トロイの木馬に感染した結果、現在windows update を手動で行おうと思っています。...
2014/5/3121:45:59
トロイの木馬に感染した結果、現在windows update を手動で行おうと思っています。その為のmicrosoftのサイトがどこかわからないので、教えて下さい(先に結論だけ記しました)
win7とie9を使用しています
.
現在、コントロールパネルからのupdateが正常に行われません。また、とあるやり取りで、microsoftのサイトに直接訪問すれば、updateが成功する可能性が高いことを確認しています。また、以前xpを使用していたときも、microsoftのサイトに直接訪問してupdateしていましたので、今回も暫くそうしたいと思っております
経験上、microsoftのサイトをネット検索すると、毎回ニアミスのサイトばかりヒットしますので、個人的には、こちらで伺った方が速く済むと思いました
<補足:経緯>
現在私のPCは、トロイの木馬に感染している可能性が高いです
感染経路は不明。最近話題のie脆弱性と関係があるかもしれませんが、普段からupdateやウィルスチェック等は行ってきました
気付いたきっかけは、キングソフトから「スタートアップ項目変更のおそれあり」との通知でした。そこで変更拒否したにもかかわらず、後日、「システム構成」にて確認したところ、「v3configure」なる名称の項目が追加されていました
調べた結果、以下のシマンテック社のレポート内容と、部分的に共通していました
ttp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2014-052808-0317-99&tabid=2
v3configureについては、以下の通りです
製造元:不明
コマンド:rundll32.exe C:\windows\TEMP\98768515.txt,A
場所:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
また、v3configureでレジストリ検索した結果、以下もヒット
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
PCの具体的症状は、以下の通り
①IEを使用すると、4GBあるメモリ(実装)がフル稼働になってしまう
②yahooトップページにて、IE6未満であると判断される
③IEがよく動作停止する
④win updateに失敗する
⑤PC起動時やネット中、ウィルス(Win32.Heur.KVML900001.a.(kcloud))が発生する
具体的対処は、以下の通り
・IE再インストール(改善されず)
・上記該当レジストリ削除
・98768515.txt,A削除
結果④以外は改善しますが、暫くするとまたv3configureが現れ、①-⑤の症状が発生します
ちなみに、v3configureが削除されると、rundll32exe(updateに必要?)が機能停止するという関係(プロセスで確認済)に気付きましたが、機能してもしなくても、④は変わりません
ノートンを使用するつもりはありません
結果、見出しの結論に至ります。
補足回答ありがとうございます
win7 のUpdateのWebページが無いこと、初耳でした
現状、rundll32停止後の、98768515.txt,Aデータの上書き改変で凌いでいますが、案の上、rundll32は再起動せず、④もできません
御サイトでの個別サポートについては、誠に恐縮ですが、一考する時間をいただきたく思い、つきましてはお手数ですが、念のため、「一般的なマルウェアの駆除手順」をご教示いただけないでしょうか?
- 閲覧数:
- 219
- 回答数:
- 3
- お礼:
- 100枚
ベストアンサーに選ばれた回答
編集あり2014/6/118:11:09
補足につきまして
承りました。
それでは作業のご案内をいたします。
作業に先立ちまして、以下のソフトウェアをご用意ください。
Iobit Uninstaller(通称:IU)
公式ページ↓
http://jp.iobit.com/free/iou.html
解説↓
http://milksizegene.blog.fc2.com/blog-entry-282.html
片付けのときはIUを起動中にIUを選択して削除するのですが、
ポータブル版をお使いの場合はフォルダごと削除してください。
また、Revo Uninstallerなどの別の削除支援ソフトをお使いの場合は、
そちらを利用して削除してください。
「AdwCleaner」(通称:AC)
http://www.bleepingcomputer.com/download/adwcleaner/dl/125/
ファイル直リンクです。アクセスしてファイルを
分かりやすい場所に保存しておいてください。
片付けるときは起動後に「uninstall」ボタンを押せば自動で削除されます。
準備できたら作業を開始しましょう。
まずは、以降の駆除作業でトラブルが発生しても直ちに復旧できるよう、
システムの復元ポイントを手動で作成しましょう。
http://windows.microsoft.com/ja-jp/windows7/create-a-restore-point
しかし、システムの復元はPCにかなりのダメージを与えますので、
できれば使わないほうが望ましいです。
システムの復元が必要のない、慎重な作業を心がけましょう。
PCをセーフモードで起動してください(やり方↓)
http://www.pc-master.jp/sousa/s-safemode.html
IUを起動させてください。
削除リストの一覧が表示されましたら、
かなり多いですが以下に記述する文字が含まれているもののうち、
PC内にあるものすべてを削除してください。
削除方法の詳細は下記。
メジャーなマルウェアと危険要素リスト(ABC順)
Adobe Flash Player 13を除くすべて
Adobe Reader XI(11.0.07)を除くすべて
Advanced System Protector
AVG Security Toolbar
