悪代官の伏魔殿掲示板別館

こちらではサポート対象外（ＸＰ）なので、情報だけですが。

mixiトップから知人の伝言板のコメント通知をクリックして、戻ろうとした時、
（誤って広告か何かをクリックした可能性もあり）
突然ウィンドウがフリーズして動かなくなりました。
マルチの隣のウィンドウは正常だったので、数分操作していた所、
メモリ使用量がほぼ限度一杯（３ＧＢ強）まで上がっていました。
加えてネットへ激しくアクセスを続けています。
ブラウザは強制終了させましたが、状況は収まりません。
時限性ウィルスの場合は別原因の可能性がありますが、
状況的には考えにくく、mixiの広告等によるものではないかと思います。
（mixiには報告済）

タスクマネージャのプロセスを見ると、
１つの"NOTEPAD.EXE"(ニセモノ)と複数のcmd.exeとmsiexec.exeが次々に常駐し、
みるみるサイズが増えて行きます。
各々強制終了させてもすぐに復活増殖します。
ただし、ネットを切断すると、増殖動作は止まります。
他に関係してそうなプロセスがhkcmd.exe、msdtc.exe、ctfmon.exeが疑われます。

ネット切断状態であっても、普通のファイル操作も、スタートメニュー表示も、
１ステップ毎に数十秒単位で時間がかかり、
メモリを都度消費するアプリは動作が極端に重くなります。
100個足らずのファイルが入ったゴミ箱を表示するのに１０分単位の時間がかかります。
Program Filesの中をファイル検索をかけるのに、２時間以上かかりました。
まともにＰＣとして使える状態ではありません。
cmd.exeとmsiexec.exeを強制終了してメモリを開放しても症状は全く改善しません。
対策アプリMalwarebytes Anti-Malwareをインストールして使った所、
DOC.SettingのAdmin/App/acrobatの下に、"取説（ランダム?）.exe"と言う
302kb(2013/08/27)のファイル(種別表示は"Trojan.Ijector.CD")が発見され、
手動で削除しましたが、すぐに復活されます。
もう一つ、Admin/LocalSet/TEMPの下に"TMP6.tmp"296kb(種別表示は"Backdoor.bot")が
検出され、こいつが取説.exeの元ファイルの可能性が高いです。
Prefetchの実行ログファイルを見ると、
TMP5.TMP-13CF90B3.pfが最初で、
１分後、TMP42DB935A.EXE-23147B3B.pf
＋４分後、TMP6.TMP-1C15451F.pf
＋５分後、DWWIN.EXE-30875ADC.pf（フリーズしたIE(mixi)を強制終了）
その後２回目の再起動直後、取説.EXE-2B9A4CFD.pf
あ～～ぁ、と言うお粗末な顛末ですが。
Malwareを入れて、残骸を見つけたのはその後でした。

現状ファイル１つを手作業で削除するにも数十秒単位で時間がかかり、非常に重いです。
ただし、LAN経由で外部PCからファイル操作する分にはほとんどストレスは無いです。
ＧＵＩを横取りして猛烈な負荷をかけているようで、
メモリを都度消費しないアプリの基本動作には影響が無い場合が多いですが、
メニュー表示など激しく重く、普通に使えたものではないです。

中途半端に対応して再起動してしまったのも悪かったのですが（反省）、
次にスキャンすると、ゴミ箱の中に６個のファイル(DC3.exe～DC9.exe)が発見され、
元のフォルダは空のまま残されていました。
中間処理で不要になったファイルを自己処分したようです。
アプリで削除後に再起動した所、症状は全く変わらずで、
今度はスキャンでは検出出来なくなりました。
exeやdllに潜り込んだ可能性が限りなく高くなりました。

ゴミ箱の中身は３０分ほどかけて削除出来ましたが、
本体が発見できない、まともにファイル検索も出来ない状況では、打つ手がもう無い状況です。
ログやレジストリ等を頼りに、感染しているファイルを探してはみますが、望み薄な感じです。
あとは、３月にセットアップした時点のバックアップにドライブ丸毎戻すくらいしか
手がありません。
セーフモードでシステムの復元をやってみましたが、ブロックされているらしく、
再起動後、「変更はありません」と言う空しい結果が表示されます。
セーフモード中も操作が重い症状は変わりません。
バックアップを戻すのもブロックされるかも知れません。
XPのインストールディスクが無いので、今試してみる訳にも行かず。

取説.exeの2013/08/27のタイムスタンプがフェイクかどうかも気になりますが、
NOTEPAD.EXE等で検索して出て来ないので、新種ではないかと疑っています。
スパムの踏み台にしては余りにも動作が凶悪で、何が目的なのかも不明です。

現在はサブのノートＰＣでネットに接続しています。
何か質問があれば答えますが、かなり参ってますので、反応は遅くなります。
関連情報ありましたら、よろしくお願い致します。

こんばんは。
いつもお世話になってます。
Xpでのトラブル情報ですか。

>こちらではサポート対象外（ＸＰ）なので、情報だけですが

いえ、貴重な情報感謝します。
実際現在でも企業環境PCでXpを継続使用中のところは大小含めて山ほどあります。
伏魔殿へも毎日企業環境からの訪問者が多数来ているのを把握してますが、それらの中にもXp等の脆弱性多数な環境でのアクセスも絶えません。
有名な商品を出している企業内からでさえそういった問題ある環境でPC運用しているところも存じてますがその社名はここではあえて伏せておきましょう。
社内にシステム管理部というところが存在してその職員も仕事しているかはなはだ疑問ですが、社内PCから伏魔殿を閲覧に来るほどセキュリティ情報を気にするならそんなPCでのネット接続をまず止めることから始めるべきでしょうに。

しかしわかってはいたつもりですが、Xpでの危険性を改めて思い知る情報ですね。
Xpサポート終了以降は個人ユーザーよりも企業法人環境のPCで予算面からXp継続使用する問題が多発するだろうと自分は予想してましたが、予想以上の数でそれが現実になっています。

企業環境PCでの相談は伏魔殿で受けないのを知ってか、各スレの解析処置手順を見てそれを参考に何とか自分で処置しようとする方もいる可能性がありますが、そんなことしても脆弱性自体を解消しない限りまったく無駄ということを悟ってほしいですね

昨日、Windows7で2台が同様の状態に陥りました。
感染はこちらもウェブブラウジングの広告かと思われます（2ch系のまとめサイト）

PC2台はノートンとマカフィで別のセキュリティソフトだったのですが、検知せず。
2台は別のLANにあって、デバイスもメールも共有してませんので、個々に感染したと思います。

動作の遅さと、タスクマネージャのプロセス数で異常な点に気づきました。
notepad.exeが１つ、msiexec.exe, conhost.exe, cmd.exe, ctfmon.exeが複数起動し、explprer.exeのプロセスが２つになっていました。
TORAさんの報告と同じ様に、LANを抜くことで怪しいプロセスのメモリ増加はすべて止まります。
怪しいプロセスをすべて落としても、LANに接続すると再度スタートします。

とりあえず、メモリの多い8GBのPCで、1台に絞っていろいろ試し、
5/20の復元ポイントに戻すことで、ネットワークに接続しても症状が再発しなくなりました。
再発が怖いので、いろいろなセキュリティソフトでフルスキャンをかけているところです。

Nauさん、こんばんは。

Win7で同様の異常が出たということですか。
まあ2ch絡みならおかしなトラップ仕掛ける輩も珍しくないですが、本当に何も感染受けてないか調べてみることもお勧めします。

よければログをとって、「新規作成」からログを見せてもらえますか。
只今皆さんに順番にレスできるまでにかなりお時間かかってますが、それでもかまわないなら自分が協力しましょう
http://otherplace.html.xdomain.jp/prepare.html

http://otherplace.html.xdomain.jp/index.html

先週の木曜から同じ症状になり、ぐぐっても原因や解決策がわからず週末使ってXPを入れなおし、徐々に復旧してきたところで再び症状が出てしまいました。もう一回検索してココを見つけた次第であります。
再インストールしてからした事といえば、Dドライブのフォーマット、ウィンドウズ関連の更新、スカイプや動画編集ソフトなどのインストール、gyaoでのアニメ視聴、フリーのBGMサイトを検索し、BGMをダウンロード(数日掛けて)。
その後、IEを起動してすぐに閉じたあとにフォルダが開きづらくなって、タスクマネージャーにて忌まわしいプロセス群を確認しました。
ところで、システム構成ユーティリティのスタートアップを覗くと、yxhoyという見かけぬやつがいたのですが、こいつはなんだろう・・

大変反応遅れましたが、レス有り難うございます。
・・と言うか、感染報告がマルチで！

再インストールしても再発とは、再び呼び込んでしまったと言う事ですかね。
今回の感染についてはＸＰのせいでも対策アプリの不備でもなく、新種と言うのがほぼ確定ですね。
てっきりリアルタイムの対策アプリを入れていなかったせいと思ったのですが、
ヘビーネットローダーでもないのに、何て付いてないんだ。。。
（２週間前にＡ３カラーレーザーが前例無しのフォトセンサの故障で修理になったり、良く当りくじを引きます）

残念ながら駆除作業の方は全く進んでいません。
解析はそこそこ進んでいるのですが、マシンが重くてローカルでの作業がしにくく、
ログをサブマシンにコピーしてからの作業が多いです。
発症は２０日の晩でしたが、フリーの検索アプリEasyFNSearchを使ってIEのキャッシュなどの痕跡を調べてみると、
100kB前後のテキスト属性のスクリプトファイル"f.txt"をいくつか発見しました。(無関係の可能性もあり)
03/27(43kb)
"http:"==w.location.protocol?"":"s")"://pagead2.googlesyndication.com"(173.194.117.173/Google)
"http://fonts.googleapis.com/css?family=Roboto+Condensed|Roboto"(64.233.187.95/Google)
"http://www.w3.org/2000/svg"(128.30.52.100/M.I.T.)
05/18(158kb)
"https:":"")+"//www.google.com/uds"
"https:":"")+"//afs.googlesyndication.com/uds"(173.194.117.173/Google)
"https:":"")+"//ajax.googleapis.com/ajax"
"https:":"")+"//www.google.com"
"https?:\/\/afs.googleusercontent.com"
"https:":"")+"//domains.googlesyndication.com"
全てgoogle関係(ファイルの場所も通常はgoogleサイトです)のようなので以下省略しますが、
URLを自動生成するようなコードが含まれています。
5/20 12:33(198kb)
5/20 19:42(36kb)
5/20 19:42 fCACUYMY5.txt(46kb)
5/20 19:42 fCAKN9JHF.txt(162kb)
この後、見境無くサイトのセキュリティホールを攻撃し始めているのか、急ピッチでクッキーが溜り始まります。
同様のファイルは発症していないＰＣにも存在します。
キャッシュを削除すれば感染しないと言うものではないかと思いますが。
ちなみにトロイの卵(取説.EXE)が姿を現したのは、19:48でした。

＞C:\Program Files\Google\Update\1.3.27.5\GoogleCrashHandler.exe
ＩＥのキャッシュに怪しい挙動が見られたタイミングからしても、
この辺が関係している（標的になっている）かも知れません。（憶測）

検索に使ったEasyFNSearch（2006年）は、動作も高速。
検索結果はタイムスタンプなどで並べ替え出来、
リストをCSVファイルに書き出せる（エクセルでフィルタ処理や並べ替えが容易）など、
マルウェア探しには非常に役に立ちそうですが、今の現状（対策アプリで本体が見つからない）では、
発見するのはかなり厳しいかも知れません。

どこにアクセスしているのか、CCleanerでクッキー名（URL）のリストが欲しかったのですが、
テキストに吐き出すのは出来ないみたいですね。
800個近くあるのを画面コピーで重くなったアプリで保存しました。
最初にバックドアに感染したと見られる５／１２以後で340個、発症後で250もありました。
発症後分は、ネット接続１～２時間分くらいです。


余談ですが。
企業でＸＰが捨てられないのは、ＸＰでしか動かないシステムを使っていて、
開発担当者が不在で新ＯＳに対応出来ないか、
仮に物理的に対応できたとしても開発環境が激変していて
新規に構築するのと同じだけのコストがかかるなどの問題があるからでしょう。
私のケースも、特定のアプリが動かなくなる（インストールすら出来ない）のが判っており、
当面は主たる作業環境を変更する予定はありません。

