セキュリティ アワード
secur1ty.blog116.fc2.com
BitDefender Online Scanでウイルスをスキャンせよ
Malware City
プロフィール

トライデント最高司令

Author:トライデント最高司令
気分は永遠の20歳。京大中退。某バイオテクノロジー企業取締役。ウイルス・微生物・細菌、ガン化学療法を主に研究中。愛車は真っ赤なブガッティ・ヴェイロン。全国駆け巡ってるのですれ違ったら宜しく。

【今日のぼやき...】

ご報告が遅くなりましたが、先月より仕事でフランスへ飛んでおります。フランスからだと回線の関係で日本へのアクセスが非常に遅く、データ容量も大きいので通信料が高額になるため、おちおちネットができません(T T)帰るのは年末になりそうです。それまでブログの更新が停滞しますが、ご理解のほどをお願いします。

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
-

Comment

  1. 悪代官

    悪代官

    2011-05-14 (Sat) 07:06

    http://www.forest.impress.co.jp/docs/news/20110513_445524.html
    GDataが偽セキュリティソフト退治ツールをリリース開始しましたが、Windows Supervision CenterやRegistrybooster等の偽ユーティリティソフトにはどうなんでしょうかね。
    自分ちPC1台だから感染させての検証もできないのがつらいです
  2. トライデント最高司令

    トライデント最高司令

    2011-05-14 (Sat) 19:42

    悪代官さん、お忙しいのにお越しくださってありがとうございます。なるほどそんなツールが出たとは...。最近の偽セキュリティソフトをいくつか試しているんですが、代を重ねるごとにテクノロジーが高度化していってるのが初心者の俺にも分かるんです。なんというか、今まで通用したノウハウみたいなモノがことごとく通じない。非常に不気味です。

    SmitFraudFixみたいな、かつては偽セキュリティソフト駆除の定番だったようなツールがもはや対応できていないところを見ると、こういった新型のツールは非常に期待が持てますね。

    自分の家は数台のPCのほとんどで研究用のデータも取り扱っているので、実質感染実験できるマシンは1台しか無いんですよ(T_T) だから俺の場合はAcronis True Image というソフトで「仮想化」して実験してますよ。外部と通信するようなマルウェア以外なら、実験を終了するときは仮想化をやめるだけで元通り安全な環境に戻せますし。

    悪代官さんは仮想化はお嫌いですか??
  3. 悪代官

    悪代官

    2011-05-14 (Sat) 21:02

    >悪代官さんは仮想化はお嫌いですか??
    使ってみたいとは思いますが、予算とそれ以上に使いこなす頭が不自由してますw

    1台きりのPCで直接仕事データは扱わないものの、資料検索や作成印刷等はやってるので、万一が怖いから感染実験できません。

    司令官閣下はじめ、実際に検証された方々の偉大さを改めて思い知ります。

    しかし、質問サイトで「システムの復元」を状況把握なしに推奨する方々はWindows Supervision CenterとかRegistryBoosterとはいわないまでも、CCleanerやEasyCleaner等の比較的まともなユーティリティソフト等を使ってみてほしいです。
    ユーティリティソフトで快適化やレジストリ作業した後にシステムの復元すると、復元失敗の確率が一気にupしますし、その後復元ポイント作成すらできなくなる事態も発生します(実体験。解決しましたが)
  4. トライデント最高司令

    トライデント最高司令

    2011-05-14 (Sat) 21:32

    >万一が怖いから感染実験できません。

    そうですよねえ。確実な安全なんて絶対に無いわけですし...。万一のことを考えると、やはり専用のマシンを用意するのが一番ですね。

    システムの復元については、本当に仰るとおりだと思います。システムの復元ばかり推奨する人には、一度自分で試してから言って欲しいですよね。絶対に勧める気持ちは起こらなくなると思います。

    俺もシステムの復元を試したことがあるんですが、Windows標準のバックアップが機能しなくなって、酷い目に遭いました。

    システムの復元の危険性を説明できる回答者さんがいるセキュカテはまだいい方で、他のカテに行くとカテマスまでが、ワンクリごときにシステムの復元を勧めている場面に出くわします。

    そういう意味でもイカさんの掲示板は、真実を得ることが出来る非常に貴重な掲示板です。俺も時々掲示板の方々の回答で勉強させて貰ってます<(^ ^ )

