スパイウエア対策メモ、その2 (2010年5月)
もうないと思っていたが・・・、また潜入されてしまったようだ。
スパイウエア攻撃
2010年5月、知人の女性を騙って送られてきたjhoops.comのメールをクリックしたのがトリガーとなってIEのポップアップが発生するようになった。ただ、これまでも不正と思われるファイルへのアクセスが多々あったことは確かだ。
これまでのスパイウエア対策
2005年末にもポップアップ攻撃を受け、このときはマニュアルで駆除を試み、その後、Spy Sweeperで駆除できた。それ以降、Spy Sweeperをインストールしている。その他、ウィルスバスターを入れている。だが、今回はこれらは役に立たなかったことになる。
1)ウィルスバスター
2)Spy Sweeper
発生した不具合
- 1) ネットワーク(Ethernet及びWi-Fi)接続が非常に繋がり難くなった。これはThink Vantageがダメージを受けていると思い、最新版をインストールしたが状況は変わらなかった。
- 2) IEによるポップアップの連続、最新版をインストールし直すも状況変わらず。
- 3) Firefoxの連続クラッシュ、最新版をインストールし直すも状況変わらず。
- 4) IEのタブ復元の連続、最新版をインストールし直すも状況変わらず。
- 5) 起動直後からCPU使用率100%ととなり直ぐにフリーズしてしまう、winupdate.exeがスタックしていた。
- 6) Chromeからウェブへのアクセスが出来なくなった。
- 7) Windows更新webサイトへアクセスできなくなった。
以上のような状態になり、確実に虫が入ってしまったであろうと考えられたので、アダ被へ問い合わせることにした。(私の知識を超えたので)
ウィルス駆除
ウィルス駆除に関しては、http://www.higaitaisaku.com/に相談した。以下、アダ被アドバイスを基にして駆除した手順とアプリです。(PCトラブル掲示板ログ)
Malwarebytes' Anti-Malwareでスキャン
1) mbam-setup.exeを下記よりDLしデスクトップに保存。
http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe
2) 「ウイルスバスター」と「Spysweeper」を無効に設定
3)インストーラファイルをダブルクリックでインストールスタート(全行程デフォルトのまま前進)
インストール終了時、
"Update Malwarebytes' Anti-Malware"
"Launch Malwarebytes' Anti-Malware"
にチェックを入れて [Finish] ボタンクリック
Update が自動で開始〜完了後、メイン画面が起動
"○ Perform quick scan" のチェックを入れ(デフォルト) > [Scan] ボタンでスタート
キャン完了のダイアログは、 [ OK ] ボタンで閉じる
ComboFixによる駆除
1) 以下のツールをデスクトップに保存。
「ComboFix」
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
「ATF- Cleaner」
http://www.higaitaisaku.com/atfcleaner.html
2) CFScriptの作成
CFScript.txtとしてデスクトップに保存。
※ 【user】は、貴方のログイン名に書き換えて下さい。
--------------------------
File::
C:\Documents and Settings\【user】\Local Settings\Temp\{234234-65771-23435-123}\winupdate.exe
Registry::
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Windows Security"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Windows Security"=-
--------------------------
3) 「ウイルスバスター」と「Spy Sweeper」を無効に設定してから、Windows をセーフモードで起動。
http://www.higaitaisaku.com/safemode.html
4) ComboFixの実行
(1) デスクトップに保存した「CFScript.txt」を「ComboFix.exe」上にドラッグ&ドロップする。
(2) 「ComboFix」 の処理が自動でスタートする。10分以上かかる。
(3) 処理が完了したら Windows を通常モードで再起動する。
「Malwarebytes' Anti-Malware」 (MBAM) で再度スキャン
「ウイルスバスター」「Spy Sweeper」 は無効にしてスキャンし、完了後は有効に戻す。
ATF-Cleanerでごみ掃除
全てのエントリにチェックを入れてごみ掃除を実行。
HijackThisでフィックス
HijackThisで一回だけスキャンして以下のエントリを Fix
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://static.photobox.co.uk/sg/common/uploader_uni.cab
※その後、「HijackThis」 を閉じて Windows を通常モードで再起動。
過去使用していたNorton製品の完全削除
過去に使用していた Norton 製品に対応する削除ツール (Norton 削除ツール)を実行。