今後は、空きパーティションにWindows 7を入れて様子を見る事にするかも知れません。
既に１週間仕事が出来ないのが腹立たしい限りですが、進展あれば報告します。

はじめまして、同じ症状が出たので一応報告
OSはXP
26日夜に発症　色々とサイト巡りをしていたところ異常な重さになり
タスクマネージャを見たところ同じ症状になっていました

試しにexplorer.exeを停止させると他の増えたやつも消えますね
explorer.exeを再起動しても症状は変わらないので何の解決にもなりませんでしたが

色々触ってもダメそうだったので仕方なくシステムの復元を開始
26～20日ぐらいを試す、、、ダメでした
調べたところノートンが入ってると復元失敗するらしい
思い切ってアンインストール（設定変更でもいいのかも）
復元開始、26日失敗、もう少し遡っても失敗
20日（21日だったかも）、、、なぜか成功しました

よく分かりませんが怪しい挙動は今のところ全て消えました
何度も再起動したけど異常なし

復元出来ないのはもしかして何か復元を阻害する別の要因（ノートンなど）が
復元の邪魔をしてる可能性も？

私の体験としてはこんな感じです（参考にならないかもですが、、、）

あと、色々検索したところyahoo知恵袋に
複数の同じ症状と思われる投稿がありました。windows8.1でなったとか
やはり新種のウィルスなのかな？

TORAさん、こんばんは。

更にこのスレで報告のレスが続いてますね。
Xpでの相談はお受けできないと明記しているのですが、予算その他の事情で継続使用しているユーザーや職場は本当に多そうです。

今ではアドウェア相談がほとんどになってしまったこの伏魔殿ですが、【本物の】危険マルウェア事例もいまだに見つかってますね。
そして最近特に目立ってきたのがP2P絡みです。
こんなものに手を出して感染したと伏魔殿に駆け込むだけでなく、ログ改ざんやP2P使用を「覚えがない」とのたまう方まで続くのでは、いい加減投稿者のアクセス制限とIP晒しも連発したくなります。

もう自分程度のオーバーヒートした脳では最新のマルウェアに対抗することなど無力でしょうが、相談者さんがたのログを見て可能な範囲だけでも応急処置は続けたいですね。

もうすぐ自分が力尽きてもTORAさんや他の皆さんたちが控えてくれているので不安はありません。
もうしばらく悪代官らしく往生際の悪い悪あがきしてみましょう

yatoさん、こんばんは。
「このサイトで最弱の小物」「伏魔殿の面汚し」の悪代官です。
あなたも情報提供ありがとうございます。

ここで他の方にも説明しておきますね。

このスレは他の方による報告と情報提供です。
ご自身の相談と作業を望むなら、説明と規約ページ熟読の上、その説明に従ってログを添えて「新規投稿」からご自身のスレを立ててください。
http://otherplace.html.xdomain.jp/prepare.html

http://otherplace.html.xdomain.jp/index.html

他の方のスレに便乗しての相談はNGです。

このスレは、皆で新型トロイの対策方法を考えるスレと言う事でお願いしたいです。
現状、早期の「システムの復元」しか解決方法が無いみたいですが。

今日も何やったのかなぁ・・と思うほど進展がありません。

Win7入れてからXPの「システムの復元」を試そうと思ったら、
XPのブートメニューが表示されなくなって焦りましたが、
そっちは諦めて、MSCONFIG起動してトライ。
対策ソフトを一通り削除して、日付を遡りながら、６～７回システムの復元を試みましたが、ダメでした。
ざっと検索した所、まともに（レジストリの）復元に使えるような大きなファイルは見つかりませんでした。
DOC&SETの下でなくて、Win\SYS\CONFIGの中の（エクスプローラでは見られない）20MB程度のファイルのようです。
もう少し遡ってトライしてみます。
システムの復元に失敗する原因に新種トロイが絡んでいるとすると、
３月時点のドライブ丸毎バックアップから復旧をかけるのもリスクがあります。
うまく行った時点で感染の痕跡も消えてしまうので、もう少し粘ってみますが。

Winの下にある Datastore.edb（削除しても問題無いらしい）が34MBもあり、
長年使っているノートは7MBしかないので、不自然ですね。
後で試しに削除してみます。
こんな所に隠れているとは思えませんが、
外（Win7）からMalwarebytes Anti-Malwareでドライブ丸毎スキャンをかけても何も引っかからないので、
１つずつ潰し込んで行くしかないです。

先のIEキャッシュに残っていた怪しいgoogleのテキストファイルの拡張子はjsですね。
スクリプトファイルはキャッシュに格納される時点でWebとは違う名称になってしまう事が多いようです。
もう少し細かく解析しないとダメかも知れません。
と言ってもmixiに出ている広告は全部Googleなので、感染源はGoogleでほぼ間違いないと思うのですが。
外からではキャッシュのファイルのDL元(リンク)は表示出来ないのが不便ですが、
感染ローカルの重たい状態で表示させると確実にフリーズするかと思います。

発症時にプロセスに出るNOTEPADは、本物がバックグラウンドで動いているようです。
そんなちんけなものが裏でTCP/IP動作出来るなど、思ってもみませんでした。

新型トロイの症状をブロックする事に成功しましたんで、これからが本番（嵌まって来た）って所です。

「システムの復元」（負け犬モード）がうまく行かないので、色々調べてみた所、
レジストリのフォルダはデュアルブートにしてもアクセス制限が残っている事が判りまして、
（レジストリの正しい保存場所すら認識していなかったと言うお恥ずかしいレベル）
LINUX CDからブートしてレジストリを書き戻そうと準備してましたが、
もうちょっと頑張ってみようかと。。
準プータローじゃなかったら、早く再インストールして仕事しろよと、
とっくにどやされていたはずですが。

で、肝心のブロック方法ですが。
"LOCAL SERVICE"になっていてGDIオブジェクトが０のSVCHOST.EXEを強制終了すると、
一瞬（２～３秒）ですがパフォーマンスが正常になります。
すぐ復活するのは、"RUN"属性でサービスが登録されているか、
別に監視しているサービスがあるかのどちらかですが、
そこをレジストリの中を探せば良いと言うのが、正しい解決策になるかと思います。

HKEY_LOCAL_MACHINEの下でSVCHOST.EXEを使っている場所を探し、
正常なマシンと比べて判断する手順になるでしょう。
実は、だいぶ前からSvchostAnalizerという解析アプリは入れていたのですが、
あまり細かく調べていませんでした。
このソフトでタスクマネージャと同じプロセスIDのを見れば、
どのファイルを使っているのかが判ります。

"REGSVC.DLL"

みたいです。
答えは出たかも知れませんが、これから飯なので、一旦作業を中断します。

抜け駆けＯＫですので、症状出ている方はトロイ退治にトライしてみてください。

SVCHOST.EXEの強制終了で一瞬症状が消えると思ったのは、どうやら勘違いでした。
また振り出しに戻る。。。

ギブアップして、（折角作った）LINUX ブートCDを使ってみようか。。

MSCONFIG起動して、「診断スタートアップ」で再起動後、
MSCONFIG上で動いているサービスはDCOMとRemote Procedure Callの２つのみ。
各々を担当しているSVCHOST.EXEを停止したら、１分後に強制リブートになりましたが、
その間、パフォーマンスに変化はありませんでした。
あとはタスクマネージャで残っている他のサービスを・・・って、
もう落せるものが無いんですけど。

関係ありそうなファイルは全てコンペアして違いは無かったので、
ひょっとすると、レジストリを戻しただけでは復旧しないかもしれません。
明日、LINUXブートCDを試して、ダメなら丸毎バックアップから復旧と言う手しか
残っていないのかも知れません。

私も、XPで、notepad.exe msiexec.exe cmd.exeが多発し、暫くするとCPU稼動100％になり、
ネットワークを切ると、多発も収まります。
原因不明で、前者のレスから再インストールしても再発するところから、
パソコンのレスポンス低下より、貴重なデータの流出を防ぐのが先決の為
応急処置として、邪道ですが多分危害の無い他のアプリケーション winhelp.exeに
入れ替えたところ、多発が収まり、レスポンスも正常になりました。
でも、副作用は不明です。あるかもしれません。
ウイルスとの共存です。。。。
本来のnotepad.exe msiexec.exe cmd.exeはリネームしているので、
必要な時にネットワークを外して戻します。
参考までに

LINUXブートＣＤ（KNOPPIX V7.2）で起動し、保護されたフォルダを調べてみましたが、
システムの修復に使われるレジストリのバックアップがあるフォルダ（System Volume Infomation）の中身が
直前のレジストリ以外、奇麗さっぱり無くなっていました。
トータルサイズで40MBしか無いのです。
ちなみに歴戦のサブのノートＰＣは、5.2GBもありました。それはそれで溜り過ぎ。
これではシステムの修復が出来ないのは当り前です。
中身が全部消されてエントリーしか残ってないのですから、
うまく出来るはずもありません。
てか、リブートする前に「修復に使うファイルが足りません」くらいの
メッセージを出せよと言いたいですが。
現状、完全に感染してしまうと、手動でいくらシステム修復ポイントを作っておこうが、
丸毎消されてしまうので無意味です。
システム修復ファイルをダイエットするアプリがあるくらいなので、
トロイがそれを真似ても不思議はないんですが。

復旧するには、ガチで退治するか、３月時点のバックアップに戻すしか選択肢が無くなりました。
トロイの動作としては、起動後に自分のプロセスのエントリを消して（メモリリーク状態）、
レジストリも書き換えて消し、起動ファイルも完全に消し、シャットダウン時に書き戻すパターンかも知れません。
もしかしたら、電源いきなり引っこ抜いたら正常起動する（あるいは二度と起動しなくなる）かも知れません。
その前に削除ファイル復活アプリも使って調べてみようと思います。

残ったSystem Volume Infomationの他、
DOC&SETの下のLocalService、NetworkServiceのコピーを取ったので、
ここに奴が隠れていないか、これから監査します。
他にアクセス出来ないフォルダがあれば、そこに隠れている可能性がありますので、
教えて戴ければ助かります。

UMAさん、レポ助かります。
どうやら先を越されましたね。

＞本来のnotepad.exe msiexec.exe cmd.exeはリネームしているので、
その手があったか・・と言うのは判りますが、
「他のアプリケーション winhelp.exeに入れ替え」
と言うのは、何とどう入れ換えられたのですか？

notepad.exe msiexec.exe cmd.exeは、単にリネームしましたが、すぐに復元されてしまいます。
txtファイルをnotepad.exe msiexec.exe cmd.exeにリネームし、
所定のフォルダにコピーすると、これもすぐに本来のアプリケーションに復元されてしまいます。
microsoft系の実行ファイルwinhelp.exeを３つコピーし、
それぞれnotepad.exe msiexec.exe cmd.exeにリネーム（ダミーファイル）します。
本来のnotepad.exe msiexec.exe cmd.exeをリネームし、
所定のフォルダにコピー（実際は、復元されたファイルへの上書きになります。）
但し、msiexec.exeは上書きできなかったと思いますので、
本来のmsiexec.exeをリネームした直後（OSが復元する前）に、
ダミーファイルをそれぞれの所定のフォルダにコピーします。
より、対処方法を見つけられたらレスをお願いします。

winhelp.exeの３つコピーは、やってみましたが、
確かに置き換えた３コマンドではタスクの増殖は見られなくなりましたが、
起動からして重いこと、
代わりに置き換えしていないコマンド（explorer.exeやctfmon.exe）の増殖が始まり、
勝手にネットアクセスされる現象は止められませんでした。
ctfmon.exeはともかく、explorer.exeは置き換え出来ませんので、
このやり方で完全に抑えるのは無理かと思います。

置き換え作業はローカルでやると監視されているので、
デュアルブートかLINUX CD/DVD起動でやるのが確実です。

ネットに接続すると、svchost.exe/SYSTEMが１つ増えますが、
これが普段使わないW3ssl.DLL(15,872byte/HTTP Filter)を組み込んでいます。
こちらを置き換えた方が効果は期待できそうな気もしますが、
いいＤＬＬはありますでしょうか。
所詮は対症療法ですね。

