ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« モニタを換えても映りません。 | トップページ | 光にしては遅い。 »

2010年4月25日 (日)

Total XP Securityとの闘い。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

こちらは、「『Total XP Security』というのが出てくるんです…とりあえず途中までやってみたんですが…」とのお客様。
うーん、途中までって…そりゃちょっと…。

お聞きすると、一応ご自身で調べて対処しようとしたらしいのですが、途中でレジストリをいじったりと危険なニオイを感じてそこで止めたらしいのです。

正直なところ、変に手を入れたのなら、最悪はリカバリしかないんですが…。

「データのバックアップとかもできてませんし、なんとかリカバリせずにがんばってもらえないでしょうか」

…ま、まぁ見るだけ見させてもらいますけどねぇ。

-----

とりあえず起動してみたら、

System security ALERT!

System security ALERT!

って…。
いきなりキッツイのが出ますねぇ。

すぐに右下にもこういうのが。
Security hole detected!

Security hole detected!

とか…。

Security breach!

Security breach!
Beware! Spyware infection was found. Your system security is at risk. Private information may get stolen, and your PC activity may get monitored.Click for an anti-spyware scan.

とか…。
怪しさ大爆発ですねぇ。

とりあえずIEを起動してみたら、

Total XP Security has blocked a program from accessing the internet

Total XP Security Firewall Alert
Total XP Security has blocked a program from accessing the internet

Internet Explorer is infected with Trojan-BNK.Win32.Keylogger.gen

…いやぁ~、メッセージが全て英語という時点ですでにアウトですね。

「そうですよ、こんなソフト入れた覚えがないのに突然なんです」

で、開いたIEでどこかを見ようとすると、

Internet Explorer alert. Visiting this site may pose a security threat to your system!

Internet Explorer alert. Visiting this site may pose a security threat to your system!

どこをクリックしても同じ。
いったんIEを閉じたらこれしか出ない。

…ダメだこりゃ。

メンテ用PCで情報を検索。
「Total XP Security」で検索したら、一発で出たのはコレ。

Total XP Securityというウィルス(?)に感染してしまったようなのですが :Yahoo!知恵袋

「ああ、コレコレ。これです。これを見て対処しようとしたんですが」

ここのレジストリ修復までをやったらしい。
とりあえず、引用しておきます。
※ここはレジストリをいじる部分であり、不用意に実施すると、起動もできなくなる可能性があります。この部分のみならず、実行は自己責任で。

Step 1. *.exeが、実行出来るように修復:

*Method 1
スタートメニュー→ファイル名を指定して実行をクリック
(もしくは、 windowsロゴキー + R)
notepad と入力 Enter →メモ帳が起動します。

下記テキスト(---は含まず)をnotepad(メモ帳)に、コピー&貼り付け。
fix.reg としてデスクトップに保存。

----------
Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Classes\.exe]
[-HKEY_CURRENT_USER\Software\Classes\secfile]
[-HKEY_CLASSES_ROOT\secfile]
[-HKEY_CLASSES_ROOT\.exe\shell\open\command]

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"
----------

fix.reg をダブルクリック(または、右クリック→結合)→はい(Y)
Windowsを再起動。


*Method 2
Method 1同様、notepad(メモ帳)を起動。
下記テキスト(---は含まず)をnotepad(メモ帳)に、コピー&貼り付け。
fix.inf としてデスクトップに保存。

----------
[Version]
Signature="$Chicago$"
Provider=Myantispyware.com

[DefaultInstall]
DelReg=regsec
AddReg=regsec1

[regsec]
HKCU, Software\Classes\.exe
HKCU, Software\Classes\secfile
HKCR, secfile
HKCR, .exe\shell\open\command

[regsec1]
HKCR, exefile\shell\open\command,,,"""%1"" %*"
HKCR, .exe,,,"exefile"
HKCR, .exe,"Content Type",,"application/x-msdownload"
----------
fix.inf を、右クリック→インストール
Windowsを再起動。


※繰り返しますが、ここはレジストリをいじる部分であり、不用意に実施すると、起動もできなくなる可能性があります。この部分のみならず、実行は自己責任で。

うーむ、見たところ、妙なことはやってなさげ。
もう少し突っ込んで探してみると、

UPS(アメリカの郵便を扱う会社)から添付メールがヤフーメールの普通の受信ボックスにきて :Yahoo!知恵袋

ここはマルウェアの名前は違うものの、全く同じ対処。

どうもコイツにやられると、

  • 鬱陶しい嘘メッセージを連発する
  • IEでのネット閲覧が不可能になる
  • 実行形式ファイル(exeファイル)が実行できなくなる
という、ほぼパソコンが使い物にならない状態に陥れられるようである。

