セキュリティ アワード
secur1ty.blog116.fc2.com
BitDefender Online Scanでウイルスをスキャンせよ
Malware City
プロフィール

トライデント最高司令

Author:トライデント最高司令
気分は永遠の20歳。京大中退。某バイオテクノロジー企業取締役。ウイルス・微生物・細菌、ガン化学療法を主に研究中。愛車は真っ赤なブガッティ・ヴェイロン。全国駆け巡ってるのですれ違ったら宜しく。

【今日のぼやき...】

ご報告が遅くなりましたが、先月より仕事でフランスへ飛んでおります。フランスからだと回線の関係で日本へのアクセスが非常に遅く、データ容量も大きいので通信料が高額になるため、おちおちネットができません(T T)帰るのは年末になりそうです。それまでブログの更新が停滞しますが、ご理解のほどをお願いします。

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
-

Comment

  1. -

    2011-05-15 (Sun) 01:58

    このコメントは管理人のみ閲覧できます
  2. crara6

    crara6

    2011-05-16 (Mon) 16:28

    トライデントさん。ご苦労様です。

    わたしは詳細を調べていませんでしたので、とても参考になります。

    今後、この手のFakeに関して、こちらを紹介させていただきます。

    ありがとうございました。
  3. -

    2011-05-16 (Mon) 21:32

    このコメントは管理人のみ閲覧できます
  4. トライデント最高司令

    トライデント最高司令

    2011-05-16 (Mon) 22:26

    crara6さん、コメントありがとうございました。献体を下さったお陰で、緊急連絡からわずか4日で検証を行うことが出来ました。

    もしこの記事がお役に立てるようであれば、ぜひご紹介お願いいたします。
  5. -

    2011-05-17 (Tue) 21:13

    このコメントは管理人のみ閲覧できます
  6. トライデント最高司令

    トライデント最高司令

    2011-05-17 (Tue) 21:30

    Hamuichiro さん、コメントありがとうございます。

    アクティビティトレース…知識のない当方には馴染みのないワードです。スミマセン。

    ただ当方では、ESET SysInspecterを使って、感染前・感染後の両方でログを採取し、システムに追加されたファイル、レジストリの差分を比較するようにはしておりますが、それとは違うのでしょうか?

    もし、何かこのような知識を身に付ける上で参考にできる書籍などありましたら、ご紹介いただけませんか?

    これからも応援宜しくお願いします。
  7. -

    2011-05-18 (Wed) 23:17

    このコメントは管理人のみ閲覧できます
  8. kc

    kc

    2011-05-19 (Thu) 02:25

    わたしもwindows xp recoveryに感染しこちらのブログにて駆除できまして感謝いたしております。
    わたしの場合なぜかお気に入り(ブックマーク)がすべて消えてしまい困っております。
    Unhide.exeは実行しました。なにか考えられることはありますでしょうか?
  9. にぎり変化

    にぎり変化

    2011-05-20 (Fri) 14:10

    ウチでも昨夜感染しました。WEBサイトを開いただけでここまでやられるとは。敵も天晴れ?
    avast!5では感染した時に警告が出たのですが、それを読んでいる間に悪さをされてしまいました。(苦笑)
    ファイルの不可視属性化で数秒間の精神的ショックを受けた以外に、私の場合はスタートメニューのショートカットがALL USERSのものだけ全て削除され、Quick Launchのも削除されました。起動OS以外のドライブはそういう事は無く不可視化だけだったようです。
  10. Hamuichiro

    Hamuichiro

    2011-05-22 (Sun) 22:06

    Windows FixDisk という亜種もあるようですね。
  11. Hamuichiro

    Hamuichiro

    2011-05-22 (Sun) 22:13

    投稿が途切れて失礼しました。
    RestoreやRecoveryだと、機能説明のページが引っかかってきますが、FixDiskなら検体が拾えそうです。
  12. rastaman

    rastaman

    2011-05-23 (Mon) 15:56

    ありがとうございました。ここをみてやっと駆除することができました。駆除後、スタートメニューのフォルダが(空)にされていましたが、ProgramDataのスタートフォルダをプロパティーから感染直前のバージョンに書き換えてやるととりあえず見えるようになりました。
    完全ではないのですが、何とか使えそうです。
  13. taskom

    taskom

    2011-05-25 (Wed) 09:19

    XPで掛かってしまいましたがこちらを参考に駆除して何とかファイルは無事でした。
    やはり一部スタートメニューのフォルダが消えてしまってますね。これってスタートメニューフォルダが0バイトで何も無くなってしまっていますが、復活出来ませんよね?
    http://trojan-killer.net/how-to-uninstall-windows-xp-recovery-virus-automatic-and-manual-guide-on-removal-of-windows-xp-recovery-scam/?lang=ja

