• 2015年12月17日

ウイルスメール

今月9日からウイルスメールが届いています。
私のメインパソコンのOSはUbuntuで、メールはドメイン管理を契約しているロリポップのウイルスチェック(F-secure)を通り、Gmailで受信しているので、Gmailのウイルスチェックも通ることになります。
今回のウイルスはサーバー(F-secure)は通過し、Gmailでは通過せずサーバーに残っています。
たまにはそういうこともあると思っていますが、今回は9日から今日(17日)まで9通続いているので(今10通になった)、念の為記録に残します。
ロリポップにも念の為サポートにメールで報告しました。
返事はやはり「Gmail側の判断基準が異なるため」ということで、それは承知の上です。

ウイルスチェックをすり抜けたメールは文字化けしており、添付ファイル(zip)付きです。

ウイルスメール

Gmailにはこのように通知が来ます。

ウイルスメール

でも、ウイルスメールにしてはサイズが小さいので、これ自体がウイルスでは無いかもしれません。
マルウェアを呼ぶための準備メールとか・・・。

ウイルスメール

このへんはサポートの言う通りウイルスとしての判断基準の差はあり得ます。

今日はロリポップで検知された別のウイルスメールも来ました。

ウイルスメール

こう続くと、私のメアドを知っている私の友人や顧客のだれかが感染したのかもしれないと不安にもなります。

  • 2012年5月3日

詐欺ソフト「PC Power Speed」

お客様のパソコンに発見!

rebateinformerタスクバーに
PC Power Speed
Rebateinformer
SiteRanker
AppGraffiti
もちろんアンインストール。
悪質な場合アンインストールできないとか情報があるけど、一応アンインストールできました。

トップページは
inbox
これも修正。ツールバーは無さそうです。

24×7 Help
なんてのも。もちろんアンインストール。

inbox

  • 2010年5月15日

Security Essential 2010 他多数駆除完了

削除できないDLLファイルを残し、パソコンは一応使えます。

アクティブデスクトップの修復が出るので、アクティブデスクトップの使用をやめ、壁紙は無しに変更。
シャットダウン時に「プログラムの終了 – explorer.exe このプログラムは応答していません。」と出て、「すぐに終了」をクリックしないとシャットダウンできなくなりました。

「ESET NOD32アンチウイルス V4.0体験版」では、再度スキャンをしても感染無しと出ますが、時々何か不正アクセスを止めているようです。
「Ad-aware free」で、スキャンすると7時間近くかかって完了。Cookieを13個削除しただけでした。

「higaitaisaku.com」の掲示板に個別対応で助けを求めました。

指示に従い、隠しファイルや拡張子を全部表示する設定にし、「CFScript.txt」を作成。
ComboFix」をダウンロード。
セーフモードで起動し、「CFScript.txt」 を 「ComboFix.exe」 上にドラッグ & ドロップ。
駆除が始まり、数回再起動後完了。
vgqljqz.dllを含め、複数検出し削除されたようです。
でも、この手のスパイウェアは駆除されてもどこかに何か残しており、すぐに復活できるように仕組んでいたりします。
「Silent Runners」 でログ採取
http://www.higaitaisaku.com/silentrunners.html
「Random’s System Information Tool」(RSIT) でログ採取
http://images.malwareremoval.com/random/RSIT.exe

数日かけてhigaitaisaku.com様にログを送り指示を受けて完了しました(感謝)。

今回検出されたウイルス・スパイウェア。
Security Essential 2010
Win32:Rootkit-gen
Trojan.BAT.KillFiles.np
Generic FakeAlert!htm
Adware BHO
その他いろいろ。

  • 2010年5月12日

Security Essential 2010 他多数 駆除中

このマルウェアについてはネット上に情報があります。
「Microsofg Security Essential」を装った、偽セキュリティソフト。
security essential2010 とは?
Remove Security Essentials 2010 (Uninstall Guide)
上記を参考にしながら慎重に作業します。
テキパキ進めないとどんどんパソコンの反応が悪くなるので、必要なソフト等は別のPCでダウンロードし、フラッシュメモリ(もちろんAutorun対策済み)でデスクトップ上にコピー。タッチパッドが半故障なのに気づく、慌ててUSBマウスを探して接続。USBも一ヶ所故障?

