ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« メールは使えるのにホームページが見れません。 | トップページ | メモリの追加。 »

2007年5月16日 (水)

ワンクリウェアの恐怖。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

こちらは自社案件。

「起動時に請求画面が出て消えないんですけど…何とかなりませんかね?」

…うーむ。
こういうのってあんまり気乗りはしないのですが…。
どこのモノかをお聞きしてみたら、「Platinum Movie」とのこと。調べてみたら、

ネット詐欺相談室 - 詐欺・悪質サイトデータベース : ワンクリック詐欺 : Platinum Movie

ということで、ワンクリック詐欺らしいので駆除しましょう。
お客さんにお話を聞いていると、いろいろ検索して、あれこれツールを使ったりしてみたけれどぜんぜん外れないので、検索で見つけた私のところに依頼したようです。

パソコントラブル出張修理・サポート日記: 請求画面が消えません。

こんな具合に、以前も似たようなのを駆除しましたから、それを見て連絡いただいたそうです。
こういうのは、いくらでも新手が出るもんですねぇ。

とにかくお伺いしかありません。

-----

お伺いして、早速PCを起動です。

Platinum_movie01

…( ̄△ ̄;
時間がカウントダウンされてるところが実にいい感じですね…。

タスクマネージャから見るに、実行ファイルはコレですね。

Platinum_movie02

止めるのは簡単でしょうけど、以前のモノのように起動を止めるだけでいいならいいんですが…。
とにかく調べてみましょう。

そして、駆除作業をしていて、意外なことに気が付きました。

-----

まずは定番のHijackThisから。

Logfile of HijackThis v1.98.2 Scan saved at 15:44:28, on 2007/05/16 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O4 - HKLM\..\Run: [www.plmv.net] C:\WINDOWS\system32\2052\55380-OEM-0011903-00115-1\PlatinumMovie[1].bat
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe

うーむ、XPでSP1はまずいでしょ…。
まぁそれはいいとして、このF2のエントリーは…!!!

パソコントラブル出張修理・サポート日記: 勝手にログオフします。

こっちでもあった、ログオンしてもすぐにログオフという現象の原因となったエントリーです。
今回の場合は、C:\WINDOWS\System32\ntos.exeなんでしょうけど、これをうかつに削除したりすると、

またこの厄介な現象に見舞われる可能性があります。

おそらく、最近よくあるこの現象の引き金は、この類のものを手動で、あるいはウイルス対策ソフトがうかつに削除してしまったせいなんじゃないか?と、ピンと来ました。
本当にそうかどうかはわかりませんが、ここはひとつ、慎重にいきましょう…。

まずはこのntos.exeでぐぐってみました。

TSPY_AGENT.POA - 詳 細 :トレンドマイクロ セキュリティ情報

・インストール:
 この不正プログラムは、通常他の不正プログラムにより作成されるか、あるいはインターネットからダウンロードされてコンピュータへ侵入します。

 実行されると、不正プログラムは自身のコピーを "NTOS.EXE" というファイル名で<Windowsシステムフォルダ>※内に作成します。

・ファイルを作成:
 不正プログラムは "<Windowsシステムフォルダ>※\wsnpoem" 内に以下の無害なファイルを作成します。

  • audio.dll - 感染コンピュータで収集した情報を保存するファイル
  • video.dll - 収集した情報を送信したWebサイトのURLを記録したファイル

・情報漏洩:
 不正プログラムはユーザのインターネット閲覧状況を監視し、情報収集を行います。不正プログラムは、収集した情報をPOST HTTPメゾットで以下のWebサイトへ送信します。
  • 81.95.<省略>.244/911/s.php
( ̄□ ̄;
なにげにスパイウェアでもあったわけですね…。
まぁ、メールアドレスや個人情報じゃないだけマシでしょうかね…。

ということで、

TSPY_AGENT.POA - 対応方法

こちらにしたがって手動削除です。
また開腹コンソール…ちがった、回復コンソールです。
これは今回のようなメーカー製のノートパソコンでは、付属品のみでは無理です。
手持ちはSP2のXPのCD-ROMしかありません。
バージョンが合いませんが、やってみましょう。

お、うまくAdmininsratorのログインまでできました!
では、手順どおりにファイルを削除…って、「アクセスが拒否されました」…なんでやねん。
じゃあよくやる手でrenコマンドでファイル名の書き換えは…できました。なんじゃそら?
ということで、削除せずにファイル名の書き換えで対処です。
再起動後に、手順書にあるレジストリの自動起動設定を削除し、再起動。

手順書どおり再起動…やっぱり請求書は表示されます。
手順書では、先に出した請求書表示用実行ファイルの起動項目は削除してませんからねぇ。
こちらはHijackThisでFIXして、やっと起動しなくなりました。
あとは実行ファイルの削除です。
手順書ではウイルスバスターで駆除せよと出てますが、ウイルスバスターは入ってません(汗)ので、手順書で出てきた起動ファイルと、先に示した請求書表示用実行ファイルを手動削除。
これで何とかOKです。

今回のパソコンは、メモリ実装256MBしかないのと、ハードディスクが30GB程度で空きが4GB程度しかないのと、CPUがAMD製とのことで、SP2化はかなり慎重に行なわないと、えらい目に遭います。
少なくともメモリ増設をしないと環境の改善は難しいこと、SP2化しておかないといろいろ危ないということをご案内して退出です。

しかしまぁ、スパイウェアやアドウェアのたぐいって、本当にガンガン進化しますねぇ。
毎回違うのを見かけます…うーむ。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2007年05月16日(水) 定番トラブル, ウィルス・スパイウェア関連, パソコントラブル, パソコン・インターネット, フリーズ・ブルースクリーン・再起動・電源切れる, 企業(メーカー・プロバイダ等)の姿勢, 日記・コラム・つぶやき |

« メールは使えるのにホームページが見れません。 | トップページ | メモリの追加。 »

定番トラブル」カテゴリの記事

ウィルス・スパイウェア関連」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

フリーズ・ブルースクリーン・再起動・電源切れる」カテゴリの記事

企業(メーカー・プロバイダ等)の姿勢」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/15095559/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: ワンクリウェアの恐怖。:

コメント

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« メールは使えるのにホームページが見れません。 | トップページ | メモリの追加。 »