• 2015年12月17日

ウイルスメール

今月9日からウイルスメールが届いています。
私のメインパソコンのOSはUbuntuで、メールはドメイン管理を契約しているロリポップのウイルスチェック(F-secure)を通り、Gmailで受信しているので、Gmailのウイルスチェックも通ることになります。
今回のウイルスはサーバー(F-secure)は通過し、Gmailでは通過せずサーバーに残っています。
たまにはそういうこともあると思っていますが、今回は9日から今日(17日)まで9通続いているので(今10通になった)、念の為記録に残します。
ロリポップにも念の為サポートにメールで報告しました。
返事はやはり「Gmail側の判断基準が異なるため」ということで、それは承知の上です。

ウイルスチェックをすり抜けたメールは文字化けしており、添付ファイル(zip)付きです。

ウイルスメール

Gmailにはこのように通知が来ます。

ウイルスメール

でも、ウイルスメールにしてはサイズが小さいので、これ自体がウイルスでは無いかもしれません。
マルウェアを呼ぶための準備メールとか・・・。

ウイルスメール

このへんはサポートの言う通りウイルスとしての判断基準の差はあり得ます。

今日はロリポップで検知された別のウイルスメールも来ました。

ウイルスメール

こう続くと、私のメアドを知っている私の友人や顧客のだれかが感染したのかもしれないと不安にもなります。

  • 2015年11月22日

中国サイトにリダイレクトされる

「河本 敏夫」をググっていて、Wikipediaサイトにおかしなリンクを見つけました。
外部リンクに記載されている「華麗なる・・・」をクリックすると、我が家のルータのセキュリティがマルウェアであると警告を発します。
どうやらリンク先から中国サイト「visiobay.net」にリダイレクトされるようで、2年ほど前に私も経験したトラブルでした。
海外サイトにリダイレクトされる

リダイレクトされてしまうので、このサイトの持ち主には辿りつけず注意を促すことができません。
Whois情報を逆引きしてみましたが見つけることができませんでした。
サイバー戦の踏み台になることを危惧して確認し、Wikipediaも編集しました。
Wikipediaを悪用しようと思ったら簡単ですね。

Wikipedia

  • 2015年9月1日

詐欺サイトに引っかかったかも

PC:富士通 LIFEBOOK AH77/K
OS:Windows8.1 64bit
LAN:WebCaster X400V
インターネット接続:FTTH
キャリア:Bフレッツ
ISP:T-COM

IEでインターネットを開いて、Yahooメールにログインしたら詐欺ソフトみたいなものが表れて、危険だのと出たそうです。
私が訪問して確認しても、それは出ません。
もしかしたら、広告の一部だったかもしれません。

セキュリティは「ウイルスクリア」のはずが、設定ツールはインストールされていますが、肝心な本体がインストールされていません。
申し込みはしてあって、インストールをした形跡はあり、ニックネームもこのパソコンです。
ともかくインストール。
IEのアドインなどを確認。

パソコンの初期設定は今まで全部業者がやっています。
GoogleChromeをインストールしてGmailを取得設定。
こちらを使って問題無いなら、Yahooの広告だったという事になりますか・・・。

  • 2015年7月28日

YONTOO、SHOP TO WEB、DEFAULT TAB駆除

InternetExploreやGoogleChromeで、広告がずっと出ているそうで、遠隔でメンテナンスすることにしました。

ブラウザにこんなのが出る(写真を撮っておいてくださいました)。

==========================================
「WINDOWS HEALTH IS CRITICAL -Please Visit Your Nearest Windows・・・」
「Windows Detected Potential ・・・On Your Computer.」
「Windows Security Essential wasn’t able to block virus.Windows detected potential threats that might compromise your privacy damage your computer.」
「Error Code:0x8024402c,windows couldn’t install the definition updates.」
「More information & Support Please Contact Help Desk +1-855-924-9510(toll free)」
「Windows Firewall Infected !!! Rookit.Sirefef.Spy and Trojan Virus Found in System32 NT(Network Threat Protection)Kernel.
Virus Source:Free Games,Porn Website & Third Party Internet Search.
Please Visit Your Nearest Windows Service Center, OR Call: +1-855-924-9510(TOLL-FREE)
□このページでこれ以上ダイアログボックスを生成しない
==========================================

