Win (OS) Antivirus Pro 2013 削除について

【スポンサーリンク】

おはようございます、皆様。

それでは今回の投稿にまいりましょう。

【スポンサーリンク】

Win (OS) Antivirus Pro 2013

本日の記事はfake avの投稿となります。

これから紹介するfake avは名称がOSのバージョンによって変化しますのでよくご覧ください。

Win 7 Antivirus Pro 2013

Win 7 Antispyware Pro 2013

Vista Antispyware Pro 2013

Vista Antivirus Pro 2013

XP Antivirus Pro 2013

XP Antispyware Pro 2013

このように使うOSによりインストールされるプログラムが変化します。どうやら感染する過程で悪性サーバーと通信する際に使用しているOSにより感染プログラムが変化しているようです。また感染しますと以下のような画像が表示され、PC内のexeプログラムの起動が阻止されますね。

win-7-antivirus-pro-2013_convert_20121111061217.jpg

なお今回のfakeavの検体と解析結果はトライデントさんよりご提供いただいております。ここに感謝の意を評させて頂きます。

それではこのfake avの概要です。

metascan

https://www.metascan-online.com/en/scanresult/file/971aab0816a04b2696bf5cf8ecaea772

解析結果

http://camas.comodo.com/cgi-bin/submit?file=6b81b3a9c9afc23390d62b048c141eff474adfe1fc900ab2d58a96cd880dd901

感染プログラムの実行ファイル

C:\Users\ミルクだ?い\AppData\Local\tjt.exe

感染後にexeが起動阻止されるのはレジストリ単位で関連付けの変更が行われている様子です。

HKCU\[…]\command : (“C:\Users\ミルクだ?い\AppData\Local\tjt.exe” -a “%1” %*)

HKUS\ユーザ・あたたた番号[…]\command : (“C:\Users\ミルクだ?い\AppData\Local\tjt.exe” -a “%1” %*)

HKCR\[…]\command : (“C:\Users\ミルクだ?い\AppData\Local\tjt.exe” -a “%1” %*)

HKCR\[…].exe : (2lo)

HKLM\[…]\command : (“C:\Users\ミルクだ?い\AppData\Local\tjt.exe” -a “C:\Program Files\Mozilla Firefox\firefox.exe”)

HKLM\[…]\command : (“C:\Users\ミルクだ?い\AppData\Local\tjt.exe” -a “C:\Program Files\Mozilla Firefox\firefox.exe” -safe-mode)

HKLM\[…]\command : (“C:\Users\ミルクだ?い\AppData\Local\tjt.exe” -a “C:\Program Files\Internet Explorer\iexplore.exe”)

他のfake avと比較しますとレジストリ改ざんも少ないかもしれないですね。それでは実際の削除手順について記載しておきます。なお削除手順はvista・7の場合です。

1、まずはPCを再起動してセーフモードとネットワークで起動します。

BIOSの起動画面後(メーカーのロゴが表示される事が多い)から
Windowsロゴが表示される前のタイミングでF8キーを押す

詳細ブートオプション画面でセーフモードとネットワークを選択しEnterキーを押す

2、セーフモードで起動したらまずは隠しファイルを表示するの設定にします。

隠しファイルやシステムファイルを表示させる方法

3、隠しファイルの表示設定が終わりましたらネットより以下のツールをダウンロードしてデスクトップに保存してください。

rougekiller

http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe

malwarebyte

https://www.japan-secure.com/entry/blog-entry-7.html

tdsskiller

www.japan-secure.com/entry/blog-entry-11.html

tcpeye

http://www.geardownload.com/internet/tcpeye-download.html

ATF-cleaner

http://majorgeeks.com/downloadget.php?id=4949&file=9&evp=72ef5a5e927b2276e6a5bc34c89d005a

4、まずは実行ファイルを削除します。

スタート→プログラムとファイルの検索に以下を入力してください。

%USERPROFILE%\AppData\

検索結果よりLocalというフォルダをクリックしてください。表示された画面より以下のようなランダム英数字のファイルを探して右クリック→削除を選択します。

fake 7

5、次にATF-cleanerを実行します。select allにチェックを入れて、empty selectedをクリックします。しばらく待ってdoneと表示されたら完了です。

6、次にrougekillerを実行します。rougekillerは起動しますとそのままスキャンが始まります。終わるまで待ってください。

rougekiller+1_convert_20121111071449.jpg

スキャンが完了しましたら、registryという項目をクリックして検出があることを確認してください。そして赤枠のdeleteをクリックしてください。

ここで注意点が一つ。

お使いのPCで解凍ソフトのbandzipを使用されている方は、このツールを使用しますと左記を悪性プロセスとして検出し、Explorer.exeを停止させてしまうので使わないでください。

代わりにrkillをお使いください。

Rkill

http://www.bleepingcomputer.com/download/rkill/dl/10/ リンク1

http://www.bleepingcomputer.com/download/rkill/dl/11/ リンク2

rkillは実行しますとコマンドプロンプト上で自動的に動作します。

6、ここまでの作業を終えましたら、PCを通常起動してください。マルウェアの起動及びexeファイルの起動阻止が消失しているはずです。

今度はそのままmalwarebyteにてフルスキャンを行なってください。使い方は2の項目のリンク先を参照してください。

7、最後にさらにtdsskillerでルートキットのスキャンを行います。使い方は2の項目のリンク先を参照してください。

ここまでで駆除作業は終了です。最後にダウンロードしてあるtcpeyeにて悪性通信がないかどうか確認してください。

使い方は以下です。

http://answertaker.com/internet/web-utility/tcpeye.html

さて今回の記事は以上ですが、駆除に自信がない方は迷わずリカバリしてください。

最後に皆さん、

脆弱性対策


お忘れなきように!!