ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« DVD-RAMに書き込みができない。 | トップページ | 無線プリントサーバーはやっぱり難しい。 その2 »

2010年1月15日 (金)

siszyd32.exeとの闘い。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

こちらは、起動時に見慣れないツールが起動する、というお客様。
WindowsXPのパソコンです。

最初は、また偽アンチウイルスソフトにやられたか…アンインストールすればいいだけじゃない?と思ってましたが…今回のは久々に手ごわいヤツでした。

-----

お伺いして、まずは現象確認。

…あぁ~、なんか偽アンチウイルスソフトっぽい、かなりそれクサイ画面が出てきますが…。

やたらと反応が鈍い。

この手のはスタートボタンからアンインストーラーを探すとか、コントロールパネルの「プログラムの追加と削除」からアンインストールかければいいと考えてたんですが…スタートメニューにそれらしきものはありませんし、なかなか開きません。
また「プログラムの追加と削除」もなかなか開きません。

こりゃやばいなぁ…。
とにかく、何か一つ開くにも時間がかかる始末ですので、まずはそこから何とかせねば。

とりあえずCtrl+Shift+Escでタスクマネージャを起動。

…svchost.exeが100%近く食ってます…そりゃ遅いわけだ。

いつもならその100%消費しているプロセスを終了してみたりするんですが、svchost.exeの場合、悪性ソフトがコレを呼び出して動いている場合もあり、コレ自身が悪性ソフトであるとは限らないんですよね。
それに、過去にあったブラスターウイルスのように、強制終了を喰らってカウントダウン後に再起動、といった動きをする場合もあります。
とにかく100%では話にならないので、ここは一発、思い切ってsvchost.exeを終了させてみましょう。

…やっぱりカウントダウンです…。

こういう場合は、スタートメニューの「ファイル名を指定して実行」から「shutdown -a」と打ち込めば、とりあえずカウントダウンから開放されて、終了をキャンセルできます。

さてここからあれこれ対処をするわけですが…。

まずはmsconfigを実行して、怪しい起動項目をチェック。
…いましたいました。

siszyd32.exe

っちゅーヤツがスタートアップフォルダに。

具体的な場所は、

C:\Documents and Settings\(ユーザー名)\スタート メニュー\プログラム\スタートアップ\siszyd32.exe

ですね。
なんだ、その程度ならそこのファイルを削除すれば…と思ったら!!

そのフォルダにはそのファイルの存在が確認できません…。

当然ながら、フォルダオプションで、「すべてのファイルとフォルダを表示する」はon、「保護されたオペレーティングシステム ファイルを表示しない」はoffなので、普通ならファイルが見えないはずはない。
でも、フォルダを新規作成して、名前を「siszyd32.exe」とすると…作れない。
同じ名前のファイルかフォルダが存在する、と言うのだ。
うーむ…なんで???

とりあえず、コマンドプロンプトでスタートアップフォルダへ移動して確認しましょう。
コマンドプロンプトを起動し、「cd 」(シー・ディー・半角スペース)と打って、「C:\Documents and Settings\(ユーザー名)\スタート メニュー\プログラム\スタートアップ」の文字列をコピーしてコマンドプロンプトのウィンドウで右クリックして貼り付けれは早いです。
dirコマンドを打ち込みましたが、やはり出てきません…。

そこで、以下のコマンドを打ち込む。

attrib -s -h -r siszyd32.exe

たいていの場合は、これであぶり出されます。
案の定、dirコマンドでは出てくるようになりました。

しかし…別窓のエクスプローラーでは、スタートアップフォルダを見ても…表示されてません。
うーむ、どういうことだ?

とりあえず、別に用意したメンテ用PCで検索です。
一発でヒットしたのは、

新たなヴィルス Trojan Horse - siszyd32.exe :アフィリエイトで稼ぐためのサーバ構築スキル

これ。
いや、まさしくそのまんまですね…。

ファイル名も挙動もほぼ同じ。こりゃ削除した方がよさそうですね。
コマンドプロンプトでは現れるので、delコマンドで削除です。

del siszyd32.exe

…削除できました。
ファイルが存在しなくなれば、msconfigのスタートアップフォルダの記述は放っておきましょう。勝手に消えます。

他にも、先の記事と同じで、起動項目のレジストリの一つ、

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

に、

"sysgif32"="C:\WINDOWS\TEMP\~TMD.tmp"

