ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« PM-800Cの説明書。 | トップページ | EPSONが踏んだ地雷。 »

2009年12月11日 (金)

あなどれない、「悪意のあるソフトウェアの削除ツール」。(Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。の対処をした後は…。その2)

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

例によって、Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。
相も変わらず、このトラブルの依頼はなくなりません。

基本的な対処は、

2009年11月19日 (木) Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。はNortonが入っていても…。

で書いた通りですので、腕に自信のある方・VistaのDVDをお持ちの方は、ぜひチャレンジを。

自信のない方は、ウチのサイトpcdoc.jpをごらんの上、ご連絡ください。
全国からの配送での受付もおこなっております。

はてさて、今回のご依頼は、その配送でのご依頼での話。

-----

電話でとりあえずの問診をした限りでは、

  • 普通にあちこち普通のサイトをうろついていた
  • 突然フリーズして何も操作できなくなった
  • 電源ボタンの長押しで強制終了
  • 起動してみたら…真っ黒画面に矢印のみ
という、もう典型的な症状です。

おそらく例のDaonolだかGENOだかgumblarだかのウイルスでほぼ確定ですが、見てみるまでは断言はできないので、一応、

  • そのウイルスでない可能性もあるのでリカバリディスクも添付していただきたい
  • リカバリでしか対処できない場合は、元の環境は復元できない
  • 必要なデータがある場合は、その場所などを明記して、USBメモリなどを添付していただきたい
といった「お約束」をお伝えしました。
でも、最近の機種は、リカバリディスクが添付されていない場合がかなり多く、お客様もそれが必要になるなどとは夢にも思わないので作っておられない場合がほとんどです。

まぁ、リカバリになってしまうような事態にならない事を祈るばかりで送っていただくことがほとんどです。

物が届いて、現象を確認。

…Windowsロゴの後、画面は真っ暗、マウスの矢印が出ているだけ。

もうこの現象、吐くほど見てます…。
でも、例のウイルスが原因とは限らないので、油断は禁物です。

とりあえずは先に書いた記事のやり方でいいわけですが、最後のコマンド「reg delete」を打ち込んでがっくり、というのも嫌なので、先にホントにこのDaonolなのかどうかをチェックするやり方を見つけたので書いておきます。

コマンド・プロンプトでレジストリを操作する :@IT CORE > Windows Server Insider > Windows TIPS

コマンドプロンプトでの REG コマンドの解説です。

ということで、例のレジストリに、感染による改竄があったかどうかは、3つ目の delete コマンドを使う前に、

  • reg□query□"HKLM\infected\Microsoft\Windows□NT\CurrentVersion\
    Drivers32"
  • ※ コマンド内の □ は半角スペースです。
      行が長いのでコマンドは折り返してあります。
このコマンドで確認できます。
実行結果は…。
HKEY_LOCAL_MACHINE\infected\Microsoft\Windows NT\CurrentVersion\Drivers32
midimapper REG_SZ midimap.dll
msacm.imaadpcm REG_SZ imaadp32.acm
     ~中略~
aux1 REG_SZ wdmaud.drv
wave2 REG_SZ wdmaud.drv
midi2 REG_SZ wdmaud.drv
mixer2 REG_SZ wdmaud.drv
aux2 REG_SZ wdmaud.drv
wave3 REG_SZ wdmaud.drv
midi3 REG_SZ wdmaud.drv
mixer3 REG_SZ wdmaud.drv
aux3 REG_SZ wdmaud.drv
vidc.yv12 REG_SZ yv12vfw.dll
MSVideo8 REG_SZ VfWWDM32.dll
midi9 REG_SZ C:\DOCUME~1\Owner\LOCALS~1\Temp\gugjp.old 0yAAAAAAAA

HKEY_LOCAL_MACHINE\infected\Microsoft\Windows NT\CurrentVersion\Drivers32\Terminal Server

…てな具合。これは一例。
赤く着色した行が、例のDaonolウイルスによる改竄レジストリエントリ。
ファイルの場所を示していて、今回の例では「gugjp.old」という、ユーザーフォルダのLocal Setingsフォルダ内Tempフォルダに勝手に置かれたファイルを参照しようとしている。
この行を削除するのが、
  • reg□delete□"HKLM\infected\Microsoft\Windows□NT\CurrentVersion\
    Drivers32"□/v□midi9□/f
このコマンド。
単純にそれだけで復旧してしまう。
起動不良のメカニズム自体はコレだけのもの。
改竄レジストリエントリを削除したら、
  • 原因となる該当ファイルを削除
  • インターネットオプションでインターネット一時ファイルを削除
  • インターネットオプションでインターネット一時ファイルの容量を最小限に(100MB以下、最近ではデフォルトで50MBになっている場合もあるので、通常利用では50MBで充分)
といった処置をして、あとは
  • ウイルス対策ソフトがあればウイルスチェック
  • AdobeReaderとAdobeFlashPlayerの更新
  • WindowsUpdateもしくはMicrosoftUpdateを実施
でOK…なんですが。

今回のお客様のパソコンには、マカフィーの最新版がインストール済みでした。
期限も残っていて、最新版の取得もできますので、とりあえずこちらで念入りにスキャンをかけてみました。
原因となるファイルはいいとして、他にいないかどうかをチェックしてから、インターネット一時ファイルを削除するようにしましょう。

…何の検出もなく、正常終了です。

…うーむむむ…ホントにそうなんですかねぇ。

ということで、MicrosoftUpdateをかけてみたら。

悪意のあるソフトウェアの削除ツール 2009年12月

…はにゃ?
なんか削除したみたいです…。

スキャン結果の詳細を表示してくれるみたいなのでクリック。

Trojan:Win32/Waledac.gen!A 削除済み

Trojan:Win32/Waledac.gen!A 削除済み

…だそうです…ひえ~!

