2010年08月17日
スパイウェア Security Tool
Security Toolなるスパイウェアに感染してしまった!!とのお問い合せ。これは今年の初めにもお問い合せを頂きましたがなんとも復旧できずにリカバリーさせていただいたものと全く同じ・・・・
「多分無理だと思います。」と先ず初めにお断りしてから調査を開始しました。
画面には英語で「あなたのパソコンはこんなにウイルスに感染しています。駆除しますか!?」という主旨のメッセージが表示され、removeやyes等を選択するとクレジットカードで支払いを促されるという詐欺まがいのソフトなのです。
実際は全く感染していないにもかかわらず慌てさせてクレジットカード支払いさせる魂胆ですね・・・
駆除しようとセキュリティーソフトでスキャンしてもひっかからないで、異常なしの結果になる。。。
何もかもがSecurity Toolに制御されてる感じ!
ネットでいろいろと検索していると以前より情報量は増えており、もしかしたら対処できるかもしれないと思いつつ作業を開始しました。
調査した中で英語のサイトではありますがこれにかけてみようと作業に取りかかりました。
Remove Security Toolというツールです。
↓↓
http://www.bleepingcomputer.com/virus-removal/remove-security-tool
使うのは2種類の無料ソフトでした。
作業内容は下記の通りです。
真ん中より下ぐらいにある青色の
青字の[Automated Removal Instructions for Security Tool using Malwarebytes' Anti-Malware]段落の
[3]にある[rkill.com Download Link]をクリックして[rkill.com]というファイルをダウンロード(保存)しました。
保存場所はわかりやすいようにデスクトップです。
ダウンロードしたrkillをダブルクリックして起動するのですが、何度ダブルクリックしてもSecurity Toolのせいで起動しない・・・
DOS窓が一瞬開いて閉じたり、Security Toolにウィルスとして認識されて全く動作しなかったり。。。
何度も同じ事を繰り返していると下記の通りのメモ帳が開いて実行できたようなできないような・・・半信半疑!!
rkill.comのLOG------------
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as username on 2010/08/17 at 12:28:41.
Processes terminated by Rkill or while it was running:
C:\DOCUME~1\username\LOCALS~1\APPLIC~1\943079.exe
C:\Documents and Settings\username\デスクトップ\rkill.com
Rkill completed on 2010/08/17 at 12:28:43.
-------------------------
次に[6]の[Malwarbytes' Anti-Malware Download Link]をクリックして[mbam-setup.exe]をまたデスクトップにダウンロード(保存)します。
実行しようとしますがまたしてもSecurity Toolに邪魔されてインストールができないのでやむを得ずSafeモードで再起動してインストールしました。
無事インストールが終了し、[Malwarebytes' Anti-Malware]の画面が表示されました。Scannerのタブ(左端)の下側のラジオボタン Perform full scanをオンにして
下側のScanボタンをクリックしてスキャンを開始しました。
---
Scanned Files:335,540
Time:3h23m
---
とても時間がかかりましたが無事終了し8個のファイルが感染しているとのログが表示されました。
MalwarebytesのLOG---------
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Database version: 4052
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702
2010/08/17 16:09:31
mbam-log-2010-08-17 (16-09-31).txt
Scan type: Full scan (C:\|)
Objects scanned: 335540
Time elapsed: 3 hour(s), 28 minute(s), 25 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 1
Registry Values Infected: 1
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 4
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Kentem\Common Files\Bin\PDFThumbNail.dll (Trojan.Clicker) -> No action taken.
Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Folders Infected:
(No malicious items detected)
Files Infected:
C:\Kentem\Menu\Exe\ANOTESysCpTemp.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\username\スタート メニュー\プログラム\Security Tool.LNK (Rogue.SecurityTool) -> No action taken.
C:\WINDOWS\system32\mf55dat.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\_ex-08.exe (Trojan.Dropper) -> No ac
-------------------------
最後に[The scan complerete succesfully] [Clic 'Show Results' to display all objects found]のメッセージが表示され[OK]
そうすると、このソフトが見つけたマルウエアの名前がたくさん表示されますので左下の[Remove Selected]をクリックします。
以上で完了!!
といきたかったのですが、通常モードで起動するとやはり駆除できていない!!
あきらめるか・・・・
最後の最後ににもう一つ試してみよう!!
これでだめなら本当にあきらめようということでSafeモードで「PC Tools Internet Security 2010」をインストール。
↓↓
http://www.pctools.com/jp/internet-security/
インストールが停止しているみたいな・・・やっぱりだめだあきらめよう・・・・
不完全のまま停止して再起動したら何とSecurity Toolが起動してこない!!
プログラムからも削除されている!!
ようやく完了の巻でした。
