ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« ウィルスにやられないための誤った認識。 | トップページ | 無線LANの導入。その2 »

2005年2月 7日 (月)

スパイウェアとウィルスと。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

02AO16今回は、CWShredderやAD-awareSEやSpybotででも削除できなかったしつこいのを退治してきました。
最近はこんなのばっかりです。
トップページの書き換えはabout:Blankなので、CoolWWWSearchかどうかというと、違うと思いますが…。

今回のパソコンは、富士通のWindows98デスクトップ。
すでに定番ツールは試した後のようだったので、起動項目を探るHijackThisを使って、怪しい項目のチェックから。
…ざっくり見た限りでは、かなり多そうだったので、とりあえずウィルスから疑うことに。

いつものウィルスセキュリティ2005EXを入れようと思いましたが、買ったときにプリインストールされてるマカフィーの古いタイプが残っているので、先に削除しなければなりません。
コントロールパネルを開こうとしたら……なんと開かない!!
スタートメニュー→設定をクリックすると、固まってしまい、強制的に電源を切る以外に何もできません。
「ああ、コントロールパネルが開かなくなっちゃってるんです」
はよ言うてぇなぁ…。

定番のトレンドマイクロ ダメージクリーンナップサービスを使ってみることに。
こちらはトレンドマイクロの無償のツールですが、私の体験では、CWShredderなんかよりはよっぽど役に立つ確率は高いですね。
で、実行してみたところ……出ました。「VBS/Redlof」が。
自動的に駆除されましたが、これはMicrosoft VMの問題で、感染したホームページを見たり、感染したマシンからのHTMLメールを表示することにより感染するものです。
WindowsUpdateでセキュリティ更新をかけなければ改善されません。
もしくは、ウィルスセキュリティ2005EXといったセキュリティ対策ソフトをインストールする必要があります。

でもまだコントロールパネルは開くことができません。
こうなると、HijackThisで不正ソフトの起動項目を外すようにいじるしかありません。

今回外した起動項目は以下の通り。
R3 - URLSearchHook: (no name) - {BB179FDB-F367-280A-9EF7-EB983116D735} - wormexe.dll (file missing)
 すでに存在しない項目なので削除。
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\SYSTEM\IECUST.DLL (file missing)
 すでに存在しない項目なので削除。
O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINDOWS\system32\xpsp2fw.exe
O4 - HKCU\..\Run: [Windows Update Client ] C:\WINDOWS\system32\wuclient.exe
 この2つはStartPage-FXあるいはWin32.Lospad.A!downloaderもしくはWin32.Defood.Aというスパイウェアです。
O4 - HKLM\..\Run: [ipcfg.exe] C:\WINDOWS\SYSTEM\IPCFG.EXE
 AdClicker-BM trojanという名前が出ますが、日本語での詳細情報がありません。
O4 - HKLM\..\Run: [scands32.exe] C:\WINDOWS\SYSTEM\SCANDS32.EXE
 Trojan.Adclickerという名前が出ますが、日本語はおろか英語ででも詳細情報はありません。
O4 - HKLM\..\Run: [atl_helper] init32.exe
 W32.Winex.A.Trojanです。英語の情報しかありません。
O4 - HKLM\..\Run: [lpt] Testimonials.exe
 ほとんど情報らしい情報がありませんが、外したほうがいいようです。
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
 ウィルスと紛らわしいのですが、とりあえず止めているぐらいでちょうどいいようである。
O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"
 日本語ではまともな解説が見当たりませんが、どうやらスパイウェアのようです。
O4 - HKCU\..\Run: [uio] bhoserv.exe
 日本語でも英語でもまともな解説が見当たりませんが、どうやらスパイウェアのようです。
O4 - HKCU\..\Run: [TForm1] control64.exe
 日本語でも英語でもまともな解説が見当たりませんが、どうやらスパイウェアのようです。
O4 - HKCU\..\Run: [10010] cnftips.exe
 日本語でも英語でもまともな解説が見当たりませんが、どうやらスパイウェアのようです。
O16 - DPF: {A16C2BF4-501E-45FA-8A14-F26E022D5E16} (MidRadioCtrl Class) - http://adweb.music-eclub.com/php/adweb.php3?aid=143&arg=win%2Fmrinst.cab&ptx=mratdl
O16 - DPF: {18000D07-72C4-11D4-B4BD-004026422A29} (Hot_net Control) - http://www.futomomo.com/netidol/idolhappy/cab/Hot_net2.CAB
O16 - DPF: {C71C8580-B76B-4FA4-8592-1160E8CE2BBC} (AvatarBooster Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab
O16 - DPF: {E76AAE10-AF57-4AEA-B33D-C3EDFA414DAE} (S2MPlayer Control) - http://www.sanstream.co.jp/300cab2/S2MPlayer.cab
 これらは念のため外します。