まず、「rkill.com」をダブルクリックして、プロセス停止。
「Malwarebytes’ Anti-malware(MBAM)」を実行。
ネットから切り離していますが、「Malwarebytes」をUpdateしなければいけないので、ここでLANケーブル接続。

ところが、なぜかIPアドレスを取得できないので、急遽無線接続設定。
Update後、スキャン開始。
約30分で駆除完了し、たくさん検出して駆除・削除。

セーフモードで再起動、が、起動できず、通常モードでも起動不可。
最後に起動できた・・・で無事起動、ホッ・・・(汗)。その後セーフモードで再起動できた。

「ATF-Cleaner」を実行し、再起動。
まだスタートアップにpifファイルへのリンクが残っているのでこれを削除して再起動。

Niftyの「ウイルスチェックサービス」を試す。
「Trojan.BAT.KillFiles.np」検出、駆除。

「McAfee Virusscan Enterprise 8.5.0i」がインストールされているが、「オンアクセススキャン 無効」となる。
古いソフトかと思ったが、定義の更新ができるのでスキャンもしてみる。
すると、「Generic FakeAlert!htm」検出及び削除。
「Security Essential 2010」へのリンクが検出・削除され、「vgqljqz.dll(Boaxxe.gen.d)」が削除失敗。

再起動後、再度、「Malwarebytes」でスキャン。
今度は検出0。

「McAfee Virusscan Enterprise 8.5.0i」のオンアクセススキャンは起動時有効にする設定になっているが、いつも無効と表示される。
定義が古くてウイルスを検出できなかったのか、本当に無効になっているのか・・・。
いずれにせよ感染を許してしまったソフトは入っていても信用できないので、アンインストール。
「ESET NOD32アンチウイルス V4.0体験版」をインストール。
NODでは、「Win32/TrojanClicker.Delf.NBXの亜種」が隔離されました。

でも、「vgqljqz.dll」が残ったままです。
ネットでもこのファイル名をググって見ましたが、まったく検索されないところを見ると、ランダムなファイル名だとしたら余計に怪しい。
直接削除しようにも「vgqljqzを削除できません。アクセスできません。ディスクがいっぱいでないか、書き込み禁止にしていないか、またはファイルが使用中でないか確認してください。」と出ます。
セーフモードでも削除できません。
DLLファイルが削除できない場合」を参考に、
「regsvr32 /u C:\Windows\system32\netcfg.dll」も試しましたが、「実行ファイルではないか、またはこのファイルへのヘルパが登録されていない可能性があります」と出て削除できません。

KNOPPIXでCDから起動してみましたが、「読み込み専用ファイルです」と出て、やはり削除できません。
試しにこのファイルをUSBフラッシュメモリにコピーして、Ubuntuでウイルススキャンするとちゃんと駆除するので、ウイルスに間違いありません。

HijackThisで検出し、
O2 – BHO: (no name) – {670434C1-1553-483B-A9C1-7178B8DFCEC2} – c:\windows\system32\vgqljqz.dll
↑ これにチェックを入れFixを試みましたが、「Hijack This is about to remove a BHO and the corresponding file from your system. Close all Internet Explore windows AND all Windows Explorer windows before continuing for the best chance of success.」と出て、やはり削除できません。

続く

  • 2009年10月4日

Win32/Delf.OHS感染

前回、Bフレッツでフレッツスクエアに接続不可、ウイルスクリア利用不可、コマンドプロンプト使用不可だったお客様です。
ウイルスクリア設定不可
再度、別のセキュリティソフトをセットアップご希望で訪問しました。

「Eset NOD32 アンチウイルス4」をダウンロードして持参し、セットアップしました。
すると、インストール直後にウイルス検出。
「Win32/Delf.OHS」を駆除。
これが、ひっきり無しに駆除を続けます。
検出ファイル名が3通りほど出て、駆除を繰り返します。
そして、インターネットに繋がりません。

一旦パソコンをネットワークから切り外して、再起動し、ウイルススキャンし、ウイルスを駆除します。
その後LANケーブルを挿して、インターネットへ無事接続。
すると、フレッツスクエアも接続可能になり、コマンドプロンプトも使用可能となりました。

