・Dr.WEB CureIt!</strong></em><br /><br /><a href="http://www.freedrweb.com/cureit/?lng=en">www.freedrweb.com/cureit/</a><br /><br />↑簡単な情報の登録が必要。メールアドレスなどは適当でOK<br /><br /><strong><em>・Unhide.exe</em></strong><br /><br /><a href="http://download.bleepingcomputer.com/grinler/unhide.exe">download.bleepingcomputer.com/grinler/unhide.exe</a><br /><br /><span style="color: rgb(0, 0, 255);"><span style="font-size: medium;">【ステップ2:ルートキットを駆除する】</span></span><br /><br />①ツールをダウンロードし終わったら、PCを通常モードで起動し直し、rKillをダブルクリックで実行する。rKillはウイルスの不審なプロセスを遮断してくれるツール。実行すると、黒い画面(コマンドプロンプト)が表示されて作業が始まるので、作業が完了するまでしばらく待つ。<br /><br />②続いて、TDSSKillerを実行する。</span></span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;">全ての領域に&#10004;が入っていることを確かめてから、Start scanをクリックする。</span></span><span style="font-family: Comic Sans MS;"><span style="font-size: medium;"><span style="font-size: small;"><br /><br /><img src="http://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/TDSS.png" alt="" /><br /></span><span style="font-size: small;"><br /></span></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;">*TDSSKillerが起動しないなどの異常が発生する場合(原因はルートキットによるもの)、別なツールでも検査を実行してください。<br /><br /></span></span><strong><em><span style="font-family: Comic Sans MS;"><span style="font-size: small;">・F-Secure Blacklight</span></span></em></strong><span style="font-family: Comic Sans MS;"><span style="font-size: medium;"><span style="font-size: small;"><br /><br /><a href="http://www.f-secure.com/en_EMEA-Labs/security-threats/tools/blacklight/">www.f-secure.com/en_EMEA-Labs/security-threats/tools/blacklight/</a><br /><br /><em><strong>・Sophos Anti-rootkit</strong></em>(簡単な情報の登録が必要)<br /><br /><a href="http://www.sophos.co.jp/products/free-tools/sophos-anti-rootkit.html">www.sophos.co.jp/products/free-tools/sophos-anti-rootkit.html</a><br /><br /></span><span style="font-size: small;">③</span></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;">スキャンは数十秒程度で完了するはず。</span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;">「Malicious Objects」(赤の!マーク)が見つかったら、操作が「Cure」になっていることを確認して「Continue」を</span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;">クリック。</span></span><span style="font-family: Comic Sans MS;"><span style="font-size: medium;"><br /><br /><img src="http://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/2663-2-eng.png" alt="" /><br /></span><br /><strong><span style="font-size: small;">ルートキットを駆除したあとは、PCを再起動してください。<br /><br /></span></strong><span style="color: rgb(0, 0, 255);"><span style="font-size: medium;">【ステップ3:ウイルスを駆除する】</span></span><br /></span><br /><span style="font-size: small;"><span style="font-family: Comic Sans MS;">①MBAMをインストールする。インストール手順及び使い方は</span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><a href="http://secur1ty.blog116.fc2.com/blog-entry-6.html"><span style="font-size: small;">secur1ty.blog116.fc2.com/blog-entry-6.html</span></a></span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;">を参考に。<strong>この時点では、アップデートまでしてスキャンはまだしない。</strong></span></span><br /><br /><span style="font-family: Comic Sans MS;"><span style="font-size: small;">②</span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><strong>PCを「セーフモード」で起動した後、インストールしたMBAMを起動させ「Perform FULL Scan」を選択して実行。</strong>PC全体をスキャンする設定のため、時間がかかる。お茶でも飲みつつゆっくり待てる暇な時間に実行すると良いと思う。そろそろ</span></span><span style="font-size: small;">ビールがうまい季節なので、ビールがあればなお良し。<br /><br /></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;">③</span><span><span style="font-size: small;">MBAMのスキャンが終了したら「Show Results」をクリックして<strong>検知された項目に全て&#10004;が入っているか確認した後、「Remove Selected」をクリックして検知されたウイルスを除去。