ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« 無線LANとADSL回線の微妙な関係。 | トップページ | すぐ近くの親機につながってくれません。 »

2007年3月 2日 (金)

つながらなかったパソコンの正体は…。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

こちらはいきなりのリカバリ+SP2化依頼でした。
こういう依頼も珍しいな、と思いつつお伺いしてみました。

とりあえずヒヤリング。
まずは「なぜリカバリしなければならなくなったのか?」という点から。

「Bフレッツを引いたのはいいんですが、引き込み業者の人に『これはリカバリした方がいいですよ』と言われたもんで」

うーん…。

起動してみたら、確かになんだか動きが鈍い。
すでにインストールされた「フレッツ接続ツール」が、何度も接続に失敗した挙句に、「フレッツ速度測定サイト」につながった状態で通信をしています。
なんだこりゃ?

それに…

Hotbar20070302

∑( ̄□ ̄;
で、出た!Hotbar!
他にも、タスクバーにいろいろ怪しげなアイコンが。

バージョンをチェックしてみたら、XP Proの初期型。
さらにお聞きしてみると、どうも今までは、ダイヤルアップなどナローバンド接続しかしていなかった模様。
ナローバンドだからって油断ならないですよねぇ…。
XPの初期型なら、セキュリティホールだらけで、ブロードバンドでなくてもインターネットに接続しているだけでブラスターなどにやられるんですから、なおさらです。

とりあえずタスクマネージャでチェックしてみたら…げげっ!!

-----

い、いるじゃん!msblast.exe(ブラスターウィルス)が!!
やっぱり…。

しかし、Bフレッツの接続業者も、ブラスター駆除ツールぐらい持っとけよ…。
まぁ、たとえ駆除できたところで、セキュリティホールありまくりのXP初期型では、駆除しようがリカバリしようが、再感染するのは同じなので、リカバリを勧めることだけでは正解だとは言えません。

正解は、リカバリした上で、SP2とそれ以降のセキュリティ更新を適用し、セキュリティ対策ソフトをインストールすること。

ということで、いずれにせよ本日はリカバリということでのお伺いなので、リカバリCDを出していただこうとしたら…。

「…え?なんですかそれ?」

…( ̄△ ̄;
い、いや…ですから…このパソコンに付属していたCD-ROMですよ…。
説明書とかないんですか??

「ああ…あの、このパソコンは、知人の知人が『共同購入で安くなるから』と、4年ほど前に持ってきてくれたものなんです。2~3時間ぐらいかけてセットアップしてくれてましたけど、付属品とかは何も置いていきませんでしたよ

…(~△~;
そ、それって…。
違法コピーのニオイがプンプンするんですが…。

いずれにせよ、リカバリCDがなければリカバリのしようがありません。

「え~?じゃあ、買い直すしかないんですか?」

…まぁ予算が許せばそれでもいいんですけど、直せない範囲ではないとは思うんですが。

「じゃ、お願いしようかしら」

ということで、駆除作業開始です。

とはいえ、この状態では、SP2とそれ以降の更新を当てたとしても、ウイルス対策を何もしなければ、再度ウイルス感染の危険性があります。
その危険性をお伝えし、今日は駆除と更新のみということを説明しておきました。

とにかく今この状態ではネットにつながらないので、とりあえず手持ちのCD-RからHijackThisを使ってチェックです。

Logfile of HijackThis v1.98.2
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\nvchip4.exe
C:\WINDOWS\System32\netsvcs.exe
C:\WINDOWS\System32\enbiei.exe
C:\Program Files\Save\Save.exe
C:\Program Files\WhenUSearch\Search.exe
C:\docume~1\Owner\locals~1\temp\msbb.exe
C:\Program Files\WindowsSA\omniscient.exe
C:\WINDOWS\System32\jyjdrwk.exe
C:\Program Files\CashBack\bin\cashback.exe
C:\Program Files\NaviSearch\bin\nls.exe
C:\Program Files\Hotbar\bin\4.5.1.0\WeatherOnTray.exe
C:\Program Files\Hotbar\bin\4.5.1.0\HbInst.exe

C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\Documents and Settings\Owner\Application Data\ursp.exe
C:\PROGRA~1\WEATHE~1\Weather.exe
C:\Program Files\ClockSync\Sync.exe
C:\WINDOWS\System32\kxbx.exe

C:\WINDOWS\System32\conime.exe
C:\WINDOWS\System32\systems.exe
C:\Program Files\NTTW\Flets\app\TangoService.exe
C:\WINDOWS\System32\winlog.exe
C:\Program Files\Hotbar\bin\4.5.1.0\HbSrv.exe

