|
|
いぬさん、イカさん、ありがとうございます。
実は、相談者の詳細を確認する前に駆除方法の準備はしていました。
今回、ノーガード戦法だったので日の目を見ませんでしたw
折角キーボードを撃ちまくって作成したのに、日の目を見ないのはもったいないので、ここで公開します。
----------------------------------
各種ツールを使用したSmart Repairの駆除手順
駆除準備
セーフモードとネットワークでコンピュータを起動
通常モードで起動している場合は、一度電源を切ってください。
複数のユーザーが存在する場合は、Smart Repairが感染した時のユーザーでログインしてください。
隠しファイル・システムファイル・拡張子を表示する
1. スタート→コントロールパネル→フォルダオプションを選択する。
http://bbsee.info/_bbs/nekoou/upload/55a7cf9c71f1c9c495413f934dd1a158.png
2. フォルダオプションの窓が開いたら、表示のタブをクリック。
3. ファイルとフォルダの表示から 全てのファイルフォルダを表示するのボタンをクリック
http://bbsee.info/_bbs/nekoou/upload/e165421110ba03099a1c0393373c5b43.jpg
4. [登録されているファイルの拡張子は表示しない] からチェックを外します。
5. [保護されたオペレーティング システム ファイルを表示しない] からチェックを外します。
http://bbsee.info/_bbs/nekoou/upload/289dff07669d7a23de0ef88d2f7129e7.jpg
(この時、警告ダイアログが開きますが、[はい] ボタンをクリックしてください。)
以降は、この設定を保つようにしてください。
プロキシ設定のリセット
マルウェアの中には、プロキシ設定を勝手に変更するものもあります。
この設定を変更されると、インターネットへのアクセスが妨げられることがあります。
また、リダイレクトも発生します。
先ず、イカのとおりにプロキシ設定を確認して、変更されていれば設定を戻します。
1.スタート→コントロールパネル→ネットワークとインターネット→インターネットオプションを選択する。
2.[接続] タブをクリックして、[ローカルエリアネットワーク] の下にある [LANの設定] をクリックします。
3.プロキシサーバーの [LAN にプロキシ サーバーを使用する・・・] のチェックを確認します。
4.チェックが入っていれば、チェックをはずして [OK] ボタンをクリックして、窓を閉じます。
5.チェックが入っていなければ、そのまま窓を閉じます。
タスク マネジャーで悪性プロセスの終了
タスクバーを右クリックして、[タスク マネージャ(K)] を左クリックします。
別の方法
Windows キーを押しながら、R キーを押します。
または、[スタート] メニューから [ファイル名を指定して実行] をクリックします。
ファイル名を指定して実行が開いたら、taskmgr と入力し [OK] をクリックします。
タスク マネージャが開いたら、プロセスタブをクリックします。
イメージ名にイカがあれば、プロセスを終了させます。
SMART HDD.exe
random.exe (randomとは、8~16桁程度のでたらめ半角英数字です)
該当プロセスを右クリックで [プロセス終了(E)] か、該当プロセスを左クリックで選択して [プロセスの終了(E)] ボタンをクリックします。
タスク マネージャの警告窓は、[はい(Y)] ボタンをクリックしてください。
タスク マネージャを閉じます。
使用ツールのダウンロード
イカ全ての直リンク(ツール)は、リンクを右クリックして「リンク先のファイルをダウンロード」を左クリックして、デスクトップに保存してください。
保存先の設定がマイドキュメントの場合は、デスクトップに移動してください。
* * ま だ 実 行 し な い で く だ さ い * *
ツールがダウンロードできない場合は、別PCを使用して(ネットカフェや家族所有の別PC)USBメモリに保存して、感染PCのデスクットップに移動してください。
RKill
h ttp://download.bleepingcomputer.com/grinler/WiNlOgOn.exe
TDSSKiller
h ttp://support.kaspersky.co.jp/downloads/utils/tdsskiller.zip
Malwarebytes' Anti-Malware (MBAM)
h ttp://www.malwarebytes.org/mbam/program/mbam-setup.exe
Unhide
