ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« 勝手に電源が切れます。 | トップページ | 勝手にログオフします。 »

2006年1月20日 (金)

スパイウェアてんこ盛り。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

前回の続きです。
メモリ周り不良 + スパイウェアなどなどてんこ盛りで持ち帰り作業です。
とりあえず基本どおりに、HijackThisのログからわかる起動名と起動ファイル名で検索をかけます。
私自身が見たことのないものでも、たいていはネット上に情報が流れています。
それが日本語だとは限りませんが…。

ということで、順を追っての作業です。
長編になりますよ~。

-----

あまりにもいろいろやられていたので、今回はスパイウェアやアドウェアというアプローチではなく、「ウイルスにやられている」というアプローチで行ってみました。
以前はこういう方向でやってたんですけど、いつしかスパイウェアやアドウェアがほとんどでしたので、「まずはウィルス感染を疑う」というのは久しぶりです。

以前よく使っていたトレンドマイクロシステムクリーナーを使ってみました。
これの最新版を使えば、主だったところのウイルスはほとんど消えてくれます。
ということで実行結果は…。

Damage Cleanup Engine (DCE) 3.98(Build 1012)
Windows XP(Build 2600: Service Pack 1)

Load Damage Cleanup Template (DCT) "C:\Documents and Settings\Owner\デスクトップ\auto_tsc\tsc.ptn" (version 698) [success]
TROJ_BLAZEFIND.A[virus clean failed]
-->delete registry data("HKEY_LOCAL_MACHINE","Software\Microsoft\Windows\CurrentVersion\Run","C:\Program Files\WindowsSA\omniscient.exe") success
-->delete process("C:\Program Files\WindowsSA\omniscient.exe","","") success
-->delete file("C:\Program Files\WindowsSA\omniscient.exe","","") success
-->delete registry key("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Windows SA","") success
-->delete registry key("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\DownloadManager","") success
-->delete registry key("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows SA","") success
-->delete folder("C:\Program Files\WindowsSA","","") fail
TROJ_ALCHEMIC.A[virus found]
-->delete registry value("HKEY_LOCAL_MACHINE","Software\Microsoft\Windows\CurrentVersion\Run","alchem") success
-->delete file("C:\WINDOWS\alchem.exe","","") success
-->delete file("C:\WINDOWS\alchem.ini","","") success

Execute pattern count(4667), Virus found count(2), Virus clean count(1), Clean failed count(1)

うーむ、出ましたか。

TROJ_BLAZEFIND.Aに関する情報
Adware.BlazeFind :Symantec Security Response

TROJ_ALCHEMIC.Aに関する情報は、イマイチこれといったものがありませんでした。

どうしたわけか、どちらもトレンドマイクロのツールで検出しているのに、トレンドマイクロのサイトには情報がありません。なんだかなぁ~。
それに、HijackThisで検出したものすべてが消えているわけではない。
まぁ予想していたことなんでいいんですが。

ということで、とりあえずシマンテックの英語サイトの情報を元にBlazeFindの駆除です。

このサイトをよく見たら、

2_0_1browserhelper2.dll
unstsa2.exe
key2.txt
installer2.exe
omniscient.exe
Omniscienthook.dll
omniband.dll
wsaupdater.exe

これらのファイルがインストールされているらしいですが、ツールで削除されたのはomniscient.exeのみ。
それに、どうも最初にHijackThisで検出していた

F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,

もそうらしい。
とにかく、シマンテックの英語サイトの情報の通りに駆除してみます。
専用ツールをダウンロードして実行したあと、手動で残りのファイルや設定を削除します。
まずは先述の一覧のファイルを探し出して削除。
次にレジストリエディタを使って、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Windows SA" = "%PROGRAMFILES%\WindowsSA\omniscient.exe"
を削除。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Streams\Desktop

"Taskbar" = "[binary data]"
"TaskbarWinXp" = "[binary data]"