明日はバックアップを取ったレジストリフォルダを少し調べてみます。

置き換える前は、確かにexplorer.exeが１つ多くやctfmon.exe複数起動しており、
3点を置き換えた直後も起動していました。
再起動後は、複数のexplorer.exeやctfmon.exeは起動していません。
入れ替え後、再起動しても、まだ複数のexplorer.exeやctfmon.exeが起動していれば、重いと感じるかもしれません。
Process Explorerで起動プロセスと確認しています。
日常の作業をとめることができないので、これは、あくまでも応急処置（対処療法）と思っています。

置き換え作戦は、こちらもしつこくやってみまました。

先にexplorer.exeをexplorer2.exeにコピーして、
レジストリのexplorer.exeを全部explorer2.exeに変更してから（１時間仕事／ctfmon.exeも同様に）再起動し、
タスクマネージャ上でexplorer2.exeが正常に動いている事を確認し、
LINUX起動でexplorer.exeを@explorer.exeに改名してから起動すると、
ネットに繋ぐとexplorer.exeとctfmon.exeが復活します。
おまけにDWWIN.EXE(ワトソン先生)まで追加。
SYSTEM32の下のdllcasheの中にバックアップがあったので、それをLINUX起動で移動して再起動した所、
OSは不正なファイルに置き換わっていると何度も文句を言って来ますが、
ネットに繋ぐと何故かexplorer.exeとctfmon.exeが復活します。
パスは不明なので、自分でHDDを検索して移動されたdllcasheの中から発見したのか、
どこかにバックアップを取ってあったのか（普通は考えられない）不明ですが、
何としぶとい奴なんだと呆れるばかりです。
ネット接続時の増殖速度はだいぶ抑えられますが、
起動が遅いのに加え、ＸＰに怒られ続けるのも嫌なので、
ファイルは元に戻した所です。

先に調べたレジストリ関係のフォルダの中身は、どうやら白臭いので、
重たいローカル操作で一番アクセスしにくい場所（まさかの場所ですが）が怪しいのではないかと疑っています。
その場所をレジストリで参照していないかと合わせて、
ばっさり中身を削除してみたいと思います。

自分的にリミットは今週末（今日寝るまで）と思ってましたが、
ぎりぎり間に合ったようです。

もう一度レジストリを確認してから、削除してみます。

乞うご期待！

敵はTemporary Internet Filesの下に潜り込んでいると読んだんですが、
そこは既に裳抜けの殻だったようです。

Windows\system32\dllcasheの下に、
しこたまDLLやらEXEやら2500以上（普通は数百）も溜め込んで巣窟にしているのが判明したので、
ばっさり削除してから仕切り直しです。

敵の本陣は、Windows\system32\である事は、ほぼ間違い無いです。
改名コピーされて改変（タイムスタンプは元のまま）されたDLLを発見したので、
総当たりで正常マシンと比較して、
不一致のファイルは丸毎一撃で削除する予定です。
扱うファイル数が４桁なだけに、検索アプリEasyFNSearchが無ければ、
相当辛い作業になっていたでしょうが、
ツールを駆使して今日中にケリを付けたい所です。

初めまして。当方も皆様と同じく、XPマシンで同等の症状に陥り、検索でこちらを発見し
参考にさせて頂きました。
素人の上、掲示板の趣旨に反する事は承知の上ですが、なんとか症状が回復しましたので
何かのお役に立てればと思い、僭越ながら書き込みさせて頂きます。

当方の古いXPマシンは業務用途オンリー使用で、多少ネットも行いますが3日前、1ヶ月ぶりに
再起動をかけたところ皆様と同様、プロセスにてmsdat.exe、notepad.exeが勝手に起動、、そして
CMD.exe、mstexec.exeが多数起動し処理を喰われてしまい全く動作が出来ない状態でした。

LANを遮断すればプロセスの増殖は収まり、手動で止めて行けばプロセスそのものは消えますが、
他にexplorer.exeがCPUリソースの半分を喰い尽し、ファイル操作等を行うとほぼフリーズ状態と
なってしまいます。

たちの悪い事に、explorer.exeのみはセーフモード起動でも同様の症状を起こしており、セーフ
モードにての通常作業もかなり手間を喰います。
ただし、直接の画面描写に関する操作を行わず、通常起動にて何かのソフトを走らせていれば
不思議な事にexplorerにはリソースを喰われないので、それを利用してセーフモードにて各種
スキャンを行いました。
(S&D2.4とAVAST2015.10.2.2218)

が、起動状態ではそこまで怪しい物は見つかなかったので、システムの復元を試みるも前回
再起動させた5月1日～30日までの間の10個程の復元ポイントが全て復帰不可能になっており、
これは各種アンチウイルス、対策ソフト等を全てアンインストールしても駄目で、再起動後に
「復帰出来ませんでした」となります。

次にシステムファイルをsfc /scannowにてチェックしますが、エラーコード0x000006baにて実行
不可能でした。
これもいつのまにやら証明書が書き換えられていた様子で、他の正常なXPマシンから移動させて
なんとかsfc /scannowを走らせますが、症状そのものはこれでも回復せずです。
(参考：MS文書番号: 296241)
この件に関しては以前は全く起こらなかった事なので、システムの復元と合わせて今回の何かしらの
異常にて起こされた事かと推測します。

そして皆様の書き込みを参考に、可能な限り怪しい所のウイルス&マルウェアのスキャンを行っても、
通常起動&セーフモードですら明確に怪しいファイルは検出されません。
なので、システムドライブのみならず、物理的に遮断していた他のHDDも繋げ、AVASTのルート
スキャンにて起動前のスキャンを全てのドライブに対して行うと、再起動後には例のプロセスの
増殖はひとまず起こらなくなっており、現在は時間をロスした分の作業の復旧に追われている
ところです。

ざっとではありますが、ルートスキャン結果においてはSystem Volume informationに
いくつかの怪しいファイルが検出されましたので、そのあたりも問題である可能性があるのでは、
と思われます。
(特筆すべきはシステムドライブではない所にもあった事でしょうか)

なお思い当たるトラブル原因としては、WEB閲覧程度しか無いのですがそれとは別に、症状が発症する
前の再起動前1ヶ月間の動作としては、Google Chromeのバージョンアップを行った事と、5月頭に
Windows Updateを一つだけ行った事でしょうか。
外部メモリデバイスを挿入したりはしていますがそちらから感染させられた、というのは少し考えづらいです。

では、素人ながら長文失礼しました。
何かしらのお役に立てて頂けますと幸いです。
それでは失礼します。

MILLさん、情報有り難うございます。

AVASTでのスキャン、こちらも試してみました。（Win7起動でD:のＸＰをスキャン）

出ました！
Win64:Bedep-A[Trj] IPSECSNP.DLL　危険度：高！！！

場所はDOC&SET/All USER/APP DATA/{なんだら英数字}の下です。
元は"RUN.EXE"だったか簡単な名称で、プロパティ表示で確認しましたが、
Microsoftの製品を装っています。サイズは200kB程度だったように思います。
よそ見しているうちにAVASTに削除されてしまい、うろ覚えです。
同じフォルダに109KBの拡張子無しの設定ファイルらしきものが残されています。
作成タイムスタンプは、5/20 19:47（発症時間にほぼ一致）で、
本体のタイムスタンプも同じだったと思います。

IPSECSNP.DLLと合わせてWebで検索しても出ませんので、新種で間違い無いです。
このファイルを削除しただけで収まるとも思えませんので、
慎重に対処する必要があります。

なぜ発見が遅れたのか？

ローカルでEasyFNSearchでDOC&SETを5/20以後でスキャンした時に、
Administratorの中（IEのキャッシュを含む）は正常に検索出来ていましたが、
ALL Userの下のAppDATAの中は、何故か検索出来ていませんでした。
その事に気付かなかったのです。
正常ＰＣや、Win7起動では問題なく検索出来ていますので、
ALL UserのAppDATAをトロイにアクセス禁止にされたようです。
正に、このやろー！って感じですが。

SYSTEM32のファイルの比較の方は、あとちょっとで終わりますが、
切り分けが難しそうです。
特に追加されているDLLは、あったとしてもバージョン情報が詐称されているので、
正規のものと区別が付きません。
細かい検証は後回しにして、画面の見易いメイン機（だいぶ眼精疲労が・・）で作業が出来るように、
先に復旧を試みる事にします。

MILLさんのSystem Volume information下や別ドライブの怪しいファイルは、
あったとしても恐らく別種（危険度：低）かと思います。
ALL Userの下に痕跡があるはずですので、確認してみてください。

夕方、作業環境を元に戻しましたが、マシンが本来の速度で動くって・・いいですね。
駆除の方は結局、AVASTのスキャンだけで処理が終ってしまったようです。
何だか悔しいですね。
トロイ本体はすぐにUNDELすれば復活出来たのですが、そこまで気が回りませんでした。
（対策メーカーに高く売れるかな？とｗ）
エントリーだけ拾えたので、破損ファイル状態で保存しました。
"ipsecsnp.dll" 207kB(211,968) 5/20 19:49（元"RUN.EXE"）

レジストリは残ったままですが、動作には問題ありません。
この設定は、CCleanerのスタートアップのリストにも出て来ないので、
こちらで標準にされている手順では対処しようが無いですね。

今回はAVASTの性能に救われましたが、
これも感染状態で起動後のローカル操作では、
本体が完全に保護されたフォルダの中に潜んでいて検出出来ないため、
MILLさんがされたようにＰＣ起動時スキャン（自動処理）するか、
マルチＯＳブートで別パーティションとしてスキャンするしかないです。
タイムスタンプの偽装はしてなかったみたいなので、
もしマルチブート環境で検索をかけていれば、簡単に見つかったはずです。
最初から今の環境があれば、AVASTに頼らずとも、２４時間以内に解決していたのではないかと。。

AVASTの脅威度判定ですが、よく判らないものは全部「高」にするみたいですね。
昔、感染ファイルをやりとりしたメール内容のつまらないテキストファイルも「高」にされてました。

感染原因と、感染後の症状／潜伏方法は、別に論じるべきかと思いますが、
感染はフラッシュの脆弱性を利用したバックドアのようです。
Googleの広告が、これにやられていたようです。
http://blog.trendmicro.co.jp/archives/11453
５月に入ってから急激に被害が増えています。
「Nuclear Exploit Kit」って何でしょう？
以前から、広告は無駄に重い（"Esc"で動きを止められない）のと、
セキュリティ上の不安が付きまとうので、表示したくないのですが、
広告を表示サイトのページ毎に個別に識別確認してブロック出来るブラウザがあったら、
１万円払ってでも、それを使いたい所です。
下手なスキャンソフトを買うより、ずっと安全性は高まります。

凶悪な動作で散々てこずらせましたが、最後は悪あがきもせずにあっさり片付けられる。
時間と手間は奪われましたが、ファイルを壊される事もなく、
このトロイのポリシーとしては、腕前を誇示するのが目的とも思えます。
それも考え方次第なので、いくらでも凶悪な動作を仕込む事は出来る訳でして、
ファイルを勝手に暗号化して身代金を要求するのもあるようで。

「ウイルス情報」で検索しましたが、新型がまだ掲載されていないのは仕方ないとしても、
国内対策メーカーは、ウイルス情報の更新もろくにしていない所が多いですね。
そんな会社のセキュリティソフトは絶対使いたくない！
マルチブートでスキャンしても、Malware_bytesでは検出出来ていません（抜け殻の一次ファイルは検出）。
他の国内対策ソフトメーカーも似たり寄ったりのようです。
このトロイの出現で、マルウェア対策が根本的に見直される事になるでしょう。
特に、レジストリを検出出来ない（変な場所のDLLをロードしている）のは問題です。
ウィルス特有のパターン認識は、各メーカーの最高企業秘密ですが、
その辺のレベルアップも必要ですね。

Win7からはDOC&SETが丸毎アクセス禁止にされているので、今回のように中に潜り込まれると厄介です。
対策アプリが対応していないと、ほとんど何も対処出来ない事になります。(セーフモードも同じです)
なので、自分的にはＸＰの方が安心出来ますね(笑)。
問題が出るのも、アドオン側がほとんどですし。
確認したら、Adobe Flash Player のバージョンがまだ16のままでした。
http://blog.trendmicro.co.jp/archives/11147
Javaは（最近見ない？）しつこくバージョンアップせぃと五月蝿いですが、
フラッシュの方はユーザー任せですか？
もう１回感染してからバージョンアップしようかな。。