h ttp://download.bleepingcomputer.com/grinler/unhide.exe
駆除手順
セーフモードとネットワークでSmart Repairが起動しない場合は、RKillの実行の必要は無いです。
RKillの実行
デスクトップに保存したWiNlOgOn.exeをダブルクリックして実行します。
RKillの実行が阻止される場合は、ファイル名の変更(リネーム)が必要です。
デスクトップに保存したWiNlOgOn.exeのアイコンを右クリックして名前の変更(M)を左クリックして、
イカで実行できるファイル名に変更してください。
exPloReR.exe
lsAsS.exe
seRviCeS.exe
SvChosT.exe
WiNlogoN.exe
SmartRepairKillit.exe
SmartRepairFuckoff.exe
汚い言葉が混じっていて不快でしょうが、お許しください。
全て実行できない場合は、大文字小文字を入れ替えて、実行できるファイル名に変更して実行してください。
ランダムなファイル名でもかまいません。
RKillを実行した後は、コンピュータを再起動しないでください。
Smart Repairが再度起動してしまいます。
TDSSKillerの解凍と実行
kyokoさんの状況からルートキット感染も疑われるため、デスクトップに保存したTDSSKiller.zipを解凍してTDSSKiller.exeをリネームして実行します。
イカで実行できるファイル名に変更してください。
exPloReR.com
lsAsS.com
seRviCeS.com
SvChosT.com
WiNlogoN.com
SmartRepairKillit.com
SmartRepairFuckoff.com
全て実行できない場合は、大文字小文字を入れ替えて、実行できるファイル名に変更して実行してください。
ランダムなファイル名でもかまいません。
リネームしたTDSSKillerをダブルクリックして実行します。
使い方の詳細についてはイカを参照してください。
Rootkit.Win32.TDSS ファミリー(別名 Tidserv, TDSServ, Alureon)のマルウェアを削除する方法
http://support.kaspersky.co.jp/viruses/solutions?qid=208283445
Malwarebytes' Anti-Malware (MBAM)の実行
Malwarebytes' Anti-Malwareの使い方についてはトライデント最高指令のブログを参考にしてください。
司令官 報告です!
Malwarebytes' Anti-Malwareの使い方
http://secur1ty.blog116.fc2.com/blog-entry-6.html
Unhideの実行
http://secur1ty.blog116.fc2.com/blog-entry-72.html
ファイルが隠し属性(消滅してしまう)になっていなければ、実行の必要はないです。
------------------------------------
まだ作成途中でしたが、もう使われる事は無いのでw
ここで公開します。
以降は独り言だと思ってください。
>>>セーフモードとネットワークでインターネットエクスプローラには接続できませんでした。
(リアートアクセス接続マネージャーサービスが出来ない、という旨の表示がされました。)
エラー711かな?
エラー711ならば、イカを有効にすれば問題ないような・・・
[スタート] ボタンをクリックし、[ヘルプとサポート] をクリックします。
[作業を選びます] の下にある [ツールを使ってコンピューター情報を表示し問題を診断する] をクリックします。
[ツール] ボックスの一覧の [システム構成ユーティリティ] をクリックします。
右側のウィンドウで [システム構成ユーティリティを開く] をクリックします。これによってシステム構成ユーティリティが開きます。
[サービス] タブをクリックします。
以下のサービスがすべて有効になっていることを確認します。サービスを有効にするには、チェック ボックスをオンにします。
ネットワーク接続
プラグ アンド プレイ
リモート アクセス自動接続マネージャー
リモート アクセス接続マネージャー
テレフォニー
[OK] をクリックし、[再起動] をクリックします。
Windows が再起動した後、確認。
いま、LANの設定を確認させているので、レスまちですけど。
いぬさん、イカさん、ありがとうございます。
今後の状況を見ながら、あまりにも時間がかかりそうな場合は、kyokoさんにプロバイダを聞いてリモートサポートサービスを利用してもらおうかと・・・
BIGLOBEお助けサービスとかw
|
|
相談用基本テンプレート(5)