XP Smart Security 2010退治
関連記事
- 【#サイバー攻撃】充電式バイブレータからマルウェア検出、USB充電デバイスに注意 【2024年02月26日(月)】
- モデムをつなぐのに必要だったRS-232-CというシリアルI/F 消え去ったI/F史 【2024年02月12日(月)】
- 1枚で96GBのDDR5-5600 R-DIMMがKingstonから、価格は69,300円 【2023年12月13日(水)】
- GeForce 536.67 ドライバ 不具合情報。ブラックスクリーンは直らず。536.40でハードウェア損傷か 【2023年07月22日(土)】
- 【@SHARP_JP】X68000 Zの製品版がAmazonで予約開始、グラディウス付きで価格は29,535円から 【2023年06月08日(木)】
お客さんのパソコンが,急遽異常発生
電話口で症状を聞いていると,どうもウイルスにやられたっぽい
昨日、出張して現場にて駆除をやろうとしたけれども,これが駆除出来ない
インストールしてあった,ワクチンソフトが起動しない
コマンドプロンプトもmsconfigも起動しない
っていうか,プログラムの半分以上が,起動しない
起動するのは,XP Smart Security 2010なる,胡散臭そうなワクチンソフトもどき
さかんに,100ドル振込めと,催促してくる
あやしぃ...(汗
結局,持ち帰り修理(ってことは,宮崎の北のほうへ,返品にもう一往復する必要が...(涙
調べてみたら,Gumblar8080系ウイルスの亜種っぽいのを食らった模様
この辺,puppet氏のブログを参照ってことで(丸投げ(汗
Gumblarとガンブラー (Update) ― べつになんでもないこと
さて,駆除作業...
こちらのページにやり方が書いてありました(英語)
How to remove XP Security Tool 2010, XP Defender Pro, and
Vista Security Tool 2010 (Uninstall Guide)
とりあえず,高校英語2の評価を食らった,オイラが解読してみる(爆
このウイルス(マルウエアの部類?らしいけど,めんどくさいんでウイルスて呼ぼう),こんな名前で勝手に自分のパソコンにインストールされているらしい
AntiSpyware XP AntiSpyware Vista AntiSpyware Win 7
AntiSpyware XP 2010 AntiSpyware Vista 2010 AntiSpyware Win 7 2010
Antivirus XP Antivirus Vista Antivirus Win 7
Antivirus XP 2010 Antivirus Vista 2010 Antivirus Win 7 2010
Total XP Security Total Vista Security Total Win 7 Security
XP AntiSpyware 2010 Vista Guardian Win 7 Antispyware 2010
XP Antivirus Pro Vista Security Tool Win 7 Antivirus Pro
XP Guardian Vista Security Tool 2010 Win 7 Guardian
XP Security Tool Vista Smart Security Win 7 Security Tool
XP Security Tool 2010 Vista Smart Security 2010 Win 7 Security Tool 2010
XP Smart Security Vista AntiMalware Win 7 Smart Security
XP Smart Security 2010 Vista AntiMalware 2010 Win 7 Smart Security 2010
XP AntiMalware Vista AntiSpyware Win 7 AntiMalware
XP AntiMalware 2010 Vista AntiSpyware 2010 Win 7 AntiMalware 2010
XP Antivirus Pro Vista Antivirus Pro Win 7 Antivirus Pro
XP Defender Vista Defender Win 7 Defender
XP Defender Pro Vista Defender Pro Win 7 Defender Pro
XP Security Vista Security Win 7 Security
XP Security 2010 Vista Security 2010 Win 7 Security 2010
XP Internet Security Vista Internet Security Win 7 Internet Security
XP Internet Security 2010 Vista Internet Security 2010 Win 7 Internet Security 2010
多すぎじゃ!
ってことで,実際の作業.
こっから先は、けっこうシステムに激しいことをやりますので、厳重に注意してやってくださいませ
当方は責任取れませんですぅ~.作業に自信がないときは,業者さんに頼みましょう
1.感染したPCとは別に,綺麗な環境のPCを準備
2.綺麗な環境のPCで2つのファイルをダウンロード
レジストリが破壊されているので(プログラムが半分以上起動しないのはこのせい),レジストリの修復ファイルと
ウイルス除去を行うプログラム
ダウンロードはこちら
FixExe.reg 復旧用レジストリファイル
Malwarebytes’ Anti-Malware ウイルス除去プログラム
3.この2つをUSBメモリ辺りにコピる.USBメモリも,変なウイルスに感染してないのが保証出来るやつがいいです.ターゲットPCはワクチンソフトが停止中ですので
USBメモリ感染型とか,他のウイルスが一発感染しかねないです
4.感染したPCにUSBメモリを突っ込み、エクスプローラを立ち上げて,
USBメモリ上の,レジストリファイルFixExe.regをダブルクリック.レジストリを書き換える旨,案内が出るんでそのまま登録
これで,プログラムが起動できない不具合は,解消するはず
5.ウイルス駆除ソフト mbam-setup.exeをダブルクリックしてインストール.言語は”English”あたりを選択してくだされ.日本語には対応していないみたいです
6.インターネットにつながっていることを確認して,インストールした駆除ソフトを起動.最新版のウイルスデータに変更かける旨のアナウンスが入り,データのダウンロードが始まりまする
7.起動したら,こんな感じ
Perform Quick Scanがチェックされていることを確認して,scanボタンを押下
8.検索中
9.イッパイいた(汗
すべての項目にチェックが入っているのを確認して,Remove Selectedを押下して,駆除してください
このあと,PC再起動すれば,暫定復旧
あとは,Gumblarの対策通りのことをやったり,今まで入っているワクチンソフトのデータ更新を掛けて,再チェックしたり
Windows Updateしたり,と,普通のウイルス対策をやって,やっと全面復旧になるはず?
しっかし,こわいねぇ~>Gumblar
うちはまず,食らう可能性は低いやろうとけど、WEB管理やっているうちのお客さんとかが,もし食らって,構築したサイトが乗っ取られでもしたらなぁ...
FTPにアクセス制限を入れようか、思案中...
釈迦に説法なんだろうけど、偽ウイルス対策ソフトをインストールしたのでなく、8080系にやられたなら、rootkitで隠蔽されたボットが潜伏しているはずなので、そっちも駆除しないと踏み台にされるよ。あとMBRを書き換えて潜伏するのもあるとか。
種類が多すぎてベンダーもクリーンインストールを勧めるくらいなので、素直にバックアップしてクリーンインストールした方がいいんじゃないかと。
>>puppet さま
そうねぇ~
それが理想なんじゃろうけど、お客さんの都合もあるしのぉ
費用の問題もある
これ以上はお客さんの判断じゃろうねぇ~
|費用の問題もある
いやいや、そこは「駆除終わりました」と報告して、ボットが残っていて後々問題にならないようにしとかないと。
お客さんに偽ウイルス対策ソフトの駆除だけで、他のウイルスに感染してる危険があるけど、その調査を依頼するなら別料金か、調査なしでクリーンインストール(もちろん料金はとる)という説明はいるんでない?(自分を守る意味で)
ちなみにボットはFTPアカウントだけ盗むんじゃなくて、SNSとかのアカウントも盗むらしいので、Webサイト持ってないお客さんでも油断ならんよ。
>>puppet さま
その辺、ぬかりはありませんわぁ~
こりゃ失礼しました。