昨日は,同僚のPCに届いたおかしなメールからスパイウェアが入って大変.
JAだったら,英語のオンリーのメールはスパムだと思って速攻削除ですけど,たまたま,地元の会社と仕事がらみでメールのやり取りをしていたから,それだろうとクリックしたそうだ.
彼曰く
1.クリックしたらメッセージが流れた.
2.それが消えたと思ったら,このPCにはウィルスを発見したのメッセージ.
3.膨大な数のファイルがウィルスに汚染されている,とメッセージ
4.対処するには...のHP.へ行き,ウィルスソフトを買え.
5.クレジットカードのIDとパスワードを入力する画面が現れたそうだ.
そもそも,膨大な数のウィルスに汚染されている...あたりから怪しいと思うのと,即,ウィルスソフトを買えって来たらこりゃまさに,スパムソフトだわ.
彼は,クリックした時点でこりゃまずいと思ったそうでした.
すると,まず,デスクトップの画像が消えるし,アンチウィルスソフトはウィルスがあるから削除しますか? とポップアップメッセージが現れる.
当然,削除したのではありますが,それは序章に過ぎず,ザ・ロンゲストデーの始まりでした.
ヤレヤレと再起動したところ,このスパイソフト,PCを再起動する度に,同じ実行ファイルが作られる.XPのシステム上の影響なのか良く判らないけど,ウィルススキャンで何度消しても,再起動の度に消す事になる.
ってわけで,ネットで検索して見つけたのが,ココ.
「Antivirus XP 2008」 だってさ.
巧妙な手を使ってますね.これなら騙されそうな気もしないでもない.
このスパイソフトは起動時に,何処かにあるファイルが,その実行ファイルに姿を変えるのか作るのか,EXEファイルとDLLファイルを探したら,¥windows¥system32のフォルダーに....aaab.exeとかqgwag...32.dll と言う妙に怪しいファイルを発見.
ところがこのファイル,システム起動で使われているから,WinXPのファイル操作では削除出来ない.
結局,色々やったら直ったので,ロジカルに片付けたのではなく,その作業をリストアップしてみました.
調査
1.スパイウェア駆除ソフトの「Spybot-S&D」でまずサーチしてクリアさせてみた.
でも,効果の程は良く判らず.
2.スタートアップウォッチャー「SupWatch」で起動時のステルスソフトを確認.
確かに意味不明のソフトが起動する様にセットされている.
まずはそれを無効化した後,exe ファイルを削除.これはOK.
でも,dll ファイルが消せない.
そして,再起動したら,exe ファイルが出来てしまい,しっかり無効化した
はずなのに,再び起動する.
3.素人目で判断したのは,dllファイル から新たに exeファイルが作られている
模様.
対策
1.「Spybot-S&D」で再確認と「SupWatch」の起動操作で exeファイルを削除可能
にする.
「Spybot-S&D」のスキャンを行うと,レジストリーヒットする色々とおかしな
セッティングを検出,削除.
2.「....aaab.exe」 ファイルを削除.
3.「qgwag...32.dll」ファイルを削除する為の一工夫.
PCをセーフモードのコマンドプロンプトモードで起動させる.
以下その手順.
1)セーフモードのコマンドプロンプト状態から,cd コマンドを使う.
c:¥>cd c:¥windows¥system32
2)c:¥windows¥system32> へチェンジディレクトリさせる.
3)この状態で,怪しいと思われる「qgwag...32.dll」ファイルの確認.
c:¥windows¥system32>dir qgwag*.dll
4)ファイルの確認が出来た後,del コマンドで削除を試みたら,消せない.
そこで,ren コマンドを使って名前を変えてみた.
c:¥windows¥system32>ren qgwag...32.dll qgwag...32.ddd
5)名前の変更が出来たので,そのままにして今度は通常起動.
4.ここで,デスクトップが普段の画像に戻る.(ブルーバック状態だった.)
5.システム起動後に,妙な exeファイルが作られておらず,dllファイルもない.
6.ここで,改めてリネームした「qgwag...32.ddd」ファイルを削除.
7.最後に,この二つのファイルを動かす命令ファイル(例えば,ショートカット)
が無いか,ファイル名でサーチしてみると,ショートカットフォルダーを発見.
フォルダーの中にしっかりショートカットファイルが二つあり,それも削除.
8.リセットして再起動.
9.2日経ちましたが,妙な動きがない.
アンチウィルスソフトのポップアップメッセージも現れず.
10.終了と判断.
ところで,簡単に書いていますが,昨日の朝から夜まで,1日付き合ってしまった.
でもね,WinXPのスパイウェアを,MS-DOSで退治出来たのが妙に嬉しい.
不幸にして同様のウィルスに感染されて困っている人へ.
このスパイソフト,ウィルスに感染した状態が千差万別とタイプを少しずつ変える様なので,退治方法が今回と全く同様に出来るかは疑問ですから,参考までに.
それと,この拙いウィルスソフト退治ブログを読んで,チンプンカンプンの人は,間違いなく自分で退治するなんて考えずに,その手に強い人か,ネット検索や評判のウィルス退治ソフトを使う事をお勧めします.
安易に正常な実行ファイルを削除してしまうと,PC自体が起動不可となり,最悪は,フルフォーマットの再インストールになる可能性もあります.
MJS「WinXPをMS-DOSが助けたんだわ.
DOSコマンドがまさかここで役立つとはねぇ.
帰国したら,ラーメンと餃子でエェからな.
