こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

Dropperなど 駆除できるのか?

ウイルスのサンプルから
Play_Video_Now.exe というのを入れてみました。
VirusTotal 結果。
https://www.virustotal.com/ja/file/3ebdaf3da113322d604881d993e7a06027bc16b907b739af25ac0400fdd41583/analysis/

インストール直後から 通信しっぱなしで
普段みないようなHost名で次から次へと 通信している。
ログイン時 GoogleUpdaterとしてプロセスに現れた以降はプロセスでは確認できない。
Services.exeかSvchost.exeとして 動いてるかもしれない?。


C:\Program Files (x86)\Google\Desktop\Install\{7b2c9d57-9950-c2af-1df1-3458379b6ad6}
C:\ユーザー\***\AppData\Local\Google\Desktop\Install\{7b2c9d57-9950-c2af-1df1-3458379b6ad6}\???\???\???\{7b2c9d57-9950-c2af-1df1-3458379b6ad6}
Programとユーザーフォルダ内へ ほぼ同じ構成のフォルダ・ファイルを作成。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\gupdate
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{AA58ED58-01DD-4D91-8333-CF10577473F7}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{2318C2B1-4965-11D4-9B18-009027A5CD4F}
C:\Windows\assembly\GAC_32\Desktop.ini 検出: Trojan.Sirefef.YS (B)
C:\Windows\assembly\GAC_64\Desktop.ini 検出: Trojan.Sirefef.YS (B)
レジストリをGoogleで検索するとRunなどにヒットするものの
全てアクセス拒否になるし 見えない。削除不可。

30分ほど 試した上で

Emsisoft Emergency Kit 出検出したので 削除してみたものの
Trojan.Win32.ZAccess・Trojan.Sirefef.HK・Trojan.Sirefef.YS 等。
駆除後 PC再起動したら ネットに繋がらず
WindowsFirewallが起動出来ない。Serviceからも消えている。
Bandicamを起動すると デスクトップがフリーズする。ログアウトは出来る。
その他 重要な機能が サービスから 消えているw
(PC再起動によるウイルス悪化か?駆除によるデータ損壊かは 不明です)

とにかく ファイル・レジストリ 全てが削除できない;


これだけなら良いのだけど
感染させたWin7をXPのHDDで起動しフォーマットしようと思ったらXPが
起動しないし TodoにてXPをリカバリするものの2割進んで 止まりそうな動きで断念。
(BIOS起動時点から 読み込みがおかしい)XP自体は 今まで使えていたもの。

Win7がフォーマット出来ないので 仕方なく
上書きにてWin7をリカバリして 一応 起動できた。
問題なく使用できるものの 気がついたら
コントロールパネルに 空のショートカットが消せないものが残ってるし;。

捨てようとしたHDDは その後 数回フォーマットしたりスキャン実行し
いまは使えているので ウイルスが原因だったと見ている。

これだけで終わらず XPをOSから入れなおしたら
今までと同じファイル・同じ順序でインストールしたにもかかわらず
いままで見たことのない ログインできないエラーが出た。
WindowsInstallerをインスト後PC再起動して
そのままログインできず 認証してあるのに して下さいともでるけど
認証を実行しても そのまま何もできない。
3回ほど フォーマット・インストール 繰り返し 今は使用できるようになった。


このレベルのウイルスって 駆除なんて出来るんでしょうか?
感染の状態まで行ってしまったら ウイルス対策なんて意味ないでしょ。
(これを入れないようにする のが対策ではあるけどw)

Emsisoft Emergency Kit で駆除してみたものの
ぜんぜん普通に 全てが残っていた;
久々に最強なウイルスを見た感じがしたけど。。。

それから Googleって 大迷惑だw GoogleUpdater を「装われている」し。
ChromeとFirefox は もう捨てたw


普段 こんなもん間違って実行することはないけど 問題は進入経路ですね。
どのように このようなウイルスが入り込むのか気になる。

このような感染した場合は フォーマットはどのようにするのがいいですか?
方法や 回数など。

投稿日時 - 2013-11-28 18:48:16

QNo.8365646

暇なときに回答ください

質問者が選んだベストアンサー

こんにちは。


Trojan.Win32.ZAccess ←悪名高きZeroAccessですけども。ルートキットです。非常に陰湿です。


そもそもそういったことをするときは別途実験環境を普通は用意するものだと思いますが?