1438077141214 詐欺サイト
7/25にMSEがウイルス検出して隔離しています。「BrowserModifier:Win32/DefaultTab」これはもちろん削除。

「プログラムと機能」には「Yontoo 1.10.02」、これは米国の怪しい会社「Yontoo LLC」。2013年8月に撤退したという話なのですが、アドウェアは亜種が出続けてるとか・・・。詳しくはここ↓
アドウェア(Yontoo)のアンインストール方法まとめ

「Smart PC Cleaner V3.0」とデスクトップ上に「SPCReminder」のアイコン。もちろん削除。

spcreminder spccreaner
「IE」のアドオンには「Shop to Win」が利用不可で無効になっている。
「Firefox」のアドオンにも「Shop ToWin17 1.0.40」これは削除。

shop to Win
「msconfig」でスタートアップに残る「Shop To Win」へのコマンド。
でも、実際にはその実行するファイルもフォルダも無い。これはチェックを外す。

shop to win
ブラウザに出ていたIPアドレスはパナマで、パソコンサポート会社のようなドメインのURLが複数あり、いずれも最近IPアドレスを変更している。

詐欺サイト
詐欺サイト
詐欺サイト
詐欺サイト それらのサイトを開こうとすると、Google先生がフィッシングサイトと注意してくれました。

フィッシングサイト
これで様子を見ましょう。
でも、どこで拾ったかわからないので、また同じサイトの同じ広告やフリーソフトで拾う可能性もあります。
つまり、いくらセキュリティソフトを入れても、使う本人が自覚しないと再発は免れないでしょう。

  • 2015年7月15日

Windows Server 2003サポート終了

今日、7/15でWindows Server 2003がサポート終了しました。弊社のお客様でもお使いの会社さんがありました。
WindowsXPとOffice2003のサポート終了の際に、これも念頭に入れて対応してきました。販売管理ソフトが古くて、Windows7以降には対応しておらず、サポート終了後どうするか相談の末、同ソフトのクラウド版に乗り換え、データを移行していただき、サーバー機は先月のうちに、早めにLANケーブルを外して、うちであまってた小さなモニターをつけて、スタンドアローンにしていただき、どうしても過去のデータを見たい時のみ、単独で起動して見る。絶対にUSBメモリなどは接続しないことにしました。

  • 2015年7月13日

NASのハードディスクが故障したお客様、ハードディスクを交換すれば良いのですが、これを機会に買い換えることになりました。
今のNASを導入した時は、比較検討するほどの製品が無かったのですが、今は良い製品が出ています。

最近人気の「QNAP」、自分でハードディスクを選んで購入し、組み込みます。
初心者向けでは無いかもしれませんが、どうせ私が設定するのなら同じこと。
拡張性も高くて気に入っています。
こういうNASを導入しながら、会社の業務に合わせて、フォルダやアクセス権を設定するのは、業務の効率化や社員のセキュリティへの意識を向上させるのにも役に立つと思います。

  • 2015年6月17日

Windowsバックアップで、バックアップ先をネットワークHDDに設定しようとしたところ、エラーが出ました。

別のトランザクションで使用するために予約されている名前を関数で使用しようとしました。(0x80071A90)

これは、セキュリティソフト「CANON NOD32アンチウイルス」を使用していると出るそうです。
対処法としては、設定変更時だけ「CANON NOD32アンチウイルス」を無効にするしか無いようです。

Windows Update エラー 80071A90、80072efe、80072f76

Windows Update エラー 80071A90

 