</strong>除去が終わったら、PCを通常モードで起動し直す。</span></span></span><br /><br /><span style="color: rgb(0, 0, 255);"><span style="font-size: medium;"><span style="font-family: Comic Sans MS;">【ステップ4:非表示設定を元に戻す】</span></span></span><span style="font-size: medium;"><span style="font-family: Comic Sans MS;"><br /><span style="font-size: small;"><br />このウイルスは、感染するとあらゆるフォルダやファイルを非表示にしてしまいます。これら非表示になってしまったフォルダを再度表示させるために、Unhide.exeを実行します。<br /><br />①Unhide.exeをダブルクリックで実行する。すると、以下のような黒い画面(コマンドプロンプト)が出てきて作業が始まる。<strong>数分間この状態が続くが、</strong><strong>裏ではまだ作業中なので我慢して待機するように。</strong><br /><br /><img src="https://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/WR5.png" style="width: 581px; height: 423px;" alt="" /><br /><br /></span><span style="font-size: small;">②作業が完了すると、作業完了を知らせるメッセージが表示される。OKをクリックして閉じる。<br /><br /><img src="https://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/R2.png" style="width: 588px; height: 428px;" alt="" /></span><br /></span></span><br /><br /><span style="color: rgb(0, 0, 255);"><span style="font-size: medium;"><span style="font-family: Comic Sans MS;">【ステップ5:ウイルスの残存とHostsfileの改変をチェック】</span></span></span><span style="font-size: medium;"><span style="font-family: Comic Sans MS;"><br /><br /><span style="font-size: small;">上記の作業でウイルスは駆除できているはずだが、まれに他のウイルスにも感染している可能性があるので念を入れて検査する。当ブログでは、Hostsfileの改ざんもチェックできるDr.WEB CureIt!を利用する。<br /><br />①</span></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;">Dr.WEB CureIt!を起動する。始めに緑の画面が表示されるので「スタート」をクリック。すると「強化保護モード(EPM)」というモードが起動するが、これ はスキャン中にウイルスなどによってスキャンが中断させられることを防ぐ為のモノで、できれば解除せずそのまま続行して欲しい。</span></span><span><span style="font-size: medium;"><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><br /><br />②</span></span></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;"> 「高速スキャン」を行い、システムの最重要部分を手早くスキャンする。ウイルスが検知されると、自動的に修復するようになっているので、特に操作は不 要。先述のHostsfileが改ざんされていた場合、スキャン終了後に「Hostsfileが変更されている」とのメッセージが出るので、修復してほしい。<br /><br />③完了。<br /><br /></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;">*また、当ブログではDr.WEB CureIt!の他にも「Microsoft Safety Scanner」や「ESET Online Scanner」なども同様に手軽にウイルスを検査できるツールとして推奨している。ダウンロードは以下より。<br /><br /></span></span><em><strong><span style="font-family: Comic Sans MS;"><span style="font-size: small;">・Microsoft Safety Scanner</span></span></strong></em><strong><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><br /></span></span></strong><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><br /><a href="http://secur1ty.blog116.fc2.com/blog-entry-56.html">secur1ty.blog116.fc2.com/blog-entry-56.html</a><br /><br /><em><strong>・ESET Online Scanner</strong></em><br /><br /><a href="http://download.eset.com/special/eos/esetsmartinstaller_enu.exe">download.eset.com/special/eos/esetsmartinstaller_enu.exe</a><br /><br /></span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;"><span style="color: rgb(255, 0, 0);"><span style="background-color: rgb(0, 0, 0);"><strong>再感染を防止するために...<br /><br /></strong></span></span></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><strong>再感染を防ぐため、駆除作業が終わってから、次のソフトウェアのアップデートをご確認いただきますようお願いいたします。</strong><strong>今回の感染は確実に「脆弱性対策の不徹底」が原因</strong>であり、これを対策しなければ、同様のウイルスに再感染する危険があります。