改めてインターネット一時ファイルの履歴を見てみると…なんか、IPアドレス表記の一時ファイルがいっぱい残ってます…。
とりあえず、そこにあったIPアドレスを列挙しておきます。

61.111.9.100:88/crossdomain.xml
66.58.185.129
72.229.190.1
77.76.148.25
80.80.134.47
84.42.150.123
87.97.201.183
87.97.242.216
134.155.241.183
134.155.241.184
134.155.241.185
134.155.241.188
134.155.241.190
134.155.241.192
134.155.241.193
147.83.3.67
193.24.242.120
213.149.130.226
217.197.61.128

すべて外国のIPアドレスで、韓国・ブルガリア・チェコなどです。
怪しい…怪しすぎる。

とにかく、インターネット一時ファイルは削除です。

調べた範囲では、おそらく「悪意のあるソフトウェアの削除ツール 2009年12月」が削除したコレは、いわゆるGENOウイルスではないようですが、無関連だとは思えません。
まぁなにしろ、文字通りの「トロイの木馬」なら、何があってもおかしくないわけで。
どっちが先かはわかりませんが、呼び込んだ可能性は否定できません。

先ほど reg query で見つけたファイルは、どうしたわけか2009/3/21とか、やたらと古い日付(これは他の感染例でも同様)なので、このファイルから直接の感染日は特定できませんし。

こういうパソコンが持ち込まれた場合、一応、インターネット一時ファイルに残っている履歴データにあるサイトアクセス履歴はある程度チェックはしているんですが、なかなか感染サイトの特定に至ったことがないのが不思議なところ。

まぁ、起動不良の改善と、入られる要因となったAdobeReaderとFlashPlayerの更新は完了してますので、今回の作業はここまで。
お客様には、感染があった旨をお伝えし、起動はできるようになって元通りファイルへのアクセスはできるはずということと、複合感染があったのでできればリカバリが望ましい、ということをお伝えして、入金確認後返送して完了です。

-----

私の処理したパソコンに共通して言えるのは、

AdobeReaderのバージョンが6とか7とかの古いもののままだったこと。

普通の人の感覚からすれば、PDFを開く書類が最新のバージョンである必要はほとんどないのが現状。
逆に、最新版でなければ開けないようだと困るのも事実。
それだけに、最新版へのアップデートが啓蒙しにくいのは確か。

FlashPlayerは、自動的にアップデートのお知らせが出てきたりしますが、AdobeReaderは、起動しない限り古いかどうかはなかなかわかりづらいので、あまり使わない人ならなおさらです。

この辺がWindows側で何とかできるようにならない限り、このウイルスは、なかなか根絶できないでしょうね…。
それが「悪意のあるソフトウェアの削除ツール」なら、まだいいんですが、月一ですので、なかなか…。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2009年12月11日(金) 定番トラブル, ウィルス・スパイウェア関連, ソフトウェア不具合関連(セキュリティホール), パソコントラブル, パソコン・インターネット, 企業(メーカー・プロバイダ等)の姿勢, 基本操作・便利技関連, 日記・コラム・つぶやき, 起動しない・起動が遅い |

« PM-800Cの説明書。 | トップページ | EPSONが踏んだ地雷。 »

定番トラブル」カテゴリの記事

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

企業(メーカー・プロバイダ等)の姿勢」カテゴリの記事

基本操作・便利技関連」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

起動しない・起動が遅い」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/47126038/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: あなどれない、「悪意のあるソフトウェアの削除ツール」。(Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。の対処をした後は…。その2):

コメント

いつも楽しく拝見しております。

同業者ですが、真っ黒画面のポインターだけ案件がうちにも舞い込んでまいりました。

こちらのblogを参考にさせていただいて、瞬時に解決できました。
これからも応援しています。頑張ってください。

投稿: ビビット | 2009/12/31 12:30:56

いつも楽しみにしてみています。

意外とAdobeReaderやAdobeFlashPlayerがアップデートしていない人が多いような気がします。
Adobe製品の脆弱性がけっこうあってアップデートしないでウイルス感染のパターンが多いような気がします
自動アップデートもありますがFlashPlayerの場合使ってるを知らない、わからない場合でアップデートしない人もいるのではないでしょうか?

投稿: 槍 | 2010/01/01 7:20:20

こんにちは。

釈迦に説法だとは思いますが、最近のこの系統のウイルスは Java 経由でも感染します。
特に Java は Update 出来ない人が多かったりしてやっかいです。
(Java は Update すると互換性がなくなる?場合が多いようで、指定バージョンでしか動かない場合があるため)

AdobeRead の最新版を Windows でコントロールするのは難しいでしょうね…

投稿: でとりと | 2010/01/01 17:24:30

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« PM-800Cの説明書。 | トップページ | EPSONが踏んだ地雷。 »