仕事をサボり過ぎたので、落ち着いたら情報を整理します。

TORAさん、おはようございます。MILLです。

書き込み拝見しましたが、どうやらトラブルが解決されたようですね。おめでとうございます。
AVASTにて発見された、という事で当方のみの環境依存ではない可能性も高くなった、という事で
他のお困りの方々にも参考にして頂ければ、と思います。

悪玉としては「Bedep-A[Trj]」という代物だったようですが、すでに削除されているのか、当方の
AVASTログやチェストボックスには残骸や履歴すらありませんでした。
とはいえ、その他のウイルス類はたまに拾ってブロックするような物しか無かった為、新種という事で
間違いないのでは、と当方も感じております。
(チェック時は疲れており駄目元で起動前にルートスキャンをかけ放置したので)


>ALL Userの下のAppDATAの中は、何故か検索出来ていませんでした。

とありますが、こちらは当方も起動時のスキャンでは何故かスキャンされていなかったようで。

>ALL Userの下に痕跡があるはずですので

怪しげな109KBの隠しファイルが残されており、タイムスタンプは当方も今回の症状発症とほぼ
同時刻でして、当方もここでビンゴだと思われます。


>レジストリは残ったままですが、動作には問題ありません。

CCleanerで対応出来ないならこれはやむを得ないのでしょうね。
ファイル本体を駆除出来ただけでも良しとしたいです。

>今回はAVASTの性能に救われましたが

本当ですね。仰る通りAVASTは誤検出も多いですが今回ばかりは見直しました。
当方も同様に、単純なテキストのみでも勝手に削除された事もありますよ。

>感染はフラッシュの脆弱性を利用したバックドアのようです。
>Googleの広告が、これにやられていたようです。

なんと、それでは広告クリックのみで感染の恐れがある、という事になりますね。
しかし、それだけであの動作をされたのではOSクリーンインストールを行ったとしても
すぐに再感染してしまう可能性が高いという事で、当方もさらに気をつけたく思います。
が、たまにしかアクセスしないWEBにてこんなにたちの悪い物を踏んでしまうとはなんとも
運が悪いとしか言いようがありません。

今の時代、あえてXPを使わざるを得ない一人としては、それなりの対策は施しつつ
運用してきており、ここまでのトラブルはかつて経験が無かっただけに悔しいものですよ。
今回の件に関しての対策は、

「最新版のAVASTを用い、別マシンからのドライブ接続もしくは起動前スキャンを行う」

といった所で宜しいかなとも。
さすがにセーフモードでの動作を遮られたのは初体験でしたよ。


では、長くなりましたが場をお借りさせて頂きました掲示板管理者様、そして参考にさせて
頂いた皆様方、どうもありがとうございました。
僭越ながら当方の書き込みも他の方のお役に立てて頂ける事を願っております。
それでは失礼します。

感染が確認されたら、AVASTをインストールしてください。
マルチブート環境の場合は、感染していないＯＳで起動後インストールしてください。

対処法１：
　AVASTで起動前スキャンを行う。
　・ＰＣ起動時にスキャンし、自動で問題のあるファイルを削除します。

対処法２：（マルチブート環境）
　感染していないＯＳで起動後、AVASTで手動スキャンを行う。
　・スキャンは感染しているＯＳの起動パーティションだけでＯＫです。
　・問題を発見後、詳細を表示した後に自動で削除してしまうので、
　　削除したくないファイルがある場合は、すぐに「何もしない」設定にしてください。

※注意
AVASTはマルウェア以外のファイル（小さなテキストファイルも含む）も誤検出するので、
起動前スキャンをする場合は、多少のファイルの消滅は覚悟してください。
（削除履歴は残らないようです。良く探せばあるかも）
スキャン設定は、感染したＯＳの起動ドライブだけでＯＫです。
（起動前スキャン時は選択できないかも）

MILLさんの情報が無ければ、今も未だ深いトンネルの中をさまよっていたはずです。
感謝します。

解析中、サブのノートＰＣも感染するんじゃないかと不安でしたが、
こちらはフラッシュのバージョンは最新になっていました。
(Win7にはフラッシュは入っていません)

＞悪玉としては「Bedep-A[Trj]」という代物だったようですが、

新種の場合の名称は、たぶん既知の最も近い種類の名称が当てられているかと思います。
AVASTのログ表示や、チェストボックスの開き方が判らなかったのですが、
無料版は制限でもあるのでしょうか。

＞怪しげな109KBの隠しファイルが残されており、タイムスタンプは当方も今回の症状発症とほぼ
＞同時刻でして、当方もここでビンゴだと思われます。

奇しくも、同じ時間に同じ感染広告に引っかかったようですね。
本体の時間より１０分程後なので、トロイの設定関係の作業ファイルのようです。

＞なんと、それでは広告クリックのみで感染の恐れがある、という事になりますね。

たぶん、広告を表示した瞬間に別サイトからトロイ本体を呼び込まれたのだと思います。
再度感染したくない場合は、フラッシュのバージョンアップを。

＞さすがにセーフモードでの動作を遮られたのは初体験でしたよ。

自分も「セーフモードって、この程度のものなのか」と、がっかりしました。
この時点で、切り分け（対処）が難しくなりました。
ＭＳのセキュリティ対策も、もっとしっかりやって欲しいものです。
今更ＸＰを槍玉に上げても仕方ないのですが。

今回の立役者的働きをしたAVAST（Win7にインストール）ですが、
ＰＣ起動中からAVASTの起動が重すぎて、静かに使えないレベルですね。
起動後のログインからして挙動がおかしく、デスクトップが出る前から激しくネットアクセス。
やっとデスクトップが出たと思ったら、
いきなりクローム立ち上げて自社サイトに「買え買え」と強引アクセス。
ウィンドウ閉じてもドライブスキャンがあわただしく続き、もう勘弁して欲しいレベルです。
新手のやつに感染したんじゃないかと冷や汗ものでした。
即刻削除！（も重かった）
アンインストール時の名残惜しげなレスポンス画面ではフィードバック出来ませんでしたが、
設定が融通が効かない重たい常駐アプリは嫌ですね。
Win7はアイドリング中もCPU負荷がかかっていて、ただでさえCPUファンの音が気になります。

余談ついでに。
Win7ではDOC&SETが完全にアクセス禁止(XP起動でも同じ)になっていますが、
これをLINUXでコピーすると、Application Dataのフォルダが無限階層コピーになって、
限界まで（40階層以上？）行きます。
嫌がらせレベルの古典的なコピープロテクトですね。
Application Dataを省いてコピーすれば問題無いですが、
全部で６ヶ所あるので、結構な手間です。
失敗したら再びLINUX起動して無限階層を探して削除。
Win7以後で解析する場合は、この手順に頼る事になります。
トロイのお陰で、Win7に加え、LINUX使いの端くれにもなれましたが、
高い授業料でした。

TORAさん、こんばんは。MILLです。

今回の件、当方も最初は検索でなんとかしようと思いましたが全く有用な情報が
ありませんでして、まぐれとはいえ自分の取った手法が当たりだった、となれば
嬉しいものですね。

とはいえ、こういった情報や対策はネットに投稿し、残していかないと他の方の
お役には立てませんから、同様のトラブルが話題になっていたこちらの掲示板を
選んで投稿させて頂いた次第です。
管理者様にはご迷惑をおかけしたようで申し訳無いですが、ここを参照して解決に
至った方がおられれば是非報告を、とも思います。


>AVASTのログ表示や、チェストボックスの開き方が判らなかったのですが、
>無料版は制限でもあるのでしょうか。

AVASTのログは、何故か最新版にすると何故かスキャンログが残っていませんでした。
前のバージョンまでなら

Documents and Settings\All Users\Application Data\AVAST Software\Avast\log

あたりにあったのですが・・・なおウイルススキャンの結果のみはソフトウェア上から
参照出来ますよ。

ユーザーインターフェイスを開き、スキャンタブを開くと一番下あたりに隔離領域
(ウイルスチェスト)とスキャン履歴があります。
ちょっと分かりづらいですが、今年版からは削除済みウイルスが確認出来ないように
なっている気がしますね。
あと、無料版で制限があるのは追加のセキュリティの類のみです。

なお、AVASTに関してですが、タイミングが良いのか悪いのか、AVASTのウイルス対策
プログラムのアップデートには、5月30日付けで「Bedep-A」への対策が行われて
いた、といった資料がありました。
後から判明したのではなんとも歯がゆいですが、当方はAVASTのオートアップデートに
助けられた、といった所でしょうか。


>たぶん、広告を表示した瞬間に別サイトからトロイ本体を呼び込まれたのだと思います。
>再度感染したくない場合は、フラッシュのバージョンアップを。

フラッシュの件、前投稿のリンクから拝見しましたがクリックではなくフラッシュそのものの
脆弱性を突かれていた、という事なのですね。
当方もフラッシュは最新版ではなく、一つ前のバージョンでしたのでこれが元凶であったと
思われます。(早速アップデートしました)


>今回の立役者的働きをしたAVAST（Win7にインストール）ですが、
>ＰＣ起動中からAVASTの起動が重すぎて、静かに使えないレベルですね。

AVASTは確かにあれこれといじっても軽く使う事は難しいと思いますし、その上
XP搭載マシンレベルであればなおの事厳しいですが、一部ソフトとブラウザのみで
あればそこまで重たくは無かったりしますね。
ただ、XPマシンのメインとして常用するのは難しいのでは、と思われます。

当方は昔は有名アンチウイルスソフトの類を毎年購入していたのですが、あまりの
重さと役に立たなさが我慢ならず、フリー系アンチウイルスソフトに切り替えたのですが
今回の件でAVASTを再評価したいです。(誤検出が多いのはやむを得ませんね)

5月頭に出てきたウイルス、と言いますかマルウェアに対しての対策が30日では
少々遅すぎるかとは思いますが、それでもなんとかしてくれたのは事実なので。

が、今回の件は起動時にはウイルススキャンを遮られる、といった動作が前提なので
他のアンチウイルスソフトでもブートタイム検査、起動前スキャンを行えば効果は
あるかもしれませんね。


では、もはや余談になってしまいましたが一日でも早く他の方々もトラブルから回復
される事を願っております。
それでは失礼します。

MILLさん、こんにちは。

今回の新種については、AVASTも発見後になってから対応（5月30日）したと言う事であれば、
他の対策ソフトで検出出来ないのは納得出来ます。
早いメーカーでも対応に１～２週間はかかるとすれば、
いいタイミングで更新されたと言う事ですね。

感染者がこのスレを見れば、AVASTが無くとも対応は可能かと思いますが、
困ったのは、症状では検索しにくいので、ここがうまく見つかるかどうかですね。

"IPSECSNP.DLL"は感染ファイル名なので(別のファイル名を使われる可能性もある)、
解決後でないと検索ワードには使えないですし、
"新種・新型"も"トロイ"も絞り込みになりません。
"時間がかかる"、"重くなる"も、関係無いものばかりが出て来ます。
タスクマネージャのプロセス表示にある"cmd.exe"と"msiexec.exe"で検索して
やっとヒットするレベルですね。
その手の知識が最低限無いと、見つける事も出来ないですね。

yahoo知恵袋で同じ問題が幾つか上がっていますが、１名フォローされている方がいるようです。
一部こちらのリンクが間違ってますが、うまく解決したでしょうか。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11146042811

感染マシンでのブラウズは重いだけでなく危険です。
雑多なサイト(国)にアクセスしていますが、何を目的にしているのか、はっきりしていません。

＞他のアンチウイルスソフトでもブートタイム検査、起動前スキャンを行えば効果は
＞あるかもしれませんね。

AVASTが後追い対応だった事を考えると、それは期待薄かと思います。
先月２８日にWin7（居場所が見えているはず）からmbamでスキャンしましたが、
見事に空振りでした。

AVASTはＸＰ側には入れていません。（インストール時にネット接続が必要です）
追加インストールしたWin7に入れました。
ＯＳそのものが重いので、余計に重たく感じるのかも知れません。

AVASTを使わない対処法もありますので、取り敢えず下を続けてアップします。
■新型トロイ対処法・玄人編■

新型の挙動については、また改めて。
忘れておりましたが、この場を快くお貸し戴いた悪代官様にも、感謝致します。

対処法１：（感染がＸＰの場合、かつ、マルチブート環境）
　感染していないＯＳでＰＣを起動後、マルウェア本体を削除します。
　・フォルダオプションで「全てのファイルとフォルダを表示する」にしてください。