このウイルス、調べてもあまり情報が出てきません。
海外サイトの解説(Google翻訳)を読むと、
Computer, Mobile Phone and PDA Security
======================================
リスクレベル:低
影響を受けるシステム:Windows
Win32/Delf.OHS は、と。Win32/Delf.OHSのWindows PE EXEファイルであり、感染したコンピュータは、Borland Delphiで書かを介してリモートの不正制御を提供するトロイの木馬プログラムです。ASPackを使用して圧縮されます。このトロイの木馬のIRC サーバを介して接続します。リモートの攻撃者からのTCPポート3195および受信コマンドです。
======================================
駆除には、トレンドマイクロの「SysClean」を案内していますが、今回はNOD32で駆除できました。
全部このウイルスの仕業だったんでしょうか。

last comments
ごはん
ごはん

>Borland Delphiで書かを介してリモートの不正制御を提供するト…
marumi
marumi

でも、Delf.OHSは2005年には確認されていました。 この手のウイルスっ…
ごはん
ごはん

Delphi に取り付くウイルスじゃなかったのか :!:

  • 2009年3月20日

管理者権限を乗っ取るウイルス

PC:NEC LaVie LL700/2
OS:WindowsXP SP3
インターネット接続:ADSL
キャリア:T-com
ISP:T-com

まず最初に無線ルータが壊れたようでした。
最初にインターネットが接続できないとお電話頂いた時に、無線ルータを外してHUBを繋いでみるようご案内したところ、それで他のパソコンは繋がったそうでしたが、肝心のメインマシンがネットに繋がらないそうで訪問しました。

まず、インターネットオプションなどの設定が管理者権限が無いとかで開けません。
セーフモードで表示される「Administrator」でログインしてもダメです。
WindowsUpdateでSP3になっています。
試しにこれをアンインストールしたかったのですが、管理者権限が無いとかでやはりアンインストールもできません。
これは最悪リカバリ・・・、お客様もそれでも良いとご了承頂き、WindowsXPのCD-ROMを起動します。
試しに修復コンソールを起動すると、Administratorにログインしただけで何の反応も無し。
それでも終了して再起動すると、ちゃんと管理者権限が実行できたのです。
一応、WindowsXP SP3はアンインストール、IE7もついでにアンインストール。

そして、再起動後、インターネットは繋がったのでした。
セキュリティソフトが無いので、フリーソフトのAVGをダウンロード及びセットアップ。
すると、ウイルス複数発見!!駆除が始まりました。

どうやら管理者権限を乗っ取るウイルスだったみたいです。


  • 2008年8月14日

Hacked by Godzilla

お客様のパソコン、IEのタイトルバーに「Hacked by Godzilla」と表示されます。
ウイルスチェックではウイルスは検出され駆除も完了しています。
Spybotでスパイウェア駆除も完了しています。

Cドライブをダブルクリックで開けません。
Cドライブを右クリックでは開けます。
Cドライブ内に「autorun.inf」ファイルがありました。
これは[ctrl]+[Deleat] で削除。

調べたところ、これはウイルス駆除後に手作業でレジストリの修復が必要でした。
ウイルス駆除ソフトは駆除はしますが、ウイルスによって変更されたパソコンの修復はしないんです。

symantecサイト

“Hacked By Godzilla” ?

駆除ツールもあったり、また怪しげな駆除ツールもあったりで、一番確かなのはやはり手作業かなと思い、レジストリを修復。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“MS32DLL” = “%Windir%\MS32DLL.dll.vbs”を削除

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
“Window Title” = “Hacked by Godzilla”を削除


ググっていて見つけましたが、「hacked by pokemon」なんてのもあるそうです。
これも最近増えてきたリムーバブルメディアで感染するウイルスです。
予防として、Cドライブに「autorun.inf」というフォルダを作っておきました。


  • 2008年5月30日

Kavoウイルス・・・再び

先日駆除したKavoウイルスが復活してしまったそうで、再訪しました。
パソコン3台とすべてのリムーバブルメディアが再感染したようです。
駆除作業は↓ここを参考にしましたが、
http://sturnus.net/mt/2008/01/kavo-mmvo-1.html
検出したウイルス名に若干違いもあるので念の為、全作業を記録します。
今回の作業PC、WindowsXP SP2 3台。
1)インターネットオプションから全ての一時ファイル・Cookie・履歴を削除
[スタート]-[コントロールパネル]-[ツール]-[インターネットオプション]-全般タブ-インターネット一時ファイル項目の「ファイルの削除」をクリック。
「すべてのオフラインコンテンツを削除する」にチェックを入れてOK。
同画面で、「Cookieの削除」「履歴のクリア」