<br /><br /></span></span></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><span style="font-family: Comic Sans MS;"><span style="font-size: small;">・Javaのアップデートを確認してください(現在の最新版は Java 6 Update 25 です)<br /><a href="http://secur1ty.blog116.fc2.com/blog-entry-24.html">secur1ty.blog116.fc2.com/blog-entry-24.html</a></span></span></span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;"><br /><br />・</span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;">Adobe関連ソフトは最新になっていますか(こちらも先日アップデートがありました)<br /></span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;"><a href="http://secur1ty.blog116.fc2.com/blog-entry-71.html">secur1ty.blog116.fc2.com/blog-entry-71.html</a><br /><br />・</span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;">安心できる</span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;">ウイルス対策ソフトはインストールされていますか?なければ、無料のモノでも良いのでインストールしておきましょう</span></span><br /><span style="font-family: Comic Sans MS;"><span style="font-size: small;">Microsoft Security Essentials:<a href="http://www.microsoft.com/ja-JP/security_essentials/default.aspx">www.microsoft.com/ja-JP/security_essentials/default.aspx</a></span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;"><br /><br /></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;">・「脆弱性って何?」「脆弱性対策って?」という方のために<br /><a href="http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1256518342">detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1256518342</a><br /><a href="http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1252417427">detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1252417427</a><br /><br />ここで、知恵袋セキュカテの重鎮様のお言葉を引用させていただきたいと思います。<br /><br /><span style="color: rgb(0, 0, 255);">”脆弱性対策をしてこそ、セキュリティソフトが生きてくる”<br /></span><br />セキュリティソフトだけ入れていても、脆弱性対策が抜けていては片手落ちなのです。この言葉は、セキュリティ対策の核心を突いた名言といえるでしょう。<br /><br /></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;">★セキュリティ対策を万全にして安全で快適なPCライフを楽しみましょう★</span></span><br /><br /><span style="font-size: small;"><span style="font-family: Comic Sans MS;">※多忙のため、コメントでご質問をいただいてもサポートが望めない場合があります。そのような場合は、ここのURLを添えて「Yahoo!知恵袋 ウイルス・セキュリティ対策カテゴリ」に質問されますと、以下の有志が親切に対応してくれるかもしれません。</span></span><br /><br /><span style="font-size: small;"><span style="font-family: Comic Sans MS;">↓この手のウイルス感染について専門的な見識をお持ちの有志回答者さん達↓<br /><br /><a href="http://my.chiebukuro.yahoo.co.jp/my/crara6">my.chiebukuro.yahoo.co.jp/my/crara6</a></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><br /><br /><a href="http://my.chiebukuro.yahoo.co.jp/my/milksize_hybrid_ver_2010_box">my.chiebukuro.yahoo.co.jp/my/milksize_hybrid_ver_2010_box</a><br /><br /><a href="http://my.chiebukuro.yahoo.co.jp/my/chaba0326">my.chiebukuro.yahoo.co.jp/my/chaba0326</a><br /><br /><a href="http://my.chiebukuro.yahoo.co.jp/my/fandango_herbalpert">my.chiebukuro.yahoo.co.jp/my/fandango_herbalpert<br /></a></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><br /></span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;">これらの方々がカテゴリを代表する有識回答者さんです。知恵袋には質問の際に「リクエスト」制度がありますので、これらの方々をリクエストされると良いかもしれません。(残念なことにcrara6さん については、現在リクエストを受け付けておられないようです)</span></span><br /><br />
72

Windows Restoreシリーズ感染後、全てのプログラムが消えてしまう件について

  先日、「【緊急】Windows Restore感染後「全てのプログラム」からメニューが消えた」というタイトルで、Windows Restore感染後に限定的に発生する症状について連絡を行いましたが、どうやら解決の兆しが見えてきたかもしれません。【緊急】Windows Restore感染後「全てのプログラム」からメニューが消えた:secur1ty.blog116.fc2.com/blog-entry-68.htmlこの記事を見て、当ブログにWindows Restore亜種(Windows Recovery)の...   <img alt="" src="https://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/1305370992_clean.png" /><br /><br /><span style="font-size: small;"><span style="font-family: Comic Sans MS;">先日、「</span>【緊急】Windows Restore感染後「全てのプログラム」からメニューが消えた</span><span style="font-size: small;"><span style="font-family: Comic Sans MS;">」というタイトルで、Windows Restore感染後に限定的に発生する症状について連絡を行いましたが、どうやら解決の兆しが見えてきたかもしれません。