対処法２：（感染がWin7以後の場合）
　LINUX起動CD/DVD（KNOPPIX）を作成・起動後、GUIからマルウェア本体を削除します。
　・KNOPPIX CD/DVDを作成する場合は、長時間ネット接続が必要なので、なるべく正常ＰＣで作成してください。
　　CD(700MBのみ)のダウンロード先（複数あり）：ftp://ftp.uni-kl.de/pub/linux/knoppix/
　　　ADRIANE-KNOPPIX_V7.2.0gCD-2013-07-28-EN.iso(英語版)を保存

マルウェア本体の場所：
　Documents and Settings/All Users/Application Data/{英数字(可変)}
　・{英数字}のフォルダを丸毎削除して構いません。
ファイル名：ipsecsnp.dll (他の名称の可能性もあり)、207kB、更新日：感染時刻
　・削除もしくは名前の変更でもＯＫです。
　・同じフォルダにある英数字のファイル（109kB）は削除しなくてもＯＫです。
　・Documents and Settings/(Loginユーザー名)/Application Data/adobe/acrobat/11.0(など)/assetsの下に、
　　exeファイル(2013年など感染時刻より前)があれば、同時に削除してください。(トロイの元ファイル?)
　・Documents and Settings/(Loginユーザー名)/Local Settings/Temp/{英数字(可変)}（感染時刻より５分程後）の下に、
　　"TMP"で始まるファイルが残されている場合は、同時に削除してください。
　　（上の２つは、2015年5月時点のMalwarebytes Anti-Malwareで普通に検出されます）

■後処理（再感染の防止）：
　ブラウザで「アドオンの管理」を表示し、表示を「すべてのアドオン」にした後、
　登録されているadobe Flashのバージョンが16以前の場合は、最新(17)にアップデートしてください。

＜参考＞
■KNOPPIX CDの使い方。
１．ＰＣ起動時にＣＤを入れ、F12を押して、CDROMを選択する。
２．メインメニュー画面が出たら、"10"ファイルマネージャを押して、
　　操作するHDDのパーティションを選択して"マウント"させる。(ESCで画面を抜ける)
３．テキストの読み上げ機能がうざい場合は、"13"セットアップ→"8"スクリーンリーダーを選択し、
　　表示された設定ファイルの最初の行(brlname=auto)の行頭に"#"を追加し、
　　ctrl+O(上書き)→Enter→ctrl+X(終了)→"Y"を押し、画面が戻るまでしばらく待つ。
４．メインメニューに戻り、"12"グラフィカルプログラム→"startlxda"を選択する。（GUIが起動）
５．タスクバーの左から２つ目、ファイルマネージャを起動する。
　・フォルダ表示をツリーにする場合は"Place"→"Directry Tree"を選択。
　　ドライブが見えなくなったら、"/"の下の"media"の下を探す。(この表示構成は結構嵌まる)
　・リストを詳細表示にするには、Viewメニューで・・（説明不要ですね）
　・基本、全てのフォルダが普通に見えるので、気をつけること。
　　アクセス禁止フォルダをコピーする場合は、新しくコピー先フォルダを作ってから中身だけ全て指定してコピーする。

画面のハードコピーを取りたい場合は、"PrtScr"を押すとキャプチャー画面が出ます。
ディレイ設定を2秒くらいにしてから"Take"ボタンを押せば、保存画面が出て、
PNGで好きな場所(マウント済ドライブ)に保存出来ます。

KNOPPIXは以前、日本語対応版もあったようですが、現在は英語とドイツ語しかありません。
（日本語版の解説サイトもありますが、ほとんど役に立ちません）

こんばんわ。
同じ症状が出ていたので、掲示板を拝見しました。
当方、パソコンに関しては初心者なため、言葉足らずな質問になってしまうかもしれませんが、ご容赦願います。

対処法にあるように、avastを最新の状態にしてブートスキャンを行ったのですが、原因となるものが見つからず、いまだにconhostやmsiexecが増殖しています。
何か特別な手順が必要なのでしょうか？

ブートスキャンの設定は
スキャンする領域→全てのハードディスク
ヒューリスティックの感度→高
PUPや圧縮ファイルについてもスキャンをさせました。

また、脅威発見時の処理は自動にしてあります。

スキャンは2度かけたのですが、Win32下にEvo-genとGenMaliciousA-FPEを検出したのみでした。

XPの脆弱性絡みの感染事例か？と思いきや、それ以外のOSでも発生しているという。

皆さんの脆弱性対策は、どの程度だったのでしょうか？それを教えてください。

私も同様の症状で悩んでこちらにたどり着きました。

感染PCのOSはXP-Proです。
AVASTでブートスキャンを実行しましたが問題解決されずに悩んでおります。

前記いただいたファイルの直接削除をこれから実行しようと思います。
普通に削除しようとしてもプログラムで使用中で削除できないとでますので
（セーフモードでも同様）Unlockerをダウンロードして削除しようと思います。

タスクマネージャーでexplorer.exeを終了するとネットにつないでいても
他のプロセスの増殖が止まります。
ファイル操作する際はまたexplorerを実行しなくてはなりませんが・・・

無事PC動作復旧しました。

環境XP Pro

Documents and Settings/All Users/Application Data/{英数字(可変)}をUnlockerで動作停止後、下のacproxy.dllを削除しました。

ファイル名は異なっていますがファイルの場所、容量は同じでした。
また、ファイル作成日時も動作が重くなった時間と一致します。

これまで試したのは
トレンドマイクロ　オンラインスキャン
Microsoft Safety Scanner
ノートン無償版
avastブートスキャン
でしたがどれも検出できませんでした。

XPなので対応が遅れているのかもしれませんね。
こちらの書き込み非常に参考になりました。
感謝いたします。

初めましてこんにちは。
同じ症状が出て困っていたところ、この掲示板の方法にて対処することができました。
PCには全然詳しくないので足りない部分もあるかと思いますが、状況報告いたします。

OSはWin7、感染時(6月5日?)はAdobeはVer.17の状態でした。
ウィルス対策ソフトはマカフィートータルプロテクションが入っています。
動作が重いな～と思い、クリーンソフトで履歴など諸々消してしまったため、感染経路は分かりません。
タスクマネージャでcmdやらnotepadやらが変な動きをしているのを確認したときに
フルスキャンしてみたものの何も検出されず。

そこで、ここに載っていたAVASTのブートスキャンによる方法を行いました。
YKMさん同様の設定で1回、スキャン領域をDocuments and Settingsに絞り1回の計2回行いましたが、
お目当ての物は検出されず、症状は治まりませんでした。

なのでTORAさんのKNOPIXXを用いた方法(玄人編)で対処したところ、症状は治まりました。

マルウェア本体の場所：
　Documents and Settings/All Users/Application Data/{英数字(可変)}　←同じです
ファイル名：scksp.dll 、見忘れたkB、更新日：6月5日

ファイル名は違いましたが、こいつのみを消したところ治まったので間違いなかったようです。
同じフォルダにある英数字のファイル(200ｋB程度)は消してません。
また、”トロイの元ファイル?”と"TMP"で始まるファイルはありませんでした。(以前検出されてたかも不明)

PCに詳しくない私にもわかりやすい説明文＆使用方法で書かれており、大変助かりました。
ありがとうございました。

自分も７proで同様の症状が出ていましたがこちらを参考におそらく、復旧させることができました。
しかし微妙に異なったのが
１、ＡＶＡＳＴによるブート検査終了後、めあてのファイルは削除されたにも関わらず症状は改善されず
２、その後はブートすらさせてもらえず（当方の環境のせいだとは思いますが・・・）

というわけでブート検査では切り抜けることができず。。。
結局はc\user\Users\All Users\Application Data内に存在した日付が新しい英数字がランダムに並んだフォルダを削除したことで
一応はおさまったかんじです。

ただ、インストーラーやメモ帳が出たり、２Ｇ近く占有するファイルが出たりといった症状はおさまったものの
いまだに「taskhost.exe」や「conhost.exe」は残ってるのが気がかり・・・。
症状が治まった方々はこれらのプロセスはその後一切出現していないんでしょうか？教えていただけると幸いです。

はじめまして。
cmd conhost など検索してこちらに辿り着きました。
検索してたのは同様の症状に悩まされてたからでありまして･･･
で、私も何とかKNOPIXXを使う方法で対処できたようです。
OSはwin7。感染日はたぶん６月５日です。

avast!を使ってのブートスキャンでは検出されず、症状も治りませんでした。
KNOPIXXではDocuments and Settings/All Users/Application Data/{英数字(可変)}に名前は違えどそれらしきファイルがあったので{英数字}のフォルダを丸毎削除。Documents and Settings/(Loginユーザー名)/Local Settings/Temp/{英数字(可変)}にTMPで始まるファイルがあったので削除しました。

ここの方々にはお世話になりました。ありがとうございます。

＞opalさん
私の場合は今のところ「taskhost.exe」や「conhost.exe」は出て来てません。

役に立つかどうかは、わかりませんが？

hijackthis の差分を記載します。

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe

→C:\DOCUME~1\【USER】\LOCALS~1\Temp\{3AA8660A-FC59-41A5-9AA9-9B3E2AA27490}\TMP8.tmp

C:\WINDOWS\notepad.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\cmd.exe

→O4 - HKCU\..\Run: [{4BB440BF-4B6C-EDB3-98A5-4B2A912478C6}] "C:\Documents and Settings\【USER】\Application Data\Apci\akek.exe"
→O4 - HKCU\..\Run: [bbf0fe5] C:\bbf0fe58\bbf0fe58.exe
→O4 - HKCU\..\Run: [bbf0fe58] C:\Documents and Settings\【USER】\Application Data\bbf0fe58.exe
→O4 - HKCU\..\RunOnce: [*bf0fe5] C:\bbf0fe58\bbf0fe58.exe
→O4 - HKCU\..\RunOnce: [*bf0fe58] C:\Documents and Settings\【USER】\Application Data\bbf0fe58.exe

www.virustotal.com/ja/file/efa66b36491c826fc90d49f2d4744760168238673f868000af2386ad624b9ac1/analysis/
SHA256: efa66b36491c826fc90d49f2d4744760168238673f868000af2386ad624b9ac1
ファイル名: TMP6C98.tmp
検出率: 4 / 56
分析日時: 2015-05-30 23:53:28 UTC (2 時間, 36 分前)

Bkav HW32.Packed.9FE3 20150529
Rising PE:Malware.XPACK-HIE/Heur!1.9C48 20150530
Symantec Suspicious.Cloud.5 20150531
Tencent Trojan.Win32.YY.Gen.24

-----------------------------------------------

上記の状態で
Malwarebytes Anti-Malware 1.75.0.1300　を実行してみました。

メモリプロセスの検出: 0
(悪意のあるアイテムは検出されていません。)

メモリモジュールの検出: 0
(悪意のあるアイテムは検出されていません。)

レジストリキーの検出: 0
(悪意のあるアイテムは検出されていません。)

レジストリ値の検出: 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|658627975 (Backdoor.Bot) -> データ: "C:\Documents and Settings\All Users\msejvr.exe" -> 再起動後に削除されます。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|965660103 (Backdoor.Bot) -> データ: "C:\Documents and Settings\All Users\mssbvire.exe" -> 再起動後に削除されます。
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{4BB440BF-4B6C-EDB3-98A5-4B2A912478C6} (Trojan.ZbotR.Gen) -> データ: "C:\Documents and Settings\【USER】\Application Data\Apci\akek.exe" -> 正常に隔離され削除されました。

レジストリデータ項目の検出: 0
(悪意のあるアイテムは検出されていません。)

フォルダの検出: 0
(悪意のあるアイテムは検出されていません。)

ファイルの検出: 3
C:\Documents and Settings\All Users\msejvr.exe (Backdoor.Bot) -> 再起動後に削除されます。
C:\Documents and Settings\All Users\mssbvire.exe (Backdoor.Bot) -> 再起動後に削除されます。
C:\Documents and Settings\【USER】\Application Data\Apci\akek.exe (Trojan.ZbotR.Gen) -> 正常に隔離され削除されました。

