つながらなかったパソコンの正体は…。

こちらはいきなりのリカバリ＋SP2化依頼でした。
こういう依頼も珍しいな、と思いつつお伺いしてみました。

とりあえずヒヤリング。
まずは「なぜリカバリしなければならなくなったのか？」という点から。

「Bフレッツを引いたのはいいんですが、引き込み業者の人に『これはリカバリした方がいいですよ』と言われたもんで」

うーん…。

起動してみたら、確かになんだか動きが鈍い。
すでにインストールされた「フレッツ接続ツール」が、何度も接続に失敗した挙句に、「フレッツ速度測定サイト」につながった状態で通信をしています。
なんだこりゃ？

それに…

∑（￣□￣；
で、出た！Hotbar！
他にも、タスクバーにいろいろ怪しげなアイコンが。

バージョンをチェックしてみたら、XP Proの初期型。
さらにお聞きしてみると、どうも今までは、ダイヤルアップなどナローバンド接続しかしていなかった模様。
ナローバンドだからって油断ならないですよねぇ…。
XPの初期型なら、セキュリティホールだらけで、ブロードバンドでなくてもインターネットに接続しているだけでブラスターなどにやられるんですから、なおさらです。

とりあえずタスクマネージャでチェックしてみたら…げげっ！！

-----

い、いるじゃん！msblast.exe（ブラスターウィルス）が！！
やっぱり…。

しかし、Bフレッツの接続業者も、ブラスター駆除ツールぐらい持っとけよ…。
まぁ、たとえ駆除できたところで、セキュリティホールありまくりのXP初期型では、駆除しようがリカバリしようが、再感染するのは同じなので、リカバリを勧めることだけでは正解だとは言えません。

正解は、リカバリした上で、SP2とそれ以降のセキュリティ更新を適用し、セキュリティ対策ソフトをインストールすること。

ということで、いずれにせよ本日はリカバリということでのお伺いなので、リカバリCDを出していただこうとしたら…。

「…え？なんですかそれ？」

…（￣△￣；
い、いや…ですから…このパソコンに付属していたCD-ROMですよ…。
説明書とかないんですか？？

「ああ…あの、このパソコンは、知人の知人が『共同購入で安くなるから』と、4年ほど前に持ってきてくれたものなんです。2～3時間ぐらいかけてセットアップしてくれてましたけど、付属品とかは何も置いていきませんでしたよ」

…（～△～；
そ、それって…。
違法コピーのニオイがプンプンするんですが…。

いずれにせよ、リカバリCDがなければリカバリのしようがありません。

「え～？じゃあ、買い直すしかないんですか？」

…まぁ予算が許せばそれでもいいんですけど、直せない範囲ではないとは思うんですが。

「じゃ、お願いしようかしら」

ということで、駆除作業開始です。

とはいえ、この状態では、SP2とそれ以降の更新を当てたとしても、ウイルス対策を何もしなければ、再度ウイルス感染の危険性があります。
その危険性をお伝えし、今日は駆除と更新のみということを説明しておきました。