  14. tyrantnamiki

    tyrantnamiki

    2011-06-11 (Sat) 19:54

    トライデント最高司令官様

    私も先日このウィルスに感染しここのサイトを見つけました。

    本日無事に復活し感激と感謝で一杯でございます。

    本当に本当にありがとうございます。

  15. tk

    tk

    2011-06-13 (Mon) 23:00

    ありがとうございます。
    現在この系統のウイルスに感染しております。
    ProgramDataフォルダというのはどこでしょうか?
  16. milksizegene

    milksizegene

    2011-06-15 (Wed) 00:05

    こんばんは、皆様。一つ注意喚起をさせてください。

    今月に入ってから同系統のウイルスに新型が登場しています。その名も

    windows OS名restore



    プログラム自体はwindows OS名recoveryと同一ということだそうですが…。

    http://siri-urz.blogspot.com/2011_05_01_archive.html

    上記のコードである

    8475082234984902023718742058948

    有効ということですが…。詳細は検体を入手出来ないので不明です。

    この系統のfake avには十分にご注意を!!
  17. tomo11dan

    tomo11dan

    2011-06-22 (Wed) 07:10

    お初にお目にかかります。知恵袋で質問させていただき、通称大魔王さんから紹介され辿り着きました。「System Defragmenter」と「Windous XP Repair」とに感染していたようです。現在はスタートメニューの各プログラムのフォルダ内ファイルが消失していること以外は元通りになりました。一時はリカバリ方法まで調べていてまいっていましたが、お陰様で助かりました。本当にありがとうございました。
    何か被害者として協力できることがあれば何でもおっしゃってください。(ただ、関係ファイルだけはおぞましくてすべて削除してしまいました・・)
  18. antclub11

    antclub11

    2011-10-20 (Thu) 23:42

    はじめまして。
    XPユーザーです。

    私もSystem Restoreなるものに感染してしまったようです。

    8475082234984902023718742058948
    そこで上記のレジストコードを入力して解決を試みたのですが、エラーメッセージが表示されて次に進んでくれません。

    この他に解決策もしくは別のコードはないのでしょうか。
    一日でも早くこのような状態から抜け出したく、投稿させていただきました。

    最高司令官様、どうかよろしくお願いします。
  19. スタートメニューXP

    スタートメニューXP

    2011-12-02 (Fri) 23:23

    XPで
    スタートメニューのコントロールパネルや
    マイドキュメントが消えた方は

    左下のスタートメニューを出し
    空白のところで
    右クリックを押してプロパティを選択

    スタートメニューのカスタマイズをクリック

    詳細設定のスタートメニュー項目から
    「メニューに表示する」をそれぞれチェックする
    あとはOKを押す

    これで私は直りました。
  20. -

    2012-03-30 (Fri) 22:09

    トライデント最高司令 様

    初めてコメントいたします。
    恐らくWindowsRestoreと同じ動作をする
    S.M.A.R.T HDDウイルスに引っかかったのですが、記事に記載された方法で、このウィルスに駆除することができました。

    本当にありがとうございました。
  21. malmal

    malmal

    2012-04-02 (Mon) 21:17

    どうも初めまして。

    私も同じウィルスと思われるものをXPで踏んでしまいました。

    多数のファイルが見えなくなりデスクトップのアイコンも消えましたが、元に戻すことができました。

    しかしながら圧縮解凍ソフトなど数個のアップデートなどが出来なくなっている状態です。普通にネットに繋ぐことは出来ていてメールなども通常通り繋がるのですが。アップデートできないソフトを再インストールしても同じ状態です。

    解決策がありましたらご教授下さい、よろしくお願いします。
  22. yopi

    yopi

    2012-05-28 (Mon) 21:00

    昨夜感染してしまったようで、今朝になってデスクトップが真っ暗でどうしようかと思いました。
    駆除はできたものの、何にも見えない状態は続いてました。
    先ほど、Unhide.exeを実行し、ほぼ見えるようになりました。本当に助かりました。ありがとうございました。

Comment Form

Comment Form
管理者にだけ表示を許可する
-

Trackback

Trackback URL

72

Windows Restoreシリーズ感染後、全てのプログラムが消えてしまう件について

  