を削除。

そして以下のレジストリキーを削除。

HKEY_CLASSES_ROOT\BridgeX.Installer
HKEY_CLASSES_ROOT\WindowsSaBand.WinSaBand
HKEY_CLASSES_ROOT\WindowsSaBand.WinSaBand.1
HKEY_CLASSES_ROOT\CLSID\{83DE62E0-5805-11D8-9B25-00E04C60FAF2}
HKEY_CLASSES_ROOT\CLSID\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}
HKEY_CLASSES_ROOT\CLSID\{14D2CFFE-6656-4BEC-8D9E-DDE6F2D4EAE5}
HKEY_CLASSES_ROOT\CLSID\{C5941EE5-6DFA-11D8-86B0-0002441A9695}
HKEY_CLASSES_ROOT\Interface\{8C505A6B-124B-4768-8FD3-1A066C839848}
HKEY_CLASSES_ROOT\Typelib\{0B3569D7-1EA4-4CBA-AC13-225902619789}
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Windows SR 2.0
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Windows SA
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83DE62E0-5805-11D8-9B25-00E04C60FAF2}
HKEY_LOCAL_MACHINE\Software\microsoft\code store database\distribution units\{15ad4789-cdb4-47e1-a9da-992ee8e6bad6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows SA
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83DE62E0-5805-11D8-9B25-00E04C60FAF2}

こんなにたくさんのレジストリをいじらないと外せないんです。
めんどくさ~~。

これでようやく1匹目。

TROJ_ALCHEMIC.Aはとりあえず終わったことにして。

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

次は、このよくお見かけするInternet Optimizerを何とかしましょう。

Adware.NetOptimizer :Symantec Security Response

トレンドマイクロのサイトにも情報はありますが…

SPYW_DYFUCA.H - 詳 細 :トレンドマイクロ ウイルスデータベース

なんかこういう見解だそうです。

SPYW_DYFUCA.H - 対応方法 :トレンドマイクロ ウイルスデータベース

 この検出はスパイウェア検出機能による検出です。不正プログラムではありませんので検出されても特に対応の必要はありません。このソフトウェアを意識的に使用しているなどで検出させたくない場合には製品のスパイウェア検出機能をオフにするなどしてご使用ください。検出されたプログラムが特に必要のないプログラムである場合にはファイルの削除、またはアプリケーションのアンインストールを行ってください。

…( ̄△ ̄;)
誰が意識的に使ってるんだよこんなもん…。

とりあえずシマンテックの英語サイトの情報の通りに駆除です。

まずはコントロールパネルの「ソフトウェアの追加と削除」から、「Internet Optimizer」を削除します。
情報によれば「Active Alert」というものもあるらしいですが、ここでは存在しませんでした。
次に、専用ツールをダウンロードして実行したあと、手動で残りのファイルや設定を削除します。
それから、以下のファイルが残っているかどうか確認し、残っていたら削除です。

%ProgramFiles%\Internet Optimizer\actalert.exe
%ProgramFiles%\Internet Optimizer\optimize.exe
%ProgramFiles%\Internet Optimizer\update\actalert.exe
C:\Internet Optimizer\optimize.exe
%UserProfile%\Internet Optimizer\optimize.exe
%Windir%\nem[XXX].dll
%Windir%\optimize.exe
%Windir%\wsem[XXX].dll
C:\Documents and Settings\Administrator\Local Settings\Temp\cfin
C:\Documents and Settings\Administrator\Local Settings\Temp\cfout.txt

次にレジストリエディタを使っての設定の削除です。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"DyFuca""Internet Optimizer" の項目を削除。