<br /></span><br />【緊急】</span><span style="font-size: small;"><span style="font-family: Comic Sans MS;">Windows Restore感染後「全てのプログラム」からメニューが消えた:<a href="http://secur1ty.blog116.fc2.com/blog-entry-68.html">secur1ty.blog116.fc2.com/blog-entry-68.html</a><br /><br />この記事を見て、当ブログにWindows Restore亜種(Windows Recovery)の検体を提供してくださった方がいらっしゃったお陰で、思いがけず早期に検証を行うことが出来ました。<br /><br />協力してくださった方々への報告も兼ねて、この記事を書かせていただきます。解決法は最後に書こうと思いますので、おつきあいの程よろしくお願いします。<br /><br />まず、Windows Restore(Windows Recovery)をインストールされてしまうと、以下のようになってしまいます。(画像を右クリックして「画像だけを表示」すると拡大画像を見ることが出来ます)左下に表示されているのはタスクマネージャの画面です。多くの偽セキュリティソフトのように、プログラムの起動を阻害するというようなことは今回ありませんでした。<br /><br /><img alt="" style="width: 593px; height: 369px;" src="https://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/WR.jpg" /><br /><br />ちなみにこのとき、セキュリティソフトのESET Smart Security V4.2を最新の状態でインストールしていましたが、あっさりすり抜けられ、検知すらせず。(ちなみにこの後、皮肉にもESETの定義アップデートのポップアップが表示されました)<br /><br />ブログでも紹介しているように、まず適当なメールアドレスと指定されたシリアルキーを入力し、「Activate」をクリックします。<br /><br /><img alt="" style="width: 593px; height: 395px;" src="https://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/WR2.png" /><br /><br />無事、アクティベーションが完了しました。しかしその後、異様にPCが重たくなり、ほとんど操作不能な状態に陥りました。<br /><br /><img alt="" src="https://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/WR3.png" /><br /><br />このままでは何も操作できないので、タスクマネージャを開き、Windows Recoveryのものと思われるランダムなプロセスを右クリックして「プロセスツリーを終了」を選択。<br /><br /><img alt="" src="https://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/WR1.png" /><br /><br />しかしPCは重たいまま、スキャンは到底行えない状態だったので、ここからは少し自己流でチャレンジしてみました。隠しフォルダの設定を変えて、ProgramDataフォルダにアクセスしてみると、一番下に本体と思しきファイルがいくつか格納されていました。以下の画像で言うと「42327816」と「dAmLSTWYyWMb」というファイルです。これらは全て削除しました。<br /></span></span><br /><img alt="" src="https://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/WR4.png" /><br /><br /><span style="font-size: small;"><span style="font-family: Comic Sans MS;">この時点でWindows Recovery</span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;">は表示されなくなりましたが、PCの状態とデスクトップ、プログラム一覧に変化はありません。おそらくレジストリにもマルウェアの痕跡が残っていると考えられ、とりあえず駆除ツールを掛けてみました。PCの状態が酷く、キャプチャーが取れていませんので、各ソフトでの検査結果のみ簡単に報告させていただきます。<br /><br /><strong>Malwarebytes Anti-Malware : 先述のマルウェア本体に関するRegistry Valueを2つ検知<br /><br />Hitman Pro:Prevention Taskmanagerを示すレジストリキーを検知<br /><br />TDSSKiller:検知無し<br /><br />Sophos Anti-rootkit:検知無し<br /><br />Norton Power Eraser:検知無し<br /><br />Microsoft Safety Scanner:トロイの木馬を1件検知。ファイルパスを見るもWindows Recoveryとは特に関係なさそう<br /><br />F-Secure Online Scanner:検知無し<br /><br />ESET:もともと期待はしていなかったがとりあえずスキャン。結果は検知無し<br /><br />HijackThis:特に怪しい点は見当たらず<br /><br />Conbofix:怪しい点は無し</strong><br /><br />上記のツールにて検査しましたが、MBAMでレジストリを削除した以外特になにもありませんでした。これにより、これ以上マルウェアが潜んでいる可能性は低いと思われます。<br /><br />ということは、残り考えられる可能性は一つだけ。「Unhide.exeを完全に実行しきっていない」ということ。駆除方法を書いた時点で当方がUnhide.exeの使い方について、少し曖昧な書き方をしたことにも原因があるようなので、ココにもう一度、Unhide.exeの実行方法を詳細に書かせていただきます。<br /><br />まず、Unhide.exeを以下のURLからダウンロードし、デスクトップに配置します。<br /><br /><strong><em>・Unhide.exe</em></strong><br /><br /><a href="http://download.bleepingcomputer.com/grinler/unhide.exe">download.bleepingcomputer.com/grinler/unhide.exe</a><br /><br />このUnhide.exeを、XPはダブルクリック、Vista, 7は右クリック → 管理者として実行 を選択。すると、コマンドプロンプトが起動し、以下のような画面が出ます。<br /><br />しばらくこのままの画面が続くため、作業が終わったのか判断がつかず、可視化途中でコマンドプロンプトを終了してしまった可能性があります。この画面が暫く続いても、実は裏では作業が進んでいるため、しばらく放置してみてください。<br /><br /><img alt="" style="width: 605px; height: 435px;" src="https://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/WR5.png" /><br /><br />作業開始から2分ほど経った頃、以下のような画面が出ました。<br /><br /><img alt="" style="width: 608px; height: 441px;" src="https://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/R1.png" /><br /><br />そして完全に作業が終わったことを示すダイアログが表示されます。ここまで完了して初めて全ての非表示となっていた項目が再度現れるようになるわけです。<br /><br /><img alt="" style="width: 605px; height: 440px;" src="https://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/R2.png" /><br /><br />まだ非表示の部分が残っているという方は、もう一度Unhide.exeを確実に実行してみることをオススメします。<br /><br /><strong>2011.05.15 追記</strong><br /><br />当方環境ではUnhide.exeでの作業後、フォルダ、ファイル、どれかひとつでも非表示の設定を変えると、再度元に戻ってしまいました。なにが原因なんだろうか。全くもって不明です。<br /><br />【謝辞】<br /><br />当ブログに検体を提供してくれたcrara6さん、協力を申し出てくれたchaba0326さんに、感謝の意を表明します。彼らの協力なしに、この記事は書けなかっただろう。<br /><br /><br /><br /><br /><br /><br /></span></span><br />