がありましたので、こちらのレジストリキーとファイルを削除。

いろいろ探っていると、どうやら他にも、AntivirusPro 2010というのにもやられていた形跡があります。

TROJ_FAKEAV.BLV - 詳細 :トレンドマイクロ ウイルスデータベース

AntivirusPro_2010というフォルダが残っていたりしてましたし、

HKEY_CURRENT_USER\Control Panel\don't load

というレジストリキーも残ってました。
このレジストリキーで、セキュリティセンターなどがコントロールパネルに現れないようにされていたようです。
なんと凶悪な…。

一応、このパソコンには、フレッツ光プレミアム付属の「セキュリティ対策ツール」がインストールされていたんですが、それだけでは防ぎきれなかったようですね…。

これで再起動してみたら、とりあえず現象は出なくなりました。
スタートアップ項目も怪しいものはなくなりましたので、とりあえずは一段落です。

そして、駆除後には、必ずやっておくべきなのは、Adobe関連のアップデート。

Adobeのサイトにアクセスし、FlashPlayerのアップデートと、Readerのアップデートを実施しておきます。

あとはJavaがアップデートを促すポップアップを出すのでアップデート。

その他は…先ほどの参考記事の続きにもあるとおりで、

セキュリティホールを塞げ! Trojan Horse - siszyd32.exe :アフィリエイトで稼ぐためのサーバ構築スキル

QuickTimeのアップデートもするべきですが、今回のパソコンには入ってなかったのでパスです。

ただ、今回は別のマルウェア(AntiVirus2010)の痕跡もありましたので、とりあえずバックアップをして、リカバリをすることをお勧めしておきました。
正直なところ、最近のマルウェアは、文字通り「トロイの木馬」で、本当に単体の感染では済まない場合がかなり多いです。
今回は、大事なデータがかなりたくさんあったので、いきなりのリカバリではダメージが大きいので、とにかく一時的にでも正常に使えるようにして、その上でバックアップを取り、リカバリで完全に初期状態に戻すのが最も確実だといえます。

しかし、近年はハードディスク内にリカバリ領域があるものがほとんどですので、

安直に「リカバリさえすれば確実に元に戻る!」とは言い切れなくなっています。

Autorun(オートラン)タイプは、全てのドライブにファイルを投げ込みますし、それ以外にも全ドライブに感染を広げるタイプはいくつもあり、リカバリデータやリカバリシステムそのものに感染がないとは言い切れないからです。
また、CD/DVDからのリカバリだとしても、きちんとハードディスクをフォーマットする方法を取らずにいると、復活の危険性もあります。
ただ単に「リカバリ」だけでは治らないこともある、ということは頭の片隅に置いておくべきだと思います。

それに、単にリカバリだけではなく、最新のサービスパックにアップデートすることも重要です。

2009年1月24日 (土) 安直なリカバリのツケは高かった。

こんな具合に、最新のサービスパックを当てずにネット接続をすると、ひどい目に会うことがあります。

リカバリしただけで安心していては絶対にダメです。

Windowsなら、最新のサービスパックのCD-Rを作っておいて、それをオフラインで適用しておくことをお勧めします。

マルウェア感染でメーカーや販売店に修理を依頼すると、単純にリカバリ=出荷時状態に戻されただけで帰ってきます。
特にXPでSP2以前の機種などは、丸裸の状態で帰ってくるにもかかわらず、メーカーはハードディスク破損の注意書きは付けてくるものの、サービスパック適用の重要性にはほとんど触れていません(触れていてもほんのちょっとだけ)。
先の記事のように、PPPoE接続環境しかないご家庭だと、ネット接続をしただけで、また修理工場行きです。

古いパソコンの修理は、メーカーなどに出すとこういうことになりますので、本当に注意が必要です。
古いパソコンがマルウェア感染や故障した場合、こういうことも考慮に入れないと、高い修理費を払ったのに、戻ってきたら即再感染…ということもあるので、よくよく気をつけなければなりません。

ウチのポリシーとしては、そういう部分のケアをする、いわば「パソコンとお客様の間の橋渡し」的な役割を担いたい、と考えて仕事してます。
ウチの近所でない方も、パソコンの修理をする際には、できれば、ウチのように、訪問設定を基本としている業者を近所で探したほうがいいと思います。

