• 2016年3月30日

Search PilePC:富士通 FMV LIFEBOOK SH54/D
OS:Windows7 Home Premium 64bit
Memory:4GB

インターネット接続:FTTH
キャリア:au one  net
ISP:au one net

前回訪問後にWindowsUpdateができているのか不明で、ネットが繋がらなくなり、何度かメールでサポートしましたが、結局インターネット回線自体が断線していたそうです。
au側対応でネットは回復しましたが、何か変な画面が出るそうで、なかなか訪問の日程調整が難しいので遠隔操作で対応することにしました。

「MicrosoftSecurityEssentials」定義更新、スキャン、異常無し。
GoogleChromeを起動すると、トップページが「Search Pile」になっているので、これは修復。
検索エンジンは「searchinterneat-a.akamaihd.net」が既定になっているので削除。

searchinterneat

拡張機能に「Facts Right」「RealDownloader」「PassWidget」有り、削除。Facts Right

「Hao123」アンインストール。
毎週定期的にBonjour Serviceのエラー多数有り。これはiTunesがらみと思われるけど体感できるような障害は起こっていないようなので様子を見ます。
WindowsUpdateはネット回復後は自動更新できていました。

ネットで調べてみると、「akamaihd.net」はFacebookと関係あるらしい。
「RealDownloader」は「RealPlayer」をインストールすると入るらしい。
「RealPlayer」はフリーソフトだけど、ダウンロード時におまけがついてきます。
家族で複数の人が使うパソコンなので、定期的にこうやって保守するのが良いかと思います。

  • 2012年5月3日

詐欺ソフト「PC Power Speed」

お客様のパソコンに発見!

rebateinformerタスクバーに
PC Power Speed
Rebateinformer
SiteRanker
AppGraffiti
もちろんアンインストール。
悪質な場合アンインストールできないとか情報があるけど、一応アンインストールできました。

トップページは
inbox
これも修正。ツールバーは無さそうです。

24×7 Help
なんてのも。もちろんアンインストール。

inbox

  • 2012年4月21日

詐欺ソフト発見

中古パソコンをもらって、メール設定やセキュリティが無いまま使っているそうで、訪問しました。

PC:NEC LaVie VN750/M
OS:WindowsVista SP1 32bit→SP2
Memory:4GB
インターネット接続:FTTH
キャリア:Bフレッツ
ISP:So-net

まず、メールはYahooメールを設定。
ご自身でも設定を試みたそうですが、パスワードをうまく作れなかったようです。
いろんなコツをお話して、自分で忘れなさそうで強度もまあまあのパスワードができました。

セキュリティソフトですが、「 ウイルスバスター2008(期限切れ)」と「gred アンチウイルス(フリーソフト)」が入っていますが、それ以外に何かタスクバーに海外ソフトらしきものがあります。
IEにも見慣れないツールバーが。
不審に思って調べてみると、どうやら詐欺ソフトです。
PC Power Speed
Rebateinformer
SiteRanker
これはもちろんアンインストール。

「ウイルスバスター2008」はアンインストールして、NTTの「ウイルスクリア」をインストールしたいのですが、OSがSP1ではダメで、SP2にUpgradeする必要があります。
かなり時間がかかるのですが、仕方ないのでこれは実行。
「gredアンチウイルス」は他のセキュリティソフトと併用できると言われていますが、「ウイルスクリア」では拒否されました。
もちろんアンインストール。
アマゾンと楽天に会員登録。
そして、念の為最後にウイルスクリアで完全スキャン。

 

  • 2010年5月15日

Security Essential 2010 他多数駆除完了

削除できないDLLファイルを残し、パソコンは一応使えます。

アクティブデスクトップの修復が出るので、アクティブデスクトップの使用をやめ、壁紙は無しに変更。
シャットダウン時に「プログラムの終了 – explorer.exe このプログラムは応答していません。」と出て、「すぐに終了」をクリックしないとシャットダウンできなくなりました。

「ESET NOD32アンチウイルス V4.0体験版」では、再度スキャンをしても感染無しと出ますが、時々何か不正アクセスを止めているようです。
「Ad-aware free」で、スキャンすると7時間近くかかって完了。Cookieを13個削除しただけでした。

「higaitaisaku.com」の掲示板に個別対応で助けを求めました。

指示に従い、隠しファイルや拡張子を全部表示する設定にし、「CFScript.txt」を作成。
ComboFix」をダウンロード。
セーフモードで起動し、「CFScript.txt」 を 「ComboFix.exe」 上にドラッグ & ドロップ。
駆除が始まり、数回再起動後完了。
vgqljqz.dllを含め、複数検出し削除されたようです。
でも、この手のスパイウェアは駆除されてもどこかに何か残しており、すぐに復活できるように仕組んでいたりします。
「Silent Runners」 でログ採取
http://www.higaitaisaku.com/silentrunners.html
「Random’s System Information Tool」(RSIT) でログ採取
http://images.malwareremoval.com/random/RSIT.exe

数日かけてhigaitaisaku.com様にログを送り指示を受けて完了しました(感謝)。

今回検出されたウイルス・スパイウェア。
Security Essential 2010
Win32:Rootkit-gen
Trojan.BAT.KillFiles.np
Generic FakeAlert!htm
Adware BHO
その他いろいろ。

  • 2010年5月12日

Security Essential 2010 他多数 駆除中

このマルウェアについてはネット上に情報があります。
「Microsofg Security Essential」を装った、偽セキュリティソフト。
security essential2010 とは?
Remove Security Essentials 2010 (Uninstall Guide)
上記を参考にしながら慎重に作業します。
テキパキ進めないとどんどんパソコンの反応が悪くなるので、必要なソフト等は別のPCでダウンロードし、フラッシュメモリ(もちろんAutorun対策済み)でデスクトップ上にコピー。タッチパッドが半故障なのに気づく、慌ててUSBマウスを探して接続。USBも一ヶ所故障?

