• 2016-11-18 Fri 
  • -
  • -

一定期間更新がないため広告を表示しています


先日Security Tool(トロイの木馬)に感染して滅入ったのでメモしておく。

■症状
2009年12月末ごろより蔓延。
偽のアラートを表示して、画面に「Security Tool」と表示させたり、ユーザーにマルウェアの問題を「修復する」偽のセキュリティ製品を購入させようとするトロイの木馬です。
悪質な動作を隠蔽し、ターゲットに無害なアプリケーションプログラムと思わせてインストールさせる可能性があります。

以下注意事項(※あくまで私の症状での対処tipsです)
・デスクトップからアイコンが消えてしまうがクイック起動に「デスクトップの表示」を表示させておけばアイコンが表示されている画面に戻れる。
・40〜のマルウェア発見したよ〜^^とか報告してくるけどそんなわけ無いのでスルー。
・カード番号?を入力する画面が出るがスルー。
・とにかく怪しげな英文アラート画面が乱発するが根気よくOKボタンを押して対処。
・基本的に他のプログラムが起動不可能になる。メモ帳も無理だった。
・コントロールパネル、タスクマネージャも開かなくなるのでそこからプログラムを削除するのは不可能だった。
・C:¥Documents and Settings¥ALL users¥Application Data¥ここに謎の数列名のフォルダが作られて大元のプログラムがあるようだが削除は不可能だった。デスクトップに作られたアイコンが消しても消しても復活していたので多分右クリ削除では復活するのではないかと予想。
・ブルースクリーンになるが、ガチのブルースクリーンではなくSecurity Toolによる偽画面なのでctrl+alt+delなどで対処すれば元の画面に戻る。
・特にネット接続に関しては問題ないが、駆除中は切っておいた方がいいかも。

■駆除
 ・rkill.com
 ・mbam-setup.exe この二つのプログラムを使う。

ダウンロードは以下のサイトから。

Remove Security Tool
http://www.bleepingcomputer.com/virus-removal/remove-security-tool


まずは上記ページから以下をダウンロード。
見つからなかったら、ctrl+Fで上記を文字列検索すると吉。

rkill.com Download Link(ファイル名:rkill.com)
Malwarbytes' Anti-Malware Download Link(ファイル名:mbam-setup.exe)


保存場所はすぐ開けるようにデスクトップを指定。

1・実際に駆除する為のプログラム「Malwarbytes' Anti-Malware」をインストールする前に、まずrkill.comを起動させなければならないのですが、普通にクリックしていたのではSecurity Toolに遮断されて立ち上がりません。根気よくクリックするという対処法もあるいますが、起動直後が狙い目です。
スタートアップに登録されている不要なアプリケーションを一旦全て削除し(メッセンジャー、Daemon Tools、mixiなど)起動後早く動けるようにする。(メッセなどが起動すると動作が重くなる為)
Security Toolは起動後に立ち上がるので、再起動後、Security Toolが立ち上がる前にすばやくデスクトップにダウンロードしておいたrkill.comを起動。
DOS画面が出て文字列が表示されていけば成功。最後にtxtでログファイルが表示されれば起動完了。

2・mbam-setup.exeをクリックしてインストール。ここでインストールが始まらなければ、rkill.comがまだ起動していません。もう一度,鮃圓Α
「Malwarbytes' Anti-Malware」という画面が出たら(言語選べますが日本語はありません
左端のScannerのタブの下側のラジオボタン「Perform full scan」をオンにして下側のScanボタンをクリック。スキャンが始まります。終了時間はまちまちですが一時間〜くらいはかかると思って良いと思います。

3・他に駆除を解説しているサイトさんに「The scan complerete succesfully. Clic 'Show Results' to display all objects found.」が表示されOKが出たら、OKをクリック。そうすると、このソフトが見つけたマルウエアの名前がたくさん出てきますので全てにチェックを入れて(デフォで入ってますが)左下のRemove Selectedをクリック。
という風にあったのですが、私の場合は放置している間に勝手に画面が消えて終わっている事が多々あった…。果たしてちゃんと削除できていたのか…。
とりあえずこれでSecurity Toolは起動しなくなったかと思います。

ですが当然マルウェアが一発でなくなる訳が無いので、セーフモードで再起動、もう一度「Malwarbytes' Anti-Malware」を起動し再度フルスキャンをかけることをおすすめします。またタスクマネージャを開いてプロセスで不審なプログラムが無いかチェック、何も起動してない状況でCPU使用率が100%になっていたらまだ駆除し切れていないので以下を手作業で削除。

★ファイルの削除

C:¥Documents and Settings¥All Users¥Application Data¥ →86766437というフォルダ
 (中には 86766437.exe というEXEファイル)

C:¥Documents and Settings¥(ユーザー名)¥スタートメニュー¥プログラム¥ →Security Toolというフォルダ

C:¥Documents and Settings¥(ユーザー名)¥スタートメニュー¥プログラム¥スタートアップ¥ →siszyd32.exe

C:¥Documents and Settings¥LocalService¥Application Data¥ →fvgqad.dat

C:¥WINDOWS¥Temp¥ →_ex-08.exe ~TMC.tmp ~TMF.tmp

全て削除する。

★レジストリの編集
regedit起動し以下を検索し該当すれば削除。

・86766437.exe
・_ex-08.exe
・~TMC.tmp

最後に他にウイルスソフトを使っている場合そちらでもフルスキャンをかけるといいかも。私はKingsoft SecurityCareで診断し残留データなどを削除しました。とりあえずこれで一連の作業は完了。
あとはちょくちょく「Malwarbytes' Anti-Malware」で再スキャンかけるなりした方がいいのかもしれない。疑心暗鬼になりすぎて毎日スキャンしてる自分もどうかと思うがな!
本当はリカバリするべきなんだけれどもドライブ破損で出来る環境ではない為現状維持中です。リカバリ可能な環境ならば一度リカバリすることをおすすめします。

今回の敗因はせっかくKingsoft PersonalFirewallが検出してくれた情報をよく見ずにアクセスOKしてしまったことなので自業自得です。とりあえず明日はわが身だと思って最新版のファイヤウォールだけは入れておけってこった。
また上記のメモはあくまで私のパソコンでの対処法なので以上の方法で不具合が起きても責任はもてません…自己責任で…。

1