  • 2015年6月13日

PC:NEC PC-GV326ZZAZ
OS:Windows8.1 64bit

InternetExplorerを開いて、日本語をONにしようと「全角/半角」を押すと、Internet Explorerセキュリティの窓が開いて、「Webサイトで、このプログラムを使ってWebコンテンツを開こうとしています」と許可するかしないかの選択を求められます。

「今後、このプログラムに関する警告を表示しない」にチェックを入れると出なくなりました。
調べてみましたが、Microsoftのコミュニティでは話題になっていますが、Microsoftの公式な回答は無いようです。

  • 2015年6月12日

パソコンが起動できなくなったそうで、訪問しました。

PC:ASUS N53JF
OS:Windows7 HomePremium 64bit
CPU:インテル® Core™ i5-460M プロセッサー 2.53GHz
Memory:4GB
HDD:約500GB

ブルースクリーンが出て、スタートアップ修復になり、失敗。これを延々と繰り返します。

ブルースクリーン スタートアップ修復 ハードディスクを取り出して、必要なデータをコピー。

このパソコンは起動のロゴの間にF9を押すと、診断画面になりますが、大したツールは無く、リカバリくらいしかできません。
リカバリ覚悟で、ディスクを入れるとなぜか起動しました。
なぜか、「regedit」が実行され、ダイヤログボックスが出て「修復しました」とのこと。
イベントビューアでログを見ても、原因と思われるような内容が見つかりません。
ウイルスバスタークラウドは、Webの脅威をひとつ見つけてブロックしたようです。

とりあえず、Windows10を予約。
Windowsバックアップの領域が不足しているので、最新のイメージのみのバックアップに設定。古いバックアップを削除。
システムイメージの作成は失敗する。
システム修復ディスクの作成。
これで、Windows10へのアップグレードへの準備もOK。
Christal Disk Infoでハードディスクのチェックをすると、若干注意が必要な状態。
ディスクチェックしたところ、不良クラスタが少しあるので、ハードディスク交換することにしました。
今クローンをつくっておけば、Windows10にアップする際のバックアップを兼ねられるし。

ハードディスクは東芝の「MQ01ABD050」。
パソコンのゴムの下の隠しネジを外すと、蓋が開きます。

ASUS N53JF 2015-06-13 19.32.11
ハードディスクをクローンしてパソコンに接続。
WindowsUpdateを全部実行。
Windowsファイヤーウォールを有効にしようとすると、エラー「0x80070422」が出て、有効にできません。

Windows ファイアウォールを有効にしようとすると、「0x80070422」エラー メッセージ

これは、↑ここの「Microsoft Fix it」で改善。
ウイルスバスタークラウドの「ファイヤーウォールチューナー」を有効に。

この機会に、ASUS WebStrageでのバックアップを設定。
無料で5GBまでクラウドストレージが使用できます。
ただ、転送は遅いです。
起動時に「regedit」が実行されるのは、「msconfig」でスタートアップになぜかある「regedit」の項目を無効にしました。

入ってたハードディスクと交換後のハードディスク。

ASUS ハードディスク 東芝 ハードディスク

  • 2015年6月1日

海外の詐欺商法に泣き寝入りしない

今どき流行りの詐欺商法サイトに、弊社のお客様も被害に合いました。
その対応を記録します。

パソコンがこのままでは動かなくなるとか脅して、メンテナンスをしてあげます〜みたいなよくあるやつです。
画面と電話に従って、クレジットカードの番号やメールアドレス等を入力してしまったそうです。
デスクトップ上に[TeamViewer]があり、遠隔で操作されたようです。
パソコンには[eFixPro.exe]がダウンロードされており、レジストリには[ReiGuard.exe]がレジストリに書き込んだ形跡があります。
どちらもこの会社が提供しているらしく、電話番号(下のキャプチャとは違う03-4578-9266)をググると同じような書き込みがありました。
ttp://www.jpnumber.com/numberinfo_03_4578_9266.html#comment

