2010-01-01 年始のご挨拶。
■[PC]Security Tool。 
先のエントリでTROJ_FAKEAV.MET(Secutity Tool)とsiszyg32.exeの削除について触れたところ、アクセスが普段の数倍に上る状態になった。
気の毒なことにこの年またぎの瞬間もGoogleで対策を検索される方がいるようで全くご同情申し上げる次第。
私のエントリは冗長に過ぎると思われるので、要点だけまとめた手順を記載しておきます。
なお、別PCがあった方が作業は楽です。感染PCのHDDを抜いて別PCに取り付け、自動起動してしまうウイルス本体を直接削除できるので。ウイルスはC:\Document and Settings\ユーザ名\Application Data\に作られた数値8桁のフォルダにいるのでこれを削除してしまえばいい。
なくても作業はできますけどね。
★★★準備1
Malwarebytes' Anti-Malwareの入手
次のURLより、「Malwarebytes' Anti-Malware」の無償版を入手する。
http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe
※ファイルへの直接リンクのため、踏んだ瞬間にダウンロードが始まるので注意!
取得したセットアップファイルは4.8MB程度あるが、これを何とかして感染PCのローカルディスクに保存する。
できれば、「窓の手」http://www.asahi-net.or.jp/~vr4m-ikw/などもあればいいです。途中でレジストリの修正があるのですが、窓の手なら自動実行タブからボタン操作だけで完了できるので。
★★★準備2
感染PCをセーフモードで起動
感染したPCはシャットダウンにも一苦労になるが、電源ボタンを長押しするなりどうにかしてWindowsを落とす。
PCを改めて起動。この際、BIOSのPOST画面直後からF8キーを連打して、Windowsの起動メニュー画面を表示する。
ここで「セーフモードとネットワーク」を選択して起動。
WindowsXPで「ようこそ」画面を使っている人は普段のユーザ名と「Administrator」というユーザを選択させられるかもしれませんが、とりあえず「Administrator」を選んでください。
セーフモードで起動できたら、憎いSecurity Tool(と、その他普段使ってる常駐アプリ)のロードがスキップされるため、タスクトレイには時計以外何も表示されないはず。
★★★作業1(レジストリ内の自動実行をキャンセル)
レジストリの修正を行います。レジストリの修正はミスるとPCへのトドメになるので、入力間違いのないように。
窓の手が使えるなら、「自動実行」の一覧で下に記載した条件に一致する自動実行項目を削除してください。
使えなければ下の手順で作業。
スタートメニューの「ファイル名を指定して実行」に「regedit」と入力してEnter。
レジストリエディタが起動するので、画面左のツリーから[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]をたどって開く。
すると中に普段常駐させている見覚えのあるアプリケーション名と別に、8桁の数値のファイル名(58954031.exeなど)があるはずなので、これをダブルクリックして編集し、中のデータを書き換えます。例えば頭にアンダースコア("_")を一つつけるなど。他のエントリは絶対に修正しないこと!。
(※削除すればいいのだが、間違って正常なファイルを消すとトラブルに油を注ぐことになるので簡単に復元可能な方法をとります。窓の手なら失敗しても削除解除するだけ)
変更したらレジストリエディタを閉じて、PCをシャットダウン。
改めて通常起動してください。
★★★作業2(PC内を「Anti-Malware」でスキャン)
作業1のレジストリ編集でウイルスは起動しなくなっているはず。
先の準備1で用意した「Anti-Malware」のセットアップファイルを実行してインストール。
日本語化はされていないので言語選択ではenglishを選択した方が無難。内容は中学生レベルの英語力があれば全く問題なく使用できます。
セットアップ画面の最後で、オンラインアップデート実施と即起動の2つのチェックボックスが表示されるので、両方をONにして終了。
すると、オンラインアップデートが始まって検出対応マルウェアデータベースの最新化が行われる(※2009/12/28時点ではアップデートを行わないとsiszyg32.exeが検出されなかった)
アップデート後に「Anti-Malware」が起動するので、「Perform full scan」を選択してscanボタンをクリック。するとスキャン対象ドライブの選択画面が表示されるので、とりあえずHDDは全てチェックをONにしてStart scanへ。環境によっては何時間か要します。
なお、gungunmeteoが実行した際は一部のファイルでスキャンがエラーにより一時停止したので、長い時間かかるからとPCを放置せずたまに進行状況をチェックしてください。
もし疑いファイルが見つかればObjects Infectedにカウントされていきます。
スキャンが終わって疑いファイルが見つかったら削除を行ってください。
スキャン1回では全ての疑いファイルを検出できない場合があったので、時間的に余裕があれば複数回実行してください。
うまく駆除が完了することをお祈りします。
- 38 http://ezsch.ezweb.ne.jp/search/ezGoogleMain.php?query=security+tool+削除&start-index=27&adpage=5&mode=03
- 13 http://www3.atword.jp/gnome/
- 10 http://ezsch.ezweb.ne.jp/search/?sr=0101&query=security tool 駆除
- 10 http://ezsch.ezweb.ne.jp/search/ezGoogleMain.php?query=security tool 駆除&ct=&pd=1&sr=0000
- 9 http://www3.atword.jp/gnome/2010/01/02/caution-security-tools/
- 6 http://ezsch.ezweb.ne.jp/search/ezGoogleMain.php?query=securitytool+削除&ct=&pd=1&sr=0000
- 5 http://www.google.co.jp/hws/search?hl=ja&q=siszyd32&client=fenrir&adsafe=off&safe=off&lr=lang_ja
- 5 http://www.google.co.jp/search?sourceid=navclient&hl=ja&ie=UTF-8&rlz=1T4GGLZ_jaJP356JP357&q=BT-01CAR
- 4 http://www.google.co.jp/search?hl=ja&lr=&client=firefox-a&channel=s&rls=org.mozilla:ja:official&hs=bOG&q=siszyd32.exe&start=10&sa=N
- 3 http://search.yahoo.co.jp/search?p=セルシオ+ナビコン&tid=top_ga1&ei=UTF-8&pstart=1&fr=top_ga1&b=11