-----------------------------------------------

その他：

→C:\Documents and Settings\【USER】\スタート メニュー\プログラム\スタートアップ\bbf0fe58.exe
→C:\DOCUME~1\【USER】\LOCALS~1\Temp\KB01772718.exe
→C:\DOCUME~1\【USER】\LOCALS~1\Temp\KB01773859.exe
→C:\DOCUME~1\【USER】\LOCALS~1\Temp\KB01775968.exe
→C:\DOCUME~1\【USER】\LOCALS~1\Temp\KB01776625.exe

これで完治されたのですか？
まだ居座っているのですか？
説明不足です。

続々と報告が入って来ますね。
皆さん何とか対応されているようで、何よりです。

対応しているはずのAVASTでもダメなケースがあると言う事は、
『AVASTのスキャンに引っかかる前に、トロイが自分の居場所を遮蔽する事に成功している』
と言う事だと思います。
「起動時スキャン」は、「起動前スキャン」ではないと言う事です。
他のサービスの始働を待たせて、AVASTがスキャンを完了することは出来ません。
これはマルチタスクＯＳの仕様と言う事になります。
対策メーカー側では、恐らく『お手上げ』の状態です。
判っていても、対策が出せない状況だと思います。
根本的な対策方法は、ＯＳ側のブート仕様を変えるしか無いと思います。
そういう意味で、この新種の出現で、ウィルス対策を根本から見直す事になると書きました。

opalさんがまだ完治していないとの事ですが。
中間ファイルがまだどこかに残っている可能性が高いですね。
取り敢えずは、AVASTで普通にスキャンしてみてください。
それでダメなら、こちらのCCleanerで引っかかったレジストリ情報ですが、

Documents and Settings/(Loginユーザー名)/Local Settings/Temp/~nsu.tmp\Au_.exe
Documents and Settings/(Loginユーザー名)/Local Settings/Temp/is-7P159.tpm\is-4AQJ1.tmp

この辺のファイルが残っていないか確認してください。
発症時の更新日時と、"TMP"を含むファイル名で検索すれば、色々出て来る可能性はあります。
何せ自分で元ファイルをごみ箱に捨てて隠蔽工作をするような奴ですので。
MBAMでスキャンした時は、
DC3.exe～DC9.exe(DC8.exeだけ欠番。"DC～"はごみ箱専用の名称)が検出されていますので、
少なくとも他に６個のEXEファイルがあったと言う事です。
（重くてごみ箱は直接開けませんでした）

CCleanerのレジストリチェック機能は便利ですが、DLLやEXEなどのファイルのリンクについて、
全てをチェックしている訳ではないようです。
新型トロイのレジストリファイル名を実在しないものに変更しましたが、
エラーを検出出来ません。
（hijackthisでもトロイ本体は検出出来ません。）
上に示した感染過程で使われたと思われるレジストリは発見出来ましたが、
それで全部と言う保証も無いですね。（他に４つはあるかと）
バックドアのタイプによって違って来るかと思います。

もう一つ気になるのが、メモリ上に居座っているのを発見出来ないと言う事です。
これもうまく隔離しているのか、偽装しているのかは判りませんが、
そこを発見してどのファイルが起動されているのかだけでも示して貰えると、
対処も楽なんですが。

■YKMさん
ブートスキャンの設定は
＞スキャンする領域→×全てのハードディスク　○起動ドライブのみ
＞ヒューリスティックの感度→×高　○低
＞PUPや圧縮ファイルについてもスキャンをさせました。→不要
とにかく外せるものは全部外して、１秒でも早く目的のファイルをスキャン出来るようにしてください。
それでもダメなら、玄人モード（LINUX起動）で対応してください。

■凡人さん

感染経路はFrash.16だけではないようですね。
Cookieを調べてみましたが、少なくとも発症する１週間くらい前から、
アクセスした覚えの無い海外サイトのCookie（IE8では表示出来ないものも含む）が残されていました。
この時点で既にバックドア型に侵入されている可能性が高いです。
バックドアがどこからどのトロイ（ウィルス）を呼び込むのかは判りません。
たまたま呼び込まれたのが（運悪く）今回の新型だと言う事でしょう。
ここでは感染原因についてはこれ以上突き詰めません。

■サラリーマンさん

Unlockerなるツール試してみました。
Win7のDOC&SETや、XPのSystem Volume Infoがアクセスロックされているのが気に入らないので、
何とかならないかと思ったのですが、そこはダメみたいですね。
残念！(笑)

Cookieを調べてみましたが、少なくとも発症する１週間くらい前から、
アクセスした覚えの無い海外サイトのCookie（IE8では表示出来ないものも含む）が残されていました。
この時点で既にバックドア型に侵入されている可能性が高いです。

↑

Toraさん、ありがとう。

http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13146468023

これも同じ感染ですね。

http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10146391525

（引用）

昨日からPCがすごく重いです。steamをDLしてから急にPCの調子が悪くなりすぐに削除しましたが重いままの状態です。

ネットを開くのには数十秒かかり自分のフォルダを開くことですら懐中電灯のマークが出て３０秒以上かかってしまいます。この現象が起きた後ですがウイルスバスターと悪意のあるソフトウェアの削除ツールでウイルスチェックをしましたが見つかりませんでした。あとはPCの起動も格段に遅くなり起動時に使ってもいないのにWindowsPowerShellのエラー発生の画面が２つ必ずでるようになりました。２ヶ月ぐらい前に似たようなことがありその時の原因はHelp decryptでした。OSはWindows XPです。何か心当たりがあれば助言をお願いします。


↑


その時の原因はHelp decryptでした。OSはWindows XP


こういう、ことだったわけだね？

Help decrypt　←　しかし、この意味が不明のまま。こちらから問いただしても無言

http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10146249715　他方でこんなスレッドもあり、Help decryptの意味がわからん。身代金目的誘拐のランサムウェアを意味しているのか、いないのか？追加説明が欲しいネ。

格闘中です。
Unlocker使用して、システムから開かれている怪しい物を削除していったらnotepad,やconhost等のネットワーク活動は無くなりました。
dllhost.exeはピョコピョコ立ち上がっては消えてますが、大丈夫っぽい。

代わりにsvchost.exeファイルが活動を始めました。
コイツはメモリリークの症状のみで外部と通信はしてない様子。
別の原因かも。

ここのおかげでavast!で監視しながら、活動しているファイルをunlockrで潰していけば活動の症状が変わることはわかりましたので、まぁ今晩もう一度格闘して何とかなったら報告します。

拙いながら自分も報告を。
win7故か、皆様とファイルの名前や場所が違ったり、アクセス出来なかったりでてんてこ舞いでしたが、
私の環境の場合本体は、

c:/Users/All Users/{英数字(可変)} （内のdllファイル）

のようでした。（エクスプローラーの遅延が解消されたのでおそらく…）
Unlocker使用後、再起動で削除できたようです。

ただ、私の場合も麦犬さんと同様svchost.exeが2つ起動し、内1つがメモリを占拠しています。
（一時的に消すことはできるようです。）

Avastも複数回設定を変えて使用してみましたが、空振りでした。

まだ様子見ですが、ここに辿り着くまでほとんど情報がなかったので非常に助かりました。
ありがとうございます。

はじめまして
自分も皆さんと同様の状況に陥りいろいろ検索した結果ここにたどり着きました。
大方他の方と同じような報告になると思いますがOSがVistaということだけ違うかな（今のところVistaの報告はなさそう）
簡単に自分がした対処を書くと、ここを見る前にノートン、バスター、カスペルスキー、ESETやらでスキャンしまくるもなにも見つからず
途方にくれてたところここを発見しAVASTでブートスキャンするも駄目（設定は何回か変えてみました）
そこでunlockerで無理やり消す方法を試してようやく元通りになりました。
場所は
C:/Users/All Users/{英数字(可変)}　で名前はcmpbk32.dll 日付はおそらく感染時
フォルダごと消去しました
TMPファイルとかも探したけど何も見つからなかったので気にせず
今は○○host.exeの類も全く起動しません。　
一つ気になるのは今朝、起動時に　checking file system on F　と出て外付けHDDの検査が始まったくらいですがたぶんこれはマルウェアとは関係ないんでしょう。
個人的にはunlockerによる対処が自分のようにPCに不慣れな人間向きだと思いました（勿論AVASTですめばそれに越したことはない）

皆さんに感謝します　ありがとう。

>huuさん
ありがとうございます。ということは完治してないってことですね・・・。

>toraさん
詳しくありがとうございます。
感染日がおそらく6/3だというのは削除したフォルダの情報からわかったのでそこから該当フォルダをあたってみたものの、同名フォルダのみ存在し中身はもぬけのからでした。またメモリ関係も調べてきます。

ああそうだ。報告し忘れましたが、
恥ずかしながら私のPCは AdobeReader,flash,Javaがいずれも古いバージョンでしたのでその辺の脆弱性をつかれたのかもしれません。
その辺の知識はさっぱりなのでよく分かりませんが

AVASTのスキャンで引っかからない件について気になったので、Win7で実験してみました。

User(ユーザー)/Administorator　（怒られるが中を見られる）
User(ユーザー)/Default User　（完全アクセス禁止）
この下にLINUX CD起動で、既知のウィルスをコピー。
（Win7の"Documents and Settings"は、中身空っぽのリンク属性のフォルダである事が判ったので、無視しました）

Win7起動後、MBAMでドライブスキャン。
結果は、Administoratorの下は検出しましたが、Default Userの下は未検出。
Win7のDefault Userは、ＸＰ上からUnlocker操作しても、アクセス禁止を解除する事は出来ませんでした。
同レベルのアクセス禁止属性としては、"Documents and Settings"(XPは可視)の他に、
"System Volume Information"（各ドライブ）があります。
もしこういう所に潜り込まれると、感染ＯＳからでは打つ手が無いですね。

このトロイの場合は、All Usersの下に居座って、Unlockerで対応出来るレベルのようですが、
スキャンアプリ側で無差別にUnlockerかましていいのか？となると、難しいかも知れません。
「ロックされたフォルダもスキャンする」（手動スキャン限定）と言うチェックを追加すれば、道義的にはＯＫかも。
現状、対策ソフトメーカーの打つ手は、それしか無いように思います。

様こんばんは。MILLです。

多数の感染事例が上がっていてびっくりしましたが、AVASTを用いても駆除出来ない方も
おられるようですね。
当方はAVASTのみでなんとかなったのですが、皆様の情報を元に改めてファイルの残骸等を
調べてみましたが、唯一該当したのは2015/06/07 (Sun) 23:32:57の書き込みの方の示された

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run{2378BAC2-9DB8-7F9F-8D04-6E47BE9D5DAB}

に

"\Documents and Settings\[ユーザー名]\Application Data\Etbaix\idqao.exe

が残っており、ファイル残骸とレジストリ値共に手動で破棄しました。
(もちろんランダム英数字部分等は固有だと思われます)
しかし、当方はこれが残っていても現状では怪しいプロセスは動いていませんでしたね。

\Documents and Settings\[ユーザー名]\Local Settings\Temp\には怪しい物は残っていませんでしたし、
OS起動時にTempフォルダを空にしているので、感染時&駆除時近辺のタイムスタンプのあるファイルも
Tempフォルダ内にはありませんでした。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer以下にも何も無く、
\Runという階層も無かったのでこちらは駆除時に削除されたのかもしれません。
一応ですがAVASTで解決した当方での記録、という事で参考までにどうぞ。
駆除から時間が経っているので正確ではないかもしれませんが。

なお報告のあるUnlockerなのですが、こんな時に使えるツールだとは思いもせず勉強になりました。
削除出来ないフォルダを削除する、といった時にしか使用用途がありませんでしたが、今後は
頭に入れて運用していきたく思います。

では、今回も余談のみとなりましたがこれにて失礼します。

"\Documents and Settings\[ユーザー名]\Application Data\Etbaix\idqao.exe

の

→idqao.exeは、在りませんでしたか？

他の方とやり取りをしたいのであれば、最低限、区別出来る名前を記載してください。
管理者のガイドにも違反しています。

MILLさんのAVASTスキャンがうまく行ったのは、たまたまかも知れません。

スキャンアプリのスキャンの順番ですが、基本アルファベット順にされると仮定しますと、
重たいフォルダとしてはまず"Documents and Settings"があり、
その中の"Administrator"が最初になりますが、
ログイン名が"Administrator"ではない場合、"Administrator"の中身は空っぽに近いため、
次の"All Users"がすぐにスキャンされます。
うまく行けば、トロイがロックをかける前にスキャン（すぐ削除）出来ると言う事です。
ちなみに私は"Administrator"ログインなので、ほぼ確実に間に合いません(笑)。

