ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« HDDを破壊せよ! | トップページ | XPでつながらないプリンタ。 »

2006年11月26日 (日)

隊長!ノートンがインストールできません!

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

こちらはインターネット接続とメール障害ということでお伺いです。
先のトラブルが長引いた上に、次の案件までにあまり時間的に余裕のない中での対処となりました。

お伺いしてみると、お使いのプロバイダ(USENマンションタイプ)のウイルス対策ソフト(ノートン)をインストールしようとしたら、すぐにインストーラーが止まってしまう、という現象。
メールは受信まではできるけど送信ができない、という現象。

うーむ…なんじゃこりゃ??

-------

おそらくなんらかのマルウェア(悪性ソフト)の仕業なんだろうけど、ノートンがインストールできないとなると、そのほかのソフトか手動での削除しかない。
インターネット接続が怪しいので、とりあえずHijackThisで起動項目の確認です。
最近主流の「トロイの木馬」タイプのマルウェアは、大体はこういう起動項目に組み込まれています。
ということでチェックしてみたら…

Logfile of HijackThis v1.98.2
Scan saved at 18:17:34, on 2006/11/26
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Sony\HotKey Utility\HKserv.exe
C:\Program Files\Wireless Desktop\LgWDskTp.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\Program Files\Sony\Do VAIO Remocon\AvRmtCtr.exe
C:\Program Files\Sony\VAIO Update\VAIOUpdt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\Sony\VAIO Action Setup\VAServ.exe
C:\Program Files\Sony\SonicStage Mastering Studio\Audio Filter\SSMS.exe
C:\Program Files\Sony\VAIO Entertainment\VzTrayIcon.exe
C:\Program Files\Sony\VAIO Launcher\Launcher.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment\VzCdb\VzFw.exe
C:\Program Files\Sony\VAIO Entertainment\VzTaskScheduler.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
C:\Program Files\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\msiexec.exe
C:\DOCUME~1\Owner\LOCALS~1\Temp\NAV14.0.0.89\Support\Reporter\Reporter.exe
C:\WINDOWS\System32\irdvxc.exe
C:\Documents and Settings\Owner\デスクトップ\起動項目チェックツール\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe bootini.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,bootini.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [LgWDskTp] C:\Program Files\Wireless Desktop\LgWDskTp.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [VAIORemoconUtility] "C:\Program Files\Sony\Do VAIO Remocon\AvRmtCtr.exe"
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [VAIO Update] C:\Program Files\Sony\VAIO Update\VAIOUpdt.exe -backgroundMode
O4 - HKLM\..\Run: [Microsoft Windows] bootini.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Windows] bootini.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.vaio.sony.co.jp/
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll


んあ~、出たよ出たよ、bootini.exe。
起動名が「[Microsoft Windows] bootini.exe」だなんて、怪しすぎます。
わざわざそんな名前の起動項目なんて、Windowsのファイルが使うわけないやん…。

これ、以前も遭遇したことがあるんですが、以前は時間切れで駆除し切れなかったんですよねぇ。
かなりしつこいです。
HijackThisでFIXしたところで関係なし。すぐに復活します。
コイツは単に起動項目をFIXしただけじゃダメなんですよねぇ。
ということで、「bootini.exe」と「irdvxc.exe」を探しますが…見当たりません。
きっちり「隠しファイル」になって隠れていますから。なんていやらしい…。
「隠しファイルも表示する」という設定に変えてようやく発見。
拡張子を .exe から .ex_ に変更して、起動しないように抑えておいてWindowsを再起動。
なんとか起動項目から消えたところで、ノートンのインストールです。

…おおっ!インストーラーがちゃんと動いたよ!!
なんていやらしいマルウェアだ…ノートンのインストールを阻止するなんて…。
ノートンがきちんとインストールできたところで、ウィルススキャンです。

