2012年01月28日

サイトを見ただけで感染するウィルス駆除

最近、ホームページを見ただけで感染するウィルスが増えているようです。感染すると、偽ウィルス対策ソフトや、システム修復ソフトが強制的に起動して、消せないようになってしまいます。

この前、知り合いのパソコンが感染して対処したのが、
「Windows detected a hard disk problem」
と表示され、偽システム診断ツールが動作するウィルスです。

virus

チェックが走ったあと、画面が真っ黒になって、横長のメッセージウィンドウが何十個も表示されます。マイドキュメントなどのファイルにアクセスできなくなり、保存していた写真などのデータがあたかも消滅したかのようになります。

これには、さすがにヘコミます・・・(実際は消えてませんが)

ウィルスバスター自体のチェックには一応ひっかかって駆除済みとなっていました。トレンドマイクロ上のウィルス名は「TSPY_FAREIT.Z」。

トレンドマイクロのサイトを見ると、ウィルスの行動が「FTP情報の収集」とありましたので、症状が違っていました。
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=TSPY_FAREIT.Z

動いていたウィルスは、明らかに偽の診断ツール画面で、クレジットカード情報を入力させようとするタイプです。ただ、感染したのと同時刻に検出されているので、何か関連はあるのかな?

WindowsUpdateは最新、ウィルスバスタークラウドの定義ファイルも最新。なのに、感染する不思議・・・危なっかしい世の中になりました。


さて、対処方法ですが、検索するとよく見かけるのが「一旦でたらめのメールアドレスをいれてactivateして、専用の駆除ソフトで駆除」というもの。私はこのあたりどうも臆病なので、マニアックな専用駆除ツールというのを使う勇気がありません・・・。

ですので、違う対処方法として、偽ウィルス対策ツールの亜種だと想定して、同じ手順で駆除できないかなと思ってやってみました。パソコンはVistaでしたが、多分Windows7も同じかな。

(手順)
1.まずは、システムの復元を無効にします。
(これをしておかないと、復元したときにまた、感染した状態に戻ってしまいます)
「マイコンピュータ」を右クリック→「プロパティ」→「システムの保護」→「構成」→「システムの保護を無効にする」にチェックをいれる

2.セーフモードで起動します。
(電源をいれてF8を数回押す。押すキーはメーカーによって多少違う場合あり)

3.レジストリエディタを起動します。
 Windowボタン→「プログラムとファイルの検索」ボックスで、「regedit」と入力してエンター

4.レジストリのバックアップをとります。
(レジストリを触る時のお約束。間違ってさわるとパソコンそのものが起動しなくなりますので)
エディタの「ファイル」→「エクスポート」をして適当な名前をつけてレジストリのバックアップを作成しておきます。

regedit2


5.レジストリの中にある、怪しそうな項目を削除します。
(このとき、正常な項目を消すとOSやソフトが起動しなくなるので注意。)

変更するレジストリ
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

今回、ウィルスを起動させていたのはこれでした。
 項目 jtiEKAcodyDo.exe
 パス c:\ProgramData\jtEKAcodyDo.exe
ですので、この項目を削除。

6.デスクトップのショートカットと本体を削除
 デスクトップショートカット 「Windows Rocovery」
 本体 c:\ProgramData\OlOg8AKUfQozRS.exe

7.パソコンを再起動。これでウィルスが動かなくなってればOK。

8.ウィルス対策ソフトで、パソコンのフルスキャンを実行して、発見されなければ、とりあえずは駆除完了です。

ただ、動くようにはなりましたが、気持ち悪いのでデータをバックアップして、リカバリした方がいいですよと話をしました。(私ならそうします)


最近はホームページを見ただけで感染して、しかも対策ソフトが役にたたないって、ほんと困ります・・・android携帯を買おうとしても、ウィルス対策ソフトとセットで売ってたり。そんなことを気にしないでネットができる世の中になってほしいものです。



(補足)
トレンドマイクロの対策ページです。別のウィルスなんですが参考になりました。
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=TROJ_FAKEAV.SM29






トラックバックURL

この記事へのコメント

1. Posted by hoho   2012年01月30日 19:48
自分は今日このウイルスに感染したみたいです。
自分の場合はWindows Rocoveryというのが無くて
診断ツールも表示されませんでした。
ただファイルが消えているというものでした
ちなみにRstrui.exeというのを起動したらファイルなどが消えました
よかったら対処方法を考えていただけないでしょうか
2. Posted by hoho   2012年01月30日 20:25
レジストリで怪しいファイルを消したところ横長のメッセージウィンドウなどは出なくなりましたが消えたファイルなどがそのままです。
マイドキュメントなどにも接続できません。
これはまだウイルスが残っているということなのでしょうか?
3. Posted by wo   2012年01月30日 22:50
2011年4月に流行した同様のウィルス「FAKE_AV」の対策方法です。レジストリの改変項目が多いですが、パターンは似た感じです。
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=TROJ_FAKEAV.SM10
4. Posted by wo   2012年01月30日 22:54
こちらの方はシステムの修復で直されたようです。これが使えるなら1番早いです。
http://www.monster.ne.jp/~hal/blogb/log/eid165.html
5. Posted by wo   2012年01月30日 23:00
紹介した二つの記事をあわせると、ファイルやフォルダが見えないのは隠しファイル属性のせいなので、それを解除。もし、壁紙が変えられなかったり、Ctrl+Alt+Delが効かなかったりするなら、レジストリを修正する必要がありそうです。
少し大変ですが頑張ってみてください!

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔   
 
 
 
アクセスカウンタ

    ブログ内検索
    Google


    よりみちweb
    www