記事一覧

トップ > PC・インターネット > ウィルス駆除・対策

久々にセキュリティ関連のこと

本日(2013/1/27)、リアルの友人よりウィルス(正確にはアドウェアだった)にやられたと連絡あり。
電話で話を聞いてもいまひとつピンと来なかったので、実際にお宅訪問。

で、見せて貰うと↓のようなポップアップ画面が常時表示されている状態。

ファイル 1224-1.jpg

ウィンドウ隅のバッテンで消してもすぐ再表示。
再起動させてもスターアップ時に表示されます。

で、スターアップ時に表示されるというのでピンときて・・・・・・

ちなみに友人のPCのOSはWindows 7 home premium

(1)まずは基本。システムの復元を無効にします。
スタートボタンをクリック → コンピュータを選択して右クリック。メニューからプロパティを選択 → システムの画面が開いたら画面右側のメニューから「システムの保護」を選択する

(2)システムのプロパティ画面が表示され、上部のタブが「システムの保護」になっていることを確認。


(3)システム(OS)がインストールされているドライブを選択し、「構成ボタン」を押す。


(4)「設定の復元」の項目、「システムの保護を無効にする」にチェックを入れた後、適用ボタンを押して「OK」で画面を閉じる。

(5)次に「Ctr」+「Alt」+「delete」キーでタスクマネージャーを呼び出す。「サービス」と「プロセス」の中から不審なファイルを探す。

(6)スタートボタンをクリックし、「プログラムとファイルの検索」窓に「msconfig」と入力。システム構成が起動したら「スタートアップ」をチェック。(5)と同様に不審なプログラムを探す。今回の場合は、「webnx.spm」という項目にあたりをつけ、スタートアップ項目のチェックを外した後、再起動。再起動の前に、「webnx.spm」の実行ファイルへのパスをメモに控えておく。

(7)再起動後、当初の請求画面は表示されず。ここで、(6)で控えていたパスをエクスプローラーで表示し(C:\ProgramData\nxspm\07968793)、nxspmフォルダ内に請求画面に使用されていた画像データを発見。フォルダごと完全削除(SHIFTキーを押しながらDleteボタン)

(8)スタートボタン→全てのプログラム→アクセサリ→システムツール→ディスククリーンアップ。ゴミ箱、一時ファイルなど全てを削除する。

(9)「プログラムとファイルの検索」窓に「%temp%」と入力。一時フォルダを呼び出し、中のファイルを全て完全削除(削除できないファイルもあるので可能な限り)

(10)「プログラムとファイルの検索」窓に「regedit」と入力。レジストリエディタを起動し、「nxspm」と「07968793」を検索し、関連づけられているキーと値を削除。

(11)「Microsoft Essential Security」をインストールし、スキャン+システムクリーンアップ。ちなみにスキャンすると、下記の検索結果。

####ここから検索結果###

file:C:\Program Files (x86)\DealPly\DealPlyUpdateRun.exe
file:C:\Program Files (x86)\DealPly\icon.ico
file:C:\Program Files (x86)\DealPly\uninst.exe
file:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly Help.lnk
file:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly.lnk
file:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\Uninstall DealPly.lnk
file:C:\windows\System32\Tasks\DealPlyUpdate
folder:C:\Program Files (x86)\DealPly\
folder:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\
ieaddon:HKCU@S-1-5-21-2831175382-929049839-1813289130-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}
regkey:HKCU@S-1-5-21-2831175382-929049839-1813289130-1003\software\DealPly
regkey:HKCU@S-1-5-21-2831175382-929049839-1813289130-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}
regkey:HKLM\software\classes\Wow6432Node\clsid\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}
regkey:HKLM\SOFTWARE\Wow6432Node\CLASSES\CLSID\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}
regkey:HKLM\software\Wow6432Node\microsoft\windows\currentversion\explorer\Browser Helper Objects\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}
regkey:HKLM\software\Wow6432Node\microsoft\windows\currentversion\uninstall\DealPly
taskscheduler:C:\windows\System32\Tasks\DealPlyUpdate
uninstall:HKLM\SOFTWARE\Wow6432Node\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\DealPly

####検索結果、ここまで###

(12)システムの復元設定を元に戻し、復元ポイントを作成しておく。

以上!!