[Baidu]もいました。

Baidu
もちろん、全部がここの仕業とは言い切れません。
どれが最初なのかわかりません。IEの履歴やイベントビューアのログの時間を追うと、Baiduからのようでもあります。
いろいろググっていると、[eFixPro]を削除するには[Systweak]の[システムプロテクター]をダウンロードせよとか、もうめちゃくちゃです。

電話をすると、外国人が日本語を話して対応します。
電話は東京の番号で、転送してスペインで受けているそうです。
本社はヨーロッパの大きい会社と言ってましたが、会社案内にも正式な社名も住所も記載はありません。
ホームページには下の方にフィリピンと書かれており、レンタルサーバーは米国のDreamHost。
Whois情報によると、レジストラの住所はキプロスのレメソス。

一応解約に応じたようなので詐欺とは言い切れないかもしれませんが、明らかに日本人を狙っており、泣き寝入りするカモと思われては困るので公開します。
クレジットカードは念の為番号を変える手続きをしました。
電話でのこのやりとりは録音しています。

会社名:TSPテックサポート
HP:tsptechsupport.com/jindex.html

tsptechsupport.com
tsptechsupport.com Whois情報:

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

Domain Name: TSPTECHSUPPORT.COM
Registrar: DREAMHOST, LLC
Sponsoring Registrar IANA ID: 431
Whois Server: whois.dreamhost.com
Referral URL: http://www.dreamhost.com
Name Server: NS1.DREAMHOST.COM
Name Server: NS2.DREAMHOST.COM
Name Server: NS3.DREAMHOST.COM
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Updated Date: 20-may-2015
Creation Date: 19-may-2014
Expiration Date: 19-may-2016

>>> Last update of whois database: Mon, 01 Jun 2015 11:06:24 GMT <<<

The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.

For more information on Whois status codes, please visit
https://www.icann.org/resources/pages/epp-status-codes-2014-06-16-en.
Domain Name: TSPTECHSUPPORT.COM
Registry Domain ID: 1859290948_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.dreamhost.com
Registrar URL: www.dreamhost.com
Updated Date: 2015-05-21T00:35:42.00Z
Creation Date: 2014-05-19T10:42:00.00Z
Registrar Registration Expiration Date: 2016-05-19T10:42:47.00Z
Registrar: DREAMHOST
Registrar IANA ID: 431
Registrar Abuse Contact Email: domain-abuse@dreamhost.com
Registrar Abuse Contact Phone: +1.2132719359
Domain Status: clientTransferProhibited
Registry Registrant ID:
Registrant Name: MARK STONE
Registrant Organization:
Registrant Street: 4 PIKIONI ST.
Registrant City: LIMASSOL
Registrant State/Province: LIMASSOL
Registrant Postal Code: 3075
Registrant Country: CY
Registrant Phone: +357.97875916
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: SALES@EDESIGN.ASIA
Registry Admin ID:
Admin Name: MARK STONE
Admin Organization:
Admin Street: 4 PIKIONI ST.
Admin City: LIMASSOL
Admin State/Province: LIMASSOL
Admin Postal Code: 3075
Admin Country: CY
Admin Phone: +357.97875916
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: SALES@EDESIGN.ASIA
Registry Tech ID:
Tech Name: MARK STONE
Tech Organization:
Tech Street: 4 PIKIONI ST.
Tech City: LIMASSOL
Tech State/Province: LIMASSOL
Tech Postal Code: 3075
Tech Country: CY
Tech Phone: +357.97875916
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: SALES@EDESIGN.ASIA
Name Server: NS1.DREAMHOST.COM
Name Server: NS2.DREAMHOST.COM
Name Server: NS3.DREAMHOST.COM
DNSSEC: unSigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
Last update of WHOIS database: 2015-05-21T00:35:42.00Z
DreamHost whois server terms of service: http://whois.dreamhost.com/