Babylon
baidu
Conduit
DealPly
Delta
File Opener
Foxtab
Free Zip
Inbox
Java 7 Update 55を除くすべて
LemurLeap
McAfee Security Scan Plus
Mobogenie
MyPC Backup
Navinow
Open Candy
PDF Complete
Plus-HD
Price Meter
Privoxy
RegClean Pro
Search Protect
Show-Password
SweetIM
SweetPacks
Systweak
webget
WinZip
XnView
YoutubeAdblocker
YoutubeMP3Extension
日本hao123
まだまだ居ますが、割愛します。
IUで見つけたものの横にあるチェックボックスにチェックを入れ、
削除ボタンを押すと、通常のアンインストーラーが起動します。
アンインストーラーでの削除が完了すると、IUでパワフルスキャンが
選択できるようになっておりますので、そちらを選択し、
検出されたものすべてにチェックを入れて、削除ボタンを押します。
アンインストールの際に再起動を行う旨の案内があった場合、
後で手動で再起動する等を選択し、
その場で再起動させないようにしましょう。
IUでの駆除が完了しましたら、ACを起動させてください。
Scanをクリックしてスキャンを開始します。
スキャンが完了しましたら、Cleanをクリックして掃除してください。
その後、指示に従って押してゆくと、自動的にPCが再起動します。
そのまま通常モードで再起動を行ってください。
通常モードでの再起動が完了しましたら、
再びACを起動させ、Uninstallボタンを押してください。
その後IUを起動させ、IUを選択して削除してください。
-------
Windows Vista/7/8/8.1においては、Windows UpdateのWebページは
誠に残念ながら存在しません。
代わりとして、Microsoftダウンロードセンターを用い、
アップデートが可能なものを一つずつ手動でダウンロードし、
実行してインストールを行う必要があります。
http://www.microsoft.com/ja-jp/download/
現状をお伺いする限りにおいては、スタートアップまたは
スケジュールされたタスクが影響している可能性が高いです。
状況から察するに複数のトリガーがある模様ですので後者ですね。
一般的なマルウェアの除去についてのご案内はこちらでも出来ますが、
恐らくそちらでは解決に至らないと思います。
それでも試してみると仰られるのでしたら、補足よりご連絡をいただければ、
一般的なマルウェアの駆除手順をご案内させていただきます。
レジストリはPCの心臓部分です。
一つ操作を誤るだけで簡単にPCが起動しなくなりますので、
事前のバックアップや復元ポイントの作成等、
準備は万全の状態で行うようにされてください。
悪代官の伏魔殿において駆除サポート依頼を受け付けておりますので、
よろしければそちらもご活用いただければと思います。
URLは私IVNOが管理をさせていただいている、別館のURLとなります。
http://other-place.bbs.fc2.com/
ご相談に際し、以下URLよりHJTとCCのログをご用意いただき、
そちらを添付してご相談ください。
http://otherplace.html.xdomain.jp/prepare.html
なお、P2Pファイル共有ソフトをご利用になられている場合等は、
ご相談をお受けすることが出来ません。
また、業務用PCのご相談は行っておりません。
質問した人からのコメント
2014/6/5 20:26:20
ivno_chiebukuro様
補足に対してまでお付き合い下さいまして、ありがとうございました。
結論から申し上げて、現在PC正常化が叶ったと思われます。
詳細につきましては、以下に私の別ID(ryonekaune_02)によって、記載させていただきました。
ivno_chiebukuro様のご指導からは、異常事態時の適切なPC操作の手順を学ぶことができました。重ねて感謝致します。
- ベストアンサー以外の回答
- 1〜2件/2件中
- 並び替え:回答日時の
- 新しい順
- |古い順
2014/6/520:24:08
ivno_chiebukuro様
ryonekauneの別IDです
補足に対してまでお付き合い下さいまして、ありがとうございました
結論から申し上げて、現在PC正常化が叶ったと思われます
略式で済まそうかと思いましたが、このまま詳細な経緯を記さずに質問を閉じれば、お付き合いいだだいたivno_chiebukuro様に聊か失礼かと考えました。そこで以下には、駄文ながら、主として補足時点以降の経緯を記しておきたいと思います
<経緯>
まず、ご教示いただいた「一般的なマルウェアの駆除手順」を行いましたが、ご推測通り、補足時点の状況からの改善は見られませんでした。しかし、応急処置である「98768515.txt,A上書き改変」が思いの外効いていました
もしかしたら、「悪意の命令を出している、検出されない他の上位プログラム(X)」の命令は、98768515.txt,Aを経由して為されており、そのデータの上書き改変によって、命令が遮断されていたからなのかもしれません。また、敢えて98768515.txt,Aを削除せず、中身だけすり替えることによって、Xは、依然として機能する98768515.txt,Aが存在すると勘違いし、新たに98768515.txt,Aを作成することがなかったからなのかもしれません
その後も、解決策のヒントは無いかとネット検索していたところ、今回の私の感染経路は、pandoraでほぼ間違いなく、原因はAdobe Flash Playerの脆弱性であろうことが判りました
ttp://www.yomiuri.co.jp/it/security/goshinjyutsu/20140530-OYT8T50219.html
『【速報】H.I.S.が改ざん被害、銀行ウイルス感染(2014年05月30日 17時22分)』