カテゴリ: セキュリティリスク
●日時,機能,リスク名,結果,項目の種類,ウイルス定義のバージョン,製品バージョン,ユーザー名,コンピュータ名,詳細

●2006/11/26 19:34:23,ウイルススキャナ,W32.Randex.GEL,完全に削除しました,ファイル,2006.11.25.003,14.0.0.89,SYSTEM,YOUR-COMPUTER,"発生源: c:\wintask32.exe,リスクのカテゴリ: ウイルス,リスク全体の影響: 高,適用した処理: 完全に削除しました"
●2006/11/26 19:34:23,ウイルススキャナ,W32.Randex.GEL,完全に削除しました,ファイル,2006.11.25.003,14.0.0.89,SYSTEM,YOUR-COMPUTER,"発生源: c:\WINDOWS\system32\38072_netapi.exe,リスクのカテゴリ: ウイルス,リスク全体の影響: 高,適用した処理: 完全に削除しました"
●2006/11/26 19:34:23,ウイルススキャナ,W32.Rahack.H,完全に削除しました,ファイル,2006.11.25.003,14.0.0.89,SYSTEM,YOUR-COMPUTER,"発生源: c:\WINDOWS\system32\irdvxc.ex_,リスクのカテゴリ: ウイルス,リスク全体の影響: 高,適用した処理: 完全に削除しました"
●2006/11/26 19:34:23,ウイルススキャナ,Backdoor.Ranky.X,完全に削除しました,ファイル,2006.11.25.003,14.0.0.89,SYSTEM,YOUR-COMPUTER,"発生源: c:\WINDOWS\system32\config\systemprofile\local settings\temporary internet files\Content.IE5\MI0W157T\3hzo6b[1].jpg,リスクのカテゴリ: ウイルス,リスク全体の影響: 高,適用した処理: 完全に削除しました"
●2006/11/26 19:34:23,ウイルススキャナ,W32.Randex.GEL,完全に削除しました,ファイル,2006.11.25.003,14.0.0.89,SYSTEM,COMPUTER,"発生源: c:\WINDOWS\system32\01647_netapi.exe,リスクのカテゴリ: ウイルス,リスク全体の影響: 高,適用した処理: 完全に削除しました"
●2006/11/26 19:34:23,ウイルススキャナ,W32.Rahack.H,完全に削除しました,ファイル,2006.11.25.003,14.0.0.89,SYSTEM,YOUR-COMPUTER,"発生源: c:\WINDOWS\system32\.exe,リスクのカテゴリ: ウイルス,リスク全体の影響: 高,適用した処理: 完全に削除しました"
●2006/11/26 19:34:23,ウイルススキャナ,Backdoor.Ranky.X,完全に削除しました,ファイル,2006.11.25.003,14.0.0.89,SYSTEM,YOUR-COMPUTER,"発生源: c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\6ALR6HI5\3hzo6b[1].jpg,リスクのカテゴリ: ウイルス,リスク全体の影響: 高,適用した処理: 完全に削除しました"
●2006/11/26 19:34:22,ウイルススキャナ,W32.Randex.GEL,完全に削除しました,ファイル,2006.11.25.003,14.0.0.89,SYSTEM,YOUR-COMPUTER,"発生源: c:\bootini.exe,リスクのカテゴリ: ウイルス,リスク全体の影響: 高,適用した処理: 完全に削除しました"
●2006/11/26 19:34:22,ウイルススキャナ,Tracking Cookie,削除を試みていません,ファイル,2006.11.25.003,14.0.0.89,SYSTEM,YOUR-COMPUTER,"発生源: ,リスクのカテゴリ: cookie,リスク全体の影響: 低,適用した処理: 削除を試みていません"


うーむむむ。

W32.Randex.GEL :Symantec Security Response
これが今回のbootini.exeの正体らしいです。
c:\wintask32.exe
c:\bootini.exe
c:\WINDOWS\system32\01647_netapi.exe
c:\WINDOWS\system32\38072_netapi.exe
この4つがそうだったようです。
こちらは、2006年9月にセキュリティ修正がかかったセキュリティホールを狙ったものです。
Server サービスの脆弱性により、リモートでコードが実行される (921883) (MS06-040) :MicrosoftTechNet
[MS06-040] Server サービスの脆弱性により、リモートでコードが実行される :Microsoftサポートオンライン
セキュリティ修正がなされていないとやられてしまうわけですね。
いかに日ごろのWindowsUpdateが重要かを思い知らされるものですね。

W32.Rahack.H :Symantec Security Response
これが今回のirdvxc.exeの正体らしいです。
サイトに載っているファイル名が違うようですが…。
上のファイル削除ログでは、手動で拡張子を変更したものを検出していました。
c:\WINDOWS\system32\irdvxc.ex_
他にも、
c:\WINDOWS\system32\.exe
という、ファイル名のないファイルを検出してました。

Backdoor.Ranky.X :Symantec Security Response
こちらは別のウイルスによってダウンロードされるものらしいのですが、
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\6ALR6HI5\3hzo6b[1].jpg
c:\WINDOWS\system32\config\systemprofile\local settings\temporary internet files\Content.IE5\MI0W157T\3hzo6b[1].jpg
このファイルの場所から考えると、どうもホームページの閲覧で入り込んだものではないかとも考えられます。
油断もスキもないですねぇ。
インターネット一時ファイルって、こういうものの入り口になりやすいので、定期的に削除するか、容量を必要最小限に設定しておく必要がありますね。

さて、これでウィルスがいなくなったので、メールのトラブルも解決しているだろうと思ったんですが…。

なんとメールに関しては解決していません!

どうやらウィルスとは別の要因だったようです…。
しかし、今日は次のお客さんがあるので、取り急ぎ引き上げる必要がありました。
とりあえず、プロバイダのWEBメール機能をご案内し、なんとか送信はできることをお伝えして引き上げです。
こちらはまた日を改めて対処する必要があります…。
なんとも後味の悪い作業です。
次回へつづく。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2006年11月26日(日) ウィルス・スパイウェア関連, ソフトウェア不具合関連(セキュリティホール), ネットにつながらない・遅い, パソコントラブル, パソコン・インターネット, 日記・コラム・つぶやき |

« HDDを破壊せよ! | トップページ | XPでつながらないプリンタ。 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事

ネットにつながらない・遅い」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/13314856/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: 隊長!ノートンがインストールできません!:

コメント

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« HDDを破壊せよ! | トップページ | XPでつながらないプリンタ。 »