まず、「rkill.com」をダブルクリックして、プロセス停止。
「Malwarebytes’ Anti-malware(MBAM)」を実行。
ネットから切り離していますが、「Malwarebytes」をUpdateしなければいけないので、ここでLANケーブル接続。

ところが、なぜかIPアドレスを取得できないので、急遽無線接続設定。
Update後、スキャン開始。
約30分で駆除完了し、たくさん検出して駆除・削除。

セーフモードで再起動、が、起動できず、通常モードでも起動不可。
最後に起動できた・・・で無事起動、ホッ・・・(汗)。その後セーフモードで再起動できた。

「ATF-Cleaner」を実行し、再起動。
まだスタートアップにpifファイルへのリンクが残っているのでこれを削除して再起動。

Niftyの「ウイルスチェックサービス」を試す。
「Trojan.BAT.KillFiles.np」検出、駆除。

「McAfee Virusscan Enterprise 8.5.0i」がインストールされているが、「オンアクセススキャン 無効」となる。
古いソフトかと思ったが、定義の更新ができるのでスキャンもしてみる。
すると、「Generic FakeAlert!htm」検出及び削除。
「Security Essential 2010」へのリンクが検出・削除され、「vgqljqz.dll(Boaxxe.gen.d)」が削除失敗。

再起動後、再度、「Malwarebytes」でスキャン。
今度は検出0。

「McAfee Virusscan Enterprise 8.5.0i」のオンアクセススキャンは起動時有効にする設定になっているが、いつも無効と表示される。
定義が古くてウイルスを検出できなかったのか、本当に無効になっているのか・・・。
いずれにせよ感染を許してしまったソフトは入っていても信用できないので、アンインストール。
「ESET NOD32アンチウイルス V4.0体験版」をインストール。
NODでは、「Win32/TrojanClicker.Delf.NBXの亜種」が隔離されました。

でも、「vgqljqz.dll」が残ったままです。
ネットでもこのファイル名をググって見ましたが、まったく検索されないところを見ると、ランダムなファイル名だとしたら余計に怪しい。
直接削除しようにも「vgqljqzを削除できません。アクセスできません。ディスクがいっぱいでないか、書き込み禁止にしていないか、またはファイルが使用中でないか確認してください。」と出ます。
セーフモードでも削除できません。
DLLファイルが削除できない場合」を参考に、
「regsvr32 /u C:\Windows\system32\netcfg.dll」も試しましたが、「実行ファイルではないか、またはこのファイルへのヘルパが登録されていない可能性があります」と出て削除できません。

KNOPPIXでCDから起動してみましたが、「読み込み専用ファイルです」と出て、やはり削除できません。
試しにこのファイルをUSBフラッシュメモリにコピーして、Ubuntuでウイルススキャンするとちゃんと駆除するので、ウイルスに間違いありません。

HijackThisで検出し、
O2 – BHO: (no name) – {670434C1-1553-483B-A9C1-7178B8DFCEC2} – c:\windows\system32\vgqljqz.dll
↑ これにチェックを入れFixを試みましたが、「Hijack This is about to remove a BHO and the corresponding file from your system. Close all Internet Explore windows AND all Windows Explorer windows before continuing for the best chance of success.」と出て、やはり削除できません。

続く

  • 2008年8月14日

Hacked by Godzilla

お客様のパソコン、IEのタイトルバーに「Hacked by Godzilla」と表示されます。
ウイルスチェックではウイルスは検出され駆除も完了しています。
Spybotでスパイウェア駆除も完了しています。

Cドライブをダブルクリックで開けません。
Cドライブを右クリックでは開けます。
Cドライブ内に「autorun.inf」ファイルがありました。
これは[ctrl]+[Deleat] で削除。

調べたところ、これはウイルス駆除後に手作業でレジストリの修復が必要でした。
ウイルス駆除ソフトは駆除はしますが、ウイルスによって変更されたパソコンの修復はしないんです。

symantecサイト

“Hacked By Godzilla” ?

駆除ツールもあったり、また怪しげな駆除ツールもあったりで、一番確かなのはやはり手作業かなと思い、レジストリを修復。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“MS32DLL” = “%Windir%\MS32DLL.dll.vbs”を削除

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
“Window Title” = “Hacked by Godzilla”を削除


ググっていて見つけましたが、「hacked by pokemon」なんてのもあるそうです。
これも最近増えてきたリムーバブルメディアで感染するウイルスです。
予防として、Cドライブに「autorun.inf」というフォルダを作っておきました。