」
同僚「そんなんでエェン?」
MJS「...」
JAだったら,英語のオンリーのメールはスパムだと思って速攻削除ですけど,たまたま,地元の会社と仕事がらみでメールのやり取りをしていたから,それだろうとクリックしたそうだ.
彼曰く
1.クリックしたらメッセージが流れた.
2.それが消えたと思ったら,このPCにはウィルスを発見したのメッセージ.
3.膨大な数のファイルがウィルスに汚染されている,とメッセージ
4.対処するには...のHP.へ行き,ウィルスソフトを買え.
5.クレジットカードのIDとパスワードを入力する画面が現れたそうだ.
そもそも,膨大な数のウィルスに汚染されている...あたりから怪しいと思うのと,即,ウィルスソフトを買えって来たらこりゃまさに,スパムソフトだわ.
彼は,クリックした時点でこりゃまずいと思ったそうでした.
すると,まず,デスクトップの画像が消えるし,アンチウィルスソフトはウィルスがあるから削除しますか? とポップアップメッセージが現れる.
当然,削除したのではありますが,それは序章に過ぎず,ザ・ロンゲストデーの始まりでした.
ヤレヤレと再起動したところ,このスパイソフト,PCを再起動する度に,同じ実行ファイルが作られる.XPのシステム上の影響なのか良く判らないけど,ウィルススキャンで何度消しても,再起動の度に消す事になる.
ってわけで,ネットで検索して見つけたのが,ココ.
「Antivirus XP 2008」 だってさ.
巧妙な手を使ってますね.これなら騙されそうな気もしないでもない.
このスパイソフトは起動時に,何処かにあるファイルが,その実行ファイルに姿を変えるのか作るのか,EXEファイルとDLLファイルを探したら,¥windows¥system32のフォルダーに....aaab.exeとかqgwag...32.dll と言う妙に怪しいファイルを発見.
ところがこのファイル,システム起動で使われているから,WinXPのファイル操作では削除出来ない.
結局,色々やったら直ったので,ロジカルに片付けたのではなく,その作業をリストアップしてみました.
調査
1.スパイウェア駆除ソフトの「Spybot-S&D」でまずサーチしてクリアさせてみた.
でも,効果の程は良く判らず.
2.スタートアップウォッチャー「SupWatch」で起動時のステルスソフトを確認.
確かに意味不明のソフトが起動する様にセットされている.
まずはそれを無効化した後,exe ファイルを削除.これはOK.
でも,dll ファイルが消せない.
そして,再起動したら,exe ファイルが出来てしまい,しっかり無効化した
はずなのに,再び起動する.
3.素人目で判断したのは,dllファイル から新たに exeファイルが作られている
模様.
対策
1.「Spybot-S&D」で再確認と「SupWatch」の起動操作で exeファイルを削除可能
にする.
「Spybot-S&D」のスキャンを行うと,レジストリーヒットする色々とおかしな
セッティングを検出,削除.
2.「....aaab.exe」 ファイルを削除.
3.「qgwag...32.dll」ファイルを削除する為の一工夫.
PCをセーフモードのコマンドプロンプトモードで起動させる.
以下その手順.
1)セーフモードのコマンドプロンプト状態から,cd コマンドを使う.
c:¥>cd c:¥windows¥system32
2)c:¥windows¥system32> へチェンジディレクトリさせる.
3)この状態で,怪しいと思われる「qgwag...32.dll」ファイルの確認.
c:¥windows¥system32>dir qgwag*.dll
4)ファイルの確認が出来た後,del コマンドで削除を試みたら,消せない.
そこで,ren コマンドを使って名前を変えてみた.
c:¥windows¥system32>ren qgwag...32.dll qgwag...32.ddd
5)名前の変更が出来たので,そのままにして今度は通常起動.
4.ここで,デスクトップが普段の画像に戻る.(ブルーバック状態だった.)
5.システム起動後に,妙な exeファイルが作られておらず,dllファイルもない.
6.ここで,改めてリネームした「qgwag...32.ddd」ファイルを削除.
7.最後に,この二つのファイルを動かす命令ファイル(例えば,ショートカット)
が無いか,ファイル名でサーチしてみると,ショートカットフォルダーを発見.
フォルダーの中にしっかりショートカットファイルが二つあり,それも削除.
8.リセットして再起動.
9.2日経ちましたが,妙な動きがない.
アンチウィルスソフトのポップアップメッセージも現れず.
10.終了と判断.
ところで,簡単に書いていますが,昨日の朝から夜まで,1日付き合ってしまった.
でもね,WinXPのスパイウェアを,MS-DOSで退治出来たのが妙に嬉しい.
不幸にして同様のウィルスに感染されて困っている人へ.
このスパイソフト,ウィルスに感染した状態が千差万別とタイプを少しずつ変える様なので,退治方法が今回と全く同様に出来るかは疑問ですから,参考までに.
それと,この拙いウィルスソフト退治ブログを読んで,チンプンカンプンの人は,間違いなく自分で退治するなんて考えずに,その手に強い人か,ネット検索や評判のウィルス退治ソフトを使う事をお勧めします.
安易に正常な実行ファイルを削除してしまうと,PC自体が起動不可となり,最悪は,フルフォーマットの再インストールになる可能性もあります.
MJS「WinXPをMS-DOSが助けたんだわ.
DOSコマンドがまさかここで役立つとはねぇ.
帰国したら,ラーメンと餃子でエェからな.
」同僚「そんなんでエェン?」
MJS「...
」
※コメント投稿者のブログIDはブログ作成者のみに通知されます