    とりとめのない文になってしまいしたが、これからもよろしくお願いします。

    トライデント

  5. -

    2011-06-22 (Wed) 14:11

    このコメントは管理人のみ閲覧できます

Comment Form

Comment Form
管理者にだけ表示を許可する
-

Trackback

Trackback URL

70

偽システムユーティリティ:Windows Supervision Center 駆除方法



新たな偽システムユーティリティが確認されたので、駆除方法を書いておきます。なお、この駆除ガイドは以下の同系列のウイルスに対しても有効だと考えられます。

・Windows Oversight Center
・Windows Tasks Optimizer
・Windows Works Catalyst
・Windows Attention Utility
・Windows Inspection Utility
・Windows Tweaking Utility
・Windows Activity Inspector
・Windows Protection Servant
・Windows System Tasks
・Windows Repairing System
・Windows Safeguard Utility
・Windows Precautions Center
・Windows Profile System
・Windows Firewall Unit
・Windows Resks Prevention
・Windows Custom Settings
・Windows Necessary Firewall
・Windows Troubles Solver
・Windows Anticrashes Utility
・Windows Accidents Prevention
・Windows Saviour Firewall
・Windows Crashes Deliverer
・Windows Rescue Center
・Windows Salvage System
・Windows Efficirncy Analyzer
・Windows Protection Alarm
・Windows Troubles Killer
・Windows Monitoring Utility
・Windows Work Checker
・Windows Examination Utility

【ステップ1:ウイルスの自動起動を阻止する】

ウイルスが起動すると、駆除作業が妨害されて困難になることがある。ウイルスの起動をとりあえず阻止し、駆除しやすくする為の作業を行う。

①PCを「セーフモード」で起動する。

*セーフモードは、PCに電源が入った直後にF8キーを連打してやると選択可能になる

②スタート → 検索の開始 に %APPDATA% と入力し、Enter。



③検索結果が別ウィンドウで開くので、開いたウィンドウから「Roaming」というフォルダを選択して展開する。するとその中に、以下の画像のような、映画で使うカチンコのアイコンをしたEXEファイルがあるはずなので、それを右クリック → 名前の変更 する。または、そのファイルをデスクトップに移動させても良い。



④作業が終わったら、PCを通常モードで起動し直す。

【ステップ2:ウイルスを駆除する】

①以下のウイルス駆除ツールを全てダウンロードする。通常モードで駆除ツール類がダウンロードできない場合は「セーフモードとネットワーク」でPCを起動し直して試行する。

・rKill(いずれか一つをダウンロード)

1)download.bleepingcomputer.com/grinler/rkill.exe

2)download.bleepingcomputer.com/grinler/rkill.scr

3)download.bleepingcomputer.com/grinler/iExplore.exe

・Malwarebyte's Anti-Malware(MBAM)

www.malwarebytes.org/products/malwarebytes_free

↑FREE版の「Download Now」というバナーをクリック

・TDSSKiller

support.kaspersky.com/downloads/utils/tdsskiller.exe

・Dr.Web CureIt!

www.freedrweb.com/cureit/

↑簡単な情報の登録が必要。名前・メールアドレスなどは適当でもOK

②ダウンロードしたrKillをダブルクリックで実行する。駆除ツールのダウンロードを「セーフモードとネットワーク」でやった人は、通常モードで起動し直してからrKillを実行。

*もし、Glary Utilitiesなど、スタートアップを自由に追加したり出来るツールを持っている場合は、あらかじめrKillをスタートアップに登録した上でPCを起動すると、ウイルスのプロセス起動を阻止できる可能性が高まるかも知れない。

③MBAMをインストールする。インストール手順及び使い方はsecur1ty.blog116.fc2.com/blog-entry-6.htmlを参考に。この時点では、アップデートまでしてスキャンはまだしない。

PCを「セーフモード」で起動した後、インストールしたMBAMを起動させ「Perform FULL Scan」を選択して実行。PC全体をスキャンする設定のため、時間がかかる。お茶でも飲みつつゆっくり待てる暇な時間に実行すると良いと思う。

⑤MBAMのスキャンが終了したら「Show Results」をクリックして検知された項目に全て✔が入っているか確認した後、「Remove Selected」をクリックして検知されたウイルスを除去。除去が終わったら、PCを通常モードで起動し直す。

【ステップ3:ルートキットを検査する】

最近、偽セキュリティ・システムユーティリティの中には、ルートキットと呼ばれる検知の困難なウイルスを仕掛けていくモノがある。ルートキットは通常の検査方法では見つからないことが多く、検査には専用のツールを用いる必要がある。

