WorkDesign

お客様のパソコンに発見！

タスクバーに
PC Power Speed
Rebateinformer
SiteRanker
AppGraffiti
もちろんアンインストール。
悪質な場合アンインストールできないとか情報があるけど、一応アンインストールできました。

トップページは
inbox
これも修正。ツールバーは無さそうです。

24×7 Help
なんてのも。もちろんアンインストール。

中古パソコンをもらって、メール設定やセキュリティが無いまま使っているそうで、訪問しました。

PC：NEC LaVie VN750/M
OS：WindowsVista SP1 32bit→SP2
Memory：4GB
インターネット接続：FTTH
キャリア：Bフレッツ
ISP：So-net

まず、メールはYahooメールを設定。
ご自身でも設定を試みたそうですが、パスワードをうまく作れなかったようです。
いろんなコツをお話して、自分で忘れなさそうで強度もまあまあのパスワードができました。

セキュリティソフトですが、「 ウイルスバスター2008（期限切れ）」と「gred アンチウイルス（フリーソフト）」が入っていますが、それ以外に何かタスクバーに海外ソフトらしきものがあります。
IEにも見慣れないツールバーが。
不審に思って調べてみると、どうやら詐欺ソフトです。
PC Power Speed
Rebateinformer
SiteRanker
これはもちろんアンインストール。

「ウイルスバスター2008」はアンインストールして、NTTの「ウイルスクリア」をインストールしたいのですが、OSがSP1ではダメで、SP2にUpgradeする必要があります。
かなり時間がかかるのですが、仕方ないのでこれは実行。
「gredアンチウイルス」は他のセキュリティソフトと併用できると言われていますが、「ウイルスクリア」では拒否されました。
もちろんアンインストール。
アマゾンと楽天に会員登録。
そして、念の為最後にウイルスクリアで完全スキャン。

削除できないDLLファイルを残し、パソコンは一応使えます。

アクティブデスクトップの修復が出るので、アクティブデスクトップの使用をやめ、壁紙は無しに変更。
シャットダウン時に「プログラムの終了 – explorer.exe　このプログラムは応答していません。」と出て、「すぐに終了」をクリックしないとシャットダウンできなくなりました。

「ESET NOD32アンチウイルス V4.0体験版」では、再度スキャンをしても感染無しと出ますが、時々何か不正アクセスを止めているようです。
「Ad-aware free」で、スキャンすると7時間近くかかって完了。Cookieを13個削除しただけでした。

「higaitaisaku.com」の掲示板に個別対応で助けを求めました。

指示に従い、隠しファイルや拡張子を全部表示する設定にし、「CFScript.txt」を作成。
「ComboFix」をダウンロード。
セーフモードで起動し、「CFScript.txt」 を 「ComboFix.exe」 上にドラッグ & ドロップ。
駆除が始まり、数回再起動後完了。
vgqljqz.dllを含め、複数検出し削除されたようです。
でも、この手のスパイウェアは駆除されてもどこかに何か残しており、すぐに復活できるように仕組んでいたりします。
「Silent Runners」 でログ採取
http://www.higaitaisaku.com/silentrunners.html
「Random’s System Information Tool」(RSIT) でログ採取
http://images.malwareremoval.com/random/RSIT.exe

数日かけてhigaitaisaku.com様にログを送り指示を受けて完了しました（感謝）。

今回検出されたウイルス・スパイウェア。
Security Essential 2010
Win32:Rootkit-gen
Trojan.BAT.KillFiles.np
Generic FakeAlert!htm
Adware BHO
その他いろいろ。

このマルウェアについてはネット上に情報があります。
「Microsofg Security Essential」を装った、偽セキュリティソフト。
security essential２０１０ とは？
Remove Security Essentials 2010 (Uninstall Guide)
上記を参考にしながら慎重に作業します。
テキパキ進めないとどんどんパソコンの反応が悪くなるので、必要なソフト等は別のPCでダウンロードし、フラッシュメモリ（もちろんAutorun対策済み）でデスクトップ上にコピー。タッチパッドが半故障なのに気づく、慌ててUSBマウスを探して接続。USBも一ヶ所故障？

まず、「rkill.com」をダブルクリックして、プロセス停止。
「Malwarebytes’ Anti-malware(MBAM)」を実行。
ネットから切り離していますが、「Malwarebytes」をUpdateしなければいけないので、ここでLANケーブル接続。

ところが、なぜかIPアドレスを取得できないので、急遽無線接続設定。
Update後、スキャン開始。
約30分で駆除完了し、たくさん検出して駆除・削除。

セーフモードで再起動、が、起動できず、通常モードでも起動不可。
最後に起動できた・・・で無事起動、ホッ・・・（汗）。その後セーフモードで再起動できた。

「ATF-Cleaner」を実行し、再起動。
まだスタートアップにpifファイルへのリンクが残っているのでこれを削除して再起動。

Niftyの「ウイルスチェックサービス」を試す。
「Trojan.BAT.KillFiles.np」検出、駆除。

「McAfee Virusscan Enterprise 8.5.0i」がインストールされているが、「オンアクセススキャン　無効」となる。
古いソフトかと思ったが、定義の更新ができるのでスキャンもしてみる。
すると、「Generic FakeAlert!htm」検出及び削除。
「Security Essential 2010」へのリンクが検出・削除され、「vgqljqz.dll（Boaxxe.gen.d)」が削除失敗。

再起動後、再度、「Malwarebytes」でスキャン。
今度は検出0。

「McAfee Virusscan Enterprise 8.5.0i」のオンアクセススキャンは起動時有効にする設定になっているが、いつも無効と表示される。
定義が古くてウイルスを検出できなかったのか、本当に無効になっているのか・・・。
いずれにせよ感染を許してしまったソフトは入っていても信用できないので、アンインストール。
「ESET NOD32アンチウイルス V4.0体験版」をインストール。
NODでは、「Win32/TrojanClicker.Delf.NBXの亜種」が隔離されました。

でも、「vgqljqz.dll」が残ったままです。
ネットでもこのファイル名をググって見ましたが、まったく検索されないところを見ると、ランダムなファイル名だとしたら余計に怪しい。
直接削除しようにも「vgqljqzを削除できません。アクセスできません。ディスクがいっぱいでないか、書き込み禁止にしていないか、またはファイルが使用中でないか確認してください。」と出ます。
セーフモードでも削除できません。
「DLLファイルが削除できない場合」を参考に、
「regsvr32 /u C:\Windows\system32\netcfg.dll」も試しましたが、「実行ファイルではないか、またはこのファイルへのヘルパが登録されていない可能性があります」と出て削除できません。

KNOPPIXでCDから起動してみましたが、「読み込み専用ファイルです」と出て、やはり削除できません。
試しにこのファイルをUSBフラッシュメモリにコピーして、Ubuntuでウイルススキャンするとちゃんと駆除するので、ウイルスに間違いありません。

HijackThisで検出し、
O2 – BHO: (no name) – {670434C1-1553-483B-A9C1-7178B8DFCEC2} – c:\windows\system32\vgqljqz.dll
↑ これにチェックを入れFixを試みましたが、「Hijack This is about to remove a BHO and the corresponding file from your system. Close all Internet Explore windows AND all Windows Explorer windows before continuing for the best chance of success.」と出て、やはり削除できません。

続く