そして以下のレジストリキーを削除。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000010-6F7D-442C-93E3-4A4827C2E4C8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8F4E5661-F99E-4B3E-8D85-0EA71C0748E4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CEA206E8-8057-4A04-ACE9-FF0D69A92297}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1C01D150-91A4-4DE0-9BF8-A35D1BDF1001}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AA4939C3-DECA-4A48-A454-97CD587C0EF5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EEE4A2E5-9F56-432F-A6ED-F6F625B551E0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0BE10B0D-B4DB-4693-9B1F-9AEAD54D17DC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{40B1D454-9CA4-43CC-86AA-CB175EAC52FB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DyFuCA_BH.BHObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DyFuCA_BH.BHObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DyFuCA_BH.SinkObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DyFuCA_BH.SinkObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DyFuCA
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Optimizer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Optimizer Active Alert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WSEM Update
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Kapabout
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Browser Helper Objects\{00000010-6F7D-442C-93E3-4A4827C2E4C8}
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Avenue Media
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\AMeOpt
HKEY_LOCAL_MACHINE\SOFTWARE\Avenue Media
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt
HKEY_CURRENT_USER\Software\Policies\Avenue Media
HKEY_CURRENT_USER\Software\Avenue Media
HKEY_LOCAL_MACHINE\SOFTWARE\FCI

さっきのBlazeFind以上にたくさんあります…。勘弁してください。

さらに、以下の値の変更です。

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHook

ここの値を、

_{CFBFAE00-17A6-11D0-99CB-00C04FD64497}
から
{CFBFAE00-17A6-11D0-99CB-00C04FD64497}
へ変更。

これでようやく2匹目が完了です。

疲れた~。専用ツールがあるんなら、これぐらいの自動処理をやってほしいよなぁ~。
なーんて思いながら、とりあえず再起動。しかし…

ここで悲劇が待っていました。

なんと、勝手にログオフしてしまい、操作が一切できなくなったのです!!

焦りつつも、起動時にF8キーの連打でセーフモードを起動してみても、やっぱりログオフされてしまい、操作ができません…。
おいおいやばいよこれは!!
ということで次回へ続く。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2006年01月20日(金) ウィルス・スパイウェア関連, ソフトウェア不具合関連, ソフトウェア不具合関連(セキュリティホール), ハードウェア不具合関連, ハードウェア不具合関連(メモリ), パソコントラブル, パソコン・インターネット, フリーズ・ブルースクリーン・再起動・電源切れる, 起動しない・起動が遅い |

« 勝手に電源が切れます。 | トップページ | 勝手にログオフします。 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連」カテゴリの記事

ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事

ハードウェア不具合関連」カテゴリの記事

ハードウェア不具合関連(メモリ)」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

フリーズ・ブルースクリーン・再起動・電源切れる」カテゴリの記事

起動しない・起動が遅い」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/8396988/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: スパイウェアてんこ盛り。:

コメント

こんなにたくさんのレジストリをいじらないと外せない

スパイウェア駆除が一番手間が掛かると考えます。

投稿: p | 2006/01/31 7:26:52

p さん

>スパイウェア駆除が一番手間が掛かると考えます。

というよりは、本来はソフトのアンインストールって、見えないだけで、みんなそういうものだと思いますよ。
特にセキュリティ対策ソフトなんて、きっと同じぐらい深くに手が入ってると思います。
http://orbit.cocolog-nifty.com/supportdiary/2006/01/post_d716.html
こちらでもあったように、アンインストーラーがうまく動かなければ、それなりの手順を探らなければなりません。
情報公開があまりされてない分、ある意味こっちの方がたちが悪いかもしれません…。

Windowsは、レジストリという管理方法で、あらゆるところをいじることができるようになっています。
それがあだとなっている感じがします。
とはいえ、MS-DOSの頃に戻れるわけではありませんが。
悩ましいところです。

投稿: ささもと | 2006/01/31 9:29:52

レジストリを弄ると起動不可の恐れ有りなので
お客のパソコンには実施したくないです。
そこまで自分のサポト力を信用出来ません。

投稿: p | 2006/02/01 0:19:05

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« 勝手に電源が切れます。 | トップページ | 勝手にログオフします。 »