ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« ページの表示が途中で止まります。 | トップページ | AhnRpta.exe、xvassdf.exeとの闘い。 »

2009年7月28日 (火)

「HelpMe!」のメールを開いたら…。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

こちらは「メールを開いてから動作がおかしいんです」というお客様。

「外国人の友人から届いたメールだったんですけど、知り合いの名前が宛先にズラーッと並んで、「HelpMe!」って書いてあるメールでしたので、すっかり信用して、リンクをクリックしてから動作がおかしいんです」

…( ̄△ ̄;

な、なんですかそりゃ…。

とりあえずお伺いしましたが…なんか強烈なやられ方してました…。
ウイルス駆除はいろいろやってますが、久々の「大モノ」でしたね。

-----

お伺いして、まずは動作確認。

起動したら、

'C:\PROGRA~1\COMMON~1\ODBC\svchost.exe'が見つかりません。

'C:\PROGRA~1\COMMON~1\ODBC\svchost.exe'が見つかりません。名前を正しく入力したかどうかを確認してから、やり直してください。ファイルを検索するには、[スタート]ボタンをクリックしてから、[検索]をクリックしてください。

2009073002
デスクトップ
レジストリに指定されている'C:\PROGRA~1\COMMON~1\ODBC\svchost.exe'を読み込めないか、または実行できません。ファイルがあるか確認してください。またはレジストリの参照を削除してください。

…な、なんですかこりゃ?

「ああ、とりあえず、Spybotを起動して駆除をしたんですけど、それからこんなメッセージが出るようになって…」

…うーむ、Spybotですか…。
ま、それはそれ。

ではでは、怪しげなプロセスが動いてないか、例によって

Ctrl + Shift + Esc でタスクマネージャを起動。

……

………

あれ?

タスクマネージャ起動しないよ…。

「そうでしょ?起動しないんですよ」

…はぁ???

じゃ、レジストリエディタは…?

REGEDIT起動しないよ!!

まずいなぁ…。まずいよコレは。

じゃ、起動項目をチェックするHijackThisは…。

HijackThisも起動しないよ!!!

くっそぉ~徹底してるなぁ…。
かなりたちの悪いウイルスですねぇ…。

MSCONFIGは…何とか起動します。
怪しげなものは、ここではちょっと見当たらない。
うーん…じゃ、実行中のプロセスに何かあるはずだけど…。
タスクマネージャは起動しないし…。

ここで、とあるところから入手した、国内製の各種情報取得ツールを使ってみた。
一般の方が入手できるわけではないので、ここではツールの詳細は伏せます。
自動起動項目には、怪しげなものはないですが、実行中プロセスの項目に…。

C:\WINDOWS\system32\dllcache\w.exe

こんなヤツが。

なんじゃこりゃ???

エクスプローラで見に行ってみたが…system32内にdllcacheは見当たらない。

…∑( ̄□ ̄;

隠しファイルを表示しないようにしてあるよ!!!

表示設定を変えても元に戻ってしまう。最近のUSBメモリ感染タイプの手法と同じだ。
マ、マジですか…。
ここまで念の入っているウイルスも珍しいですねぇ…。

この現象を何とかするには、以下のレジストリキーを書き換えればいいんですが…。

● HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
   \CurrentVersion\Explorer
    \Advanced\Folder\Hidden\SHOWALL

    ここにある"CheckedValue"の値を"1"に変更。

これをしないと、隠しファイルは表示できません。

しかし…レジストリエディタが起動しないんですよねぇ…。

まぁ、ここを書き換えるだけなら方法はなくもないですが、レジストリエディタが起動できないと、他の設定項目の確認や修正ができませんから、何とか対策をしないとダメですよね。

うーん…とりあえず、ウイルスの拡散を防ぐ意味で、LANケーブルは抜いてありますから、このパソコンではネット検索はできません。
持ってきたメンテ用パソコンで、回線をお借りして検索です。

「レジストリエディタ 起動しない」などで検索です。

…うーむ、どうやら、「ファイル名を変えれば起動するかもしれない」らしい。
じゃ、REGEDIT.exeをコピーして、ファイル名を「REREGEDIT.exe」にしてみた。

…おおっ!!起動した!!!

