« インターネットに接続すると遅くなったり不安定になります。 | トップページ | 「指定されたデバイス、パス、またはファイルにアクセスできません。アクセス許可がない可能性があります。」で実行出来ない。 »

2007年10月 2日 (火)

コントロールパネルが開けないウィルス駆除。

本日のトラブルはウィルス駆除です。

某大学からのご依頼でインターネットを閲覧中に感染してしまいNortonInternetSecurity2007がインストールされているのですが、何度スキャンしても同じウィルスが検出されて修復出来ないとの事です。

問題のPCはSONYのVAIOノート。WinXPです。

早速起動してみるとしばらくすると以下のメッセージ。

Warning! Potential Spyware Operation!

Your computer is making urauthorized copies of your system and
Internet files. Run full scan now to pervent any unathorised access
to your files! Click YES to download spyware remover ...

Al

これ自体がスパイウェアのようです。

「スパイウェアに感染しているので駆除ソフトをダウンロードしてください」と言うようなメッセージ。

「はい」をクリックするとそのサイトに接続されるでしょう。

しかしダウンロードさせようとする駆除ソフトはインチキ駆除ソフトでユーザーにスパイウェアに感染したと危機感をあおり、ソフトをダウンロードさせて料金を振り込ませようとするもの。

そして何度スキャンしても消えないウィルスを確認しようとNortonInternetSecurity2007でスキャン開始。

しばらくするとTrojan.KillAVと言うウィルスが検出されました。

お話のとおり修復出来ずに終了してしまいました。

不審なプログラムがインストールされていないか調べようと「コントロールパネル」を開こうとしましたが見つかりません。

Ko_2

HijackThisでログを確認しようとUSBメモリを差し込むと以下のメッセージ。

Seigenn

しかし「OK」をクリックしたらそのままUSBメモリは認識しました。

どうやらコントロールパネルなどを制限されるウィルスのようです。

HijackThisでログを確認するといくつか怪しいログがありました。

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe

O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

O20 - AppInit_DLLs: hadjajr.ini

ログからいろいろ調べてみると、どうやら感染しているのはこれのようです。

TROJ_AGENT.AASC

特に複合感染もしている様子も無いので、こちらの手順通り駆除してみる事にしました。

まずセーフモードで起動しメモ帳でレジストリの修正パッチを作成し適応してみましたが何故かエラーで適応出来ません。

何度作り直してみましたが同じです。

仕方ないのでそこはスルーして以下のレジストリの自動起動設定を削除。

場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:
WinAVX = "<Windowsシステムフォルダ>\WinAvXX.exe"

場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値:
WinAVX = "<Windowsシステムフォルダ>\WinAvXX.exe"

次にコントロールパネルの制限などを解除する為に以下のレジストリを削除。

場所:
HKEY_CLASSES_ROOT\CLSID\
{ABCDECF0-4B15-11D1-ABED-709549C10000}\InprocServer32
値:
(既定) = "<Windowsシステムフォルダ>\vtr133.dll"

場所:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
値:
Enable Browser Extensions = "yes"

場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
値:
NoControlPanel = "1"

場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
値:
NoWindowsUpdate = "1"

場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
値:
EnableBalloonTips = "1"

場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
値:
DisableRegistryTools = "1"

場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
値:
DisableTaskMgr = "1"

次に以下のレジストリも削除。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{ABCDECF0-4B15-11D1-ABED-709549C10000}

次に以下のレジストリを修正。

場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Windows
値(修正前):
AppInit_DLLs = "<Windowsシステムフォルダ>\hrum133.txt"
値(修正後):
AppInit_DLLs = ""

場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon
値(修正前):
Shell = "Explorer.exe C:\WINDOWS\System32\printer.exe"
値(修正後):
Shell = "Explorer.exe"

ここで通常モードで再起動。

後はNortonInternetSecurity2007でウィルススキャン。

駆除出来なかったTrojan.KillAVも今度は駆除出来ました。

後はSpybotでスキャン。

いくつかのスパイウェアを駆除。

最後にhostsファイルも書き変えられていたので新しいhostsファイルを作成して置き変え。

以上で終了です。

今回は感染してからお電話頂いたのが早かったので他のウィルス感染は免れていました。

しかしNortonをインストールしていてもウィルス感染してしまう事もあるんですね。

人気blogランキングに登録しました。クリックご協力ください。

人気blogランキングへ

|

« インターネットに接続すると遅くなったり不安定になります。 | トップページ | 「指定されたデバイス、パス、またはファイルにアクセスできません。アクセス許可がない可能性があります。」で実行出来ない。 »

コメント

今晩は。
うわあ。神業でいらっしゃいます。

以前はセキュリティソフトさえ入れておけばという安心感ありましたが、今はそういう事もあるようですね。

A社でだめでもB社では検出するとか、

ウィルスはほぼどこのメーカーも検出しますが、スパイウェアと不正プログラムは、
セキュリティソフト次第で得手不得手があるようです。

投稿: 大夫の監 | 2007年12月 1日 (土) 03時02分

大夫の監さんいつもコメントありがとうございます。

私もウィルス対策ソフトが最新であれば未知のウィルス以外はめったに感染しないと思っていましたが、やはり万全とは言い切れないですね。

でもウィルス対策ソフトが万全だったら我々の仕事も無くなってしまいますけどね(^^;

投稿: EDO | 2007年12月 6日 (木) 11時52分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック


この記事へのトラックバック一覧です: コントロールパネルが開けないウィルス駆除。:

« インターネットに接続すると遅くなったり不安定になります。 | トップページ | 「指定されたデバイス、パス、またはファイルにアクセスできません。アクセス許可がない可能性があります。」で実行出来ない。 »