マカフィーロゴのウィルス駆除。
早速「プログラムと機能」から不正プログラムを手動でアンインストール。
お客様のご申告によると感染した日は6月19日。
日付でソートしてみると
- UltraViewer
- microsoft edge
- google chrome
- AnyDesk
- Advanced identity protector
- SUPERAntiSpyware
この6個です。
microsoft edgeとgoogle chrome問題ないのでとりあえずOK。
Advanced identity protectorは問題ありのプログラムなのでアンインストール。
UltraViewerとAnyDeskはリモートソフトでこれ自体は問題無さそうなのですがお客様のお話では「遠隔操作されている!」との事でしたので一緒に埋め込まれてしまったのかもしれません。
なのでこれらもアンインストール。
残るはSUPERAntiSpyware。これはウィルスや今回の偽アンチウィルスを駆除してくれるソフト。
これも問題は無さそうですがどうせ今から駆除するので一応アンインストール。もしかしたらお客様がご自分で何とかしようとしてインストールしたのかもしれませんね。
一通りアンインストールが終わったらゴミ掃除です。
一度ハードディスクを取り出してメンテPCに接続。
今度はメンテPCからハードディスク内全体をウィルススキャン。
3個程検出されましたので駆除。
再度ハードディスクを戻して起動します。
通常はこれで消えてくれるはずなのですが。。。
何故か消えてくれない警告が出ています。
よく見ると「マカフィー」のロゴです。
もしかしてインストールされているマカフィーがまだ何か検出しているのでしょうか??
しかし飛ばされるサイトのURLを見てみるとマカフィーのサイトとは思えません。
そこでインストールされているプログラムを確認してみるとそもそもこのパソコンにはマカフィーはインストールされていません。
どうやらマカフィーを装った偽アンチウィルスソフトのようです。
プログラムと機能にも表示されないようです。
ずいぶん前にスパイウェアやアドウェアが流行った頃は同じようになかなか駆除出来ないものが多かったです。
特に中華系のアドウェアなどはレジストリにも表示されず実行ファイルを見つけてもどのような仕組みで動いているのか分からないようなものもありました。
最近では良心的?で単なるアンインストールで駆除出来るものが多かったのでこのような悪質なものは久しぶりです。
まずは実行ファイルを探したいのですがショートカットなどの痕跡もありません。
タスクでスケジュールされている可能性もありますのでスケジュールを確認。
しかしそれらしきスケジュールはありません。
レジストリに改ざんが無いか確認するためにHijackThisを使ってログを確認してみます。
HijackThisはウィルスに感染した時に改ざんされやすい場所のログを一覧にして表示してくれる便利なツールです。
探しやすいですし見つけた不正個所を手動で修復する事も可能です。
しかしログを確認しても特に怪しい項目は見つかりませんでした。
次にタスクマネージャを起動し現在起動中のプログラムを確認します。
すると複数のMicrosoft edgeが起動しています。
一つ一つ終了していくと
表示されていた警告メッセージが消えました。
どうやらMicrosoft edgeを介して表示しているようです。
そこでキャッシュファイルの削除やダウンロードファイルの削除など行ってみましたが改善されません。
最悪Microsoft edge自体のリセットをかければ消えるように思いますが、まずは色々と調べてみました。
すると
マカフィーのホームページにそのまんまの症例がありました。
このサイトによると許可リストに表示されている場合ブロックすれば表示されなくなるとの事です。
しかしそれって根本的な解決にはなっていないような気が。。。
取り合えず通知から許可リストを確認すると
確かにありました。
これをブロックリストに追加します。
その後再起動すると
やっぱり出ますね。。。
その後、chromeも同様に確認しましたが同じでした。
そこで最後の手段でMicrosoft edgeの設定をリセットする事にしました。
すると
偽アンチウィルスソフトの警告メッセージは無事消えました。
リセットしてから思ったのですが、もしかしらたら機能拡張を確認したら見つけられたかもしれません。
リセット後に確認しましたが怪しいものはありませんでした。
念の為、数日様子を見ましたが問題無さそうなのでお客様へご返却させて頂きました。
スパイウェアやアドウェアの全盛期はedgeやchromeではなくInternet Explorerが主流でしたのでedgeやchromeが絡んでくるとちょっと慣れませんね。
今回はなぜか改善しませんでしたがキャッシュの削除と該当サイトのブロックで改善するかもしれません。
もし同様のトラブルでお困りの場合は、edgeやchromeも見直して下さい。
※あくまでも今回のケースです。全てのケースで駆除を保証するものではありませんので作業の際は自己責任でお願い致します。
人気blogランキングに登録しました。クリックご協力ください。
宅配修理もお受け致します。PCRサービス宅配修理サービス。
お問合せはこちら
| 固定リンク
コメント
それってブラウザの通知機能を使ってるヤツじゃないでしょうか。
「このサイトの通知を受け取る」とか「許可がうんぬん」とか表示してくるサイトがありますけど、それを受け入れてしまうと記事のようなメッセージが表示され、怪しいサイトへ誘導する内容の通知が表示されます。
メッセージ自体はブラウザが表示していています。
ですので、McAfeeの対策自体は間違っていないですし、通知を受け取るサイトの一覧もあるはずなのでそこから怪しげなサイトを消してやればOKです。
投稿: 通りすがり | 2022年6月24日 (金) 13時28分
貴重なコメントありがとうございます。
なるほど勉強になりました。
一つお聞きしたいのですが、
>通知を受け取るサイトの一覧もあるはずなのでそこから怪しげなサイトを消してやればOKです。
通知を受け取るサイトの一覧とは今回ブロックした通知以外にあるという事でしょうか?
今回はなぜか消えてくれなかったので他の個所があるのであれば教えて下さい。
>通りすがりさん
>
>それってブラウザの通知機能を使ってるヤツじゃないでしょうか。
>「このサイトの通知を受け取る」とか「許可がうんぬん」とか表示してくるサイトがありますけど、それを受け入れてしまうと記事のようなメッセージが表示され、怪しいサイトへ誘導する内容の通知が表示されます。
>メッセージ自体はブラウザが表示していています。
>ですので、McAfeeの対策自体は間違っていないですし、通知を受け取るサイトの一覧もあるはずなのでそこから怪しげなサイトを消してやればOKです。
投稿: EDO | 2022年6月25日 (土) 10時12分