ワンクリック詐欺およびそれを促すアドウェアには要注意です!!

マルウェア覚書

この間、会社で「spyware protect」に感染した人がいました。

マルウェアとしては、割とメジャーどころなようですが、これにかかるとコマンドが通らなくなるとか色々と厄介。
で、対処法としては、以下の方法がほぼベストだと思うのですが

Yahoo 知恵袋 Spyware Protect

その方法を通す前に(XP)

1,マイコンピューターアイコンを右クリック→プロパティ、或いはコントロールパネルから「システムのプロパティ」を呼び出し、「システムの復元」を無効にする
2,コマンドが通らないので、再起動をかけ、起動時にF8キーを叩いて、セーブモードで立ち上げる
3,ショートカットキー「Win+R」或いはスタートメニューから「ファイル名を指定し実行」を呼び出す
4,ファイル名指定欄に「msconfig」と入力、Enter。「システム構成ユーティリティ」を呼び出す。
5,「スタートアップ」の項目にて。「protect」というスタートアップが設定されているので、入っているチェックを外す
6,適用ボタンを押した後、OKボタンを押すと再起動を要求されるので、そのまま再起動
7,再起動後もセーブモードでの作業を続けたい場合には、「BOOTINI」タブでブートオプション→「SABE BOOT」にチェック

というプロセスを通した方が確実です。
削除作業完了後は、システムの復元を有効にすることを忘れずに。

king_rb

会社の同僚のパソがウィルスチェックにかかったというので、頼まれて見てみた。
ちなみに、OSはWindows XP

最初に、マイコンピューターアイコン右クリック→プロパティで「システムのプロパティ」を呼び出し、システムの復元を無効化。
「全てのプログラム」→「アクセサリ」→「システムツール」→「ディスククリーンアップ」で、各ドライブの不要ファイルを一斉に削除。
次に、「Win+R」のショートカットから「ファイル名を指定して実行」を呼び出し「regedit」と入力。レジストリエディタを呼び出し
以下のレジストリの値を「1」に(全てDWORD値)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

次にフォルダオプションですが、これはマイコンピューター或いはエクスプロラーを開き、ツールタブから呼び出すか、コントロールパネル→クラッシック表示で呼び出す。
フォルダオプションの表示タブを選択して、「全てのファイルとフォルダを表示する」にチェック。

・・・しかし、隠しファイルも隠しフォルダも表示されないorz
先程いじったレジストリの値も元に戻っている・・・
明らかにおかしいが、とりあえず、この状態で一度チェック。

ある程度予想していたが、何もチェックにかからず。

今度は、また「Win+R」で「ファイル名を指定して実行」を呼び出し、「msconfig」と入力。
「システム構成ユーティリティ」を呼び出し、「スタートアップ」の項目を見てみると・・・

「king_rb」という知らないスタートアップ項目がある。果たして何のアプリと繋がっているか分らない。
一応、検索してみたが、今日の時点(2010/11/16)では何もかからず。
とりあえず、チェックを外し、再起動。

再度立ち上がった状態で、もう一度レジストリとフォルダオプションを操作。
すると、今度は意図したとおり、隠しファイルと隠しフォルダが表示され、同時にCドライブDドライブそれぞれの直下に不明な実行ファイルが・・・
それら全てを「shift+Delete」で完全削除。
次に、また「ファイル名を指定して実行」に「%temp%」と入力。
tempフォルダを表示させると、ここにも・・・
当然、削除。
念の為、以下のフォルダもチェック
C:\WINDOWS\system32
ここには、怪しいファイルは発見できず。
とりあえず、ここまで手動で作業し、もう一度、ウィルススキャン。
今度はいっぱい引っかかった(爆)

