このマルウェアについてはネット上に情報があります。
「Microsofg Security Essential」を装った、偽セキュリティソフト。
security essential2010 とは?
Remove Security Essentials 2010 (Uninstall Guide)
上記を参考にしながら慎重に作業します。
テキパキ進めないとどんどんパソコンの反応が悪くなるので、必要なソフト等は別のPCでダウンロードし、フラッシュメモリ(もちろんAutorun対策済み)でデスクトップ上にコピー。タッチパッドが半故障なのに気づく、慌ててUSBマウスを探して接続。USBも一ヶ所故障?
まず、「rkill.com」をダブルクリックして、プロセス停止。
「Malwarebytes’ Anti-malware(MBAM)」を実行。
ネットから切り離していますが、「Malwarebytes」をUpdateしなければいけないので、ここでLANケーブル接続。
ところが、なぜかIPアドレスを取得できないので、急遽無線接続設定。
Update後、スキャン開始。
約30分で駆除完了し、たくさん検出して駆除・削除。
セーフモードで再起動、が、起動できず、通常モードでも起動不可。
最後に起動できた・・・で無事起動、ホッ・・・(汗)。その後セーフモードで再起動できた。
「ATF-Cleaner」を実行し、再起動。
まだスタートアップにpifファイルへのリンクが残っているのでこれを削除して再起動。
Niftyの「ウイルスチェックサービス」を試す。
「Trojan.BAT.KillFiles.np」検出、駆除。
「McAfee Virusscan Enterprise 8.5.0i」がインストールされているが、「オンアクセススキャン 無効」となる。
古いソフトかと思ったが、定義の更新ができるのでスキャンもしてみる。
すると、「Generic FakeAlert!htm」検出及び削除。
「Security Essential 2010」へのリンクが検出・削除され、「vgqljqz.dll(Boaxxe.gen.d)」が削除失敗。
再起動後、再度、「Malwarebytes」でスキャン。
今度は検出0。
「McAfee Virusscan Enterprise 8.5.0i」のオンアクセススキャンは起動時有効にする設定になっているが、いつも無効と表示される。
定義が古くてウイルスを検出できなかったのか、本当に無効になっているのか・・・。
いずれにせよ感染を許してしまったソフトは入っていても信用できないので、アンインストール。
「ESET NOD32アンチウイルス V4.0体験版」をインストール。
NODでは、「Win32/TrojanClicker.Delf.NBXの亜種」が隔離されました。
でも、「vgqljqz.dll」が残ったままです。
ネットでもこのファイル名をググって見ましたが、まったく検索されないところを見ると、ランダムなファイル名だとしたら余計に怪しい。
直接削除しようにも「vgqljqzを削除できません。アクセスできません。ディスクがいっぱいでないか、書き込み禁止にしていないか、またはファイルが使用中でないか確認してください。」と出ます。
セーフモードでも削除できません。
「DLLファイルが削除できない場合」を参考に、
「regsvr32 /u C:\Windows\system32\netcfg.dll」も試しましたが、「実行ファイルではないか、またはこのファイルへのヘルパが登録されていない可能性があります」と出て削除できません。
KNOPPIXでCDから起動してみましたが、「読み込み専用ファイルです」と出て、やはり削除できません。
試しにこのファイルをUSBフラッシュメモリにコピーして、Ubuntuでウイルススキャンするとちゃんと駆除するので、ウイルスに間違いありません。
HijackThisで検出し、
O2 – BHO: (no name) – {670434C1-1553-483B-A9C1-7178B8DFCEC2} – c:\windows\system32\vgqljqz.dll
↑ これにチェックを入れFixを試みましたが、「Hijack This is about to remove a BHO and the corresponding file from your system. Close all Internet Explore windows AND all Windows Explorer windows before continuing for the best chance of success.」と出て、やはり削除できません。
続く
