ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« うまくいかないアップデート。 | トップページ | 山田ウィルスにびっくり。 »

2005年5月23日 (月)

青い画面になって再起動。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

人気blogランキング参加中です。
どの辺にランキングされてるか一度見てみてください。
見当たりません?たぶん、60位前後あたりです…。

今回のトラブルはかなり凶悪です。
起動したものの、3分程度で青い画面(ブルースクリーン)になり、英語のエラーメッセージが出てくるが、すぐに再起動になってしまうというもの。
3分程度とりあえず動いていて、それから再起動という中途半端さがなんとも…。

結論から言うと、スパイウェアでした。いわゆるトロイの木馬型です。

実を言うと、今回のお客さんは、以前書いた「スパイウェアでまともに操作できません。」のお客さん。
んー…またですか?
と思ったんですが、どうも様子が違う。
実はきっかけは別の話なんですが、それは次回に。

直接の引き金は、とりあえずやばい(?)データを処分しようとして、それらをごみ箱に入れて空にしたら、今回の動作になってしまった、とのこと。

その辺から考えると、どうもハードディスクに障害が出たんじゃないか?という疑いもあったが、とりあえず異音もなく起動してるので、その線は薄そう。
いずれにしても、操作できるのはたったの3分弱なので、ろくな情報収集もできない。
ようやくHijackThisを起動してログを記録してみたら、どうにも怪しいものが。

O4 - HKLM\..\Run: [secboot] C:\WINDOWS\system32\mszx23.exe !!

例によって、この起動項目を削除しても削除しても、やっぱり復活する。
それならば、ということで該当ファイルをリネーム(ファイル名の変更)してみたが、ファイル自体が復活してくる…。

はてさて、こいつは弱った。
情報収集をしようにも、3分弱でブルースクリーンの再起動では話にならない。
いずれにしても、ここにある感染PC単体でできることは尽きたので、引き取り作業にしました。
お客さんは、もう2度目なので、「初期化してすっきりさせてください」とのこと。

とは言え、こちらもそれで済ませるつもりでいるわけにはいかない。
引き取り作業なので、お客さんの時間を煩わせることがないため、できる調査は突っ込んでやってみよう。

とにかく、ブルースクリーンの英語のエラーメッセージを読んでみなければ。
たった2秒程度で全部読めるわけがないので、その瞬間を狙って、デジカメで画面写真を撮った。

…どうやら「vdmt16.sys」が足を引っ張っているらしいことがわかりました。

早速このファイルを、別のPCから検索エンジンで検索。
ありました。
やっぱりスパイウェアでした。

BKDR_HAXDOOR.BC - 概 要 :トレンドマイクロ ウィルスデータベース

消せなかった起動項目の「mszx23.exe」もその一部でした。
ここで見つかった不正ファイルは、
mszx23.exe
drct16.dll
hz.sys
klogini.dll
p2.ini
ps.a3d
vdmt16.sys
winlow.sys
wz.sys

これだけ。
拡張子a3dのファイルは、このスパイウェアが収集したデータファイルなので、収集できなかったものは存在しないのでしょう。
早速、書かれている通りに削除。
削除できないものは、セーフモードもしくはコマンドプロンプトで削除。

それにしても、他の情報を探っても、日本語でまともに書かれた情報がほとんどない。
SearchMiracleもそうだった。
そして、今回の調査をしていて偶然発見されたのが、

paydial.exe
tibs.exe

この2つも、まともな日本語情報がない。でもアドウェアに属する悪性ソフト。
一体どうなっているんだ?
これだけブログが氾濫してるのに、この程度のことすら記録に残すことのできない日本人ばかりでもなかろうに…。

一応、原因がわかって対処の結果、正常に動くようにはなりました。
でも、よく考えたら、前回お伺いしたときに、最後にウィルスバスターできっちりスキャンして駆除したはず。
まぁ確かに、先日発生した価格.comのウィルス騒ぎでもそうでしたが、ウィルス対策ソフトメーカーによっては発見できない(定義ファイルそのものが存在しない)ものもある。
でも今回のは、トレンドマイクロがすでに察知済みのトロイの木馬なのに、駆除どころか検知すら出来ていなかったことになる。
トレンドマイクロのチョンボなのか、もしくはお客さんが再びトロイの木馬を連れ込んでしまったか…。

今回の現象は、画像ファイルを削除したタイミングで発生した。
今回のスパイウェアの発生させた不正ファイルのうち、
p2.ini
のファイルのタイムスタンプから、それが証明されている。
一体これはどういうことなのか…。
お客さんの希望で初期化してしまいましたし、引き金となったファイルは引き取った時点ですでに削除済み。
真実は闇の中である。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2005年05月23日(月) ウィルス・スパイウェア関連, ソフトウェア不具合関連, パソコントラブル, パソコン・インターネット |

« うまくいかないアップデート。 | トップページ | 山田ウィルスにびっくり。 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/4254757/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: 青い画面になって再起動。:

» 約款は新しい王を濫造した トラックバック 恵比寿法律新聞
ウイルスバスター、発売元がテスト怠り障害(朝日新聞) もしウイルスバスター200 続きを読む

受信: 2005/08/01 21:50:47

コメント

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« うまくいかないアップデート。 | トップページ | 山田ウィルスにびっくり。 »