ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« 電源コネクターがグラグラです。 | トップページ | 送っていただいたメールにウィルスが見つかりました。 »

2005年12月11日 (日)

かなり凶悪なアドウェア。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

今回のトラブルは、子供の学童保育仲間のおかーさんのところ。
(学童保育というのは、放課後から夕方5時ぐらいまで子供の面倒を見てくれるものです)

「なんかねー、ちっとも消えてくれないスパイウェアがあって…」

うーむ。
消しても消しても復活する、ってのはスパイウェアの常套手段ですね(^_^;)

「Spybotとか使ったんだけどダメなんで、見てもらえると助かります」

んー。
まぁとりあえず見させてもらいましょうか?

見させてもらったところ、WindowsXPなんですが、いまだにSP2が入っていません。
おまけにセキュリティ対策ソフトも入っていません。
こりゃ「やっちゃってください」と検体を提供しているようなもんです。
再インストールなどの知識はそれなりにお持ちなんですが…。

「SP2?だって、あれって入れたらまずいんでしょ?」

( ̄△ ̄;)

いや、そもそもアレを入れないとその先はないので、セキュリティ対策もなにもあったもんじゃない状態なんですけど…。
SP2自体、もう1年以上前の修正です。
そこからさらに山のような修正が待ってるのに…。
ウイルスセキュリティ2005EXに偏見を持っている人がいるのと同じく、SP2に偏見を持っている人や、入れてはダメだと思い込んでいる人は、かなり多いようですね。

WindowsXPのSP2は、もう1年もたっていろんな情報がすでに出揃っています。
メーカー製のパソコンなら、メーカーのホームページへ行けば、きちんと情報を掲載しています。
ごくまれに「起動しなくなる」という相性問題を抱えたものもありますが、すでに対策は出ています。
ホームページで対応状況を確認すればわかりますが、ほとんどのパソコンはそのままSP2の適用をかけても、基本的には問題ありません。
問題が発生するのは、主だったものは、初期のXPでドライバや搭載ソフトがSP2に対応し切れていないものに修正が必要になることと、サウンドシステムにYAMAHA(ヤマハ)のAC-XGを使っていると音が出なくなるので修正が必要になる程度のもの。
基本的には、思い切ってやってしまっても、起動しないなどの致命的な症状はまれです。
まぁ、調べた上で慎重にやらなければならないのは確かですが。

とりあえず時間もなかったので、SP2は先送りとして、スパイウェアの状況を確認することに。
例によって、HijackThisを使ってチェック。

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [pjciuy] c:\windows\system32\xmpzkzo.exe
O4 - HKLM\..\Run: [neylgt] C:\WINDOWS\System32\bihgtto.exe r
O8 - Extra context menu item: Ebates. - file://C:\Program Files\EbatesMoeMoneyMaker4\ebatessmmm\ebatestmmm\ebmmC0.htm
O9 - Extra button: Ebates - {F2B441CC-E026-47fb-BDC3-A07750FA3D2C} - file://C:\Program Files\EbatesMoeMoneyMaker4\ebatessmmm\ebatestmmm\ebmmC0.htm (HKCU)

ほげー。
なんかいろいろやられてますね。

O16 - DPF: {6A889D25-A055-11D5-AB10-00001C0024BB} (Network Camera Control) - http://www2.at-neteye.com/NetCam.ocx
O16 - DPF: {70EE0AA4-5A3A-4052-8FFA-2EEDA43F7942} (Innotive Cibrowser Control 1.1) - http://www.st-image.com/catalog/digital_catalog/plugin/cibrowser.cab
O16 - DPF: {B905F63D-7489-4B3D-9B62-49A1B8647E2A} (HgPluginJP21 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HGPluginJP21.cab
O16 - DPF: {C71C8580-B76B-4FA4-8592-1160E8CE2BBC} (AvatarBooster Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://utu.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {E76AAE10-AF57-4AEA-B33D-C3EDFA414DAE} (S2MPlayer Control) - http://www.bill.co.jp/sanstream/cab/S2MPlayer.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/winfixer.com/www/pages/scanner_jp/WinFixer2005ScannerInstall_jp.cab
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} - http://download.overpro.com/WildAppNonUS.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B25B3BE3-DFF3-4ECA-BF12-B7AB754AFCD9}: NameServer = 60.56.0.135 218.251.89.134

これらは…ちょっと判断に迷うところですが、思い切って消しても、システム的には問題は少ないでしょう。
ということで、これらをFIXしてみたんですが……やっぱり復活します。

特に凶悪なのは、Nail.exeというプログラム。
こいつは、消しても消しても、消した瞬間に新たに同じモノが作られます。
いつものように拡張子を変更しても同じ。Nail.exeをNail.ex_に変えた瞬間に、Nail.exeが新たに作成されます。
凶悪やなぁ。いくら消してもこれでは話にならん。

要は「Nail.exe」というファイルがなくなったことを監視しているみたいなので、バッチファイルを利用して、ダミーの「Nail.exe」を作成して、本体削除の直後に置き換えてやりました。
こちらは成功して、ダミーが残るようにはなりましたが、依然として他のが消えてくれません。

-----

長くなりそうなので結論から書きますが、今回のは時間切れで駆除できていません。
他にもあれこれ手当てをして、とりあえず連続した異常な通信はない状態ですが、安心はできません。
一応、ブロードバンドルーターとセキュリティ対策ソフトの導入を勧めたんですが、やはりお金のかかることなので、保留されました。
お金をかけてでも、という前提だったら持ち帰り作業なんですけどねぇ…。

今回のHijackThisのログなどから、大体の目星はつけてます。
あとは、もう少しゆっくり作業のできる時間をいただければ、駆除はできるでしょう。
ただ、年末なので、すぐに時間が取れるかどうか…。

また作業ができるようになったら、続編を書きます。
To Be Continued.....

ということで、続編へ。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2005年12月11日(日) ウィルス・スパイウェア関連, ソフトウェア不具合関連(セキュリティホール), ソフトウェア不具合関連(設定不良), パソコントラブル, パソコン・インターネット, 日記・コラム・つぶやき |

« 電源コネクターがグラグラです。 | トップページ | 送っていただいたメールにウィルスが見つかりました。 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事

ソフトウェア不具合関連(設定不良)」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/7648936/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: かなり凶悪なアドウェア。:

コメント

sasamotoさんが悪戦苦闘しても復活するスパイウェアですか?絶対にタッチしたくない案件ですねえ。時間がいくら有ってもたりねえや。
謝礼金より浪費する時間が惜しいです。リカバッチまえ て思いますが、リカバラず消すのがささもとさんのポリシですよね?

投稿: prtwqq | 2005/12/18 20:13:30

prtwqq さん

というよりは、この悪性ソフト、意外と新しいものではないらしいのです。
ちょっとアプローチがまずいだけという気がしてきました。
かなりめどは立ってますので、次回訪問時に仕留めて見せます(笑)。

現実にはリカバリがもっとも現実的な解決方法ですが、やはりご多分に漏れず、消えては困る大事なデータはあっても、バックアップが不十分で、リカバリだけは勘弁して、と懇願されてました…。
まぁ実際、家族数人で共用しているので、みんなの了承無しにうかつにリカバリできないってところだと思います。
壊れたならともかく、見た目問題なさげなスパイウェア・アドウェア程度でリカバリなんて、ねぇ。

投稿: ささもと | 2005/12/19 11:17:16

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« 電源コネクターがグラグラです。 | トップページ | 送っていただいたメールにウィルスが見つかりました。 »