ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« 音が出なくなりました。NECデスクトップ編 | トップページ | アップデートの重要性。 »

2005年5月11日 (水)

スパイウェアでまともに操作できません。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

02_AO06
人気blogランキング参加中です。
どの辺にランキングされてるか一度見てみてください。60位前後あたりです…。

今回お呼びいただいたお客様は、ウィルスバスターをインストールしてきちんと最新版にしてあるのにスパイウェアにやられた、という現象。
パソコンはNECのノートパソコンでWindowsXP。
お伺いしてみると、非常にわかりやすい現象で、壁紙がいわゆるブルースクリーンになり、
壁紙が消えて 画面が青くなり 中央に 

         Security warning
A fatal serror in IE has occured at 0028:c0011e36 in VXD umm(01)
00010e36. Error was caused by Trojan-Spy.Smitfraund.c

* System can not funcution in normal mode.
Prease check you security settings.
* Scan your PC with any avaliavle antivirus/spyware
remover program to fix the problem.

という文法的にも変な英語のエラーメッセージの「壁紙」に。
もう、こんな趣味の悪い壁紙に強制的に差し替えられている時点で、たちの悪いスパイウェアかアドウェアにやられているのは明白ですね…。

ただまぁ、画面がそうなる程度なら大したことはないのですが、とにかく起動してからまともに操作ができる状態ではなくなっています。
マウスカーソルもカクカク引っかかるような状態で、キーボード入力も受け付けるまでに時間がかかる状態。
その間も、画面右下タスクバーの時計表示の部分にカーソルを持っていくと、怪しげなサーチバーがぴょこぴょこ。
うーむ。この現象、以前にもあったな…。
これでは定番ツールのSpybotやAd-awareも起動できないので、システムはまともであることを祈りつつ、まずはまともに操作できない状況の改善から。

とりあえずセーフモードではうまく立ち上がるので、msconfigを使って、怪しげな起動項目をとにかく停止。
あとは重さを緩和するためにウィルスバスター関連の起動項目も停止。
どうせ作業中はネットにつながないので問題ありませんから。
そして再起動。

とりあえずそれなりに操作できる状態にまで回復しましたが、再度msconfigを起動して見てみると、先ほど停止した怪しげな項目の中で、以下の項目が性懲りもなく再生しています。

[TBPS] C:\PROGRA~1\Toolbar\TBPS.exe
[WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
[WindowsFY] c:\wp.exe

典型的なスパイウェアの症状です。(-_-;)

とにかく動くようになったので、いつものHijackThisを使って起動項目のチェック。
…こりゃまたモノスゴイ数の悪性項目が。

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

こういう怪しげなのは調べるまでもなく削除。

O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O1 - Hosts: 127.0.0.3 www.awmcash.biz
O1 - Hosts: 127.0.0.3 awmcash.biz
O1 - Hosts: 127.0.0.3 buldog-stats.com
O1 - Hosts: 127.0.0.3 www.buldog-stats.com
O1 - Hosts: 127.0.0.3 fregat.drocherway.com
O1 - Hosts: 127.0.0.3 slutmania.biz
O1 - Hosts: 127.0.0.3 www.slutmania.biz
O1 - Hosts: 127.0.0.3 toolbarpartner.com
O1 - Hosts: 127.0.0.3 www.toolbarpartner.com
O1 - Hosts: 127.0.0.3 www.megapornix.com
O1 - Hosts: 127.0.0.3 megapornix.com
O1 - Hosts: 127.0.0.3 www.sp2fucked.biz
O1 - Hosts: 127.0.0.3 sp2fucked.biz
O1 - Hosts: 127.0.0.3 greg-tut.com
O1 - Hosts: 127.0.0.3 www.greg-tut.com
O1 - Hosts: 127.0.0.3 nylonsexy.com
O1 - Hosts: 127.0.0.3 www.nylonsexy.com
O1 - Hosts: 127.0.0.3 vparivalka.com
O1 - Hosts: 127.0.0.3 www.vparivalka.com
O1 - Hosts: 127.0.0.3 iframeprofit.com
O1 - Hosts: 127.0.0.3 www.iframeprofit.com
O1 - Hosts: 127.0.0.3 topsearch10.com
O1 - Hosts: 127.0.0.3 www.topsearch10.com
O1 - Hosts: 127.0.0.3 statscash.biz
O1 - Hosts: 127.0.0.3 www.statscash.biz
O1 - Hosts: 127.0.0.3 vxiframe.biz
O1 - Hosts: 127.0.0.3 www.vxiframe.biz
O1 - Hosts: 127.0.0.3 crazy-toolbar.com
O1 - Hosts: 127.0.0.3 www.crazy-toolbar.com
O1 - Hosts: 127.0.0.3 topcash.biz
O1 - Hosts: 127.0.0.3 www.topcash.biz
O1 - Hosts: 127.0.0.3 loadcash.biz
O1 - Hosts: 127.0.0.3 www.loadcash.biz
O1 - Hosts: 17.145.117.11 d-ru-1f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-ru-1h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-ru-2f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-ru-2h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-2f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-2h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-1f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-1h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-us-1f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-us-1h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 downloads1.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads2.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads3.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads4.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads5.kaspersky.ru
O1 - Hosts: 17.145.117.11 www.kaspersky.ru
O1 - Hosts: 17.145.117.11 kaspersky.ru
O1 - Hosts: 17.145.117.11 kaspersky-labs.com
O1 - Hosts: 17.145.117.11 www.kaspersky-labs.com
O1 - Hosts: 82.146.42.123 lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 online.lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 www.lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 www.lloydstsb.com
O1 - Hosts: 82.146.42.123 personal.barclays.co.uk
O1 - Hosts: 82.146.42.123 barclays.co.uk
O1 - Hosts: 82.146.42.123 ibank.barclays.co.uk
O1 - Hosts: 82.146.42.123 www.barclays.co.uk
O1 - Hosts: 82.146.42.123 www.nwolb.com
O1 - Hosts: 82.146.42.123 nwolb.com
O1 - Hosts: 82.146.42.123 hsbc.co.uk
O1 - Hosts: 82.146.42.123 www.hsbc.co.uk
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com