先のレジストリキーを書き換えて、隠しファイルの表示ができるようにエクスプローラーの表示設定を変更したら…ようやくsystem32内にdllcacheが見えるように。

「w.exe」は、dllcacheフォルダ内に、隠しファイルとしていました。

とりあえず、コマンドプロンプトから、「attrib -s -h -r c:\windows\system32\dllcache\w.exe」と打ち込んで、普通のファイルに属性変更して、ファイル名を「w.ex_」と書き換えをして、起動できないようにしておきました。

再起動してみましたが、該当ファイルが復活する兆しはない。
どうやらそこまではしつこくないようです。

しかし…タスクマネージャやHijackThisが起動しないのは変わらない。
うーん…。

お客様によくよくお聞きすると、ウイルス対策ソフトはすでに@niftyの「常時安全セキュリティ24」お使いでしたが、起動しても画面がちらちらするだけでまともに動いている様子が無く、サポートに電話しても「わかりません」「リカバリを」と言われてしまったようです。
私も、「常時安全セキュリティ24」は、カスペルスキーのエンジンのウイルス対策なので、割といいほうだと思っていたんですが…。
で、仕方なく、とりあえず起動できたSpybotを使ってみたらしいのですが、何度も同じレジストリエントリを削除しているらしいのです。
ヒントになるかとログを見てみると…

Hupigon13: [SBI $D5A7DCB6] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

Hupigon13: [SBI $EFFC17D6] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe

Hupigon13: [SBI $051E0BD6] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe

Hupigon13: [SBI $8D4AFC92] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com

Hupigon13: [SBI $79919CB3] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe

Hupigon13: [SBI $AF1EC726] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe

Hupigon13: [SBI $FF9E4C29] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe

Hupigon13: [SBI $AD99BA7E] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe

Hupigon13: [SBI $E1F08249] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe

Hupigon13: [SBI $1334FF05] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe

Hupigon13: [SBI $F47D8090] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp

Hupigon13: [SBI $7E2A5068] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp

Hupigon13: [SBI $26C06D8B] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe

Hupigon13: [SBI $DA7D8D13] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe

Hupigon13: [SBI $823C5F8C] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe

Hupigon13: [SBI $DC997256] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe

Hupigon13: [SBI $563E18C3] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe

Hupigon13: [SBI $06F38970] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe

Hupigon13: [SBI $F436C642] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe

Hupigon13: [SBI $AB67D867] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe

Hupigon13: [SBI $1614C3CC] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE

Hupigon13: [SBI $8F9EDE8C] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp

Hupigon13: [SBI $033D77C9] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe

Win32.Delf.uv: [SBI $A1B0C22A] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe

Win32.Delf.uv: [SBI $B59975BE] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe

Win32.Delf.uv: [SBI $42EF03D3] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe

Win32.Delf.uv: [SBI $DFE015EB] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe

Win32.Delf.uv: [SBI $CD980924] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe

Win32.Delf.uv: [SBI $D8FE0116] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe

Win32.Delf.uv: [SBI $4BFEA70F] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe

Win32.Delf.uv: [SBI $D60E547A] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe

Win32.Delf.uv: [SBI $A511367B] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe

Win32.Delf.uv: [SBI $FACF7374] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe

Win32.Delf.uv: [SBI $AB1D3518] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe

Win32.Delf.uv: [SBI $61EAF38B] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\niu.exe

Win32.Delf.uv: [SBI $C5A4776E] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe

Win32.Delf.uv: [SBI $A78D9759] 設定 (レジストリ値, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE\Debugger

Win32.Delf.uv: [SBI $214A05D3] 設定 (レジストリ値, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.EXE\Debugger

Win32.Delf.uv: [SBI $2A0195BE] 設定 (レジストリ値, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.EXE\Debugger

Win32.Delf.uv: [SBI $C83CB234] 設定 (レジストリ値, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.EXE\Debugger

