リモートアクセス型トロイの木馬

Windowsウイルス対策ソフト

exeファイルが開けない

 状態:一旦終了  閲覧数:12,187  投稿日:2011-12-07  更新日:2013-12-14
「リモートアクセス型トロイの木馬」と思われるウイルスを仕込まれた時のメモ
  
・数週間(あるいは数ヶ月)前より、たまにネットワークへ接続できない現象が起きていた
・いつも30分~1時間程ネットワーク設定を弄繰り回すと、いつの間にか直る
・今朝も、また、いきなりネットに繋がらなくなった

何だよ!またかよ。

と思ったら、

今度は、秀丸が、

立ち上がらなくなった。



何か、一杯エラー出まくってる。

英語のメッセージだから、何書いてるか、分からないけど、
ウイルスのため、exeファイルが開けない、とか書いてる。

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

・関連性が外れてる(?)とかで、exeファイル全部開けない
・タスクマネージャすら、開けない!
・Oh My God!


カスペルスキー


カスペルスキーって、何やってるのよ?
と思い、状態を確認
「状態:定義データベースは最新です」
「完全スキャン35日前」

完全スキャン実施
とにかく、再度、完全スキャン実施
ウイルス発見!
カスペルスキー「コンパネ」で、ようやく確認
C:\Users\Administrator\AppData\Local\Temp
Tempだし、削除。
トロイの木馬やら、単なるウイルスとしか書かれていないものやら、
全部で9件もあった。


調べたけどよく分からなかったこと
・Rogue:Win32/FakeRean

ポップアップで気が付く
Java(JRE)、Adobe Reader、Adobe Flash、 Windows Updateが最新になっていない場合、ウイルスが仕込まれたサイトを開くと感染する模様

・Java(JRE)最新版になっていない。
・使わないならアンインストール。使うなら最新版に上げといた方がいいみたい

結局、今回の件、
直接の原因は分からないけど、
問題だったと思われるのは、
・Java(JRE)
・Windows Update
が最新ではなかった。

カスペルスキーは有効にしていたが、
それでも、ダメだった。
但し、カスペルスキーを有効にしている内は、
少なくとも目立った被害はなかった。

不具合に直接関係していた
ファイルは、C:\ProgramsData\privacy.exe。

今回、助かったのは、
たまたま、スペックの低い別のPCを、ネット接続していたこと。
これがなかったら、
ネットには繋がんないわ、exeは起動しないわ、でホントに死んでた。
ネットに繋がらなくなると、調べ物が出来ないので、
いきなりキツくなる、ということを学んだよ

で、一番有効だったのが、
▼Microsoft Safety Scanner
msert.exe。今度から、USBにでも入れとくことにしよう

Microsoft Safety Scanner

 閲覧数:694 投稿日:2011-12-07 更新日:2013-12-13 
Microsoft Safety Scanner は無償でダウンロードできるセキュリティ ツール
・コンピューターがウイルスに感染している可能性がある場合、必要に応じてスキャンを実行し、ウイルスやスパイウェアなどの悪意のあるソフトウェアを削除するのに役立つ
・このツールは、既存のウイルス対策ソフトウェアと連携する
→非常に有効。これ(msert.exe)なかったら、今回の件、完全に終わってた。それこそPCは、生きて帰ってこれなかったよ。exeファイルが全部起動出来ない状態に遭遇すると、ホントに何にも出来ない。打つ手なし。無力感だけを味わう羽目になるところだったよ

Microsoft Safety Scanner
・64ビット版をダウンロード
・「msert.exe」

検出結果
▼マルウェア
 Rogue:Win32/FakeRean
▼スキャン結果
 削除済み

LMS.exe

 閲覧数:1,503 投稿日:2011-12-07 更新日:2013-12-14 
LMS.exe
・システムにインストールされたソフトウェアに属す
・ほとんどのアプリケーションは、システムのレジストリにデータを格納しているため、レジストリがフラグメント化されたり、危険なエラーを蓄積させることがよくある

LMS.exe can not start


W32.Blaster.Worm

 閲覧数:674 投稿日:2011-12-07 更新日:2013-12-13 
ウイルスの特徴
・W32/Blaster.worm.k!backdoorはリモートアクセス型トロイの木馬で、W32/Blaster.worm.kによってドロップ(作成)され実行される

インストール
・実行されると、W32/Blaster.worm.k!backdoorは%SYSDIR%ディレクトリにsvchosthlp.exeというファイル名で自身をインストールする
(%Sysdir%は、Windows Systemディレクトリ。例:C:\WINDOWS\SYSTEM)
W32/Blaster.worm.k!backdoor | ウイルス情報 | マカフィー

とりあえず、Windows/systemにも、Windows/System32にも、
svchosthlp.exeはなかった

だけど、情報掲載日 04/04/22とかなって、エラい古いことから、
いくらでもファイル名なんて変更されてるかも、とか思った。
調べようないけど…

リモートアクセス型のトロイの木馬

 閲覧数:667 投稿日:2011-12-07 更新日:2013-12-14 
「リモートアクセス型のトロイの木馬」とは?