これだけ外して再起動をかけたところ、なんとかコントロールパネルを開くことができました。
早速マカフィーを外して、ウィルスセキュリティ2005EXをインストール。
スキャンをかけると、これらとは別の3つほどのウィルスも発見し、削除していました。

あと、hatchinsideも外しました。
これはいわゆるインターネットナンバーという機能ですが、今までにこれを積極活用していた人を見たことがありませんし、Windows9x/Meでは、タスクトレイに常駐するため、システムリソースの無駄となります。
とりあえず外してもなんら問題はありません。
もう1つ、AOLも。
これはAOLを使わない限り永遠に必要のないものであるにもかかわらず、ネットワークアダプタを入れたまんまにしてくれるため、AOLを利用してないなら外すべきものです。

とりあえずこれでなんとかまともに使える状態になりました。

これだけ項目があると、調べるのにも時間がかかります。
とりあえず引き取りで作業をすることも考えましたが、なんとかなりました。

それにしても、デスクトップに転がってたWinnyのアイコン…。
あまり知識もなしにこういうファイル共有ソフトに手を出したらこうなる、という典型なのかもしれません。
このお客さんは、定番駆除ツールは使っていたようですが、HijackThisのような解析ツールは使えるに至っていなかったようです。
まぁ、それでもファイル共有ツールを使うなら、気をつけて使ってください、としか言えません。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2005年02月07日(月) ウィルス・スパイウェア関連, ソフトウェア不具合関連(セキュリティホール), パソコントラブル, パソコン・インターネット, ファイル交換ソフト(Winny・WinMx)関連, 日記・コラム・つぶやき |

« ウィルスにやられないための誤った認識。 | トップページ | 無線LANの導入。その2 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

ファイル交換ソフト(Winny・WinMx)関連」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/2845026/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: スパイウェアとウィルスと。:

コメント

はじめまして、岡村ともうします。困ってます。WareOutというものがかってにはじまってしまいどうしたらいいのか、なんなのかわかりません。対処法をおしえていただくわけにはいきませんでしょうか?

投稿: 岡村 | 2005/04/17 19:29:41

オフィス・オービットの笹本です。
ブログをご覧いただきありがとうございました。

ご質問の件ですが、まずはこちらをご覧ください。
http://orbit.cocolog-nifty.com/supportdiary/2005/04/post.html

とりあえずは、お書きいただいただけの情報では、対処法を考えようにも、どうしたらいいのか、なんなのか全くわかりません。
腹痛の原因と対処を、医者に電話だけで聞いているようなものです。
それでは原因も対処も、なにもわかりませんよね?

お近く(明石市周辺)でしたら、お呼びください。
お伺いした上で、症状を診断させていただき、確実な対処を検討いたします。
その類のものにやられた場合は、対処はできても対策しない限りすぐにまた同じものにやられます。
データを残した形での確実な対処をお考えでしたら、業者に頼りましょう。

素人作業で直したいなら、データが全て消えてもあきらめる心づもりをしてからリカバリー(買ってきた状態に初期化)しましょう。
リカバリーしても消えない悪性ソフトはありませんから。
でもきちんと「対策」しなければ、また同じことですけどね。
「買ってきた状態」ほど無防備な状態はありませんから。

もし連絡をいただく場合、連絡先は、タイトルの下にあるURLからたどっていただくか、改めてメールください。

投稿: ささもと | 2005/04/18 19:55:55

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« ウィルスにやられないための誤った認識。 | トップページ | 無線LANの導入。その2 »