リモートアクセス型トロイの木馬

Windowsウイルス対策ソフト

exeファイルが開けない

 状態:一旦終了  閲覧数:12,669  投稿日:2011-12-07  更新日:2013-12-14
「リモートアクセス型トロイの木馬」と思われるウイルスを仕込まれた時のメモ
  
・数週間(あるいは数ヶ月)前より、たまにネットワークへ接続できない現象が起きていた
・いつも30分~1時間程ネットワーク設定を弄繰り回すと、いつの間にか直る
・今朝も、また、いきなりネットに繋がらなくなった

何だよ!またかよ。

と思ったら、

今度は、秀丸が、

立ち上がらなくなった。



何か、一杯エラー出まくってる。

英語のメッセージだから、何書いてるか、分からないけど、
ウイルスのため、exeファイルが開けない、とか書いてる。

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

・関連性が外れてる(?)とかで、exeファイル全部開けない
・タスクマネージャすら、開けない!
・Oh My God!


カスペルスキー


カスペルスキーって、何やってるのよ?
と思い、状態を確認
「状態:定義データベースは最新です」
「完全スキャン35日前」

完全スキャン実施
とにかく、再度、完全スキャン実施
ウイルス発見!
カスペルスキー「コンパネ」で、ようやく確認
C:\Users\Administrator\AppData\Local\Temp
Tempだし、削除。
トロイの木馬やら、単なるウイルスとしか書かれていないものやら、
全部で9件もあった。


調べたけどよく分からなかったこと
・Rogue:Win32/FakeRean

ポップアップで気が付く
Java(JRE)、Adobe Reader、Adobe Flash、 Windows Updateが最新になっていない場合、ウイルスが仕込まれたサイトを開くと感染する模様

・Java(JRE)最新版になっていない。
・使わないならアンインストール。使うなら最新版に上げといた方がいいみたい

結局、今回の件、
直接の原因は分からないけど、
問題だったと思われるのは、
・Java(JRE)
・Windows Update
が最新ではなかった。

カスペルスキーは有効にしていたが、
それでも、ダメだった。
但し、カスペルスキーを有効にしている内は、
少なくとも目立った被害はなかった。

不具合に直接関係していた
ファイルは、C:\ProgramsData\privacy.exe。

今回、助かったのは、
たまたま、スペックの低い別のPCを、ネット接続していたこと。
これがなかったら、
ネットには繋がんないわ、exeは起動しないわ、でホントに死んでた。
ネットに繋がらなくなると、調べ物が出来ないので、
いきなりキツくなる、ということを学んだよ

で、一番有効だったのが、
▼Microsoft Safety Scanner
msert.exe。今度から、USBにでも入れとくことにしよう

Microsoft Safety Scanner

 閲覧数:834 投稿日:2011-12-07 更新日:2013-12-13
Microsoft Safety Scanner は無償でダウンロードできるセキュリティ ツール
・コンピューターがウイルスに感染している可能性がある場合、必要に応じてスキャンを実行し、ウイルスやスパイウェアなどの悪意のあるソフトウェアを削除するのに役立つ
・このツールは、既存のウイルス対策ソフトウェアと連携する
→非常に有効。これ(msert.exe)なかったら、今回の件、完全に終わってた。それこそPCは、生きて帰ってこれなかったよ。exeファイルが全部起動出来ない状態に遭遇すると、ホントに何にも出来ない。打つ手なし。無力感だけを味わう羽目になるところだったよ

Microsoft Safety Scanner
・64ビット版をダウンロード
・「msert.exe」

検出結果
▼マルウェア
 Rogue:Win32/FakeRean
▼スキャン結果
 削除済み

LMS.exe

 閲覧数:1,637 投稿日:2011-12-07 更新日:2013-12-14
LMS.exe
・システムにインストールされたソフトウェアに属す
・ほとんどのアプリケーションは、システムのレジストリにデータを格納しているため、レジストリがフラグメント化されたり、危険なエラーを蓄積させることがよくある

LMS.exe can not start


W32.Blaster.Worm

 閲覧数:794 投稿日:2011-12-07 更新日:2013-12-13
ウイルスの特徴
・W32/Blaster.worm.k!backdoorはリモートアクセス型トロイの木馬で、W32/Blaster.worm.kによってドロップ(作成)され実行される

インストール
・実行されると、W32/Blaster.worm.k!backdoorは%SYSDIR%ディレクトリにsvchosthlp.exeというファイル名で自身をインストールする
(%Sysdir%は、Windows Systemディレクトリ。例:C:\WINDOWS\SYSTEM)
W32/Blaster.worm.k!backdoor | ウイルス情報 | マカフィー

とりあえず、Windows/systemにも、Windows/System32にも、
svchosthlp.exeはなかった

だけど、情報掲載日 04/04/22とかなって、エラい古いことから、
いくらでもファイル名なんて変更されてるかも、とか思った。
調べようないけど…

リモートアクセス型のトロイの木馬

 閲覧数:815 投稿日:2011-12-07 更新日:2013-12-14
「リモートアクセス型のトロイの木馬」とは?