トロイは不要な自分の痕跡は自分で消す動作をしますし（残っているのはバックドアだけ）、
AVASTでブートスキャンした後では"TMP～.TMP"ファイルも削除されてしまうため、
レジストリ以外は何も痕跡は残っていないはずです。

このトロイの動作で一番怖いのは、
通常では絶対触れないはずの"System Volume Information"（ＸＰ）の中の復元ファイルを全部消していた事です。
中のファイル構成すら判らないはずなのに、システム更新の予約処理だけで中身が消せるとも思えませんが、
何か裏技（セキュリティホール？）のようなものがあるのか、
あるいは直接セクタスキャンをして検索しているのかは不明ですが。
裏を返せば、"System Volume Information"の中に本体を隠す事も出来るのではないかと言う事です。
ただ気になるのが、今日確認した限りでは、システムの復元ポイント自体が今日と２日前の分しかありませんでした。
アプリの追加・削除を頻繁（と言っても３つ程度）にすると、古い復元ポイントが削除される仕様なのかも知れません。
手動で作成した復元ポイントまで勝手に削除されるものなのかどうか、しばらく様子を見てみます。
ひょっとすると、トロイと復元ポイントのトラブルは無関係かも知れません。
感染時には復元ポイント（エントリー）自体は多く残っていたので、その可能性は低いようには思うのですが。
CCleanerで復元ポイント（エントリー）の削除が出来るので、エントリーから丸毎削除であれば可能ですが、
エントリーを残して中のバックアップファイルだけ削除されているのが何ともイヤラシイやり方ですね。

http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13146468023/a361068039?sort=1&fr=chie_my_notice_reply

System Infected: Trojan Bedep Activity 2

↑
Bedepファミリーの可能性が極めて高いため、logを採取して伏魔殿に投稿するよう呼びかけて来ました。手がかりが見つかるかもしれない。

それと伏魔殿は「XP」はサポートが終了しているため基本的には、XPに関するトラブルは取り扱わない規約になっている。しかし、本件は重大事案に発展している可能性も高く＋企業などビジネス社会では未だXP使用率が高いという特殊性（使うなといえない苦しい事情も背景にあるため＝特殊SoftwareがXPでしか使えないなど）、管理人さんの配慮によって「例外的」にXP関連枠として投稿が許されているもの、と推測している。


ーーーーーーーーーー
"\Documents and Settings\[ユーザー名]\Application Data\Etbaix\idqao.exe

の

→idqao.exeは、在りませんでしたか？

------------------------
↑

このような誰に向かって問いかけをしているのか全く理解できない（HELP_DECRYPTさんだろう）投稿は、本スレッドが「極めて例外的に投稿が許されているXP枠」であることを考えれば、皆の役に立つ形で投稿してほしい。HELP_DECRYPTさんは「知恵袋」でも投稿しているが、こちらの呼びかけには一切答えない、ちょっと困った人である。皆が情報を手探りで探しているのだから、もっと「双方向」のコミュニケーションに努力傾注してほしい。


＊
さてTORAさん

「通常では絶対触れないはずの"System Volume Information"（ＸＰ）の中の復元ファイルを全部消していた事です」ですが、ありえるかもしれませんよ。というのも海外の情報を検索していると、本件に関して「身代金目的ランサムウェア」を連想させるような記事が散見され（といっても、確証というまでには、至らず）、ランサムウェアの特徴はSystem Volume Information内部のデータでさえ「暗号化」する。しかも毎回暗号化に成功するというわけでもなく失敗する場合もあり、その場合は、System Volume Information内部のデータが木っ端微塵になるという記事を読んだ記憶もあるから。

http://other-place.bbs.fc2.com/?act=reply&tid=6513296#13293259

出ましたっ！

皆様おはようございます。MILLです。
つたない書き込みで申し訳ありませんが今回も追記させて頂きますね。


>2015/06/10 (Wed) 22:10:07 の方へ

→idqao.exeは、在りませんでしたか？

こちら、今の所はこのマシンのみで使用している外付けドライブには存在していないようです。

なお、TORAさんの仰っておられる通り、こちらの掲示板ではサポート外の話題とされており
他の方の話題にぶら下がって勝手に自身の意見を書き込むのも本来はNGなのですから、
ある程度は双方向へのやりとり、といったスタイルを取られた方が宜しいのでは、と
当方も考えますよ。

私は管理人でも何でもありませんが、せっかくの情報交換の場であり、特例として
認めて頂いている話題なのですから一期一会ではなく、少しの間だけでもきちんと
お話をされてみては、とも。


>TORAさん

>ログイン名が"Administrator"ではない場合、"Administrator"の中身は空っぽに近いため、
>次の"All Users"がすぐにスキャンされます。

なるほど、これは勉強になりました。
確かに仰る通り、当方のマシンではログイン名はAdminではなく別名であり、かなり遅い方の
アルファベットですから、それが功を奏していたのかもしれませんね。


>通常では絶対触れないはずの"System Volume Information"（ＸＰ）の中の復元ファイルを全部消していた事です。

こちら、改めて確認してみたのですが、当方の環境ではシステムパーテーションC:のみを
システムの復元にて監査しており、現在のSystem Volume Informationの中身にアクセスして
みた所、中身は少なくとも5月24日以降の各ファイルにおいては現存し、6GB程度の実容量が
あります。
同様に、システムの復元も現状では5月24日までは遡れる、と表示上は出ていますね。

当方、感染はおそらく5月30日で、対策を打てたのが31日未明なのですがその時点にて
システムの復元に関しては、5月頭頃の日付までは存在していたはずです。
実行出来なかったのでその時点で内部ファイルが現存していたかどうかは不明ですが。

なお31日の対策直後に取ったバックアップイメージを確認すると、System Volume Informationの
中身は31日より前の物としては5月19日の物までが残されていました。
19日以前の物が全て消えているのはおかしいかもしれませんし、当方が勘違いしているだけで
実際の感染が19日であった、となればさほどおかしな話では無いのですが。

現在が6月11日で、24日までが残っている、というのはそこまでおかしな話ではありませんが
31日対策時点で19日までしか残らなかった、というのは確かにおかしいですね。

それにしても、31日の感染時にはシステムの復元で直近5日程度の復元も不可能であったので
これに関してはSystem Volume Information内に該当ファイルがあるにせよ正常に存在して
いたのか、現在のバックアップイメージ内にも正常に保存されているのか、は分からないです。
せめて31日の復帰時のタイミングにしっかりSystem Volume Informationの中身とタイムスタンプを
確認しておけば良かったです。


では、今回もつたないどころか役立たずの情報で申し訳ありませんが。
一応として、一番最初に解決したであろう当方の環境、としてご報告させて頂きます。

それでは失礼します。

crara06さん

発症前患者の誘導大変乙です。
５分に１回？どこにアクセスしているのかも含めて興味ありましたが（トロイの入手先ですよ）、
既に主犯ファミリー（Bedep系）は駆除済みのようで、残党退治の方が手間がかかりそうですね（I have no ideaですが）。
ちなみに、接続先はTCPEyeを入れるとリアルタイムでIPが表示出来ます。

＞身代金目的ランサムウェア
噂をすれば何とやら。
http://other-place.bbs.fc2.com/?act=reply&tid=6513985
これは悲惨ですね。
データのバックアップは、（別HDDの他に）他のマシンにも取っておきましょう。

ちなみに、System Volume Information（ＸＰ）の中にあるのは、
「レジストリと追加インストール関係ファイルのバックアップだけ」
と言う認識ですが。
ここを消されても起動自体には影響無いのではないかと。

MILLさん

復元ファイルの件、ご報告有り難うございます。
何とも白黒付けにくい感じですね。
「システムの復元」で簡単にレジストリを戻されては、トロイの動きも封じられてしまうので、
現状その辺の破壊工作は「やっている」と判断するのが無難でしょう。
ただ、直接触れない場所だけに、タイミングが早ければシステムの復元がうまく行く事もあると言う事かと。

＞他の方の話題にぶら下がって勝手に自身の意見を書き込むのも本来はNGなのですから、

「横槍禁止」とまではなっていないかと思いますが。
相談者が判断に迷う（管理人の措置と相反する）ような事でなければ、ＯＫかと。
情報は資源。楽しく(？)やりましょう。

TORAさん

本来なら　https://technet.microsoft.com/ja-jp/sysinternals/bb896645.aspx　これで監視をしたかったのですが、しかし、感染被害者さんに、これを使って観察したい、、、、だなんて「悠長なこと」は言えませんものね。禁句ですよ、ある意味。

知恵袋の被害者さんの場合は、FRST.exeでlogを採取する前に、MBAMで検出隔離？ができているようで、こうなると、いまさらプロセスモニターをインストールしても、悪党の監視は、たぶん、無理でしょう。

❷ところで？本件感染は「OSは問いません＝win8.1でも感染しますよ」と海外掲示板は指摘していますが、でも？XPの感染が、多いような感じしませんか？XPの場合、アプリであればアップデートは可能ですが、XPというOSそれ自体のアップデートは、もはや不可能であり脆弱性が潜在的に発生していますね？

オイラが今回XPのuserさんに対して「皆さんの脆弱性対策は、どうだったのですか？」と問いかけた真意は、XPを使用中だけども、OSのアップデート以外は、全部アップデートしており、アプリの脆弱性対策はバッチシでしたよ、と言うのなら、OSの脆弱性から感染した可能性は高い、と推測できたかもしれないな＝やはりXPは、危険な状況に入りつつ有る、と推測できるかな？と思ったわけです。

どうなんだろうなあ、、、、、、、、、、、、、、。

❸　「＞他の方の話題にぶら下がって勝手に自身の意見を書き込むのも本来はNGなのですから」

↑

叱責されているわけじゃなく、無反応な人へ「空気を読んで、生体反応を示してコミュニケーションに参加してくださいよ」という程度の問いかけだと思いますよ。

本来XP案件なので、伏魔殿の考えから言えば、やはり「ちょっと、、、、」というスレッドですが、しかし、TORAさんの問題提起は重要であること＝未だXPを使わざるを得ない特殊背景が企業にはあるのだ＝だからXPを使うな、と一方的主張をしても、説得力がない、という社会的実態があるから、本件重要感染案件が発生したことを、伏魔殿で扱う価値と意味がある、と管理人さんが判断しての「特例」措置でしょうね、間違いなく。

情報交換の場になっているし、おそらく、書き込みはしないけど、このスレッドを注視している人達も沢山いるでしょうしね。だからこそ「誰に問いかけているのか不明な遣り取りだけは、ちょっと勘弁してくださいよ＝コミュニケーションに参加してください」ということなんだろうと思います（苦笑）。

Flashの脆弱性から陥落したのか、PUP感染を媒介に陥落してしまったのか、それともXPの脆弱性から陥落したのか？その具体的な感染経路が、わかれば、と思っています。

皆様おはようございます。MILLです。

>TORAさん

>ただ、直接触れない場所だけに、タイミングが早ければシステムの復元がうまく行く事もあると言う事かと。

復元ファイルですが、仰る通りで当方は今回の感染から駆除までが24時間程度であった、というのが
幸いだったのかもしれませんね。
もっと時間を置いていたり、リブートを繰り返していればさらに悪化していた事は確実でしょう。


>「横槍禁止」とまではなっていないかと思いますが。

そうですね、感染報告等が多い上、AVASTの話題は当方が発端なので少し神経過敏になって
おりました。申し訳ありません。
しかしこちらのサイトではあくまで特例、お目こぼしである、といった点は忘れずにおきたく思います。

近年はこういった、トラブル事例に対して個人個人がお互いに真摯に取り組んで解決策を講じる、と
いった事もめっきり少なくなってきたなあ、と感じておりましたので、こちらのようなサイト様はとても
有意義なものである、と再認識しました。

余談ですが当方、全く別方面ですが質疑応答系サイトを長年運営しておりまして、おそらくですが
そういったサイトの管理人諸氏が直面するであろう運営方針、といった物も考慮しておられる方々が
こちらにはおられる、という事は当方としても励みになりますね。