C:\PROGRA~1\NTTW\Flets\app\TangoManager.exe
C:\Program Files\BullsEye Network\bin\bargains.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Documents and Settings\Owner\デスクトップ\HijackThis\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {4FA93501-B51E-5EB3-8421-66550CD32942} - C:\WINDOWS\System32\wxnjm.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Program Files\Hotbar\bin\4.5.1.0\HbHostIE.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\Program Files\Bargain Buddy\bin2\apuc.dll (file missing)
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Program Files\Hotbar\bin\4.5.1.0\HbHostIE.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [windows auto update] msblast.exe
O4 - HKLM\..\Run: [nVidia Chip4] nvchip4.exe
O4 - HKLM\..\Run: [Video Process] netsvcs.exe
O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe
O4 - HKLM\..\Run: [Windows Login] winlog.exe
O4 - HKLM\..\Run: [System Loader] systems.exe
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [WinFavorites] c:\program files\winfavorites\WinFavorites.exe1
O4 - HKLM\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
O4 - HKLM\..\Run: [WhenUSearch] "C:\Program Files\WhenUSearch\Search.exe"
O4 - HKLM\..\Run: [msbb] c:\docume~1\Owner\locals~1\temp\msbb.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [ifewopxw] C:\WINDOWS\System32\jyjdrwk.exe
O4 - HKLM\..\Run: [CashBack] C:\Program Files\CashBack\bin\cashback.exe
O4 - HKLM\..\Run: [NaviSearch] C:\Program Files\NaviSearch\bin\nls.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\Hotbar\bin\4.5.1.0\WeatherOnTray.exe
O4 - HKLM\..\Run: [Hotbar] C:\Program Files\Hotbar\bin\4.5.1.0\HbInst.exe /Upgrade
O4 - HKLM\..\RunServices: [nVidia Chip4] nvchip4.exe
O4 - HKLM\..\RunServices: [Video Process] netsvcs.exe
O4 - HKLM\..\RunServices: [Windows Login] winlog.exe
O4 - HKLM\..\RunServices: [System Loader] systems.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [Etao] C:\Documents and Settings\Owner\Application Data\ursp.exe
O4 - HKCU\..\Run: [WeatherCast] C:\PROGRA~1\WEATHE~1\Weather.exe /q
O4 - HKCU\..\Run: [ClockSync] "C:\Program Files\ClockSync\Sync.exe" /q
O4 - HKCU\..\Run: [Baf] C:\WINDOWS\System32\kxbx.exe

O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSEWC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A04617B-E72F-401A-A47E-40251CBADFF5}: NameServer = 127.0.0.1

…( ̄□ ̄;
アドウェアとウイルスとトロイの木馬のオンパレードです…。
ここまでボロボロなのも珍しいですね。

とりあえず、ネットにガンガンつなごうとしてくれるので、まずはフレッツ接続ツールをアンインストールです。
XPは広帯域接続(PPPoE)があるので、ネット接続だけならこれは必要ありません。
あとは、「プログラムの追加と削除」に項目のあるアドウェアをアンインストール。
基本的にアドウェアは、後で訴えられると困るからでしょうか、きちんとアンインストールできるようになっていることが多いようです。
ここで外したのは

  • BargainBuddy
  • BullsEyeNetwork
  • NaviSearch
  • WeatherCast
  • WhenUSearch
  • WindowsSR2.0
  • その他HotBar関連
なんですが、ネットにつながっていないために外れないものもいくつかありました。
この辺はとりあえず仕方がないので、セーフモードで該当ファイルが起動できないようにリネームしておいて、HijackThisでFIXです。

あとは、古いながらもCD-Rに残っていたトレンドマイクロシステムクリーナーを使ってみます。
最新版ではないものの、ブラスターなどの定番ウィルスには有効ですから。

Damage Cleanup Engine (DCE) 3.6(Build 1120)
Windows XP(Build 2600: )

Load Damage Cleanup Template (DCT) "C:\Documents and Settings\Owner\デスクトップ\auto_tsc\tsc.ptn" (version 451) [success]
WORM_MSBLAST.A[virus found]
-->delete file("C:\WINDOWS\System32\msblast.exe","","") success
TROJ_JUNKSURF.A[virus found]
-->delete folder("C:\Documents and Settings\Owner\Favorites\Adult Entertainment","","") success
WORM_NACHI.A[virus found]
-->delete file("C:\WINDOWS\System32\wins\dllhost.exe","","") success
-->delete file("C:\WINDOWS\System32\wins\svchost.exe","","") success
WORM_AGOBOT.PY[virus found]
-->delete registry data("HKEY_LOCAL_MACHINE","Software\Microsoft\Windows\CurrentVersion\Run","nvchip4.exe") success
-->delete process("C:\WINDOWS\System32\nvchip4.exe","","") success
-->delete file("C:\WINDOWS\System32\nvchip4.exe","","") success
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices","nvchip4.exe") success
WORM_NACHI[virus found]
-->delete file("C:\WINDOWS\System32\drivers\svchost.exe","","") success
WORM_AGOBOT.RI[virus found]
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","www.symantec.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","securityresponse.symantec.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","symantec.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","www.sophos.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","sophos.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","www.mcafee.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","mcafee.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","liveupdate.symantecliveupdate.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","www.viruslist.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","viruslist.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","f-secure.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","kaspersky.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","www.avp.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","avp.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","www.networkassociates.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","networkassociates.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","www.ca.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","ca.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","my-etrust.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","secure.nai.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","nai.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","trendmicro.com","") success
-->delete file("C:\WINDOWS\System32\sysconf.exe","","") success
WORM_RBOT.PO[virus found]
-->delete registry data("HKEY_USERS",".DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run","wuamgrd.exe") success