70

偽システムユーティリティ:Windows Supervision Center 駆除方法

新たな偽システムユーティリティが確認されたので、駆除方法を書いておきます。なお、この駆除ガイドは以下の同系列のウイルスに対しても有効だと考えられます。・Windows Oversight Center・Windows Tasks Optimizer・Windows Works Catalyst・Windows Attention Utility・Windows Inspection Utility・Windows Tweaking Utility・Windows Activity Inspector・Windows Protection Servant・Windows System Tasks・Windows Repair... <img alt="" src="https://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/Windows_convert_20110511214619.png" /><br /><br /><span style="font-family: Comic Sans MS;"><span style="font-size: small;">新たな偽システムユーティリティが確認されたので、駆除方法を書いておきます。なお、この駆除ガイドは以下の同系列のウイルスに対しても有効だと考えられます。<br /><br />・Windows Oversight Center<br />・Windows Tasks Optimizer<br />・Windows Works Catalyst<br />・Windows Attention Utility<br />・Windows Inspection Utility<br />・Windows Tweaking Utility<br />・Windows Activity Inspector<br />・Windows Protection Servant<br />・Windows System Tasks<br />・Windows Repairing System<br />・Windows Safeguard Utility<br />・Windows Precautions Center<br />・Windows Profile System<br />・Windows Firewall Unit<br />・Windows Resks Prevention<br />・Windows Custom Settings<br />・Windows Necessary Firewall<br />・Windows Troubles Solver<br />・Windows Anticrashes Utility<br />・Windows Accidents Prevention<br />・Windows Saviour Firewall<br />・Windows Crashes Deliverer<br />・Windows Rescue Center<br />・Windows Salvage System<br />・Windows Efficirncy Analyzer<br />・Windows Protection Alarm<br />・Windows Troubles Killer<br />・Windows Monitoring Utility<br />・Windows Work Checker<br />・Windows Examination Utility<br /><br /><span style="font-size: medium;"><span style="color: rgb(0, 0, 255);">【ステップ1:ウイルスの自動起動を阻止する】<br /></span></span><br />ウイルスが起動すると、駆除作業が妨害されて困難になることがある。ウイルスの起動をとりあえず阻止し、駆除しやすくする為の作業を行う。<br /><br />①PCを<strong>「セーフモード」で起動</strong>する。<br /><br />*セーフモードは、PCに電源が入った直後にF8キーを連打してやると選択可能になる<br /><br />②スタート → 検索の開始 に %APPDATA% と入力し、Enter。<br /><br /><img alt="" src="http://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/GY.png" /><br /><br />③検索結果が別ウィンドウで開くので、<strong>開いたウィンドウから「Roaming」というフォルダを選択して展開</strong>する。するとその中に、以下の画像のような、映画で使うカチンコのアイコンをしたEXEファイルがあるはずなので、それを<strong>右クリック → 名前の変更 </strong>する。<strong>または、そのファイルをデスクトップに移動させても良い。</strong><br /><br /><img alt="" src="http://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/KI_convert_20110405225830.png" /><br /><br />④作業が終わったら、PCを通常モードで起動し直す。<br /><br /><span style="font-size: medium;"><span style="color: rgb(0, 0, 255);">【ステップ2:ウイルスを駆除する】</span></span><br /><br />①以下のウイルス駆除ツールを全てダウンロードする。通常モードで駆除ツール類がダウンロードできない場合は「セーフモードとネットワーク」でPCを起動し直して試行する。