2)「Canon NOD32 アンチウイルス」のアップデート
3)無線LANをOFFにし、ネットワークから切り離し。
4)システム全体のウイルスチェック(詳細な検査)。
→感染無し。
5)システムの復元を無効にする。
マイコンピュータを右クリック→[プロパティ]-システムの復元タブ、
「システムの復元を無効にする」にチェック-[適用]-[OK]

6)スタートアップからウイルス起動のチェックを外し、自動起動を止める。
[スタート]-[ファイル名を指定して実行]→「msconfig」と入力してOK。
スタートアップタブでウイルスと思われる項目のチェックを外す。

再起動後、「システム構成ユーティリティを使って Windows の開始方法を変更しました。」と表示されるので、「Windows の開始時にこのメッセージを表示しない、またはシステム構成ユーティリティを起動しない」にチェックを付け、OKをクリック
→こちらでは「kavo」と「tavo」だった。
7)セーフモードで起動。
パソコンの電源を入れ、メーカーのロゴマークが出ている間、[F8]を連打。
8)レジストリの修正
[スタート]-[ファイル名を指定して実行]→「regedit」と入力してOK。

参考にしたサイトでは、次のレジストリエントリへ移動して削除であるが、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
kava = "<%System%>\kavo.exe"
mmva = "<%System%>\mmvo.exe"
こちらではこれらは無かった。
次のレジストリサブキーのレジストリエントリを確認し、変更されていたら、それらを復元。(エントリを選択し右クリック → 修正 → 値のデータ)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"
値0を1に修正。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden"
値2なので、修正無し。(0でなければ修正不要)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden"
値0を1に修正。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" 値を091とする
9)フォルダオプションを変更、隠しファイル・システムファイルをすべて表示できるようにする。
マイコンピュータを右クリック→エクスプローラで開く(絶対にダブルクリックしない)
[ツール]-[フォルダオプション]、表示タブ→ファイルとフォルダの表示で、
「すべてのファイルとフォルダを表示」にチェック
「システムフォルダの内容を表示する」をチェック
「登録されている拡張子は表示しない」のチェックをはずす
「保護されたオペレーティングシステムファイルを表示しない」のチェックをはずす。
OK。

C・Dドライブ直下に、「nldelect.com」「nsdelect.com」「rsdelect.com」「ntdelect.com」などがあれば削除ですが、こちらにはどれも無し。もちろん「ntdetect.com」はありますが、絶対に間違って消さないと心に誓う。
こちらでは、「autorun.inf」「cubp.bat」「mrsne.bat」が見つかりました。
「autorun.inf」をメモ帳で開くと「open=cubp.bat」の記載があります。
これらを削除。
ひとつづつファイルをクリックして、[Shift]+[Deleate]
10)再起動
11)フォルダオプションの変更が元に戻されていないか確認。
この設定が元に戻されていたら、まだ感染です。
今回はOK。
12)感染ファイルの検索及び削除。
ファイル検索で、検索場所を「マイコンピュータ」、詳細設定オプションで、「システムフォルダの検索」、「隠しファイルとフォルダ」、「サブフォルダの検索」にチェックを入れて、「検索ファイル名を「kavo or mmvo or uu or tavo」で検索。
疑わしいファイルをすべて削除(ここは自己判断になります)。
こちらの場合は、
kavo.exe、kavo.dll、kavo0.dll、tavo.exe、tavo.dll、tavo0.dllが検索されました。
13)インターネットをオンラインにする。
14)再度、ウイルス定義を最新を確認して、ウイルスチェック。
感染0!
15)感染の無いことを確認。
スタートアップに「kavo」「tavo」はまだあるが、チェックが外れているのでOK。
でも、気持ち悪いのでレジストリで削除。
[スタート]-[ファイル名を指定して実行]→「regedit」と入力してOK。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig
の下の、「startupreg」「startupfolder」「services」の3つを削除。