http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jp_docid/20050415150354953
「SUPERAntiSpyware Free Edition」 をインストールし、フルスキャン
下記からDLする。
http://www.superantispyware.com/downloadfile.html?productid=SUPERANTISPYWAREFREE
・ インストーラをデスクトップに保存し、ブラウザなど他のプログラムを全てを閉じる
・ インストーラをダブルクリック - 後は [NEXT]・[ はい ]・[ OK ] などで前進
但し、定義更新後、出てくる画面の E-mail アドレスは空で、自動更新とレポート送信のチェックは外す
ホームページを保護するか否かの画面では、[Do NOT Protect] ボタンクリック
・ メイン画面が起動したら [Scan your Computer...] ボタンクリック
・ 画面左側で "C:\ - Fixed Drive" にチェックが入っているのを確認
・ 画面右側で "□ Perform Complete Scan" を選択し、[次へ(N) >] クリックでスキャンスタート
※スキャン中は何もしない
・ スキャン完了後、画面で [ OK ] ボタンクリック
・ 検出されたエントリにチェックが入っているのを確認し、[次へ(N) >] クリック - [OK] - [完了] クリック
・ メイン画面に戻るので [Preferences...] クリック - 〔Statistics/Logs〕 タブクリック
・ ログエントリを選択し、[View Log...] クリック - 「メモ帳」 でログが開いたらデスクトップに保存
「Uniblue RegistryBooster」 のアンインストール失敗対策
アンインストールに失敗していた「Uniblue RegistryBooster」改めてインストールし、常駐を解除してからアンインストールした。
hxxp://www1.uniblue.com/pc/rb/google/brand/jp/
「Firefox」 は一旦アンインストール
一旦アンインストールしてから再インストールする。
ユーザープロファイルは、必要に応じてバックアップを取っておけば良いでしょう。
※ 必要なければこれも削除して下さい。
http://support.mozilla.com/ja/kb/%E3%83%97%E3%83%AD%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB
「BeginnerTool」 を使ってAsk Toolsの削除
http://www.higaitaisaku.com/beginnertool.html
「BeginnerTool」 を起動。
以下のフォルダパスを 「BeginnerTool」 に貼り付け、各削除処理。
※存在しないと云われたら無視して次へ。
<フォルダパス>
C:\Program Files\AskSBar
C:\Program Files\Uniblue
アンインストール情報ログを採ったツール 「アンインストール情報アプリケーション」
アンインストール情報を削除
cf.削除の仕方 ・・・ 《チェック入項目のレジストリキーの削除》
http://wiki.higaitaisaku.com/wiki.cgi?page=%A5%A2%A5%F3%A5%A4%A5%F3%A5%B9%A5%C8%A1%BC
%A5%EB%BE%F0%CA%F3%A5%A2%A5%D7%A5%EA%A5%B1%A1%BC%A5%B7%A5%E7%A5%F3+%A4%CE
%BB%C8%CD%D1%CB%A1#p6
"DisplayName"="Ask Toolbar"
システムの復元を一旦無効にし、直ぐに有効に戻す
以下にその説明があります。
http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20020407222052953
「SUPERAntiSpyware Free Edition」 を起動
1) [Manage Quarantine...] ボタンクリック
2) 一覧から
Trojan.Agent/CDesc[Generic]
C:\PROGRAM FILES\IRVINE1_1_2\IRCOM.EXE
を選択 - [Restore...] ボタンクリックで復元する。(間違って削除されたため)
それ以外のエントリは全て削除。
その後メイン画面を閉じ、右下通知領域にいるアイコンを右クリック - [Exit] で常駐解除。
アンインストーラ "SASUNINST.EXE"
デスクトップに保存し、起動させアンインストール情報を削除。
http://www.superantispyware.com/supportfaqdisplay.html?faq=47
ブラウザなど他のプログラムを全て閉じて "SASUNINST.EXE" を実行 〜 Windows が自動で再起動
検知されたウィルス
準備中
Worm.AutoRun, Trojan.Agent, etc.
ウィルス駆除の結果
Firefoxのpluginにある"Ask Toolbar"はまだ削除できていない。機能をオフにしてやはり再インストールか。その他は完全復活に見える。
ComboFixがかなり駆除してくれた。このスキャン以降、復活した印象だ。Windows Updateへもアクセスできるようになり、firefoxのクラッシュも止まった。これまで巣くっていたウィルスが削除されたのだろう、かなり軽くなった印象を受けた。このとき、Windowsの更新ファイルも削除されるので再度DLする必要がある。
リンク
スパイウエア対策リンク
スパイウエア検出・削除ツール(無料)