<br /><br /><strong><em>・rKill</em></strong>(いずれか一つをダウンロード)<br /><br />1)<a href="http://download.bleepingcomputer.com/grinler/rkill.exe">download.bleepingcomputer.com/grinler/rkill.exe</a><br /><br />2)<a href="http://download.bleepingcomputer.com/grinler/rkill.scr">download.bleepingcomputer.com/grinler/rkill.scr</a><br /><br />3)<a href="http://download.bleepingcomputer.com/grinler/iExplore.exe">download.bleepingcomputer.com/grinler/iExplore.exe</a><br /><br /><strong><em>・Malwarebyte's Anti-Malware(MBAM)</em></strong><br /><br /><a href="http://www.malwarebytes.org/products/malwarebytes_free">www.malwarebytes.org/products/malwarebytes_free</a><br /><br />↑FREE版の「Download Now」というバナーをクリック<br /><br /><em><strong>・TDSSKiller</strong></em><br /><br /><a href="http://support.kaspersky.com/downloads/utils/tdsskiller.exe">support.kaspersky.com/downloads/utils/tdsskiller.exe</a><br /><br /><strong><em>・Dr.Web CureIt!</em></strong><br /><br /><a href="http://www.freedrweb.com/cureit/">www.freedrweb.com/cureit/</a><br /><br />↑簡単な情報の登録が必要。名前・メールアドレスなどは適当でもOK<br /><br />②ダウンロードした<strong>rKillをダブルクリックで実行</strong>する。<strong>駆除ツールのダウンロードを「セーフモードとネットワーク」でやった人は、通常モードで起動し直してからrKillを実行。</strong><br /><br />*もし、Glary Utilitiesなど、スタートアップを自由に追加したり出来るツールを持っている場合は、あらかじめrKillをスタートアップに登録した上でPCを起動すると、ウイルスのプロセス起動を阻止できる可能性が高まるかも知れない。<br /><br />③MBAMをインストールする。インストール手順及び使い方は<a href="http://secur1ty.blog116.fc2.com/blog-entry-6.html">secur1ty.blog116.fc2.com/blog-entry-6.html</a>を参考に。<strong>この時点では、アップデートまでしてスキャンはまだしない。<br /><br /></strong>④<strong>PCを「セーフモード」で起動した後、インストールしたMBAMを起動させ「Perform FULL Scan」を選択して実行。</strong>PC全体をスキャンする設定のため、時間がかかる。お茶でも飲みつつゆっくり待てる暇な時間に実行すると良いと思う。<br /><br />⑤MBAMのスキャンが終了したら「Show Results」をクリックして<strong>検知された項目に全て&#10004;が入っているか確認した後、「Remove Selected」をクリックして検知されたウイルスを除去。</strong>除去が終わったら、PCを通常モードで起動し直す。<br /><br /><span style="font-size: medium;"><span style="color: rgb(0, 0, 255);">【ステップ3:ルートキットを検査する】</span></span><span style="color: rgb(0, 0, 255);"><br /></span><br />最近、偽セキュリティ・システムユーティリティの中には、ルートキットと呼ばれる検知の困難なウイルスを仕掛けていくモノがある。ルートキットは通常の検査方法では見つからないことが多く、検査には専用のツールを用いる必要がある。<br /><br />①TDSSKillerをダブルクリックして実行する。</span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;">全ての領域に&#10004;が入っていることを確かめてから、Start scanをクリックする。</span></span><br /><br /><img src="http://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/TDSS.png" alt="" /><br /><br /><span style="font-family: Comic Sans MS;"><span style="font-size: small;">*TDSSKillerが起動しないなどの異常が発生する場合(原因はルートキットによるもの)、別なツールでも検査を実行してください。この場合、ほぼ確実にルートキットに感染しているので、以下のツールを使いルートキットを検知・駆除してください。<br /><br /><em><strong>・F-Secure Blacklight</strong></em><br /><br /></span></span><a href="http://www.f-secure.com/en_EMEA-Labs/security-threats/tools/blacklight/"><span style="font-size: small;"><span style="font-family: Comic Sans MS;">www.f-secure.com/en_EMEA-Labs/security-threats/tools/blacklight/</span></span></a><br /><span style="font-size: small;"><span style="font-family: Comic Sans MS;"><br /><strong><em>・Sophos Anti-Rootkit</em></strong>(簡単な情報の登録が必要)<br /><br /><a href="http://www.sophos.co.jp/products/free-tools/sophos-anti-rootkit.html">www.sophos.co.jp/products/free-tools/sophos-anti-rootkit.html<br /><br /></a></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><br />②スキャンは数十秒程度で完了するはず。</span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;">もし「Malicious Objects」(赤の!マーク)が見つかった場合は、操作が「Cure」になっていることを確認して「Continue」を</span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;">クリック。</span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;">「Suspicious Objects」(黄色の!マーク)が見つかった場合は、操作が「Skip」になっていることを確認して「Continue」を</span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;">クリックする。</span></span><br /><br /><img src="http://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/2663-2-eng.png" alt="" /><br /><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><br /><strong>なお、ルートキットを検知し、駆除した後はPCの再起動をオススメします。<br /><br /></strong><span style="color: rgb(0, 0, 255);"><span style="font-size: medium;">【ステップ4:残存するウイルスとHostsfileの改ざんをチェックする】<br /></span></span><br />本当にウイルスが残存していないか確認するため、インストール不要なツールを使いスキャンを行っておくことが望ましい。