先日、「【緊急】Windows Restore感染後「全てのプログラム」からメニューが消えた」というタイトルで、Windows Restore感染後に限定的に発生する症状について連絡を行いましたが、どうやら解決の兆しが見えてきたかもしれません。

【緊急】
Windows Restore感染後「全てのプログラム」からメニューが消えた:secur1ty.blog116.fc2.com/blog-entry-68.html

この記事を見て、当ブログにWindows Restore亜種(Windows Recovery)の検体を提供してくださった方がいらっしゃったお陰で、思いがけず早期に検証を行うことが出来ました。

協力してくださった方々への報告も兼ねて、この記事を書かせていただきます。解決法は最後に書こうと思いますので、おつきあいの程よろしくお願いします。

まず、Windows Restore(Windows Recovery)をインストールされてしまうと、以下のようになってしまいます。(画像を右クリックして「画像だけを表示」すると拡大画像を見ることが出来ます)左下に表示されているのはタスクマネージャの画面です。多くの偽セキュリティソフトのように、プログラムの起動を阻害するというようなことは今回ありませんでした。



ちなみにこのとき、セキュリティソフトのESET Smart Security V4.2を最新の状態でインストールしていましたが、あっさりすり抜けられ、検知すらせず。(ちなみにこの後、皮肉にもESETの定義アップデートのポップアップが表示されました)

ブログでも紹介しているように、まず適当なメールアドレスと指定されたシリアルキーを入力し、「Activate」をクリックします。



無事、アクティベーションが完了しました。しかしその後、異様にPCが重たくなり、ほとんど操作不能な状態に陥りました。



このままでは何も操作できないので、タスクマネージャを開き、Windows Recoveryのものと思われるランダムなプロセスを右クリックして「プロセスツリーを終了」を選択。



しかしPCは重たいまま、スキャンは到底行えない状態だったので、ここからは少し自己流でチャレンジしてみました。隠しフォルダの設定を変えて、ProgramDataフォルダにアクセスしてみると、一番下に本体と思しきファイルがいくつか格納されていました。以下の画像で言うと「42327816」と「dAmLSTWYyWMb」というファイルです。これらは全て削除しました。



この時点でWindows Recoveryは表示されなくなりましたが、PCの状態とデスクトップ、プログラム一覧に変化はありません。おそらくレジストリにもマルウェアの痕跡が残っていると考えられ、とりあえず駆除ツールを掛けてみました。PCの状態が酷く、キャプチャーが取れていませんので、各ソフトでの検査結果のみ簡単に報告させていただきます。

Malwarebytes Anti-Malware : 先述のマルウェア本体に関するRegistry Valueを2つ検知

Hitman Pro:Prevention Taskmanagerを示すレジストリキーを検知

TDSSKiller:検知無し

Sophos Anti-rootkit:検知無し

Norton Power Eraser:検知無し

Microsoft Safety Scanner:トロイの木馬を1件検知。ファイルパスを見るもWindows Recoveryとは特に関係なさそう

F-Secure Online Scanner:検知無し

ESET:もともと期待はしていなかったがとりあえずスキャン。結果は検知無し

HijackThis:特に怪しい点は見当たらず

Conbofix:怪しい点は無し


上記のツールにて検査しましたが、MBAMでレジストリを削除した以外特になにもありませんでした。これにより、これ以上マルウェアが潜んでいる可能性は低いと思われます。

ということは、残り考えられる可能性は一つだけ。「Unhide.exeを完全に実行しきっていない」ということ。駆除方法を書いた時点で当方がUnhide.exeの使い方について、少し曖昧な書き方をしたことにも原因があるようなので、ココにもう一度、Unhide.exeの実行方法を詳細に書かせていただきます。

まず、Unhide.exeを以下のURLからダウンロードし、デスクトップに配置します。

・Unhide.exe

download.bleepingcomputer.com/grinler/unhide.exe

このUnhide.exeを、XPはダブルクリック、Vista, 7は右クリック → 管理者として実行 を選択。すると、コマンドプロンプトが起動し、以下のような画面が出ます。

しばらくこのままの画面が続くため、作業が終わったのか判断がつかず、可視化途中でコマンドプロンプトを終了してしまった可能性があります。この画面が暫く続いても、実は裏では作業が進んでいるため、しばらく放置してみてください。