①TDSSKillerをダブルクリックして実行する。
全ての領域に✔が入っていることを確かめてから、Start scanをクリックする。



*TDSSKillerが起動しないなどの異常が発生する場合(原因はルートキットによるもの)、別なツールでも検査を実行してください。この場合、ほぼ確実にルートキットに感染しているので、以下のツールを使いルートキットを検知・駆除してください。

・F-Secure Blacklight

www.f-secure.com/en_EMEA-Labs/security-threats/tools/blacklight/

・Sophos Anti-Rootkit(簡単な情報の登録が必要)

www.sophos.co.jp/products/free-tools/sophos-anti-rootkit.html


②スキャンは数十秒程度で完了するはず。
もし「Malicious Objects」(赤の!マーク)が見つかった場合は、操作が「Cure」になっていることを確認して「Continue」をクリック。「Suspicious Objects」(黄色の!マーク)が見つかった場合は、操作が「Skip」になっていることを確認して「Continue」をクリックする。



なお、ルートキットを検知し、駆除した後はPCの再起動をオススメします。

【ステップ4:残存するウイルスとHostsfileの改ざんをチェックする】

本当にウイルスが残存していないか確認するため、インストール不要なツールを使いスキャンを行っておくことが望ましい。当ブログでは、Hostsfileというインターネット接続に必要な情報の詰まったファイルの改ざんもチェックできる「Dr.WEB CureIt!」というフリーツールを推奨する。

①Dr.WEB CureIt!を起動する。始めに緑の画面が表示されるので「スタート」をクリック。すると「緊急保護モード(EPM)」というモードが起動するが、これはスキャン中にウイルスなどによってスキャンが中断させられることを防ぐ為のモノで、できれば解除せずそのまま続行して欲しい。

②「高速スキャン」を行い、システムの最重要な部分を手早くスキャンする。ウイルスが検知されると、自動的に修復するようになっているので、特に操作は不要。先述のHostsfileが改ざんされていた場合、スキャン終了後に「Hostsfileが変更されている」とのメッセージが出るので、修復してほしい。

③完了。

*また、当ブログではDr.WEB CureIt!の他にも「Microsoft Safety Scanner」や「ESET Online Scanner」なども同様に手軽にウイルスを検査できるツールとして推奨している。ダウンロードは以下より。

・Microsoft Safety Scanner

secur1ty.blog116.fc2.com/blog-entry-56.html

・ESET Online Scanner

download.eset.com/special/eos/esetsmartinstaller_enu.exe

再感染を防止するために...

再感染を防ぐため、駆除作業が終わってから、次のソフトウェアのアップデートをご確認いただきますようお願いいたします。今回の感染は確実に「脆弱性対策の不徹底」が原因であり、これを対策しなければ、同様のウイルスに再感染する危険があります。

・Javaのアップデートを確認してください(現在の最新版は Java 6 Update 25 です)
secur1ty.blog116.fc2.com/blog-entry-24.html


Adobe関連ソフトは最新になっていますか(こちらも先日アップデートがありました)
secur1ty.blog116.fc2.com/blog-entry-18.html

安心できるウイルス対策ソフトはインストールされていますか?なければ、無料のモノでも良いのでインストールしておきましょう
Microsoft Security Essentials:www.microsoft.com/ja-JP/security_essentials/default.aspx

・「脆弱性って何?」「脆弱性対策って?」という方のために
detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1256518342
detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1252417427

ここで、知恵袋セキュカテの重鎮様のお言葉を引用させていただきたいと思います。

”脆弱性対策をしてこそ、セキュリティソフトが生きてくる”

セキュリティソフトだけ入れていても、脆弱性対策が抜けていては片手落ちなのです。この言葉は、セキュリティ対策の核心を突いた名言といえるでしょう。

★セキュリティ対策を万全にして安全で快適なPCライフを楽しみましょう★

※多忙のため、コメントでご質問をいただいてもサポートが望めない場合があります。そのような場合は、ここのURLを添えて「Yahoo!知恵袋 ウイルス・セキュリティ対策カテゴリ」に質問されますと、以下の有志が親切に対応してくれるかもしれません。

↓この手のウイルス感染について専門的な見識をお持ちの有志回答者さん達↓

my.chiebukuro.yahoo.co.jp/my/crara6


my.chiebukuro.yahoo.co.jp/my/milksize_hybrid_ver_2010_box

my.chiebukuro.yahoo.co.jp/my/chaba0326

my.chiebukuro.yahoo.co.jp/my/fandango_herbalpert

これらの方々がカテゴリを代表する有識回答者さんです。知恵袋には質問の際に「リクエスト」制度がありますので、これらの方々をリクエストされると良いかもしれません。(残念なことにcrara6さん については、現在リクエストを受け付けておられないようです)