とにかく今この状態ではネットにつながらないので、とりあえず手持ちのCD-RからHijackThisを使ってチェックです。

Logfile of HijackThis v1.98.2
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\nvchip4.exe
C:\WINDOWS\System32\netsvcs.exe
C:\WINDOWS\System32\enbiei.exe
C:\Program Files\Save\Save.exe
C:\Program Files\WhenUSearch\Search.exe
C:\docume~1\Owner\locals~1\temp\msbb.exe
C:\Program Files\WindowsSA\omniscient.exe
C:\WINDOWS\System32\jyjdrwk.exe
C:\Program Files\CashBack\bin\cashback.exe
C:\Program Files\NaviSearch\bin\nls.exe
C:\Program Files\Hotbar\bin\4.5.1.0\WeatherOnTray.exe
C:\Program Files\Hotbar\bin\4.5.1.0\HbInst.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\Documents and Settings\Owner\Application Data\ursp.exe
C:\PROGRA~1\WEATHE~1\Weather.exe
C:\Program Files\ClockSync\Sync.exe
C:\WINDOWS\System32\kxbx.exe
C:\WINDOWS\System32\conime.exe
C:\WINDOWS\System32\systems.exe
C:\Program Files\NTTW\Flets\app\TangoService.exe
C:\WINDOWS\System32\winlog.exe
C:\Program Files\Hotbar\bin\4.5.1.0\HbSrv.exe
C:\PROGRA~1\NTTW\Flets\app\TangoManager.exe
C:\Program Files\BullsEye Network\bin\bargains.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Documents and Settings\Owner\デスクトップ\HijackThis\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {4FA93501-B51E-5EB3-8421-66550CD32942} - C:\WINDOWS\System32\wxnjm.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Program Files\Hotbar\bin\4.5.1.0\HbHostIE.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\Program Files\Bargain Buddy\bin2\apuc.dll (file missing)
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Program Files\Hotbar\bin\4.5.1.0\HbHostIE.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [windows auto update] msblast.exe
O4 - HKLM\..\Run: [nVidia Chip4] nvchip4.exe
O4 - HKLM\..\Run: [Video Process] netsvcs.exe
O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe
O4 - HKLM\..\Run: [Windows Login] winlog.exe
O4 - HKLM\..\Run: [System Loader] systems.exe
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [WinFavorites] c:\program files\winfavorites\WinFavorites.exe1
O4 - HKLM\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
O4 - HKLM\..\Run: [WhenUSearch] "C:\Program Files\WhenUSearch\Search.exe"
O4 - HKLM\..\Run: [msbb] c:\docume~1\Owner\locals~1\temp\msbb.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [ifewopxw] C:\WINDOWS\System32\jyjdrwk.exe
O4 - HKLM\..\Run: [CashBack] C:\Program Files\CashBack\bin\cashback.exe
O4 - HKLM\..\Run: [NaviSearch] C:\Program Files\NaviSearch\bin\nls.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\Hotbar\bin\4.5.1.0\WeatherOnTray.exe
O4 - HKLM\..\Run: [Hotbar] C:\Program Files\Hotbar\bin\4.5.1.0\HbInst.exe /Upgrade
O4 - HKLM\..\RunServices: [nVidia Chip4] nvchip4.exe
O4 - HKLM\..\RunServices: [Video Process] netsvcs.exe
O4 - HKLM\..\RunServices: [Windows Login] winlog.exe
O4 - HKLM\..\RunServices: [System Loader] systems.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [Etao] C:\Documents and Settings\Owner\Application Data\ursp.exe
O4 - HKCU\..\Run: [WeatherCast] C:\PROGRA~1\WEATHE~1\Weather.exe /q
O4 - HKCU\..\Run: [ClockSync] "C:\Program Files\ClockSync\Sync.exe" /q
O4 - HKCU\..\Run: [Baf] C:\WINDOWS\System32\kxbx.exe
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSEWC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A04617B-E72F-401A-A47E-40251CBADFF5}: NameServer = 127.0.0.1

…（￣□￣；
アドウェアとウイルスとトロイの木馬のオンパレードです…。
ここまでボロボロなのも珍しいですね。

とりあえず、ネットにガンガンつなごうとしてくれるので、まずはフレッツ接続ツールをアンインストールです。
XPは広帯域接続（PPPoE）があるので、ネット接続だけならこれは必要ありません。
あとは、「プログラムの追加と削除」に項目のあるアドウェアをアンインストール。
基本的にアドウェアは、後で訴えられると困るからでしょうか、きちんとアンインストールできるようになっていることが多いようです。
ここで外したのは

• BargainBuddy
• BullsEyeNetwork
• NaviSearch
• WeatherCast
• WhenUSearch
• WindowsSR2.0
• その他HotBar関連

なんですが、ネットにつながっていないために外れないものもいくつかありました。
この辺はとりあえず仕方がないので、セーフモードで該当ファイルが起動できないようにリネームしておいて、HijackThisでFIXです。

あとは、古いながらもCD-Rに残っていたトレンドマイクロシステムクリーナーを使ってみます。
最新版ではないものの、ブラスターなどの定番ウィルスには有効ですから。

Damage Cleanup Engine (DCE) 3.6(Build 1120)
Windows XP(Build 2600: )

Load Damage Cleanup Template (DCT) "C:\Documents and Settings\Owner\デスクトップ\auto_tsc\tsc.ptn" (version 451) [success]
WORM_MSBLAST.A[virus found]
-->delete file("C:\WINDOWS\System32\msblast.exe","","") success
TROJ_JUNKSURF.A[virus found]
-->delete folder("C:\Documents and Settings\Owner\Favorites\Adult Entertainment","","") success
WORM_NACHI.A[virus found]
-->delete file("C:\WINDOWS\System32\wins\dllhost.exe","","") success
-->delete file("C:\WINDOWS\System32\wins\svchost.exe","","") success
WORM_AGOBOT.PY[virus found]
-->delete registry data("HKEY_LOCAL_MACHINE","Software\Microsoft\Windows\CurrentVersion\Run","nvchip4.exe") success
-->delete process("C:\WINDOWS\System32\nvchip4.exe","","") success
-->delete file("C:\WINDOWS\System32\nvchip4.exe","","") success
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices","nvchip4.exe") success
WORM_NACHI[virus found]
-->delete file("C:\WINDOWS\System32\drivers\svchost.exe","","") success
WORM_AGOBOT.RI[virus found]
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","www.symantec.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","securityresponse.symantec.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","symantec.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","www.sophos.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","sophos.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","www.mcafee.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","mcafee.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","liveupdate.symantecliveupdate.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","www.viruslist.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","viruslist.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","f-secure.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","kaspersky.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","www.avp.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","avp.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","www.networkassociates.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","networkassociates.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","www.ca.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","ca.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","my-etrust.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","secure.nai.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","nai.com","") success
-->remove lines file("C:\WINDOWS\System32\drivers\etc\hosts","trendmicro.com","") success
-->delete file("C:\WINDOWS\System32\sysconf.exe","","") success
WORM_RBOT.PO[virus found]
-->delete registry data("HKEY_USERS",".DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run","wuamgrd.exe") success