( ̄△ ̄;)
よくもまぁこれだけ山ほどサイトがフックされてるもんです…。
でまた、このブログの検索キーワードトップの「searchmiracle.com」もいらっしゃいます…。
ウィルスバスターさんは何をしとるんじゃい?

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll

これはすでに起動項目から外してあるInternet Optimizerの一部

O2 - BHO: (no name) - {452AB5EE-4A00-4507-990D-9688D1CD8B34} - C:\WINDOWS\System32\maag.dll (file missing)
O18 - Filter: text/plain - {FEF41503-1A0B-4AAF-85A3-44316E511F59} - C:\WINDOWS\System32\maag.dll

こちらは調べてみても日本語の情報が全くないし、ファイルも無いようなので迷わず削除。

O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll

こちらは先ほど勝手に復活していたTBPSの関連項目ですので迷わず削除。

O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe

マカフィーの情報によると、先のTBPSと同じものらしいです。
その通り、TBPSと一緒に、起動項目から外しても復活するので、こりゃ削除ですね。

O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe

これはTBPSそのものですから迷わず削除。
情報によれば、ネットワークへの負荷が異常に高くなるらしいので、今回の主犯はこいつかもしれません。

O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll
O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\PROGRA~1\Toolbar\toolbar.dll
O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\PROGRA~1\Toolbar\toolbar.dll

toolbar.dllだけではどのツールバーか特定はできないんですが、この状況下では起動項目にあるツールバーは全て削除。

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll

これはBargain Buddyの一部らしいので削除。
ファイル自体は、「プログラムの追加と削除」から削除できるので削除しましたが。

O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll

これはAdware.UCMoreというアドウェア。
迷わず削除ですね。

O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe

今回の派手な症状の1つ、デスクトップの壁紙変更を引き起こした犯人です。
シマンテックの情報によると、Trojan.Desktophijackというストレートな名前のスパイウェアらしい。
このサイトには、例の壁紙がそのものズバリで出てました。
迷わず削除です。

O9 - Extra button: Microsoft AntiSpyware helper - {27C5A20E-C631-4291-8152-4D9183228659} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {27C5A20E-C631-4291-8152-4D9183228659} - (no file) (HKCU)

Microsoftと付いてますが、この場合はno fileということもあり削除です。

O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

もうおなじみの180searchです。削除です。


しかし、これだけ強烈に感染しまくってるのは久しぶりですね…などと感心してる場合じゃないですね。
これらの項目の削除と、「プログラムの追加と削除」から削除できる項目を削除して、再起動。

そして鬱陶しい壁紙を元に戻そうとしたら…画面のプロパティを開いても「スクリーンセーバー」と「設定」しかタブがありません。
これでは壁紙が元に戻りません…。
多分、削除したTrojan.Desktophijackのせいでしょう。
しょうがないのでレジストリをいじることに。

HEKY_CURRENT_USER
 +Software
  +Microsoft
   +Windows
    +CurrentVersion
     +Policies
      +System

ここのレジストリキー
NoDispAppearancePage
NoDispBackgroundPage

が1なので表示できない状態ですので、これらを0に書き換えて、
Wallpaper
が「C:\wp.bmp」でしたので、このキー自体を削除。
無事元通り変更できるようになりました。
画面のプロパティの実行を制限する :Registory Customizers というサイトを参考にしました。
 こちらはXPではなかったのですが、XPでも同様になっていました。

これでだいぶマシな状態になったので、定番ツールのSpybotAdAwareSEを走らせて残りをチェック。
何度か走らせて、なんとかきれいな状態になりました。

そしてWindows自体のセキュリティホールをふさごうと思ってWindowsUpdateに接続したが…何やらエラーが出る。
「そうなんですよ、以前からこれでアップデートが全然できなくて」
んあ~~こりゃ別の問題ですがな…。

つづく。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2005年05月11日(水) ウィルス・スパイウェア関連, ソフトウェア不具合関連, ニュース, パソコントラブル, パソコン・インターネット |

« 音が出なくなりました。NECデスクトップ編 | トップページ | アップデートの重要性。 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連」カテゴリの記事

ニュース」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/4092472/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: スパイウェアでまともに操作できません。:

コメント

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« 音が出なくなりました。NECデスクトップ編 | トップページ | アップデートの重要性。 »