・・・ということで、何だか、またウィルスにかき回されそうな嫌な予感がする私でゲソ。
最後に思い出したかのように、イカ娘ねたを出さざるを得なかったじゃなイカ。

思い出したかのような突発的ウィルス対策

たまに思い出したように書くウィルス対策メモ

簡単なウィルス対策の一環とチェック法です。

(想定要件)
OSは、Windows XP以上
ローカルディスクとして、C,Dとパーティションが仕切られていること


簡単な見分け方のひとつ

1,エクスプローラーを立ち上げ、ツールタブの「ツール」→「フォルダオプション」
2,フォルダオプション→「表示」タブ
3,「全てのファイルとフォルダを表示」にチェック
4,「登録されている拡張子を表示しない」と「保護されたオペレーティングシステムファイルを表示しない(推奨)」のチェックをはずす
5,C,Dいずれかのドライブを開く
6,隠しファイルが表示されていればよし(例:System Volume Infomationフォルダ)
7,表示されない場合、もう一度ツール→フォルダオプション→表示を開く
8,「隠しファイル及び隠しフォルダを表示しない」にチェックが入っている(チェック内容の変更)
9,8の症状があれば、ウィルスに感染しています。

上記手順でウィルスが発見された場合は、こちらのエントリをご参考に

2009/12/23のエントリ 個人的対ウィルス手法

逆に症状の確認できなかった人は、


autorun.infフォルダの作成

1,C,D等各ドライブ直下にフォルダを作成する。何もないスペースで右クリック
2,ショートカットメニューから「新規作成」→「フォルダ」
3,新規作成したフォルダ名を「autorun.inf」にする。拡張子(.inf)まで入れておくこと。
4,「autorun.inf」フォルダが作成できない場合、ウィルスに感染しているか、別のautorun.infが既に作成されています。(理由は様々)
5,作成した「autorun.inf」フォルダを右クリック。「プロパティ」を開く。
6.「プロパティ」の「全般」タブの下部に「属性」のチェックボックスがあるので、「属性」を「隠しフォルダ」とする。

上記手法でも、ある程度はウィルスよけになりますよ。
特にUSBデバイス(HD,フラッシュメモリなど)を使用している人は、そのデバイスにも「autorun.inf」を作成しておくといいです。

個人的対ウィルス手法

個人的にとっているウィルス検索・削除の方法を簡単にまとめてみました。


  1. マイコンピューターを右クリック。プロパティから「システムの復元」タブをクリック。

  2. 「システムの復元」を無効にする。

  3. 「コントロールパネル」を開く

  4. 「クラシック表示」の場合は、そのまま「インターネットオプション」を開く。

  5. 「カテゴリ表示」の場合は、「ネットワークとインターネット接続」→「インターネットオプション」

  6. 「インターネットオプション」から「履歴」「cookie」「一時ファイル」などを削除する。(IE以外のソフト使用の場合は、各ソフトに応じて履歴等を削除のこと)

