あちこちネットを見てたらいきなり赤い楯マークのメッセージが出て、その後ネットに繋がらないし、「スタートメニュー」の「プログラム」にあるソフトも動かないがのあるみたいだし、とのことでお呼び頂きました。

ものはちょうど保守部品保有期限が切れたばかりの Prius Deck 770H 17TVH3 。

とりあえず LAN ケーブル引っこ抜いて、Windows XP を起動してみます。と、いきなりこんな感じ。↓

(図1)


Security Warning。
(画像サイズ 27KB)

来ましたー・・・、偽アンチウイルスです、やらずぼったくり詐欺ソフトです・・・。

英語版ですので、流行りの Security Tool とはちょっと違うみたいですけれど。

こりゃ良くてセーフモードか回復コンソールでコマンドプロンプトに降りて、レジストリーハイブの復元になりますかねー？、と。あとのゴミ掃除は正規のアンチマルウェアソフトウェアに任すとして。最悪は OS リカバリー・・・。

いつものようにインタービューから。

ボタンは、はい、いいえ、とも押しまくった、どっちでも同じ購入(?)ウィンドウ(英語)になる、電気店でNorton Internet Security 2011 を買って来て入れてみたけどやっぱり起動しない、とのことです。

ふむん、上記図1で止められているのは NIS 2011 の GUI ですか。

・・・まあ、時間内で一応一通り調査もやってみましょう。

なるほど IE は (偽) Security Warning で起動しません。Ctrl+Shift+Esc キーでタスクマネージャー ( taskmgr.exe ) を、とやってみても起動しません。何度押し直してもダメ。

「 ファイル名を指定して実行(R) 」 からもダメ。レジストリーエディター ( regedit.exe / regedt32.exe ) 、「システムの復元」 ( c:\windows\system32\restore\rstrui.exe ) も起動しません。

コントロールパネルも開きません。マイコンピュータは開けるので、隠しファイルを表示しようとそこからフォルダーオプションを変更しても元に戻ります。ご念の入ったことです。

ただし、Ctrl+Alt+Delete キーから「タスク マネージャ(T)」ボタンでは、タスクマネージャーを実行出来ます。３つ、４つ、怪しい感じのプロセスが見えます。

HijackThis と Sysinternals のツールも動きまして、プロセスの表示が出来ました。ただし、一度だけ。 (w ２度目の起動からは、上記図1 のメッセージになることを最後に確認済みです。

でもって、２度目は Process Explorer などのバイナリーが、それを置いたフォルダーごと削除されます。

ログも、別のフォルダーに移動しておかない限り、一緒に消されるわけです。ネットにつながらないブラウズ出来ないので、該当 PC ではツールの再ダウンロードも出来ません。PC ２台以上持つか、CD-R などに焼いておかないと。

さて、書込禁止デバイスからの起動にて、Sysinternals Process Explorer のログ、同 autoruns で当たりを付け、Trendmicro HijackThis の O4 とか O10 とかにある怪しい .exe ファイルをリストアップ。「セーフモードとコマンドプロンプト」で削除してみましたが、ダメです。

OS 再起動するとファイルが復活します。これはどっか消し忘れてるか、バイナリーファイルに取り憑いてます。

怪しい .exe の場所は、c:\windows\system32 とか、c:\program files のいくつかのフォルダーの下でした。名前は、EEVENTMGR.EXE ( 頭 e は２つ ) とか、mslanw.exe とか、wmiprise.exe ( wmiprvse.exe ではない ) とか、mgm.exe とかです。

コピーがいっぱい？ 子プロセス？ 順繰りに起動？ うん、噂通りしつこい。どのくらいしつこいか、もちょっとだけ確認しておきましょう。

(図2)


Process Explorer によるプロセス停止。
(画像サイズ 36KB)

↑ここまでやっても、まだ画面右下の赤楯メッセージは消えないのでした。

svchost.exe 他、残っているものは kill 不可です。PATH は、( Process Explorer を信じて良いなら、) 正規の位置にあり、svchost の -k オプションも一見まともに見えます。子プロセスどころか孫プロセスのコールでもしてるんでしょうか。

Debugger の実体はどこだ? って感じです。システムでなければ、ノートン先生の GUI 自身へ感染？ (w セーフモード起動したときにレジストリーをルートから Export しておけば良かったですが、ちょっと時間切れ。

※ ccSvcHst.exe の Full PATH 名称は "C:\Program Files\Norton Internet Security\Engine\18.0.0.128\ccsvchst.exe"、正規の位置に思えます。(ちょっとバージョン古いけど。)　kill 不可。

セーフモード↓では、偽警告メッセージは停止。NIS 2011 関係もすべて停まります。この画面、Ctrl+Shift+Esc キーで表示可。

(図3)


セーフモードでのタスクマネージャー。 ( Administrator ユーザー )
(画像サイズ 38KB)

ちょっと動作違います。でも Ad-Aware (偽じゃない本物) がセーフモードでもサービス起動したのと似て、それでもシステムに取り憑いている可能性は捨てきれません。

ここまで確認した処でそろそろ終わりにして更に再起動、F8 キーから「セーフモードとコマンドプロンプト」に降りて rstrui.exe を使用。ちゃんと起動します。

週始めの午後に、例の警告メッセージがはじめて出て、翌日午後に NIS 2011 を入れた、とのことでした。と云うことで、メッセージが出た前日午前の復元ポイントを選択して復元。当日午前だとちょっと怪しい気がしたものですから。