作業開始から2分ほど経った頃、以下のような画面が出ました。



そして完全に作業が終わったことを示すダイアログが表示されます。ここまで完了して初めて全ての非表示となっていた項目が再度現れるようになるわけです。



まだ非表示の部分が残っているという方は、もう一度Unhide.exeを確実に実行してみることをオススメします。

2011.05.15 追記

当方環境ではUnhide.exeでの作業後、フォルダ、ファイル、どれかひとつでも非表示の設定を変えると、再度元に戻ってしまいました。なにが原因なんだろうか。全くもって不明です。

【謝辞】

当ブログに検体を提供してくれたcrara6さん、協力を申し出てくれたchaba0326さんに、感謝の意を表明します。彼らの協力なしに、この記事は書けなかっただろう。







22

Comment

  1. -

    2011-05-15 (Sun) 01:58

    このコメントは管理人のみ閲覧できます
  2. crara6

    crara6

    2011-05-16 (Mon) 16:28

    トライデントさん。ご苦労様です。

    わたしは詳細を調べていませんでしたので、とても参考になります。

    今後、この手のFakeに関して、こちらを紹介させていただきます。

    ありがとうございました。
  3. -

    2011-05-16 (Mon) 21:32

    このコメントは管理人のみ閲覧できます
  4. トライデント最高司令

    トライデント最高司令

    2011-05-16 (Mon) 22:26

    crara6さん、コメントありがとうございました。献体を下さったお陰で、緊急連絡からわずか4日で検証を行うことが出来ました。

    もしこの記事がお役に立てるようであれば、ぜひご紹介お願いいたします。
  5. -

    2011-05-17 (Tue) 21:13

    このコメントは管理人のみ閲覧できます
  6. トライデント最高司令

    トライデント最高司令

    2011-05-17 (Tue) 21:30

    Hamuichiro さん、コメントありがとうございます。

    アクティビティトレース…知識のない当方には馴染みのないワードです。スミマセン。

    ただ当方では、ESET SysInspecterを使って、感染前・感染後の両方でログを採取し、システムに追加されたファイル、レジストリの差分を比較するようにはしておりますが、それとは違うのでしょうか?

    もし、何かこのような知識を身に付ける上で参考にできる書籍などありましたら、ご紹介いただけませんか?

    これからも応援宜しくお願いします。
  7. -

    2011-05-18 (Wed) 23:17

    このコメントは管理人のみ閲覧できます
  8. kc

    kc

    2011-05-19 (Thu) 02:25

    わたしもwindows xp recoveryに感染しこちらのブログにて駆除できまして感謝いたしております。
    わたしの場合なぜかお気に入り(ブックマーク)がすべて消えてしまい困っております。
    Unhide.exeは実行しました。なにか考えられることはありますでしょうか?
  9. にぎり変化

    にぎり変化

    2011-05-20 (Fri) 14:10

    ウチでも昨夜感染しました。WEBサイトを開いただけでここまでやられるとは。敵も天晴れ?
    avast!5では感染した時に警告が出たのですが、それを読んでいる間に悪さをされてしまいました。(苦笑)
    ファイルの不可視属性化で数秒間の精神的ショックを受けた以外に、私の場合はスタートメニューのショートカットがALL USERSのものだけ全て削除され、Quick Launchのも削除されました。起動OS以外のドライブはそういう事は無く不可視化だけだったようです。
  10. Hamuichiro

    Hamuichiro

    2011-05-22 (Sun) 22:06

    Windows FixDisk という亜種もあるようですね。
  11. Hamuichiro

    Hamuichiro

    2011-05-22 (Sun) 22:13

    投稿が途切れて失礼しました。
    RestoreやRecoveryだと、機能説明のページが引っかかってきますが、FixDiskなら検体が拾えそうです。
  12. rastaman

    rastaman

    2011-05-23 (Mon) 15:56

    ありがとうございました。ここをみてやっと駆除することができました。駆除後、スタートメニューのフォルダが(空)にされていましたが、ProgramDataのスタートフォルダをプロパティーから感染直前のバージョンに書き換えてやるととりあえず見えるようになりました。
    完全ではないのですが、何とか使えそうです。
  13. taskom

    taskom

    2011-05-25 (Wed) 09:19

    XPで掛かってしまいましたがこちらを参考に駆除して何とかファイルは無事でした。
    やはり一部スタートメニューのフォルダが消えてしまってますね。これってスタートメニューフォルダが0バイトで何も無くなってしまっていますが、復活出来ませんよね?
    http://trojan-killer.net/how-to-uninstall-windows-xp-recovery-virus-automatic-and-manual-guide-on-removal-of-windows-xp-recovery-scam/?lang=ja