当ブログでは、Hostsfileというインターネット接続に必要な情報の詰まったファイルの改ざんもチェックできる「Dr.WEB CureIt!」というフリーツールを推奨する。<br /><br />①Dr.WEB CureIt!を起動する。始めに緑の画面が表示されるので「スタート」をクリック。すると「緊急保護モード(EPM)」というモードが起動するが、これはスキャン中にウイルスなどによってスキャンが中断させられることを防ぐ為のモノで、できれば解除せずそのまま続行して欲しい。<br /><br />②「高速スキャン」を行い、システムの最重要な部分を手早くスキャンする。ウイルスが検知されると、自動的に修復するようになっているので、特に操作は不要。先述のHostsfileが改ざんされていた場合、スキャン終了後に「Hostsfileが変更されている」とのメッセージが出るので、修復してほしい。<br /><br />③完了。<br /><br />*また、当ブログではDr.WEB CureIt!の他にも「Microsoft Safety Scanner」や「ESET Online Scanner」なども同様に手軽にウイルスを検査できるツールとして推奨している。ダウンロードは以下より。<br /><br /><em><strong>・Microsoft Safety Scanner</strong></em><br /><br /><a href="http://secur1ty.blog116.fc2.com/blog-entry-56.html">secur1ty.blog116.fc2.com/blog-entry-56.html</a><br /><br /><strong><em>・ESET Online Scanner</em></strong><br /><br /><a href="http://download.eset.com/special/eos/esetsmartinstaller_enu.exe">download.eset.com/special/eos/esetsmartinstaller_enu.exe</a><br /><br /></span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;"><span style="color: rgb(255, 0, 0);"><span style="background-color: rgb(0, 0, 0);"><strong>再感染を防止するために...<br /><br /></strong></span></span></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><strong>再感染を防ぐため、駆除作業が終わってから、次のソフトウェアのアップデートをご確認いただきますようお願いいたします。</strong><strong>今回の感染は確実に「脆弱性対策の不徹底」が原因</strong>であり、これを対策しなければ、同様のウイルスに再感染する危険があります。</span></span></span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;"><br /><br /></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><span style="font-family: Comic Sans MS;"><span style="font-size: small;">・Javaのアップデートを確認してください(現在の最新版は Java 6 Update 25 です)<br /><a href="http://secur1ty.blog116.fc2.com/blog-entry-24.html">secur1ty.blog116.fc2.com/blog-entry-24.html</a></span></span></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><br /><br /></span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;">・</span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;">Adobe関連ソフトは最新になっていますか(こちらも先日アップデートがありました)</span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;"><br /></span></span><a href="http://secur1ty.blog116.fc2.com/blog-entry-18.html"><span style="font-family: Comic Sans MS;"><span style="font-size: small;">secur1ty.blog116.fc2.com/blog-entry-18.html</span></span></a><br /><br />・<span style="font-size: small;"><span style="font-family: Comic Sans MS;">安心できる</span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;">ウイルス対策ソフトはインストールされていますか?なければ、無料のモノでも良いのでインストールしておきましょう</span></span><br /><span style="font-family: Comic Sans MS;"><span style="font-size: small;">Microsoft Security Essentials:<a href="http://www.microsoft.com/ja-JP/security_essentials/default.aspx">www.microsoft.com/ja-JP/security_essentials/default.aspx</a></span></span><br /><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><br />・「脆弱性って何?」「脆弱性対策って?」という方のために<br /><a href="http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1256518342">detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1256518342</a><br /><a href="http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1252417427">detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1252417427</a><br /><br />ここで、知恵袋セキュカテの重鎮様のお言葉を引用させていただきたいと思います。<br /><br /><span style="color: rgb(0, 0, 255);">”脆弱性対策をしてこそ、セキュリティソフトが生きてくる”<br /></span><br />セキュリティソフトだけ入れていても、脆弱性対策が抜けていては片手落ちなのです。この言葉は、セキュリティ対策の核心を突いた名言といえるでしょう。<br /><br /></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;">★セキュリティ対策を万全にして安全で快適なPCライフを楽しみましょう★</span></span><br /><br /><span style="font-size: small;"><span style="font-family: Comic Sans MS;">※多忙のため、コメントでご質問をいただいてもサポートが望めない場合があります。