16)システムの復元を有効に戻し、復元ポイントを作る。(手順は5へ)
17)フォルダオプションを元に戻す。(手順は9へ)
「保護されたオペレーティングシステムファイルを表示しない」のチェックをつける。
18)CDやUSBの自動取り込みを禁止。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" 値を091からb5に変更する
19)予防策として、ドライブすべてに「autorun.inf」フォルダを作成。
絶対にひとつも間違えないよう慎重に作業して、約2時間でした。
このウイルス、亜種が増えつづけているようなので、今後も注意が必要です。

  • 2008年5月25日

kavoウイルス、W32.Gmmima.AG、Win32:O

会社さんからソフトのバックアップが戻せなくて困っていると訪問をご依頼いただきましたが、パソコンを起動すると、さほど珍しくないエラーメッセージ「メモリがreadになることはありませんでした」。

ただ、そのアプリケーション名が「kavo.exe」と「tt.exe」。
これはウイルスです。

リムーバブルメディアへ自分自身をコピーすることによって拡散するワームで、オンラインゲームに関する情報を盗み取るそうです。今回はフラッシュメモリが数個開けなくなったそうで、念の為全部のパソコンを起動して確認したところ、3台中2台が感染していました。

このウイルス、非常にやっかいです。
大手のセキュリティソフトで駆除し切れません。
今回のパソコンに入っていたのは「Norton Internet Security2005」、ウイルス定義は最新に更新されていますが、これで駆除しても、完全に駆除ができないので意味がありません。
今のところ一番信用できる「CANON NOD32 アンチウイルス」の体験版をダウンロードしました。

検出されたウイルス名は「W32.Gmmima.AG」 シマンテックの解説
<a href=”http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2007-082706-1742-99&tabid=1″>http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2007-082706-1742-99&tabid=1</a>

トレンドマイクロの解説
<a href=”http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FONLINEG%2ETCZ&VSect=P”>http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FONLINEG%2ETCZ&VSect=P</a>

NODでは、「Win32:OnLineGames [Trj] 。
<a href=”http://canon-its.jp/product/nd/virusinfo/vr_win32_psw_onlinegames_nle.html”>http://canon-its.jp/product/nd/virusinfo/vr_win32_psw_onlinegames_nle.html</a><a href=”http://canon-its.jp/product/nd/virusinfo/vr_win32_psw_agent_ndp.html”></a>

このウイルスについて詳しいサイト
<a target=”_blank” href=”http://sturnus.net/mt/2008/01/kavo-mmvo-1.html”>http://sturnus.net/mt/2008/01/kavo-mmvo-1.html</a>
<a href=”http://techpr.cocolog-nifty.com/nakamura/2008/02/usbq83iwmgfbata_e848.html”>http://techpr.cocolog-nifty.com/nakamura/2008/02/usbq83iwmgfbata_e848.html</a>
<a href=”http://ameblo.jp/sisc/entry-10054943322.html”>http://ameblo.jp/sisc/entry-10054943322.html</a>

インターネットの一時ファイルやシステムの復元に多く検出されるそうで、一時ファイルはまず全部削除、システムの復元も完全に駆除できるまでは停止させます。
レジストリも変更されてしまうので、なるべく新しい情報を手がかりに対処。
感染するOSはWindows98?XP、今のところVistaでの感染報告は無いらしい。

QAサイトで、外付けのHDDが起動しなくなったとか、このウイルスについての症状は報告されていますが、亜種に変化し続けているようで、一旦駆除できても安心できません。
バックアップを取ってリカバリするにしても、そのバックアップにまぎれないとも限りません。
感染源がわからないので、社員の持ち込みのフラッシュメモリからまた感染させられる可能性もあります。
この日は休日だったので、翌日出社してきたら全部のパソコンに「NOD32アンチウイルス」を入れ、定義を最新にして、とリムーバブルメディアを一斉にウイルススキャンして頂くことになりました。

とりあえずの予防策としては、接続する可能性のあるリムーバブルメディアのルートに「autorun.inf」のダミーフォルダを作っておくのが良いらしいです。
?駆除作業後、最初にお困りだったソフトのバックアップはちゃんと戻せるようになりました。