5

Comment

  1. 悪代官

    悪代官

    2011-05-14 (Sat) 07:06

    http://www.forest.impress.co.jp/docs/news/20110513_445524.html
    GDataが偽セキュリティソフト退治ツールをリリース開始しましたが、Windows Supervision CenterやRegistrybooster等の偽ユーティリティソフトにはどうなんでしょうかね。
    自分ちPC1台だから感染させての検証もできないのがつらいです
  2. トライデント最高司令

    トライデント最高司令

    2011-05-14 (Sat) 19:42

    悪代官さん、お忙しいのにお越しくださってありがとうございます。なるほどそんなツールが出たとは...。最近の偽セキュリティソフトをいくつか試しているんですが、代を重ねるごとにテクノロジーが高度化していってるのが初心者の俺にも分かるんです。なんというか、今まで通用したノウハウみたいなモノがことごとく通じない。非常に不気味です。

    SmitFraudFixみたいな、かつては偽セキュリティソフト駆除の定番だったようなツールがもはや対応できていないところを見ると、こういった新型のツールは非常に期待が持てますね。

    自分の家は数台のPCのほとんどで研究用のデータも取り扱っているので、実質感染実験できるマシンは1台しか無いんですよ(T_T) だから俺の場合はAcronis True Image というソフトで「仮想化」して実験してますよ。外部と通信するようなマルウェア以外なら、実験を終了するときは仮想化をやめるだけで元通り安全な環境に戻せますし。

    悪代官さんは仮想化はお嫌いですか??
  3. 悪代官

    悪代官

    2011-05-14 (Sat) 21:02

    >悪代官さんは仮想化はお嫌いですか??
    使ってみたいとは思いますが、予算とそれ以上に使いこなす頭が不自由してますw

    1台きりのPCで直接仕事データは扱わないものの、資料検索や作成印刷等はやってるので、万一が怖いから感染実験できません。

    司令官閣下はじめ、実際に検証された方々の偉大さを改めて思い知ります。

    しかし、質問サイトで「システムの復元」を状況把握なしに推奨する方々はWindows Supervision CenterとかRegistryBoosterとはいわないまでも、CCleanerやEasyCleaner等の比較的まともなユーティリティソフト等を使ってみてほしいです。
    ユーティリティソフトで快適化やレジストリ作業した後にシステムの復元すると、復元失敗の確率が一気にupしますし、その後復元ポイント作成すらできなくなる事態も発生します(実体験。解決しましたが)
  4. トライデント最高司令

    トライデント最高司令

    2011-05-14 (Sat) 21:32

    >万一が怖いから感染実験できません。

    そうですよねえ。確実な安全なんて絶対に無いわけですし...。万一のことを考えると、やはり専用のマシンを用意するのが一番ですね。

    システムの復元については、本当に仰るとおりだと思います。システムの復元ばかり推奨する人には、一度自分で試してから言って欲しいですよね。絶対に勧める気持ちは起こらなくなると思います。

    俺もシステムの復元を試したことがあるんですが、Windows標準のバックアップが機能しなくなって、酷い目に遭いました。

    システムの復元の危険性を説明できる回答者さんがいるセキュカテはまだいい方で、他のカテに行くとカテマスまでが、ワンクリごときにシステムの復元を勧めている場面に出くわします。

    そういう意味でもイカさんの掲示板は、真実を得ることが出来る非常に貴重な掲示板です。俺も時々掲示板の方々の回答で勉強させて貰ってます<(^ ^ )

    とりとめのない文になってしまいしたが、これからもよろしくお願いします。

    トライデント

  5. -

    2011-06-22 (Wed) 14:11

    このコメントは管理人のみ閲覧できます

Comment Form

Comment Form
管理者にだけ表示を許可する
0

Trackback

Trackback URL

検索フォーム
わぃわぃセキュカテ
メールフォーム(テスト中です。まだお使いにはなれません)

名前:
メール:
件名:
本文:

QRコード
QR
Giveaway of the Day
当ブログは 安全で快適なFirefox ウェブブラウザの使用を推奨します
Firefox ブラウザ無料ダウンロード
震災義援金を募集中
FC2「東北地方太平洋沖地震」義援金募集につきまして
Return to Pagetop
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。