「リモートアクセス型のトロイの木馬」を送り込まれると?
・標的のシステムをリアルタイムでコントロールすることが可能になる
攻撃例




privacy.exe

 閲覧数:831 投稿日:2011-12-07 更新日:2013-12-13
privacy.exe
私達の除去の指示に従うことをお勧めします
偽のアンチマルウェアアプリケーション
私達の除去の指示に従うことをお勧めします
マジッすか? これがウイルスだったってこと?
というか、バックドアからインストールされたウイルスの内の一つだったってことかな?

日本語で紹介しているサイト(現在はリンク切れ)
Privacy Protectionとは何なのか調べてみると、
セキュリティソフトの装った偽ツール(ウイルス)らしいです。
アイコンがWindowsのものと同じなので紛らわしいくこれが悪いソフトかどうかわかりずらい。
要するに真面目な顔をした詐欺師です。
同じような手口で感染したPCからIDやパスワードを盗んで銀行口座から不正に引き出される被害も出ているそうです。
Java(JRE)、Adobe Reader、Adobe Flash、 Windows Updateが最新になっていない場合、ウイルスが仕込まれたサイトを開くと感染する模様

なるほど、
ウイルスにかかった後でさえなお、
「何か知らないけどプライバシーに関する大事なファイル」がどっか行ってしまったかもしれん、
て考えてた自分は、「大間抜け者」だということらしい。

気付くかボケェ!
と自分に向かって、吼えたい。
いや、吼えんけどさ…。

>アイコンがWindowsのものと同じなので紛らわしく
はい、完全に騙されました。

リンク先サイトのように、「勝手にスキャンが始まって困っている」時点で怪しさに気が付いた人と、
自分のように、「exeファイルが全部立ち上がらなくなって、それを処理してなお、
まだ、気がつかなかった人」との差は、一体なんなのだろうか?
と思ったよ。

危機意識の差、って一言で言えばそうなんだろうけど。


それにしても、
>感染したPCからIDやパスワードを盗んで銀行口座から不正に引き出される被害も出ている
って、おいおい、洒落にならんがな…

Windows Update

 閲覧数:876 投稿日:2011-12-07 更新日:2013-12-14
Microsoft Windows Update
Windows Update はコントロール パネルの一部になりました。更新プログラムを確認するには:
[スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Windows Update] をクリックします



Kaspersky Anti-Virus 2011が起動しなくなったら…

Kasperskyがインストールできない



週間人気ページランキング / 11-15 → 11-21
順位 ページタイトル抜粋 アクセス数
1 Audacity で再生ボタンを押しても音が鳴らない時は、再生レべルスライダーを右にドラッグして「再生レべル:100%」にします。 | Audacity(音) 50
2 「Tablacus Explorer」でアクティブタブに背景色を付けるためには、「タブをデザイン」アドオンをインストールします。 | Tablacus Explorer(ソフトウェア) 23
3 コマンドプロンプトでchkdsk /B | ハードディスクトラブル(ハードウェア) 21
3 「みまもり合図」に関する疑問。2019年 | みまもり合図(ソフトウェア) 21
4 「タイムゾーン間で同期」にはチェックを入れない 20
5 タスクスケジューラ | Windows 10(Windows) 18
6 これまで正常動作していた「CrystalDiskInfo」である日突然「対応ディスクが見つかりませんでした」と表示された場合は、アップデートしてみます。 | CrystalDiskInfo(ソフトウェア) 16
7 「Audacity」で複数ファイルへ対する一括変換対応について | Audacity(音) 15
8 Xboxを使用していない場合、XblGameSaveを動作させる必要は全くない 14
8 3.解凍先の指定。デフォルト設定ではデスクトップに解凍 14
9 「Windows 10」へインストールした「mp3DirectCut 2.36」で「.aacファイル」を読み込んで自動分割する。 | mp3DirectCut(音) 12
9 「Windows 10」へインストールした「Audacity 3.2.4」で「.aacファイル」を読み込み、音量を大きく変換後、「.waveファイル」として出力する。 | Audacity(音) 12
9 MP3ファイルの「プロパティ」を変更できない | Windows 10(Windows) 12
10 ファイル名の一部(指定文字列)を削除するバッチファイル | バッチファイル(Windows) 11
10 「WDDM」は、要件を満たさないとアップデートできません。 | Windows 10(Windows) 11
11 Windows10 不定期でフリーズ発生トラブル(2019/6/7→6/8)。イベントビューアーで発生個所を特定しようとするも失敗に終わる | フリーズトラブル 2019年(Windows) 10
11 アクティブタブの背景色を黄色に設定 / configフォルダ 10
11 クイックアクセスから複数のピン留めを一括で解除することはできません | Windows エクスプローラー(Windows) 10
11 Tablacus Explorer Version 23.9.13 へのアップデート | Tablacus Explorer(ソフトウェア) 10
12 「みまもり合図」に関する疑問。2018年 | みまもり合図(ソフトウェア) 8
2024/11/22 1:01 更新