回答受付中の質問
THINK POINTの駆除について
THINK POINTの駆除について
THINK POINTに感染してしまいました。
知恵袋を調べ、まずは「Windows Live OneCare PC セーフティ」を実施しましたが、なぜか最後までスキャンが完了しません。
次に「SUPERAntiSpyware Portable」で駆除、更に「Malwarebytes’ Anti-Malware」にて駆除を行い、今のところ問題ありませんが、駆除できたと考えて良いのでしょうか?
cmd.モードでtasklistを確認すると「Hotfix.exe」が消えてます。
完全に駆除できたか確認する方法はありますか?
ネットで買い物(楽天やitunesが主)をすることがあるのですが、今後、クレジットカード番号を入力することに不安を感じてます。
- 補足
- ご教授頂いた内容はTHINK POINTの一時停止と駆除の方法でしょうか?
既に一度、駆除作業は実施し、その後の診断に関する情報を求めております。
Malwarebytes’ Anti-Malwareも実施済みです。
-
- 質問日時:
- 2010/12/8 23:22:04
-
- 残り時間:
- 5日間
-
- 補足日時:
- 2010/12/10 21:53:26
-
- 回答数:
- 2
-
- お礼:
- 知恵コイン
- 250枚
-
- 閲覧数:
- 31
-
- ソーシャルブックマークへ投稿:
- Yahoo!ブックマークへ投稿
- はてなブックマークへ投稿
- (ソーシャルブックマークとは)
回答
(2件中1〜2件)
- 並べ替え:回答日時の
- 新しい順
- |
- 古い順
回答者も字数制限があるので、crara6の別IDです。
まず、先のcrara6回答は、blue888vvさんの処置のみならず
Think Point単発駆除(XP/Vista/7対応)の一般的公開です。
Malwarebytes' Anti-Malware (MBAM)
SUPERAntiSpyware (SAS)
EMSI a-squared Anti-Malware
という類は、確かに 悪玉母体の %AppData%\hotfix.exe を削除できます。
MBAM以外は、あまりにも 取りこぼしが多いけどね。
それらツールでも取りこぼす部分を削除・修復するのが私の作った .batです。
それは、私が何十かの実際の検体を解析後 作成した書式です。
Think Point単発駆除については、.セーフモードとコマンドプロンプトから
.batを実行すれば、上記3ツールは必要ありません。
それ以外の未知な部分の修復には、それらツールに期待しています。
それから、貴方の今回の感染ですけど、
脆弱性対策が施行されてなかったのが要因なのは明白です。
リダイレクトおよびスクリプトダウンローダ
http://www.kaspersky.co.jp/news?id=207581651
この場合は、Think Point という単なる表向きの顔だけでなく、
別のマルウェアにも感染しているかもしれないわけです。
>既に一度、駆除作業は実施し、
→前述が把握出来れば、中途半端というのはお解りですね?
>その後の診断に関する情報を求めております。
→一方的に情報提示を求めていますが、
何故、貴方は自己PCの情報提示をしないのですか?
*OS・・・XP/Vista/7・・・・何?
*インストールされている常駐監視型セキュリティソフト
年式も明確に。例) Norton Internet Security 2011
更新切れしていないか?
*MBAM、SAS の検知・駆除ログを字数制限内で ピンポイント提示。
*どういう経緯で感染したか? 思い当たる節?
・・その位は記載しないと 雲を掴むような回答しか来ませんよ。
診断ですか。先のcrara6回答は、読まれましたか?
最終的には駆除後、CurrPortsで確認(自己判断)と記載してありますけどね。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1050758435...
私の言っていることが把握出来ないとすると、
よもやフリー常駐型セキュリティソフト使いの”通”ではないでしょうから
契約ソフト会社に打診して指示を仰いで下さい。
自己判断出来ない、もしくは
有償セキュリティソフトも未導入でサポートも受けられない状態なら、
御自分のデータ退避後、潔くリカバリ(再セットアップ:取説参照)して下さい。
その後、御心配なら契約クレカ先方に、経緯と今後の対応を相談。
リカバリしてもしなくても、再感染しないような処置を、
先のリンク内を読んで把握して下さい。
私からは、以上です。
PS:
あ、それから このスレは、一方的に削除しないでくださいね。
そして、以降 あなたが納得出来る回答者が現れない場合、
投票に持ち込むかは貴方の判断ですけど、
BAを頂けるなら ↓crara6 にして下さい。
”Think Point駆除方法”・・・の1サンプルとして、
参考閲覧して来た人の目に留まりやすいですから。。。お願いします。
- 違反報告
- 回答日時:2010/12/11 03:09:34
crara6さん
Think Point 駆除方法覚書: 2010/12/10現在。
感染アカウントで実行。
電源ON→ロゴマークが出たあたりで F8キーを連打。
セーフモードとコマンドプロンプトを選択 Enter
以下 各行のコマンドを入力後、Enterキー
全て半角入力。大・小文字の区別無し。■は半角スペースの意味。
書式の行間に、スペースがあると 誤認(その他)するので、
" (ダブルクォーテーション)で囲う方が確実。
操作面で、コマンドプロンプト画面が出たら、
上部バーを右クリック → プロパティ → オプションタブ →
編集オプションの ”簡易編集モード” ”挿入モード” に両方☑
→ OK → OK で、編集しやすくなります。
DEL■"%AppData%\hotfix.exe"
SHUTDOWN■-R
Windowsが通常モードで再起動します。
*******************************************
再起動後の処置。
1) XPの場合: ↓リンク内、 TP-Fix.bat を作成・実行。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1050758435...
2) Vista/7の場合:
以下テキスト(---内、---含まず)を
テキストドキュメント(メモ帳)に、コピー&貼り付け。
Fix-TP-Vista7.bat として C:ドライブ直下に保存。
つまり、 C:\Fix-TP-Vista7.bat となります。
----------
@echo off
REG DELETE "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v shell /f
REG DELETE "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v WarnonBadCertRecving /f
REG DELETE "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v WarnOnPost /f
REG DELETE "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v WarnOnPostRedirect /f
REG DELETE "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v WarnOnZoneCrossing /f
REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /t REG_DWORD /d 1 /v WarnonBadCertRecving /f
REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /t REG_BINARY /d 01000000 /v WarnOnPost /f
REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /t REG_DWORD /d 0 /v WarnOnPostRedirect /f
REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /t REG_DWORD /d 0 /v WarnOnZoneCrossing /f
DEL "%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files\*" /f /s /q
DEL "%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ThinkPoint.*" /f
DEL "%USERPROFILE%\Desktop\ThinkPoint.*" /f
DEL "%AppData%\hotfix.exe" /f
DEL "%AppData%\Install" /f
DEL "%AppData%\Inst.exe" /f
DEL "%AppData%\*.bat" /f
DEL "%Windir%\Tasks\At*.*" /f
DEL "%Temp%\*" /f /s /q
DEL "%Windir%\Temp\*" /f /s /q
SHUTDOWN -R
----------
”感染アカウント”で、セーフモードとコマンドプロンプトで入ります。
コマンドプロンプト画面が起動したら、
"C:\Fix-TP-Vista7.bat" と入力 Enterキー
駆除後、Windowsが通常モードで起動します。
**********************************************
以降は、XP/Vista/7 共通作業。
Windows再起動後、上記 1) リンク内の
Malwarebytes' Anti-Malware(MBAM)をインストール・実行
・・・以降を参照して、トライ・確認して下さい。
- 違反報告
- 回答日時:2010/12/10 11:36:34