ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« 印刷できません。 | トップページ | 旅行新聞社は営業を中断しました。 »

2005年8月16日 (火)

まただまされた!!

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

03_AS06今回お呼びいただいたのは、例によってスパイウェアにやられたと思しき内容。
「インターネットの設定をして、ホームページを見ていたら、突然つながらなくなって…プロバイダに聞いてみたんですがダメだったのでお電話しました」
お聞きすると、セキュリティ対策ソフトは全然使っておられない状態。
こりゃもうスパイウェアにやられたと見て間違いないですね。

お伺いして対策し始めると…まただまされました。敵もさるものです。

まずは例によって現象確認から。
電源を入れて、Ctrl+Shift+Escでタスクマネージャを起動。
なにやら怪しいソフトがうようよしています。
インターネットはケーブルを抜いて、接続を切断してあるのに、何度も勝手に接続を試みようとしてきます。
怪しいなぁ。怪しすぎる。

ということで、例によってHijackThisを使って犯人探し。

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [Windows Update System Shell] svhostcs32.exe
O4 - HKLM\..\Run: [Task service] taskmgs.exe
O4 - HKLM\..\Run: [Windows File System Checkd] ntfsckd.exe
O4 - HKLM\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe
O4 - HKLM\..\RunServices: [Windows Update System Shell] svhostcs32.exe
O4 - HKLM\..\RunServices: [Task service] taskmgs.exe
O4 - HKLM\..\RunServices: [Windows File System Checkd] ntfsckd.exe
O4 - HKLM\..\RunServices: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
O4 - HKCU\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
O4 - HKCU\..\Run: [Task service] taskmgs.exe
O4 - HKCU\..\Run: [Windows Update System Shell] svhostcs32.exe
O4 - HKCU\..\Run: [Windows File System Checkd] ntfsckd.exe
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29953.00noopt/SpySpotterCabInstall.cab

この辺のは、プロセス名と実行ファイル名が全然関連がないとか、どう考えてもその名前は怪しいやろ君っていうプロセス名とか、いかにもシステム標準っぽいファイル名だがそんなのは聞いたことがないようなファイル名とか、ぐちゃぐちゃのファイル名とか、そういうのばかりなので、ばっさばっさと切り捨てて(HijackThisでFIXして)いきました。
そして再起動。

…うーむ。

O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe

これは消したはずなのになぁ…なんで復活するんだろう?
仕方ない、もう一度FIXかけて、セーフモードで再起動して、該当ファイルとフォルダの名前を変えて、実行できなくしておこう。
で、通常の再起動。

O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe

やっぱりこれが出てくる…。
何か見落としがあるのかなぁ…。
ん?まてよ…。

O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe

Winampって…。
お客さんにMP3プレイヤーを使っているかどうか聞いてみた。
インターネットとメールとエクセルとワードだけだそうだ。
…またかよっっ!
前はRealOneでだまされた…最近は巧妙にだましてくれるなぁ。
ということでこれもFIXかましてやりました。

今度は大丈夫。復活してません。
さぁ次はWindowsUpdateだ。

とバージョン確認をしてみたら…なんとXP HomeEditionの初期型!SP1すら当たってない。
こりゃやられて当然だな…。
とりあえず、持っていたSP2のCD-ROMでのSP2適用をしないと。
先にインターネットにびくびくしながらつなぎ、メーカーサイトでSP2の動作状況をチェック。
…なんとSP2を当てるとフリーズする危険性のあるマシンだった…。
大した対策ではなく、SP2適用後にプロセッサのドライバをSP2内蔵のドライバにアップグレードすればOKなので、それ以外は問題ないのでSP2適用を敢行。

SP2適用の待ち時間で、アップデートの重要性の説明と、ウィルス対策ソフトのお薦めをしました。
もちろん、いつもどおりの「ウイルスセキュリティ2005EX」。
1年で約2000円という安さで即決です。

ここはマンションのBフレッツ集合住宅型でしたので、ルーターなしの直結なんですが、ウイルスセキュリティ2005EXをインストールしてみてびっくり。
ファイヤーウォール履歴に、いろいろ話をしていた、たったの30分ほどで50発以上の攻撃をブロックした記録が残っていました。
やっぱりこういうソフトは必要だと、身をもって理解していただけました。

ウィルススキャンをかけると、先ほどのWinamp.exeはバックドア型のウィルスということで駆除されました。
く~。もうだまされないぞ…。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2005年08月16日(火) ウィルス・スパイウェア関連, ソフトウェア不具合関連, パソコントラブル, パソコン・インターネット |

« 印刷できません。 | トップページ | 旅行新聞社は営業を中断しました。 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/5502865/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: まただまされた!!:

コメント

プロなのにウイルスセキュリティを勧める方もいるんですね。

投稿: spoonbill | 2006/04/15 5:00:53

spoonbill さん

コメントありがとうございました。
ウイルスセキュリティは環境によって使えないことも確かにありますが、ほとんどは適切な設定やそれなりの対処で使えるようになります。
更新が高価な他社ソフトの更新をしあぐねててこちらに乗り換えられる方も多いようです。

なぜか、ハードウェアは安物のマザーボードやメモリやマウスを大喜びで使う人に限って、「ウイルスセキュリティみたいな安物は…」とか言われることが多いです。不思議です。

ウイルスセキュリティで何か不具合を体験されたんでしょうか?
もしよろしければ、その不具合体験談を教えていただければと思います。

投稿: ささもと | 2006/04/15 13:04:28

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« 印刷できません。 | トップページ | 旅行新聞社は営業を中断しました。 »