  7. 「Win」+「R」→「ファイル名を指定して実行」→「msconfig」と入力。Enter

  8. 「システム構成ユーティリティ」→「スタートアップメニュー」タブ

  9. 疑わしいスタートアップ項目をチェック

  10. 「BOOTINI」タブ→ブートオプションの中の「/SAFEBOOT」にチェックを入れる。

  11. 「適用」ボタンを押し、「OK」ボタンで閉じる→再起動

  12. 再起動時、「セーフモード」での立ち上げを確認してくるので。「OK」ボタンを押す

  13. 「Win」+「E」或いは、スタートメニュー→すべてのプログラム→アクセサリ→エクスプローラー

  14. エクスプローラー画面の「ツール」タブ→「フォルダオプション」

  15. 「フォルダオプション」の「表示」タブをクリック。

  16. 「すべてのファイルとフォルダを表示する」にチェックを入れる。

  17. 「登録されている拡張子は表示しない」と「保護されているオペレーティングシステムファイルを表示しない」のチェックを外す。

  18. エクスプローラーのアドレス欄に「C:」と直接入力。Cドライブ直下のファイルを表示させる。

  19. 隠しファイル・フォルダが表示されている場合は、そのまま「23」の作業に。表示されない場合或いは不安な場合には、「20」からの作業に移行。

  20. セーフモードで立ち上がったら、「Win」+「R」→「ファイル名を指定して実行」→「regedit」と入力。Enter

  21. レジストリエディタが立ち上がるので、下記の値を「1」に書き換える。
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced の"Hidden"と"ShowSuperHidden"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL の"CheckedValue


  22. 不安な場合は、以下の値も書き換える。値は「b5」
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer\NoDriveTypeAutoRun

  23. 再び、エクスプローラーに戻り、Cドライブ直下のファイルを確認。

  24. autorun.inf がある場合は、shiftキーを押しながらdeleteキー。完全削除するが、一旦テキストエディタ或いはメモ帳で開くとそこからのリンク先、実行ファイルが分かることがある。

  25. 前述でわかった実行ファイル、拡張子「.exe」のファイルをshiftキーを押しながらdelete 完全削除。
    (削除前に、別のPCでネット上での検索を推奨。Windowsのシステムファイルでないことを確認すること)

  26. 筆者経験で発見したウィルスのパスは、下記の通り
    C:\autorun.inf C:\u3iwl3.exe C:\sop.exe
    上記ウィルスが、各パーティション、D、Eにも発見された。

  27. エクスプローラーのアドレス欄に「C:\WINDOWS\system32」と入力

  28. 引き続き、怪しげな実行ファイルを検索する。「kavo」「Revo」などのファイル名に要注意。

  29. 再び「Win+R」→「ファイル名を指定して実行」→「%temp%」と入力、Enter

  30. Windowsの一時フォルダが開くので、そこでも怪しげな実行ファイルを検索

  31. 筆者経験で発見したのは「xvassdf.exe」という実行ファイル。

  32. 「Win+R」→「ファイル名を指定して実行」→「msconfig」入力、Enter

  33. 「BOOTINI」タブ→「ブートオプション」の「/SAFEBOOT」のチェックをはずす。

  34. 通常モードで再立ち上げ

  35. アンチウィルスソフトにてウィルススキャンを実行
    (システムの復元を無効にしていることによって、この段階でもかなりかかることがある)

  36. できれば、オンラインチェックも実行する。有力なサイトは以下に列記。
    トレンドマイクロ
    カスペルスキー
    F-secure オンラインスキャナ

  37. マイコンピューターを右クリック→プロパティ→システムの復元→システムの復元を有効にする。

(おまけ)多少意地の悪いやり方ですが、で発見されたウィルスをわざと放置して、現在使用しているアンチウィルスソフトの有効性を確かめる方法もありますよ。

個人的には、以下のアンチウィルスソフトが割といいのでは?と。

・Eset NOD32
・トレンドマイクロ ウィルスバスター
・カスペルスキー インターネットセキュリティ
・Symantec ノートン インターネットセキュリティ
上記、すべて個人ユーザー向け。筆者自身は、トレンドマイクロとEsetを使用しています。

再びウィルスの話

会社のパソコンにウィルス君が発生しました。
暇そうに見えたのか、私が呼ばれました(なぜ?)