私はシステムを仮想化する方法でやっていますが。


>問題は進入経路ですね。


私がわざと攻撃サイトにアクセスしたときの検出ログ参考までにお見せします。3番目のやつがZeroAccessです。



で、こういったやつに感染した場合は外部ブートメディア使ってすべてパーティションを削除してからインストールし直します。

大変申し訳ございませんが、この投稿に添付された画像や動画などは、「BIGLOBEなんでも相談室」ではご覧いただくことができません。 OKWAVEよりご覧ください。

マルチメディア機能とは?

投稿日時 - 2013-11-28 21:33:45

お礼

>Trojan.Win32.ZAccess ←悪名高きZeroAccessですけども。ルートキットです。非常に陰湿です。

最近は この手のウイルスが 多いんですかね。
おそらく実行したプログラムが 実行後にいろいろ落としてますね。
ルートキットは入ってるかな?って感じはしました。



>私はシステムを仮想化する方法でやっていますが。

あえて リカバリ覚悟で そのままの環境で入れてます。
そもそも 入れる物が どんなものなのか?すら分からないので
分からないからいれて試してますw
ただ リカバリ自体が 手こずるとは思いませんでした;
ほぼ無体策で ComodoのFirewallのみです。



>私がわざと攻撃サイトにアクセスしたときの検出ログ

先週 DomainListで初めて アクセスしただけで感染する
leads to exploit kit てのを見ました。
アクセスするだけで IEの一時フォルダに 5.exe というファイルが落ちてきて
その後コピーしたのか 名前を変えてユーザーフォルダにインストされてました。

分かっていれたからいいけど
知らずにアクセスしたら 頼りになるのは
HIPSのような機能でしょうね。

IEのTempとユーザーフォルダへの実行形式のファイルが書き込まれるときに
アラートを出せるようなソフトがあれば防ぎやすいかもしれませんね。
まあ とりあえず プロセスや IP監視に姿さえあれば すぐにバレますけどねw
それでも 現れないモノは 諦めますね。


感染しないことよりも
HDDを自動で まっさらにして欲しいですねw
面倒です。。。

投稿日時 - 2013-11-29 00:36:31

ANo.1

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(3)

ANo.3

完全消去で復旧できるのであれば、SSD環境がいいかもですね。
Secure Eraseだと数秒できれいさっぱりですから。
システム構築後のクローンコピーをとっておけば、Secure Erase後すぐ復旧できそうですし。

投稿日時 - 2013-11-29 09:21:23

お礼

いい方法があるんですね。

でもSSDはコスト的にも不可ですね。
XPについては いまでもIDE使用してますw

メインPCのほうだとKnoppixが
起動できないのが問題です。。。

投稿日時 - 2013-11-30 13:27:43

ANo.2

私は、そのような実験は大嫌いなのでしません。
あくまで知識上の回答です。

下記のようなものでISOをCDに焼いて、そちらからフォーマットするとか
http://www.forest.impress.co.jp/library/software/destroy/

投稿日時 - 2013-11-28 22:20:27

お礼

完全消去が1番ですかね。

時間かかるので よほどでないと使用しませんが
今回のようなウイルスは 普通に考えたら
完全消去にて 全てのHDDをクリーンアップするべき脅威ですね。

>私は、そのような実験は大嫌いなのでしません。

まあ 好き ではないですねw

感染すると どうなるか? 知りたい ただそれだけです。

久々に Warmのようなヤバイ ウイルスでしたっw
二度と入れたくないですねw

投稿日時 - 2013-11-29 00:13:38

あなたにオススメの質問