Win32.Delf.uv: [SBI $4D759A7F] 設定 (レジストリ値, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.EXE\Debugger

Win32.Delf.uv: [SBI $D4F0540A] 設定 (レジストリ値, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.EXE\Debugger

Win32.Delf.uv: [SBI $4FE40E64] 設定 (レジストリ値, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVwsc.EXE\Debugger

Win32.Delf.uv: [SBI $47DD135C] 設定 (レジストリ値, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVmonD.EXE\Debugger

Win32.Delf.uv: [SBI $95619944] 設定 (レジストリ値, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCAN32.EXE\Debugger

Win32.VB.PW: [SBI $1D067958] 設定 (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe


…( ̄△ ̄;
なんかいっぱいありますねぇ…。
しかも、「HijackThis.exe」「regedit.exe」とかありますよねぇ…。
それに、nod32とかカスペルスキーとかの関連ファイルとおぼしきものも…。

先ほどの「reregedit.exe」で該当のレジストリを見たら…どうやらこのレジストリ設定で、重要なツールの起動を阻害し、「w.exe」を起動していたようです。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

たとえばコレ↑は、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
 \CurrentVersion\Image File Execution Options\taskmgr.exe

のレジストリ。
タスクマネージャの起動で c:\windows\system32\dllcache\w.exe を呼び出している模様。
正常なパソコンには、このレジストリキー自体が存在しないので、削除。

まともにタスクマネージャが起動できるようになりました…。

レジストリ全体を、「dllcache\w.exe」で検索をすると…出るわ出るわ、先のSpybotのログ以上にいろいろと。
とにかく、「w.exe」を呼び出しているレジストリは全て削除です。
40個近くありましたね…。

中には、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
 \CurrentVersion\policies\Explorer

エクスプローラ起動で呼び出されていたなんて…こりゃセーフモードでも同じだったってことですね。

さらに調べてみると…。

Report: Suspicious.MH690, New Malware.ex, Mal/Emogen-E, Virus.Win32.OnLineGames.AHK :ThreatExpert

これがおそらく該当するような…。
山ほど追加されているレジストリキーも、かなりの部分で同じです。
隠しファイル表示設定の固定と、エクスプローラで「w.exe」呼び出しも同じ。
でも、「w.exe」のファイルサイズが微妙に違うので、亜種なのかもしれません。

ということで、Spybotを走らせてゴミ掃除、まともに起動するようになって最新版に更新した「常時安全セキュリティ24」でスキャンをかけて、とりあえず何もいないことが確認できました。

で、再起動したら…また冒頭のエラーメッセージが。

こちらは、該当のファイルがすでに存在しないことと、そんなところにsvchost.exeは存在しないはずであるから、すでにウイルスとしてソフトが駆除済みと判断。
レジストリを「C:\PROGRA~1\COMMON~1\ODBC\svchost.exe」で検索して、該当の設定を削除したところ、エラーメッセージは出なくなりました。
これでようやく完了です。

「それにしてもウイルス対策を止めたりタスクマネージャが使えなくなったりと怖いですねぇ。私のメールアドレスが出回ってしまっているってことでしょうか…もうメールは削除してしまったのでわかりませんが、とにかく覚えのある知り合いには知らせてみます」

その方がいいですね。
しかし、メールをばら撒くウイルスも、まだまだ健在ってところなのでしょうか…。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2009年07月28日(火) 定番トラブル, ウィルス・スパイウェア関連, ソフトウェア不具合関連(セキュリティホール), パソコントラブル, パソコン・インターネット, 企業(メーカー・プロバイダ等)の姿勢, 日記・コラム・つぶやき |

« ページの表示が途中で止まります。 | トップページ | AhnRpta.exe、xvassdf.exeとの闘い。 »

定番トラブル」カテゴリの記事

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

企業(メーカー・プロバイダ等)の姿勢」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/45809004/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: 「HelpMe!」のメールを開いたら…。:

コメント

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« ページの表示が途中で止まります。 | トップページ | AhnRpta.exe、xvassdf.exeとの闘い。 »