ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« 「HelpMe!」のメールを開いたら…。 | トップページ | XPが再起動を繰り返す意外な要因。 »

2009年8月 1日 (土)

AhnRpta.exe、xvassdf.exeとの闘い。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

こちらはちょくちょくお呼びのかかる、近所のお得意様。

「メールが開けないんです。メモリが足りないとか何とかで」

は?
メモリが足りないって…。

たまたま時間が空いてたので、とにかくお伺いです。

現象を確認してみると…。

Oe_busy01

Outlook Express
フォルダの切り替えができませんでした。フォルダがビジー状態である可能性があります。しばらくしてから、やり直してください。

うーん…なんじゃこりゃ?
さらに、

Mail_error02

Outlook Express
メッセージのすべての部分を表示できませんでした。
Mail_error03
Outlook Express
このメッセージを開いているときにエラーが発生しました。
メモリが足りません。

…うーん、なんなんでしょうねぇ…。

-----

インターネットエクスプローラ自体は表示されます。
まぁとりあえず、こういう謎な状況の場合は、IEはアウトルックエクスプレスと一心同体なので、インターネット一時ファイルを削除してみるに限ります。
こちらのお客様のIEのバージョンは7。
XPなのでメニューバーは健在で、ツールメニューからインターネットオプションを開こうとしたら…。

Ie_notice01

制限
このコンピュータの制限により、処理は取り消されました。システム管理者に問い合わせてください。

…∑( ̄△ ̄;
な、なぬっ!!

インターネットオプションを開かせてくれません…。

コントロールパネルから開いてもだめです。
うぬぅ…こりゃまずいなぁ。

とりあえずmsconfigでヤヤコシイのが起動してないか確認です。

Msconfig01

xvassdf C:\DOCUME~1\******\LOCALS~1\Temp\xvassdf.exe

こ、コイツかっっっ!!

あとは、ヤヤコシイのが動いたままじゃないかを確認。
Ctrl + Shift + Esc でタスクマネージャを起動したら…。

Taskmgr01

…∑( ̄□ ̄;

AhnRpta.exe !!!

ってことは…USBメモリ経由ですかっっ!!

この手のウイルスの駆除は、

2009年5月22日 (金) USBメモリ感染のautorun.infウイルスの駆除方法。(mmvo.exe ierdfgh.exe revo.exe sfwypsy.exe ksahqgbi.exe r0so.exe afmain0.dll pytdfse0.dll )

以前やってますので、その手順に沿ってやればOKなんですが、問題は、USBメモリにウイルスがいるかどうかを確認しなければなりません。

単純に言えば、Ubuntuをインストールしてあるメンテ用PCを使えば何の問題もなくチェックと駆除ができるんですが…今日持ってきているメンテ用PCは、XPとウイルスバスター2008の組み合わせ。
まぁ、こっちが感染しても、駆除方法はわかっているので、背に腹はかえられません。
感染覚悟で、お客様がお持ちの5本ほどのUSBメモリを突っ込んでみた。
一応、オートラン機能はカットしてあるのですが…バッファローの書込み防止スイッチのついているタイプは、突っ込むと同時にウイルスバスターが反応。でもサンディスクのUSBメモリは、ウイルスがいたのに突っ込んでもその時は反応しませんでした。ドライブを開いて初めて反応。
どうも、USBメモリのファームウェアかドライバソフトの挙動で、ウイルス対策ソフトが反応するかどうかが違ってくるようです。
初めて突っ込んだUSBメモリの場合、ドライバをインストールして有無を言わさず認識しますから、「Shiftキーを押しながら差し込めばOK」なんていうのは一切あてになりません。
それに、表面的にオートラン機能を切っていても、100%ウイルスが起動しないわけではないようですね。
油断は禁物です。
幸いにも、このメンテ用PCでは、感染する前に駆除できたようです。
隠しファイルはちゃんと見えている状態のままですので…。

USBメモリの中には、Autorun.infがきっちり存在してました。
Cドライブのルートにも。
Autorun.infの中身を確認してみると、s9h3v.batを起動するようになってました。
(Cドライブのものは別ファイルを起動するようになっていたかと思いますが、メモを残し忘れてました)
で、実際のウイルス本体は、「jq.exe」とか「063h1.exe」とか「q8ot.exe」とか。
全て消去です。

お客様のパソコンには、ウイルスセキュリティZEROが入っていたのに感染しました。
USBメモリの挙動の差から見て、オートラン機能を切っていなかったのが要因ではないかと思われますが、発見してすぐに対処すれば、あるいは感染は防げたかもしれません。
ウイルスセキュリティZEROのログを見ると、どうやら発病してからも駆除動作はしていたようです。
しかし、感染してしまったものまでは駆除できなかったようで…。