「リモートアクセス型のトロイの木馬」を送り込まれると?
・標的のシステムをリアルタイムでコントロールすることが可能になる
攻撃例




privacy.exe

 閲覧数:694 投稿日:2011-12-07 更新日:2013-12-13 
privacy.exe
私達の除去の指示に従うことをお勧めします
偽のアンチマルウェアアプリケーション
私達の除去の指示に従うことをお勧めします
マジッすか? これがウイルスだったってこと?
というか、バックドアからインストールされたウイルスの内の一つだったってことかな?

日本語で紹介しているサイト(現在はリンク切れ)
Privacy Protectionとは何なのか調べてみると、
セキュリティソフトの装った偽ツール(ウイルス)らしいです。
アイコンがWindowsのものと同じなので紛らわしいくこれが悪いソフトかどうかわかりずらい。
要するに真面目な顔をした詐欺師です。
同じような手口で感染したPCからIDやパスワードを盗んで銀行口座から不正に引き出される被害も出ているそうです。
Java(JRE)、Adobe Reader、Adobe Flash、 Windows Updateが最新になっていない場合、ウイルスが仕込まれたサイトを開くと感染する模様

なるほど、
ウイルスにかかった後でさえなお、
「何か知らないけどプライバシーに関する大事なファイル」がどっか行ってしまったかもしれん、
て考えてた自分は、「大間抜け者」だということらしい。

気付くかボケェ!
と自分に向かって、吼えたい。
いや、吼えんけどさ…。

>アイコンがWindowsのものと同じなので紛らわしく
はい、完全に騙されました。

リンク先サイトのように、「勝手にスキャンが始まって困っている」時点で怪しさに気が付いた人と、
自分のように、「exeファイルが全部立ち上がらなくなって、それを処理してなお、
まだ、気がつかなかった人」との差は、一体なんなのだろうか?
と思ったよ。

危機意識の差、って一言で言えばそうなんだろうけど。


それにしても、
>感染したPCからIDやパスワードを盗んで銀行口座から不正に引き出される被害も出ている
って、おいおい、洒落にならんがな…

Windows Update

 閲覧数:756 投稿日:2011-12-07 更新日:2013-12-14 
Microsoft Windows Update
Windows Update はコントロール パネルの一部になりました。更新プログラムを確認するには:
[スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Windows Update] をクリックします



Kaspersky Anti-Virus 2011が起動しなくなったら…

Kasperskyがインストールできない



週間人気ページランキング / 3-23 → 3-29
順位 ページタイトル抜粋 アクセス数
1 MP3ファイルの「プロパティ」を変更できない | Windows 10(Windows) 89
2 解凍先の指定。デフォルト設定ではデスクトップに解凍 66
3 「Windows 10」パソコンのタスクマネージャーで「GPU」が表示されない(グレイアウトされる)理由は、WDDMドライバがWDDM2.x以上ではなかったから | Windows 10(Windows) 46
4 ファイル名の一部(指定文字列)を削除するバッチファイル | バッチファイル(Windows) 38
5 Explzh で私が行う最初の設定 | Explzh for Windows(ソフトウェア) 31
6 「タイムゾーン間で同期」にはチェックを入れない 27
7 Windows 0 19
8 VLC media player で複数曲を「繰り返し連続再生する」ためには、プレイリスト全体をリピート再生指定する | VLC media player(ソフトウェア) 18
8 秀丸エディタでグレップ検索できない | 秀丸エディタ(ソフトウェア) 18
9 マウスの選択範囲がおかしくなった時、試してみた方が良いかもしれないこと | マウス(ハードウェア) 17
9 「★ページは機能していません」「★からデータが送信されませんでした。」 「ERR_EMPTY_RESPONSE」と表示されるようになったら、 Kasperskyを一旦停止してみる | ウイルス対策ソフト(Windows) 17
10 コマンドプロンプトでchkdsk /B | ハードディスクトラブル(ハードウェア) 16
11 「Windows エクスプローラー」は、OR で複数検索出来るが、文字数制限があるのかしら? | Windows エクスプローラー(Windows) 15
11 これまで正常動作していた「CrystalDiskInfo」である日突然「対応ディスクが見つかりませんでした」と表示された場合は、アップデートしてみます。 | CrystalDiskInfo(ソフトウェア) 15
11 エクスプローラの右クリックメニュー「Microsoft Defender でスキャンする」が表示されなくなりました。→ 勘違いかもしれません | Windows 10(Windows) 15
11 Windows10 不定期でフリーズ発生トラブル(2019/6/9)。フリーズ現象の調査で採取するダンプの種類は、「完全メモリダンプ」でないと有効な調査はできない | フリーズトラブル 2019年(Windows) 15
12 外付けハードディスクを収納可能な安価ラックを探す | 外付けハードディスク(ハードウェア) 14
13 フォルダウィンドウの「戻る」「進む」矢印ボタンが表示されなくなった | Windows7(Windows) 13
13 Audacity で再生ボタンを押しても音が鳴らない時は、再生レべルスライダーを右にドラッグして「再生レべル:100%」にします。 | Audacity(音) 13
13 FastCopy | ソフトウェア 13
2023/3/30 1:01 更新