タウンページには、パソコンの修理で一つのカテゴリがありますので、ぜひお探しになってみてください。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2010年01月15日(金) 定番トラブル, ウィルス・スパイウェア関連, ソフトウェア不具合関連(セキュリティホール), ネットにつながらない・遅い, パソコントラブル, パソコン・インターネット, フリーズ・ブルースクリーン・再起動・電源切れる, 基本操作・便利技関連, 日記・コラム・つぶやき, 起動しない・起動が遅い |

« DVD-RAMに書き込みができない。 | トップページ | 無線プリントサーバーはやっぱり難しい。 その2 »

定番トラブル」カテゴリの記事

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事

ネットにつながらない・遅い」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

フリーズ・ブルースクリーン・再起動・電源切れる」カテゴリの記事

基本操作・便利技関連」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

起動しない・起動が遅い」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/47358157/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: siszyd32.exeとの闘い。:

コメント

お疲れ様です。
私の方で同じ現象を確認した時は、パソコンが自作系でマザーボードのチップセットがSISというメーカーの物を使っていて、そのドライバか何かと勘違いしてしまうという、ややこしいものでした。
チップがインテルとかのを使っていればすぐに怪しいと踏めたのに…w
ある意味、良い教訓というか勉強になりました。

投稿: kei | 2010/01/23 2:41:22

pts.でございます。Twitterでもありがとうございます。
こいつ困りますよね。どういうわけだかセーフモードで起動すると簡単に現れるので削除は簡単なのですが、『通常起動すると見えなくする何か』が立ち上げってしまっているのかと思うと気持ち悪いので現状ではリカバリをお勧めしています。ウイルス対策ソフトでの対応ももう少しだとは思いますが・・・。

投稿: pts. | 2010/01/23 7:56:49

初めまして。某企業で似たような業務に携わっているLukeと申します。
いつも楽しくブログを読ませていただいてます。

先日私もsiszyd32.exeと格闘したのですが、私の場合はattribコマンドでシステムファイル属性を解除した後でも「アクセスできません」のエラー表示でどうしても消せませんでした。また、msconfigのスタートアップ項目を解除しても再起動するとチェックが自動的に復活し、siszyd32.exeを強制的に読み込ませる設定になっていました。

とりあえずProcessExplorerを使用してsvchostプロセス内からsiszyd32.exeをfixし、renコマンドで拡張子をテキストファイルにリネーム後に再起動で無効化に成功しました。

無効化前にsiszyd32.exeを別の場所にコピー(検体取得)していたため判明したのですが、どうやらsiszyd32.exeが動いている間はGUIでこのファイルを認識できないようにしているようです。無効化前はコピー先でも表示されませんでしたが、無効化後は表示されるようになりました。

また、感染元によってはsiszyd32.exeだけでなくwwwpos32.exeというのを連れてくるケースがあるようです。

最近ドライブバイダウンロードの手口が流行していますので、この手の案件はまだまだ無くなりそうにないですね……


なお、dirコマンドは/aオプションを付けて実行すれば属性解除前でも一覧表示可能です。ご存知でしたらすみません。

投稿: Luke | 2010/01/23 12:36:24

>しかし、近年はハードディスク内にリカバリ領域があるものがほとんどですので、安直に「リカバリさえすれば確実に元に戻る!」とは言い切れなくなっています。

リカバリーメディアは省略しないで頂きたいです。
HDDがクラッシュしても失われず、感染もしない。うまくアピールすればウリになりますよ。

投稿: こた | 2010/01/24 11:25:28

Adobe関連のアップデートに関して、
先日ちょっとびっくりした事と、暇つぶしで見つけた情報を・・・
(すでにご存知かもしれませんが)

■びっくりした事
お遊び用PCにインストールしていた無料セキュリティ
「Kingsoft Internet Security U SP1」が、「脆弱性診断」なるスキャンを開始し、
WindowsUpdateの未適用チェックだけかと思いきや、
「Adobe ReaderをUpdateしなはれや~」と、のMsgを吐き出した事。
(残念ながら、Msgにしたがって「対処」だか「修復」だかをクリックしても、
Updateは失敗に終わり、手動で削除、再インストールが必要になりましたが・・・)

■暇つぶしで見つけた情報
利用しているソフトウェア製品のバージョン確認を支援「MyJVN バージョンチェッカ」
URL:http://jvndb.jvn.jp/apis/myjvn/#VCCHECK
ほんとに役にたつのかなぁ・・・

投稿: ゆうなのだんな | 2010/01/27 16:25:36

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« DVD-RAMに書き込みができない。 | トップページ | 無線プリントサーバーはやっぱり難しい。 その2 »