それにしても、駆除は完了しても、インターネットオプションが開けないのは相変わらず。
コントロールパネルのアイコンを直接ダブルクリックしてもダメ。

いろいろぐぐってみたら、どうも「グループポリシーエディタ」というのを使ってみればいいらしい。
これはHome Editionには搭載されていませんが、Professional Editionには搭載されているようです。
たまたま今回のパソコンはProfessional Editionでしたので、「スタート」→「ファイル名を指定して実行(R)」から、「gpedit.msc」と入力して実行。
左側の項目選択ツリーから、「ユーザーの構成」→「管理用テンプレート」→「Windows コンポーネント」→「Internet Explorer」→「ブラウザのメニュー」と選択。
右側の項目の中にある、「[ツール]メニュー:[インターネットオプション]コマンドの使用を許可しない」をダブルクリックし、「未構成」もしくは「無効」にすればいいらしいんですが…。

Gpeditmsc_01

すでに「未構成」なので「無効」にしてみたら、

Ie_notice02

Windows Internet Explorer
Internet Explorer では、 をダウンロードできません。
このインターネットのサイトを開くことができませんでした。要求されたサイトが使用できないか、見つけることができません。後でやり直してください。
…なんじゃそら…。

再起動しないと変更が有効にならないかと思ったけど、再起動しても同じ。
先の「無効」への設定変更は、「無効」と反映されてましたので、設定自体は変わったはずです。
つまり、ここの設定が原因ではない…うーむ…他に何かあるっていうのか?

どうも事例ベースではここまでらしい。

要はIE7が壊れたということか。
アドオンだとかIE自体の設定で何とかなる範囲とは考えにくい。
というよりは、インターネットオプションが開けないので、その辺の設定をどうすることもできない。
ブラウザ設定の初期化はおろか、インターネット一時ファイルの削除すらままならない。
インターネット一時ファイルは、うまくやれば手動でも消せるかもしれませんが、うかつにやって失敗するのも問題です。

結局は、IE7の再インストールで、インターネットオプションが開けるようになりました。

このトラブルのきっかけとなった、冒頭のOEのエラーもなくなり、メールも使えるようになりました。

要するに、IE7がまともに機能していないために、OEも動作しなかった、ってことなんでしょうね。
OEのメール本文の表示は、HTML表示のエンジンをIEに依存しているはずですので、IEが壊れてメール表示ができない、というのは納得できます。

おそらく何らかの方法でどこかの設定を何とかすれば治るはずだとは思いますが、今回はこれで解決としました。
インターネットオプションが開けない以上、どうにもなりませんしね…。

しかし、ウイルスがインターネットオプションまで開けなくするなんて、思いもしませんでした…。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2009年08月01日(土) 定番トラブル, ウィルス・スパイウェア関連, ソフトウェア不具合関連(セキュリティホール), パソコントラブル, パソコン・インターネット, 日記・コラム・つぶやき, 起動しない・起動が遅い |

« 「HelpMe!」のメールを開いたら…。 | トップページ | XPが再起動を繰り返す意外な要因。 »

定番トラブル」カテゴリの記事

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

起動しない・起動が遅い」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/45849422/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: AhnRpta.exe、xvassdf.exeとの闘い。:

コメント

お疲れ様です。
USBメモリウイルス(仮名)とIE7不良の複合技…どっちもメジャーな内容でタッグを組まれるとややこしいこと、この上ないって感じですね。
近年のパソコンに対する症状が単一だけでなく複合の割合も増している感がありますので、こういったものへ即対応が出来るよう、精進したいものです。

投稿: kei | 2009/08/07 23:05:42

いつも読ませて頂いてます。
今回、こちらの記事も参考にxvassdf.exe駆除させて頂きました。
原因は子供が違法ファイル共有で仕入れたファイルとキャッシュデータから判明。
USB接続機器にも感染してたのが数台有りまして、ピンポン感染しないように、注意しながら駆除致しました。
しかし、あそこまで手の込んだ事しないでもと、驚き通り越して呆れましたわ。
子供には道具の正しい使い方と、人に迷惑をかけるなと、きつく言っておきました。
家庭内だけで済んだのが不幸中の幸いですが他人のPCに移したらと初夏なのに背筋が寒くなる思いです。

投稿: go- | 2010/06/07 17:14:52

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« 「HelpMe!」のメールを開いたら…。 | トップページ | XPが再起動を繰り返す意外な要因。 »