★ 非常に厄介な感染事例だと、痛感させられますネ ★

画像

ウイルス対策、セキュリティ対策2,484閲覧xmlns="http://www.w3.org/2000/svg">25

ベストアンサー

0

ThanksImg質問者からのお礼コメント

みなさん、ありがとうございました。 今回は、jeff先生に、BAを進呈したいと思います。 Milk王子との掛け合いは、いろいろと参考になったのではないでしょうか? ところで「尿漏れ」改善しましたか? いいの、ありますよ?

お礼日時:2014/2/15 21:43

その他の回答(5件)

0

>mark_levinson_no53さんへ アドバイスをありがとうございます。おかげさまで何とかまとめることができました。 確かHKEY_LOCAL_MACHINEよりも、優先順位的にはHKEY_CURRENT_USER の方が高かったですね。 自分のPCのレジストリを参照しながら、HKEY_CURRENT_USERのshellを削除して、HKEY_LOCAL_MACHINEのshellをexplorer.exeに修正するようにしてみました。 あとはshellを操作する前に2ちゃんねるの情報から、HKEY_CURRENT_USER及びHKEY_LOCAL_MACHINEのwinlogonのアクセス許可からeveryoneという特別な許可の拒否欄にチェックが入っているアカウントを削除するでしたね。 どちらにせよ、リカバリは不可避ですね。 あとは感染経路がわかれば、詳細な注意喚起もできるのですが・・・。

0

ミルク王子さんへ そうですね、 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Shell:explorer.exe に書き換えし(追加された部分を削除)再起動後セーフモードで起動、という手順でいいと思いますが、ACL設定変更によりこのキーへのアクセスがアクセス拒否される可能性も考えられます。その際はACL設定を手動で戻してからになりますね。 また、HKEY_LOCAL_MACHINEの方も確認しておいた方がよいかと。 ただ、ACLがどのように設定変更されているのか、この目で拝んでいないのでハッキリしたことは言えませんが。 画像はHKEY_LOCAL_MACHINEの方だけど...小さすぎてなんもわかんねぇ~!!

画像
0

皆様、ご苦労様です。 〖自分もこれにかかってしまい困っています。 削除しても削除しても復活してしまうし 、隠しファイルになっているものもあり 隠しファイル見れる設定にしても何故か見れなくて削除できず困り切っています。 〗 ↑ 感染して懸命に削除を試みておられる方からのコメントです。非常にやっかいなマルウェアですね。 jeff_rowland625さんがお書きになられている以下の値ですが…、 >HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Shell:explorer.exe,"C:\Documents and Settings\All Users\Application Data\load32.exe" ↑ これをどうにか出来ないものでしょうか。たとえばセーフモードとコマンドプロンプトで起動し、 >reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v shell /f これでshellの値を強制的に削除し再起動→セーフモードで起動すればマルウェアの起動を阻止出来ないでしょうか…。 阻止できればセーフモード下でデータをバックアップしてリカバリという流れにつなげられると思うのですが…。 それにしても一体どのような手段で感染したのでしょう。

0

追記 「それにしても一体どのような手段で感染したのでしょう。」 うーん Bleepin' comの事案は、P2Pですね、多分。 そして、本件感染被害者さんは、bit coin経由? しかし、回答者さんは、ゲーム作成?過程しか思いつかないと言っている。 脆弱性から? 迷惑ソフトウエア感染経由のどさくさ紛れか? わからん * このカテゴリの花型回答者三羽烏がおり、その三羽烏全員が貴重な投稿をしているネ yasu_aho_unko様からは、ubuntuを使ったデータ救出がもっとも敷居が低い手法ではないか、という提案です jeff_rowland625さんからは 1)セキュリティソフト殺し手口1。ACLの設定変更がなされているという指摘 2)Image File Execution Optionsの悪用。 この2つを「サク」っと頭に入れてから、Milk王子氏が投稿しているBleepin' comの実例を読んでほしい。すると「なんとなく」本件の全容が「ぼんやりと」見えてくるからだ http://www.bleepingcomputer.com/forums/t/523744/nt32exe-315load32exe-load32exe-malware-has-attacked-please-help/ (以下、所々を引用) ---------------------- =========================== Installed Programs ============================ µTorrent (Version: 3.3.0.29625) ← ここ注目 µTorrent (Version: 3.3.2.30303) ← ここ注目 ーーーーーーーーーーーーーー (これじゃあ、ウイルス対策ソフトも動かないよな) Registry Keys Detected: 52 HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\avcenter.exe (Security.Hijack) -> No action taken. HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\ComboFix.exe (Security.Hijack) -> No action taken. OPTIONS\keyscrambler.exe (Security.Hijack) -> No action taken. HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION ↑ これは重要 http://www.gigafree.net/security/keylogger/keyscrambler.html 駄々漏れじゃん OPTIONS\mbam.exe (Security.Hijack) -> No action taken. HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION とまあ、限がないので、この辺で。 ---------------- ぜひ、これも意識してほしいと思いますね ここまで、起動阻止をしているんだということを。 OPTIONS\keyscrambler.exe (Security.Hijack) -> No action taken. HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION ↑ これは重要 http://www.gigafree.net/security/keylogger/keyscrambler.html キーロガー対策でインストールしているアプリまで狙い撃ちし、起動できないように工夫しているわけだから、その後は、入力情報は、ぜーんぶ「駄々漏れ」しているということ。キーロガー対策しているから「オイラは大丈夫だよーん」と主張されている面々。 所詮「その程度」なんだということですね。 そして、本件感染は、情報窃盗の側面も含まれており、bit coin発掘という面だけ集中してもいけないと思うわけです。jeff教授が指摘するように「時すでに遅し」ですが、リカバリ後、パスワードは全部変更。クレカ情報などは、特に慎重に対処すべし。 やれやれ、しかし、大変な時代に直面しているんだ。さらに、猛勉強しないと。

0

このカテの主力が全集結しましたね。壮観です。 yasu様もさきほどすべて読み、状況をようやく理解できたところです。 1の方法は稀に星形ネジで固定されていることもあり、DIYしない一般人には難しい場合がありますね。また、別のPCのインタフェースが違えばマウントはそもそも不可。2のほうが、まだ確実で易しいと思います。 jeffさんが提案されているUSBが一番ですが、Dドライブがリカバリ領域になっていなければそこにファイルを移し、Cドライブだけフォーマットを掛けるのも可能と思いますよ。 サンプルが手に入ったら、解決法を模索がてら遊んでみたいですね。