Execute pattern count(1403), Virus found count(7), Virus clean count(7), Clean failed count(0)

…（￣△￣；
なんか凶悪なのがいたようですが…。

ようやくおとなしくなったところで、とにかくSP2適用です。
こちらはCD-ROMを常備していますので、それを使ってインストールです。

40分ほどかけて何とかSP2適用完了。
あとは広帯域接続で接続設定をして、SP2以降の更新の適用です。
なんと72項目もありましたが、やるしかありません。

ここまできて、ようやく何とか使える状態に…と思いきや！！！

正規のMicrosoftソフトウェア
このWindowsは正規品の確認プロセスに合格しませんでした。このコンピュータで検出されたプロダクトキーは、ブロックされているボリュームライセンスキー(VLK)です。

∑（￣□￣；
あっちゃ～、やっぱり…。

正規のXP Professional用のライセンス価格は18625円だそうです。
中～途半端やな～！！
まぁそれはいいとして。

正規の Microsoft ソフトウェア　確認が失敗に終わる一般的な事例の紹介

・修理店
なんか、リカバリCDを添付せずに修理に出すと「顧客が持ち込んだコンピュータを修理するために、技術者が非正規品の Windows を使用します。」んだそうです。
私はそんなことしませんけどね。
それにそもそも、メーカー製だと、その機種用のリカバリCDがないと動かないですからねぇ。
自作ならいざ知らず…。

・1 つの Windows 製品を複数のコンピュータで使用する
これは昔からよくある話ですね。
でもXPは、それをできないように「ライセンス認証」という仕組みを使っているんではなかったんですかね？
ライセンス認証だけでは、従来どおり使えてしまっていたんでしょうか？

・偽造ソフトウェア
こちらは利用者は完全に被害者なわけですが…。
偽札をつかまされた第三者みたいなもんですけど、それを証明する手段がない限り、救済手段がないのも確かですよね。
自己防衛しかないのがつらいところです。

・コンピュータの組み立てまたは修理を行う知人
今回はこちらですね。
知人がパソコンを持ち込んだ時点でリカバリCDを持ち帰ってしまった、って時点で、この知人が限りなくクロですよね…。

・中古コンピュータの購入
これは最近よくある話ですね。
オークションなんかでは「動作確認でWindowsをインストールしてあります」とか書いてあったり。
ライセンス認識の甘い素人が買うと、そのまま使い続けたりするわけですから、ちゃんとその辺を理解して買わなければなりませんよね。

とにかく、今回の件で、このお客さんも買い替えの際はリカバリCDなどの付属品はきちんと捨てずに保管しておいていただけることでしょう。

しかし、この状態でいつまで使い続けられるものでしょうか？
再起動してみたら、かなり強烈に警告が出てくれますし…。

で、今回の記事を書いていて気になったのは、発見されたウイルスの一つ、NVCHIP4.EXE。

ウィルス情報 Agobot.FO : 日本F-Secure株式会社

＞さらにAgobot.FOはWindowsのプロダクトIDも盗み出す機能を持ちます。

∑（￣□￣；
なんとまぁ…こっちの疑いもあったりするわけですね…。

コメント

見方によっては、ずいぶんと豪華なウィルスのラインナップではありますね(^^;
お疲れ様でした・・・

投稿： まく☆彡 | 2007/03/05 22:44:44

今では、リナックス（Fedora Core5）をメインにしているので、自分自身ウィルスに関しては殆んどノーマークのネット生活をしています。
リナックスだからと言う事で、それはどうかと思いますが、ウィンドウズの環境を思うと、ウィルスに関するストレスは本当に少ないですね。

それにしても、OSがそう言う状態でしたら、お客様、最初から正規でOEM版ウィンドウズを購入していた方が安上がりでしたね。
かける所にはお金をかけないと、、後で同等以上のコストと時間が浪費されてしまいますね。
教訓にしたいです。

投稿： だいまつ | 2007/03/07 10:45:14