これでダメなら、日付けを更にずらすか、手動でハイブだけでもコピー、ってことになるのですが〜、と祈りつつ、もう一度、怪しい .exe ファイルは消してあることを確認して、OS 再起動。もう何度 cd コマンドたたいたかしら。

もし独立した実行ファイルでなく、システムのバイナリーに取り憑いたものなら、これで一発、きれいさっぱりすべて上書きされちゃったハズなんですが、どうなんでしょう？

・・・首尾良く指定日へ戻りました。↓ CD-ROM から NIS 2011 の再(?)インストールもＯＫ、ステータスはグリーン。

(図4)


rstrui.exe による復元。( OS 再起動後 )
(画像サイズ 23KB)

(図5)


NIS 2011 LiveUpdate。
(画像サイズ 33KB)

GUI は、"C:\Program Files\Norton Internet Security\Engine\18.1.0.37\ccsvchst.exe" にバージョンアップみたいです。

何度か Windows を通常起動し、IE8 のブラウズ、メール送受信、Excel 2003 SP3 などの起動を試し、NIS 2011 で完全スキャンをかけておしまい。

と思ったら、復元ポイント中になにか一匹↓見つかりました。なかなか終わらせてくれません。(w

(図6)


復元ポイント中に Trojan.Gen。
(画像サイズ 28KB)

Trojan.Gen でレッドアラート。

Symantec さん、Web ページでは大したことない、ってことですが、ただしダウンローダーかバックドアの可能性がある、と云ってます。

ファイルの実体は、"C:\System Volume Information\_restore{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\RPxxx\a0122294.exe" って感じのヤツです。 (xx は数字[16進含む])

これを含む復元ポイントの作成時刻はちょうど Autoruns でレジストリーをゴソゴソ触っているあたりです。 ファイル名中の番号は、連番の途中なんで、始めからここに潜んでいたわけではなさそうです。

※ 復元ポイントの中身を確認するには cacls 。これ、Home Edithin Home Editionなので。

さて、戻した期間中にインストールしたソフトウェアはない、とおっしゃってみえたのですが、ちょっと見渡してみるとiTunes が該当してました。古いまま。これは入れ直しです。

(図7)


iTunes Update。
(画像サイズ 42KB)

やっとおしまい。sysclean.com に頼ることになるか？と思いましたが、そちらは未使用。(これ、検索にとっても時間かかるもので(w )

現状からマルウェア削除して感染前へバックアウトか、無感染バックアップ(相当)からフォワードリカバリーかはいつも迷うところですが、今回は主にバックアップから、でした。

(関連)

ScanNetSecurity https://www.netsecurity.ne.jp/3_16028.html
> 偽セキュリティ対策ソフトの見破り方　第4回　偽セキュリティ対策ソフトカタログ

トレンドマイクロ http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20100804103606.html
> インターネット脅威マンスリーレポート - 2010年7月度 | セキュリティ情報

トレンドマイクロ http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_FAKEAV.NO
> TROJ_FAKEAV.NO - 概　要

Trend Micro USA http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FFAKEVIME%2EAG&VSect=T
> TROJ_FAKEVIME.AG - Technical details

※ こいつ↑っぽい。ccSvcHst.exe 止めるし。停止リストに procexp.exe 、pskill.exe は無いけど、procdump.exe と procexplorerv1.0.exe 有り。

トレンドマイクロ http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NIRBOT.AE&VSect=Sn
> WORM_NIRBOT.AE - 対応方法

※ eventmgr.exe (頭 e １つ)

トレンドマイクロ http://www.trendmicro.co.jp/Vinfo/virusencyclo/default5.asp?VName=TROJ_FAKEVIME.AG&VSect=T
> TROJ_FAKEVIME.AG - 詳　細

日経BP ITpro http://itpro.nikkeibp.co.jp/article/NEWS/20100929/352427/
> 国内98サイトのバナー広告に「わな」、「偽ソフト」に感染する恐れ - ニュース

GIGAZINE http://gigazine.net/index.php?/news/comments/20100927_security_tool/
> 偽セキュリティソフト「Security Tool」感染爆発、原因はマイクロアドの広告配信サーバへの攻撃

Symantec http://community.norton.com/t5/Norton-Internet-Security-Norton/Possible-Solution-CCSVCHST-EXE-Problem/td-p/269737
> Possible Solution CCSVCHST .EXE Problem - Norton Community

Symantec http://safeweb.norton.com/
> Norton Safe Web, from Symantec

・・・

http://d.hatena.ne.jp/TsuSUZUKI/20071203/1196658855

※ 「 CDブートの回復コンソールディスク。」 〜 XP SP2 版は、SP3 環境でも起動する模様。

※※ Vista インストールメディア(DVD) でも良かった？

http://d.hatena.ne.jp/TsuSUZUKI/20081102/1225629734

※ 「ブルースクリーン無限ループ」と rstrui.exe 。

http://d.hatena.ne.jp/TsuSUZUKI/20090908/1252392938

※ 「(引用記事) Fake anti-virus」、SANS の記事。一年ほど前。

(追記)

(図8)


書込禁止デバイスからの Process Explorer の起動。
(画像サイズ 37KB)

(図9)


書込禁止デバイスからの HijackThis の起動。
(画像サイズ 45KB)

↑一旦エラーが出ますが、何度かボタンを押して、強行すればちゃんと起動して来ます。

いじょうです。

• • -