Execute pattern count(1403), Virus found count(7), Virus clean count(7), Clean failed count(0)

…( ̄△ ̄;
なんか凶悪なのがいたようですが…。

ようやくおとなしくなったところで、とにかくSP2適用です。
こちらはCD-ROMを常備していますので、それを使ってインストールです。

40分ほどかけて何とかSP2適用完了。
あとは広帯域接続で接続設定をして、SP2以降の更新の適用です。
なんと72項目もありましたが、やるしかありません。

ここまできて、ようやく何とか使える状態に…と思いきや!!!

Microsoftga

正規のMicrosoftソフトウェア
このWindowsは正規品の確認プロセスに合格しませんでした。このコンピュータで検出されたプロダクトキーは、ブロックされているボリュームライセンスキー(VLK)です。

∑( ̄□ ̄;
あっちゃ~、やっぱり…。

正規のXP Professional用のライセンス価格は18625円だそうです。
中~途半端やな~!!
まぁそれはいいとして。

正規の Microsoft ソフトウェア 確認が失敗に終わる一般的な事例の紹介

・修理店
なんか、リカバリCDを添付せずに修理に出すと「顧客が持ち込んだコンピュータを修理するために、技術者が非正規品の Windows を使用します。」んだそうです。
私はそんなことしませんけどね。
それにそもそも、メーカー製だと、その機種用のリカバリCDがないと動かないですからねぇ。
自作ならいざ知らず…。

・1 つの Windows 製品を複数のコンピュータで使用する
これは昔からよくある話ですね。
でもXPは、それをできないように「ライセンス認証」という仕組みを使っているんではなかったんですかね?
ライセンス認証だけでは、従来どおり使えてしまっていたんでしょうか?

・偽造ソフトウェア
こちらは利用者は完全に被害者なわけですが…。
偽札をつかまされた第三者みたいなもんですけど、それを証明する手段がない限り、救済手段がないのも確かですよね。
自己防衛しかないのがつらいところです。

・コンピュータの組み立てまたは修理を行う知人
今回はこちらですね。
知人がパソコンを持ち込んだ時点でリカバリCDを持ち帰ってしまった、って時点で、この知人が限りなくクロですよね…。

・中古コンピュータの購入
これは最近よくある話ですね。
オークションなんかでは「動作確認でWindowsをインストールしてあります」とか書いてあったり。
ライセンス認識の甘い素人が買うと、そのまま使い続けたりするわけですから、ちゃんとその辺を理解して買わなければなりませんよね。

とにかく、今回の件で、このお客さんも買い替えの際はリカバリCDなどの付属品はきちんと捨てずに保管しておいていただけることでしょう。

しかし、この状態でいつまで使い続けられるものでしょうか?
再起動してみたら、かなり強烈に警告が出てくれますし…。


で、今回の記事を書いていて気になったのは、発見されたウイルスの一つ、NVCHIP4.EXE。

ウィルス情報 Agobot.FO : 日本F-Secure株式会社

>さらにAgobot.FOはWindowsのプロダクトIDも盗み出す機能を持ちます。

∑( ̄□ ̄;
なんとまぁ…こっちの疑いもあったりするわけですね…。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2007年03月02日(金) ウィルス・スパイウェア関連, ソフトウェアアップグレード関連, ソフトウェア不具合関連(リカバリ), ネットにつながらない・遅い, パソコントラブル, パソコン・インターネット, 企業(メーカー・プロバイダ等)の姿勢, 日記・コラム・つぶやき |

« 無線LANとADSL回線の微妙な関係。 | トップページ | すぐ近くの親機につながってくれません。 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェアアップグレード関連」カテゴリの記事

ソフトウェア不具合関連(リカバリ)」カテゴリの記事

ネットにつながらない・遅い」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

企業(メーカー・プロバイダ等)の姿勢」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/14112598/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: つながらなかったパソコンの正体は…。:

コメント

見方によっては、ずいぶんと豪華なウィルスのラインナップではありますね(^^;
お疲れ様でした・・・

投稿: まく☆彡 | 2007/03/05 22:44:44

今では、リナックス(Fedora Core5)をメインにしているので、自分自身ウィルスに関しては殆んどノーマークのネット生活をしています。
リナックスだからと言う事で、それはどうかと思いますが、ウィンドウズの環境を思うと、ウィルスに関するストレスは本当に少ないですね。

それにしても、OSがそう言う状態でしたら、お客様、最初から正規でOEM版ウィンドウズを購入していた方が安上がりでしたね。
かける所にはお金をかけないと、、後で同等以上のコストと時間が浪費されてしまいますね。
教訓にしたいです。

投稿: だいまつ | 2007/03/07 10:45:14

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« 無線LANとADSL回線の微妙な関係。 | トップページ | すぐ近くの親機につながってくれません。 »