そして、暫くしてKINGSOFT(無料版)から最新バージョンの通知があり、アップデートしたところ、これまで検出できなかった、新たなトロイの木馬が検出されました
ファイル:C:\ Windows \ system32 \ midimapbits.dll
ウィルス名:Win32.Troj.Generic.a.(kcloud)
これを駆除してから、試しに98768515.txt,A等の関連ファイルを削除したところ、暫くしてrundll32が起動しても、v3configure や98768515.txt,Aが現れることは、それ以降ありませんでした。ここで、X=midimapbitsだったことがほぼ確定しました
しかし、依然として④は改善しないままでした。また、KINGSOFTによって、「サービス項目」を調べていたところ、今度は、Background Intelligent Transfer Service(BITS)に異常が発生していることが判りました
KINGSOFTによれば、「参照すべきプログラムが無くなったので、それを再インストールせよ」とのことでした。「コントロールパネル」→「管理ツール」→「サービス」にて、BITSの状態を確認してみると、midimapbits駆除以前は、「状態」項目が「開始」だったにもかかわらず、「停止」の状態になっていることが判りました
「プロパティ」から手動で「開始」を選択しても、エラーが発生しました
・エラー126:「指定されたモジュールがみつかりません」
そこで念のため、midimapbitsでレジストリ検索をしてみると、以下がヒットしました
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\BITS\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\BITS\Parameters
値の名前:ServiceDll
値のデータ:C:\windows\system32\midimapbits.dll
ここまで判明したことにより、「BITSにどのプログラムを参照させるかを決定」する命令自体が改変されている可能性を考えるに至り、その仮定を前提としてネット検索してみると、以下のサイトがヒットしました
ttp://punipuni.blog2.fc2.com/blog-entry-329.html
『剣神劇団オフィシャルブログ』
上記サイトの内容によると、私とは感染経路は違いましたが、本来の前記の「値のデータ」が「qmgr.dll」であることに気付きました
よって、前記2つのレジストリを正規に書き換え、PCを再起動してみると、BITSの起動が正常に戻り、windows updateも行えるようになりました。ここで、ようやく④も改善されました
その後、念には念を入れて、感染要因であるAdobe Flash Playerについては、最新バージョンとなっておりましたが、再インストール(アンインストール&インストール)しました。また、前記シマンテック社の報告にある、トロイの木馬が作成するとされるファイルを再検索し、該当したものを削除しました
Cf)
%UserProfile%\Local Settings\Temp\ieversion.dat
%UserProfile%\Local Settings\Temp\gameenabled.jpg
%UserProfile%\Local Settings\Temp\winurl.dat
%UserProfile%\Local Settings\Temp\version.dat
C:\a.dat
但し、似ていても場所が違い、ファイル作成日時が数年前のものは除き、私の場合、該当したのは、「C:\a.dat」のみでした
以上の事を行った後で、再度KINGSOFTによってメンテナンスを行い、現在時刻に至りますが、PCに異常は無く、至って快調です
ivno_chiebukuro様のご指導からは、異常事態時の適切なPC操作の手順を学ぶことができました。重ねて感謝致します
2014/6/504:20:00
>気付いたきっかけは、禁具ソフトから...(i_i)
→症状と類似する御提示のSymantecレポートから見て、
Trojan.Backdoor;Trojan.PWS;Trojan.Downloader;です。
楽観的にはボット化していないと推測されますが、
そうこうしている内に、ネット決済のみならず、
キータイピング行為で、このポータルのアクセスID,Pass,
も搾取される恐れがあります。今回の事例では、
物理的にネット遮断・データ退避・リカバリ・が王道。
何方様が言われている、
;Iobit Uninstaller;AdwCleaner;システムの復元;
では解決ムリな事案です。
----------------------------------------------------
*一般的なマルウェアの駆除手順→気休め。要検索。
1) 通常モード:
;rkill(OS再起動毎に実行)
;TDSSKiller
;Malwarebytes Anti-Malware
;ComboFix:スキャン後は、悪性と判断されるシステム設定
(レジストリ値含)を初期設定に巻き戻しますから御了承の程を。
2) Windowsを起動させずにスキャン(ブータブルメディア作成)
有線LAN接続してウイルス定義を最新にアップ後にスキャン。
;Kaspersky RescueDisk 10
;Avira Rescue System
;Windows Defender Offline
3) スキャン駆除後、ネットワークモニターで悪性通信が無いか判断:
CurrPorts
----------------------------------------------------
↑おっしゃるような"一考する時間をいただきたく"どころか、
ツールを理解して操作するまでに年が明けちゃいますでしょ。
しかも定例ツールを提示しただけで、多分感染から脱出できません。
潔くリカバリ後は、基本的な感染防止対策を:
http://www.active.go.jp/knowledge/index.html