  14. tyrantnamiki

    tyrantnamiki

    2011-06-11 (Sat) 19:54

    トライデント最高司令官様

    私も先日このウィルスに感染しここのサイトを見つけました。

    本日無事に復活し感激と感謝で一杯でございます。

    本当に本当にありがとうございます。

  15. tk

    tk

    2011-06-13 (Mon) 23:00

    ありがとうございます。
    現在この系統のウイルスに感染しております。
    ProgramDataフォルダというのはどこでしょうか?
  16. milksizegene

    milksizegene

    2011-06-15 (Wed) 00:05

    こんばんは、皆様。一つ注意喚起をさせてください。

    今月に入ってから同系統のウイルスに新型が登場しています。その名も

    windows OS名restore



    プログラム自体はwindows OS名recoveryと同一ということだそうですが…。

    http://siri-urz.blogspot.com/2011_05_01_archive.html

    上記のコードである

    8475082234984902023718742058948

    有効ということですが…。詳細は検体を入手出来ないので不明です。

    この系統のfake avには十分にご注意を!!
  17. tomo11dan

    tomo11dan

    2011-06-22 (Wed) 07:10

    お初にお目にかかります。知恵袋で質問させていただき、通称大魔王さんから紹介され辿り着きました。「System Defragmenter」と「Windous XP Repair」とに感染していたようです。現在はスタートメニューの各プログラムのフォルダ内ファイルが消失していること以外は元通りになりました。一時はリカバリ方法まで調べていてまいっていましたが、お陰様で助かりました。本当にありがとうございました。
    何か被害者として協力できることがあれば何でもおっしゃってください。(ただ、関係ファイルだけはおぞましくてすべて削除してしまいました・・)
  18. antclub11

    antclub11

    2011-10-20 (Thu) 23:42

    はじめまして。
    XPユーザーです。

    私もSystem Restoreなるものに感染してしまったようです。

    8475082234984902023718742058948
    そこで上記のレジストコードを入力して解決を試みたのですが、エラーメッセージが表示されて次に進んでくれません。

    この他に解決策もしくは別のコードはないのでしょうか。
    一日でも早くこのような状態から抜け出したく、投稿させていただきました。

    最高司令官様、どうかよろしくお願いします。
  19. スタートメニューXP

    スタートメニューXP

    2011-12-02 (Fri) 23:23

    XPで
    スタートメニューのコントロールパネルや
    マイドキュメントが消えた方は

    左下のスタートメニューを出し
    空白のところで
    右クリックを押してプロパティを選択

    スタートメニューのカスタマイズをクリック

    詳細設定のスタートメニュー項目から
    「メニューに表示する」をそれぞれチェックする
    あとはOKを押す

    これで私は直りました。
  20. -

    2012-03-30 (Fri) 22:09

    トライデント最高司令 様

    初めてコメントいたします。
    恐らくWindowsRestoreと同じ動作をする
    S.M.A.R.T HDDウイルスに引っかかったのですが、記事に記載された方法で、このウィルスに駆除することができました。

    本当にありがとうございました。
  21. malmal

    malmal

    2012-04-02 (Mon) 21:17

    どうも初めまして。

    私も同じウィルスと思われるものをXPで踏んでしまいました。

    多数のファイルが見えなくなりデスクトップのアイコンも消えましたが、元に戻すことができました。

    しかしながら圧縮解凍ソフトなど数個のアップデートなどが出来なくなっている状態です。普通にネットに繋ぐことは出来ていてメールなども通常通り繋がるのですが。アップデートできないソフトを再インストールしても同じ状態です。

    解決策がありましたらご教授下さい、よろしくお願いします。
  22. yopi

    yopi

    2012-05-28 (Mon) 21:00

    昨夜感染してしまったようで、今朝になってデスクトップが真っ暗でどうしようかと思いました。
    駆除はできたものの、何にも見えない状態は続いてました。
    先ほど、Unhide.exeを実行し、ほぼ見えるようになりました。本当に助かりました。ありがとうございました。

Comment Form

Comment Form
管理者にだけ表示を許可する
0

Trackback

Trackback URL

検索フォーム
わぃわぃセキュカテ
メールフォーム(テスト中です。まだお使いにはなれません)

名前:
メール:
件名:
本文:

QRコード
QR
Giveaway of the Day
当ブログは 安全で快適なFirefox ウェブブラウザの使用を推奨します
Firefox ブラウザ無料ダウンロード
震災義援金を募集中
FC2「東北地方太平洋沖地震」義援金募集につきまして
Return to Pagetop
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。