« 本購入&母の日&他 | メイン | FFA+変更2件、他 »
突然マルウェアが来たので
マルウェアに感染して大変でした。症状はこんな感じ
・OS起動時にIEのプライバシー設定が最低に変更される
・IE、Firefoxを開いているとたまに広告が表示される
・広告が乗っ取られる
・エクスプローラが頻繁に強制終了する(自身が消されないようレジストリを上書きし続けるせいかも?)
・毎日システムの復元をクリアされる
某大手ウイルス対策ソフトも当てになりませんね。感染後はどのウイルス対策ソフトも検知してくれませんでした。
トレンドマイクロのオンラインスキャン、各種フリー版ウイルス対策ソフト、アドウェア対策系ソフトなどなど
検索しても対処法が見つからず・・・教えてgoo等で同様の被害報告がありましたがクリーンインストールを勧められていました。
それでは負けた気がするので自力で調査
・msconfigでスタートアップ項目確認・・・発見→チェックをはずし再起動をしても解決せず
・お約束という事でsystem32内をチェック・・・ランダムな文字列&バージョン情報に何も書かれていないdllを2つ発見↓どうやら親子関係(セット)のようで・・・
1つはwinlogon.exe(親)、もう1つはlsass.exeに引っ付いているようでした。
どちらも重要なプロセスで下手に強制終了できないので(winlogon.exeは強制終了すると瞬時にPCが落ちる、lsass.exeは強制終了すると1分後にPCを強制再起動される)
regeditで上記dllを指定している部分を削除&値の変更・・・したのですが瞬時に復活。
どうやらそれぞれのexeが自動的に戻しているようでした。
とりあえずlsass.exeを強制終了させ(プロセスモニタツールにて・・・タスクマネージャからは不可能)
1分以内にdllの削除、レジストリの修正、そして再起動・・・起動後数分で再生成(親の仕業)
これは駄目だ、お手上げと思ったのですがふと「あれ、外部から削除したらいいんじゃ・・・」と当たり前の事を思いつき、
HDDを取り出し、外付けして別PCから2つのdllを削除・・・ようやく治りました。
最後にレジストリを掃除して完了。
最近のマルウェアは凄いですね。戻させない、消させない、検知させない。
そもそも何が原因で感染したのかが良くわかっていなかったりするのですが・・・
とりあえずウイルス対策ソフトを過信しては駄目という事ですね。
クリーンインストールは負けです。負け
トラックバック
このエントリーのトラックバックURL:
http://blog.game-can.com/mt/mt-tb.cgi/162
コメントを投稿
About 突然マルウェアが来たので
2008年05月15日 23:34に投稿されたエントリーのページです。
ひとつ前の投稿は「本購入&母の日&他」です。
次の投稿は「FFA+変更2件、他」です。
コメント (2)
ふむ。。。戦争ですね。。。このレベルになるとwww
自分もなんか不安になってきた。。。
侵入経路や原因などはわかっておられるのでしょうか?
そちらの情報も併せて載せていただけると予防になると思います。