コントロールパネルが開けないウィルス駆除。
本日のトラブルはウィルス駆除です。
某大学からのご依頼でインターネットを閲覧中に感染してしまいNortonInternetSecurity2007がインストールされているのですが、何度スキャンしても同じウィルスが検出されて修復出来ないとの事です。
問題のPCはSONYのVAIOノート。WinXPです。
早速起動してみるとしばらくすると以下のメッセージ。
Warning! Potential Spyware Operation!
Your computer is making urauthorized copies of your system and
Internet files. Run full scan now to pervent any unathorised access
to your files! Click YES to download spyware remover ...
これ自体がスパイウェアのようです。
「スパイウェアに感染しているので駆除ソフトをダウンロードしてください」と言うようなメッセージ。
「はい」をクリックするとそのサイトに接続されるでしょう。
しかしダウンロードさせようとする駆除ソフトはインチキ駆除ソフトでユーザーにスパイウェアに感染したと危機感をあおり、ソフトをダウンロードさせて料金を振り込ませようとするもの。
そして何度スキャンしても消えないウィルスを確認しようとNortonInternetSecurity2007でスキャン開始。
しばらくするとTrojan.KillAVと言うウィルスが検出されました。
お話のとおり修復出来ずに終了してしまいました。
不審なプログラムがインストールされていないか調べようと「コントロールパネル」を開こうとしましたが見つかりません。
HijackThisでログを確認しようとUSBメモリを差し込むと以下のメッセージ。
しかし「OK」をクリックしたらそのままUSBメモリは認識しました。
どうやらコントロールパネルなどを制限されるウィルスのようです。
HijackThisでログを確認するといくつか怪しいログがありました。
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O20 - AppInit_DLLs: hadjajr.ini
ログからいろいろ調べてみると、どうやら感染しているのはこれのようです。
特に複合感染もしている様子も無いので、こちらの手順通り駆除してみる事にしました。
まずセーフモードで起動しメモ帳でレジストリの修正パッチを作成し適応してみましたが何故かエラーで適応出来ません。
何度作り直してみましたが同じです。
仕方ないのでそこはスルーして以下のレジストリの自動起動設定を削除。
場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:
WinAVX = "<Windowsシステムフォルダ>\WinAvXX.exe"
場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値:
WinAVX = "<Windowsシステムフォルダ>\WinAvXX.exe"
次にコントロールパネルの制限などを解除する為に以下のレジストリを削除。
場所:
HKEY_CLASSES_ROOT\CLSID\
{ABCDECF0-4B15-11D1-ABED-709549C10000}\InprocServer32
値:
(既定) = "<Windowsシステムフォルダ>\vtr133.dll"
場所:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
値:
Enable Browser Extensions = "yes"
場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
値:
NoControlPanel = "1"
場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
値:
NoWindowsUpdate = "1"
場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
値:
EnableBalloonTips = "1"
場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
値:
DisableRegistryTools = "1"
場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
値:
DisableTaskMgr = "1"
次に以下のレジストリも削除。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{ABCDECF0-4B15-11D1-ABED-709549C10000}
次に以下のレジストリを修正。
場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Windows
値(修正前):
AppInit_DLLs = "<Windowsシステムフォルダ>\hrum133.txt"
値(修正後):
AppInit_DLLs = ""
場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon
値(修正前):
Shell = "Explorer.exe C:\WINDOWS\System32\printer.exe"
値(修正後):
Shell = "Explorer.exe"
ここで通常モードで再起動。
後はNortonInternetSecurity2007でウィルススキャン。
駆除出来なかったTrojan.KillAVも今度は駆除出来ました。
後はSpybotでスキャン。
いくつかのスパイウェアを駆除。
最後にhostsファイルも書き変えられていたので新しいhostsファイルを作成して置き変え。
以上で終了です。
今回は感染してからお電話頂いたのが早かったので他のウィルス感染は免れていました。
しかしNortonをインストールしていてもウィルス感染してしまう事もあるんですね。
人気blogランキングに登録しました。クリックご協力ください。
| 固定リンク
« インターネットに接続すると遅くなったり不安定になります。 | トップページ | 「指定されたデバイス、パス、またはファイルにアクセスできません。アクセス許可がない可能性があります。」で実行出来ない。 »
コメント
今晩は。
うわあ。神業でいらっしゃいます。
以前はセキュリティソフトさえ入れておけばという安心感ありましたが、今はそういう事もあるようですね。
A社でだめでもB社では検出するとか、
ウィルスはほぼどこのメーカーも検出しますが、スパイウェアと不正プログラムは、
セキュリティソフト次第で得手不得手があるようです。
投稿: 大夫の監 | 2007年12月 1日 (土) 03時02分
大夫の監さんいつもコメントありがとうございます。
私もウィルス対策ソフトが最新であれば未知のウィルス以外はめったに感染しないと思っていましたが、やはり万全とは言い切れないですね。
でもウィルス対策ソフトが万全だったら我々の仕事も無くなってしまいますけどね(^^;
投稿: EDO | 2007年12月 6日 (木) 11時52分