そのような場合は、ここのURLを添えて「Yahoo!知恵袋 ウイルス・セキュリティ対策カテゴリ」に質問されますと、以下の有志が親切に対応してくれるかもしれません。</span></span><br /><br /><span style="font-size: small;"><span style="font-family: Comic Sans MS;">↓この手のウイルス感染について専門的な見識をお持ちの有志回答者さん達↓<br /><br /><a href="http://my.chiebukuro.yahoo.co.jp/my/crara6">my.chiebukuro.yahoo.co.jp/my/crara6</a></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><br /><br /><a href="http://my.chiebukuro.yahoo.co.jp/my/milksize_hybrid_ver_2010_box">my.chiebukuro.yahoo.co.jp/my/milksize_hybrid_ver_2010_box</a><br /><br /><a href="http://my.chiebukuro.yahoo.co.jp/my/chaba0326">my.chiebukuro.yahoo.co.jp/my/chaba0326</a><br /><br /><a href="http://my.chiebukuro.yahoo.co.jp/my/cassis_ne_jp">my.chiebukuro.yahoo.co.jp/my/fandango_herbalpert<br /></a></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><br /></span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;">これらの方々がカテゴリを代表する有識回答者さんです。知恵袋には質問の際に「リクエスト」制度がありますので、これらの方々をリクエストされると良いかもしれません。(残念なことにcrara6さん については、現在リクエストを受け付けておられないようです)</span></span><span style="font-size: small;"><span style="font-family: Comic Sans MS;"><br /><br /><br /></span></span><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><br /><br /><br /><br /><br /></span></span><br />
68

【緊急】Windows Restore感染後「全てのプログラム」からメニューが消えた

 「偽システムユーティリティ『Windows Restore』シリーズのウイルスに感染後、全ての駆除作業を完遂しても『全てのプログラム』内にプログラム一覧が表示されない」という相談が相次いでいます。偽システムユーティリティ:Windows Restoreの駆除方法:secur1ty.blog116.fc2.com/blog-entry-54.html現状、当方にも最新の検体が無く、この事象を解明できていません。また、海外の偽ツール駆除を専門とするフォーラムでも同様の相...  <img alt="" src="https://blog-imgs-44-origin.fc2.com/s/e/c/secur1ty/1304950971_error.png" /><br /><br /><span style="font-family: Comic Sans MS;"><span style="font-size: small;">「偽システムユーティリティ『Windows Restore』シリーズのウイルスに感染後、全ての駆除作業を完遂しても『全てのプログラム』内にプログラム一覧が表示されない」という相談が相次いでいます。<br /><br />偽システムユーティリティ:Windows Restoreの駆除方法:<a href="http://secur1ty.blog116.fc2.com/blog-entry-54.html">secur1ty.blog116.fc2.com/blog-entry-54.html</a><br /><br />現状、当方にも最新の検体が無く、この事象を解明できていません。また、海外の偽ツール駆除を専門とするフォーラムでも同様の相談が寄せられていますが、いずれの件も解決に至る決定的な手段は見つかっていません。<br /><br />Windows Restre本体に関しては、上記リンク中で紹介されている手法にて駆除することが可能ですが、その後にこの現象が発生する場合、</span></span><strong><span style="font-family: Comic Sans MS;"><span style="font-size: small;">リカバリをオススメします。</span></span></strong><br /><span style="font-family: Comic Sans MS;"><span style="font-size: small;"><br /><strong>リカバリは初期化とも呼ばれ、PC内のデータを全てリセットし、PCが工場で組み立てられ出荷された当時の状態に戻す</strong>ことを言います。当然ながら、<strong>PC購入以後に行った操作・インストールしたソフト・保存したファイルの全てが消去され、元に戻せなくなります。</strong><br /><br />ですから、リカバリをする前に<strong>必要なファイルは、外付けHDD、USBメモリ、CD/DVDディスクなどに退避</strong>させてください。なお、<strong>PC購入以後にソフトなどを購入してインストールした場合、そのソフトを認証する「ライセンスキー(シリアルキー)」も手元にメモ</strong>するなどしておいてください。シリアルキーの確認方法は、各ソフトによって異なります。<br /><br /><strong>ウイルスが感染し、操作がしづらい状態でデータ退避を行うときは「セーフモード」での操作をオススメします。</strong><br /><br /><strong>リカバリ方法は、PCメーカーによって様々です。</strong>内蔵のハードディスク内にリカバリ用の領域がある場合や、PC購入時にDVDなどでリカバリメディアが付属している場合などがあります。<strong>詳しくは、使用しているPCのメーカーサポート窓口に問い合わせることをオススメします。</strong><br /><br />この現象に関しては、当方でも可能な限り検証を行い、解決法を投稿したいと考えています。この現象の対処について情報をお持ちの方は、この記事にコメントをいただけますと幸いです。<br /><br /><strong>2011.05.14 追記<br /><br /></strong>この現象について、ひととおり当方での検証が完了しました。結果として、隠しファイル設定を回復するに至らなかった原因と思しき点を指摘しております。是非一度、ご確認をお願いします。<br /><br /><a href="http://secur1ty.blog116.fc2.com/blog-entry-72.html">secur1ty.blog116.fc2.com/blog-entry-72.html</a><br /><br /></span></span><br />
    Return to Pagetop
    上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。