記事を読んでタスクマネージャでプロセスを探ってみると…、いたよいたよ、いましたよ、ave.exeさんが。
で、この時点でタスクマネージャから殺してみましたが、すぐに復活してしまうので、とりあえず手順どおりに対処するとしましょう。

とりあえず、今回はお客様にてレジストリ部分の対処がすんでいるので、exeファイルは使える状態。
あとは「Malwarebytes' Anti-Malware(MBAM)」を持ってくればいいのですが…。
IEは先のとおりなので、まったく役に立ちません。

「そうだ、Google Chromeとかインストールできないですかね?」

お聞きしてみると、おかしくなった直後にGoogle Chromeを試そうとしたがインストールできなくて、あれこれやっていたらしいのです。
インストーラーは、実はすでにデスクトップに置いてあったのだ。
再度インストールを試してみたら…動作した。
exeファイルの対処のあとに試しておられなかった模様。

Google Chromeを起動したら…お、動作するなぁ。
リンクをクリックしても問題ない。

どうやらGoogle Chromeならば普通に使えるようだ。

では、以下のサイトを参考にダウンロードとインストール。

インターネットセキュリティー Malwarebytes' Anti-Malware :オンラインソフト学習塾

以下は駆除ログです。

Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org

Database version: 4033

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

Scan type: Quick scan
Objects scanned: 106629
Time elapsed: 8 minute(s), 1 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 4
Folders Infected: 0
Files Infected: 8

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\ave.exe" /START "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
C:\WINDOWS\system32\config\systemprofile\wuaucldt.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Owner\Local Settings\Application Data\MSASCui.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Documents and Settings\Owner\Local Settings\Application Data\av.exe (ROGUE.Win7Antispyware2010) -> Quarantined and deleted successfully.
C:\Documents and Settings\Ownera\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Owner\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Owner\Local Settings\Application Data\ave.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wuaucldt.exe (Trojan.Agent) -> Quarantined and deleted successfully.


…いろいろやばかったようですね…。
とにかく再起動。

どうやら症状は出なくなったようです。
ログを参考に実行ファイルを探しましたが、どうやら消えてなくなってくれたようです。
IEを起動しても問題ありませんし、通常通りリンクも動作します。

一応、「トロイの木馬にやられてるので、根治するにはリカバリが必要ですよ」とお伝えして引き上げようとしたんですが。

ふと思い出して、ついでにメールの動作もチェックをば…と思ったら。

メール送信できませんがな…。

アカウント設定をよくよくみたら、送信ポートは25番。
プロバイダのメール設定を調べてみたら、例によってOBP25とかOP25Bとか呼ばれるOutbound Port 25 Blockingという、迷惑メールなどの対策による送信方法の設定変更が必要なアレに引っかかっていたようです。
何年も前から設定を放置してあったりで、最近になって厳格化されてある日突然「受信はできても送信ができない」と気付くというありがちな現象だったようです…。
ということで、プロバイダの設定マニュアルに沿って設定をし、送受信チェックをして作業完了です。

まぁ、メールは受信だけという人も、意外なことにかなり多く、この送信設定変更がいまだになされていない人もそれなりの数で存在するようです。
こういったトラブルでお伺いした際には、「アンタが来てからメール送れんようになった!」というあらぬ疑いで無料再訪問にならないように、

作業が終わったら、一応、メール送受信だとか電話の発着信ぐらいの基本は押さえてから引き上げるようにした方がいいようです。はい。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2010年04月25日(日) 定番トラブル, ウィルス・スパイウェア関連, ソフトウェア不具合関連(セキュリティホール), ネットにつながらない・遅い, パソコントラブル, パソコン・インターネット, フリーズ・ブルースクリーン・再起動・電源切れる, 日記・コラム・つぶやき |

« モニタを換えても映りません。 | トップページ | 光にしては遅い。 »

定番トラブル」カテゴリの記事

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事

ネットにつながらない・遅い」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

フリーズ・ブルースクリーン・再起動・電源切れる」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/48330679/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: Total XP Securityとの闘い。:

コメント

>アンタが来てからメール送れんようになった!

お客さんによっては、わかっていてもこう言う人が居ますね
「教えてほしいんだけど・・・・」と言えば有償サポート
「出来ないじゃないか!」とブチ切れればクレーム対応
んなアホな

投稿: わら太 | 2010/05/14 14:37:59

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« モニタを換えても映りません。 | トップページ | 光にしては遅い。 »