発見されたのは、結局「KAVO系ウィルス」でした。

その時の経験を基にしたエントリが、11月21日のエントリです。
参考にしたのは、下記のリンク先一覧。
私が紹介した手法は、レジストリなどをいじることなく可能な方法ですが、そこに至るまでには、レジストリ編集、セーブモードでの立ち上げも行っています。しかしながら、通常のPCユーザーではそこに手を入れるのに躊躇するのではないか?と思い、通常のアプリケーション操作以上のことを行わずに目的を果たす方法は?と考えたのが、紹介したエントリの方法です。

しかし、ある程度時間が経過して、やはりキチンとした(?)方法も紹介しようかと思いなおし、以下のリンク先の記事を紹介です。
Kavo系ウィルスは、Windowsがターゲットになっていますが、ウィルス全般に関して、一部記事に書いていることを受け売りさせていただくと、

セキュリティおよびウィルス対策は、マニュアル操作が実は基本中の基本
つまり、フルオートでのソフト任せで被害にあっても、ある意味自業自得と解釈することも可能・・・これは特にシビアな考えとは、いまの時代言えないと思いますよ。
このことは、MacもWinも関係なし。


パソコン応援隊

ウィルスに感染しました kavo mmvo 続き

シロートの、パソコン問題がんばる日記と、日々思うこと

魔の7月10日前後の隔離ファイル!ビスタとXP

@夢想堂@ ~虚空の足跡

ウィルスとの戦い

kavo系ウィルスの検索と削除の手法については、最初の「パソコン応援隊」の記事が一番いいかと思います。「シロートのパソコン問題-」と「夢想堂」はそのサポート的な記事という扱いでもいいかもしれません。いずれも親切な記事ですよ。
ただ、一部記事には、あるセキュリティソフトを使用しているユーザー様にとっては、少々ショッキングな内容が含まれているかもしれません。
実は、前回のエントリで紹介しなかった理由は、そこなんですが・・・・・・
(ソフトに関して)言っておくが、私に相談されても困るぞ(^_^;)

最後に、トレンドマイクロのオンラインスキャン
経験上、ここのものは時間はかかるが、比較的優秀・・・だと思います。
http://www.trendflexsecurity.jp/housecall/index.php?Homeclick=threat_onlinescan

kAVOは、サリーちゃんの弟じゃないのです

最近、会社のパソの一部がKavo系ウィルスにやられてしまったorz
そこでということもあるが、どこかのエレクトリックなサイト様がMac系のセキュリティに触れていたこともあるので。
下記対処法は、あくまでもXPユーザー対象です・・・Vistaも使える手だとは思いますが、検証はしていません。

このウィルス、アンチウィルスソフトによっては検知できないみたいです。
うちとつきあいのある方は、ある程度知識のある方が多いので必要ないとは思いますが、経験的な対処法。


  1. まず、使用しているアンチウィルスソフトを最新の状態にアップデート。

  2. 下記のURLにアクセス。KAVO系ウィルス専用駆除ソフト「nProtect」をダウンロードする。使用法などは、同サイトを参照のこと。
    http://nprotect.jp/kavo/

  3. マイコンピューターアイコンを右クリック。或いは、コントロールパネル→システム。

  4. 「システムのプロパティ」画面上部の「システムの復元」タブをクリック

  5. 「すべてのドライブでシステムの復元を無効にする」にチェックを入れる。

  6. システムの復元を無効にしたら、コンピューターを再起動。

  7. 再立ち上げした時点でウィルスが検知されることがあるが、この場合は各セキュリティソフトの指定する対処法にて

  8. ダウンロードした「nProtect」を解凍、解凍された実行ファイルをダブルクリック。

  9. 「nProtect」により、ウィルスが検知された場合は、選択し削除。なかった場合にはそのまま「Close」

  10. 再びコンピューターを再起動

  11. 使用しているアンチウィルスソフトにて、再度ウィルス検索

  12. 上記までのウィルス検索と除去が完了したら、「3」で入れた「システムの復元を無効にする」のチェックを外し、設定を元に戻す。

  13. スタートメニュー→全てのプログラム→アクセサリ→システムツール→システムの復元

  14. 「システムの復元」メニューの中から「復元ポイントの作成」を選択。「次へ」

  15. 任意の名称をつけ、システムの復元ポイントを作成する

これ以外にも、もうひとつ強力な対処法がありますが、レジストリをいじくる方法なので、きちんとした対策サイトを検索されることをお奨めしますです。

ページ移動

  • 前のページ
  • 次のページ