>crara06さん

>無反応な人へ「空気を読んで、生体反応を示してコミュニケーションに参加してくださいよ」という

はい、文字のみのやりとりではこれが出来ないと話し合いにならない、という事だと認識します。
当方も可能な限りそれを心がけておりますが、言葉の投げ合いのみでは解決するものも
解決しなくなるのは至極当然の事になりますものね。


>「誰に問いかけているのか不明な遣り取りだけは、ちょっと勘弁してくださいよ＝コミュニケーションに参加してください」

感染規模は大きいでしょうし、検索でたどり着けるのがほぼこちらのサイト様のみ、となれば間違いなく
閲覧だけの方も多数おられると思われます。
しかし、当方も前述しましたが解決したらそれで終わり、ではなくコミュニケーションを行いさらに
話題を発展させログを残していく事で、後々の検索履歴やネット情報の一環となるのですから、
こればかりは投げっぱなしの言葉ではなく、きちんとした対話を行ってこそ初めて価値がある、と
いう事で当方も同感ですよ。

投げっぱなしの情報で他人様の役に立てて欲しい、とするのならばそれを他人様のサイト上にて
行うのはご法度であり自分のサイトで行うべき、といった事はもはや形骸化しているのでしょうね。


>「皆さんの脆弱性対策は、どうだったのですか？」

最後にこちらですが、僭越ながら当方の使用環境を少々記させて頂きます。
OSアップデートはサポートが終わった今でもたまにMSサイトを覗きますし、XPだから、ではなく元々
勝手なアップデートは好みませんので手動ではありますが、それなりにチェックは行っております。
MSソフトウェアに関しては、オートでは昔WMPやIEにてかなり痛い思いをした事があるので。

他の付随ソフトもオートで可能な物はオートアップデートしていますが、今回のトラブルを呼び込んだ
原因と思われるFLASHのみは手動にしていた為に1つ前のverになっており、これは痛恨のミスでした。
現在は不具合等覚悟の上でオートに切り替えました。

使用用途は業務用途と少しのネット、オフライン作業のみですが、そこまで怪しく無いブラウジングの
場合はE8を用い、そうでない場合(大半)はGoogle Chromeになります。
ブラウザキャッシュやTempファイルの類は作業終了時に全て破棄しています。

当然、不要なアドオン等は全て削除、停止しておりプロセス、スタートアップ等についても同義です。
クリーンなOS起動時の動作プロセスにおいてはタスクマネージャ参照で26個、となっています。
プロセスモニタも用いそれなりにチェックを行い、怪しい偽装や動作プロセスが無いように気を
遣っています。svchost.exeが一つ増えてもすぐに調べます。

ウイルス、アドウェア対策は対策ソフトを常駐させており、AVASTにおけるウェブシールド、
メールシールド、ファイルシステムシールドも常に動作しています。
S&Dも常駐し、ブラウザの免疫化も適宜行っております。

ネットに繋げる場合にはTCPモニターを用い、怪しい通信を感知した場合即時にフィルタリングを
行い、意図せぬ外部への通信は最低限度かと推測します。
これは今回の件でもexplorer.exeを喰われた時の外部通信のおかしな挙動がすぐに遮断が出来、
根本的なおかしさに気付けました。

そして月に一度はシステムドライブのみイメージバックアップを行い、OSによるシステムの復元も
起動時には毎回手動で復元ポイントを作成しています。
万が一おかしな挙動が起こり、原因が解決しても特定しきれない場合はシステムを書き戻します。

メインマシンでは無いが故に面倒な状態ではありますが、当方は今の所XP環境が業務用途で
必要な事もあり、こういった運用を行っております。
僭越ながら、当方こういった運用を十数年続けて来ており、以前はXP機はメインマシンでしたが
現在までOSクリーンインストールやリカバリを行わざるを得ないような厳しいトラブルには一度も
遭遇する事はなく、何かあっても対策してこれました。
KNOPPIXブートCDも昔作成しましたが、一度も使った事が無く行方不明な始末です。

各ハードウェアの交換のみは数年毎に行っておりますが、OSそのものは長期間持続させて運用を
続けられている、といった状態ではある、といった点も付け加えさせて頂きます。


では、長くなりましたが今回はこれにて失礼致します。

http://akudaikan-0.bbs.fc2.com/?act=reply&tid=6510847#13286836

さらに感染被害者発生

crara06さん

とっくにサポートが終ったはずのＸＰですが、未だに月に１回程度、ＯＳの更新らしいのが立ち上がるので、
脆弱性に関する問題については、裏で更新が続いている可能性大ですね。
問答無用で更新内容表示無しなのがイヤラシイですが、
サポート終了扱いなので、ＭＳのサイトを調べても出て来ないかと思います。

アドオンの脆弱性チェックをMozilla Firefox上から実施しました。

■Adobe ReaderAdobe PDF Plug-In For Firefox and Netscape・・・・脆弱性あり
11.0.8.4
→ＸＰの場合はこれ以後のバージョンは選択できないので、これが最新です。

■Silverlight Plug-In5.1.30514.0・・・・脆弱性あり
5.1.30514.0
→ダウンロードページへ飛んでも同じバージョンなんですが。誤判定？

■Adobe Flash PlayerShockwave Flash 18.0 r0・・・・最新です
18.0.0.160
→ここが17だったのが感染原因濃厚。結局アップしてますが、IE8側には組み込まれず。
　IEはしばらくFlash無しで様子を見ようか。

他のＯＳと最新バージョンが合わないものは、恐らく脆弱性に関する問題は無いものと思われます。
（いくら何でも脆弱性のあるインストールファイルをトップに置いておくお馬鹿なメーカーは無いでしょう）


MILLさん

＞もっと時間を置いていたり、リブートを繰り返していればさらに悪化していた事は確実でしょう。

あれ？MILLさんは（私と同様）最後まで逝っちゃった（トロイにシステムの復元ファイルが削除された）はずですけど。
他の方の報告で１件だけ「システムの復元」でうまく行ったケースもあると言う事ですね。

MILLさんのＸＰは、私の（何でもあり）雑用ＰＣと違い、用意周到ですね。
情報セキュリティ絡みとなると、それくらいやらないと危ないとは思いますが。
世間的には、まだＸＰを使っていると言う時点で「×」評価なんでしょうが、
今の所、決定的にＸＰのセキュリティが問題になる事例は無いですね。
あと何年使える（ネットに繋げる）かな？

とっくにサポートが終ったはずのＸＰですが、未だに月に１回程度、ＯＳの更新らしいのが立ち上がるので、
脆弱性に関する問題については、裏で更新が続いている可能性大ですね。
問答無用で更新内容表示無しなのがイヤラシイですが、
サポート終了扱いなので、ＭＳのサイトを調べても出て来ないかと思います。

↑

おおおお！TORAさん、これは、すごい情報じゃありませんか？確かに、win2000などとは比較にならないほどXPは、全世界で１５％の使用者がおりますからね。中国は国家としてXPを延長使用を宣言しているほど。日本だって企業でも、XPのuserは多い。

企業の場合は、確かにXPでしか動かせないSoftware、アプリケーションがあることも事実であり企業業務に関連する特殊な統計集積ソフトをオーダーメイド？したという企業だと、新OS対応にupdateさせるには莫大な金がかかるといい、「だから」XPを使わざるを得ないと発言する企業経営者も知っております。が、実は、それだけでなく、中小企業の場合は「金がないから未だXPだ」という実態もありますがね。でも、いずれにせよ、XPの使用は未だにつづいているわけで、「万が一」のpandemic感染が発生すれば、マイクロソフトへの罵声、罵倒、批判は、想像に難くないことも事実ですね（いくらマイクロソフトがXPのサポート終了を呼びかけてきたとしても、それでも、マイクロソフトはpandemic感染が発生すれば、袋叩きにされるのは目に見えている）。だから、XPの世界における占有率を考えて、マイクロソフトが「こっそりと」セキュリティ上パッチを当てていることは、あり得るかもしれません。

❷MILLさん、詳細な対策ありがとうございました。レガシーOSとなった以上は、MILLさんのような用意周到しなければ、確かに、怖くてXPを継続使用することは、できないとは、思います。オイラはですね、中古デスクトップであれば、win7程度なら、１万円前後で「使える」core 2 duoが入手可能という社会背景を重視し、XPの買い替えを呼びかけている側の人間ではあります。

おそらく、MILLさんのような対策を講じた上でXPを運用するようなuserは皆無？でしょうし、大多数のXP使用者は「ズボラ」だと見ています。そんなズボラが、XPを継続使用した場合、どんな不利益に遭遇するか分かりませんし、感染したXPが、Bot化し、世界に迷惑をかけることも想定内。それが理由で、特殊事情もないのであれば、まあ、win7の中古にでも買い替えませんか？という意見は、発信してきましたけどね。


しかし、XPが密かにセキュリティパッチがアテられているかもしれない？という指摘は、確かに、あり得るかもしれませんね。


まあでもセキュリティ上の問題は大規模には発生していないとしても、アプリケーション、ウイルス対策ソフト、ブラウザなど、確実にXPを除外し、対応を終了させる日がやってきますからね。


今回の感染を見れば、OSを仮想化すること＋「システムイメージの作成（XPの場合はAomei backupなど）」をし、万が一の感染に備えておくこと、を、さらにアピールしないといけないな、と感じますねえ。

＞とっくにサポートが終ったはずのＸＰですが、未だに月に１回程度、ＯＳの更新らしいのが立ち上がるので、
脆弱性に関する問題については、裏で更新が続いている可能性大ですね。

これは間違い、あるいは誤解してます。
更新で通知されるのは
・悪意のあるソフトウェアの削除ツール
・.Net Framework
・ランタイムライブラリ
・その他のEOLでないMS製品
でXP（及びIE）そのもののセキュリティ更新は終了してます。

実際には悪意のあるソフトウェアの削除ツールがほとんどです。
この辺MSの苦悩がみえますね。

実際には悪意のあるソフトウェアの削除ツールがほとんどです。
この辺MSの苦悩がみえますね。

↑

そうでしたか。すると、OS本丸のセキュリティパッチの適用は、やはり終了しているというわけですな。ありがとうございました。

「実際には悪意のあるソフトウェアの削除ツールがほとんどです」　←　こんなものを配布して、なにか意味があるのだろうか？

世界で蔓延してる特に危険なマルウエアの削除ツールなんですから当然意味はあるでしょう。
SIRのレポートからも一定の有効性はあるかと思いますが。

世界で蔓延してる特に危険なマルウエアの削除ツールなんですから当然意味はあるでしょう。

↑

OS本丸の脆弱性対策ができないって部分が致命傷なのに、部分的な意味で削除ツールなんか「いまさら」配布しても、それはマイクロソフトのブラックジョークだ、と言いたかったのです）＾＾

ほぼ、意味のない行為だと、思うという意味でもありますね。XP時代から感染実験をしていますが、オイラがシミジミ思う（痛感）ことは、脆弱性対策を施して「さえ」おれば、意外と感染しないものだなあということでした。今なら、常識であるDrive by downloads攻撃も、XPが現役当時は、その攻撃メカニズムも理解できませんでした。知恵袋に殺到した当時の相談は「Windowsメディアpalyerが突然、ムクムクと起動しはじめ、なにかゴソゴソと動き出した」途端、マルウエアに感染しました＝Fake AVに感染しました、という相談内容でした。そこでオイラもXPで、攻撃saiteだと指摘されているweb siteにXPでアクセスしてみると、windowsメディアplayerが起動しはじめる。そして、通信を開始し、攻撃web siteからファイルをダウンロードしてきたことがわかる。当時のwindowsメディアplayerには、ラジオ局と接続できる機能があって、例えば、ビートルズ専門ラジオ局と接続でき、ごきげんなビートルズソングを堪能できた。クラッシク専門ラジオ局、Beethoven専門ラジオ局（ラジオ局といっても、電波のラジオ局ではなくて、インタネット上ラジオ局の意味）などが無数にあり、オイラも当時は、その機能で楽しんでいた。

攻撃者は、この機能を悪用していたわけですね。メディアplayerの、このラジオ局への接続機能を悪用し、己の攻撃サイトに誘導していたわけです。当時のJavaの脆弱性を悪用する合わせ技を使いながら。オイラはその当時、オラクル社JRE機能を、意図的にアンインストールしていたので、このラジオ局機能を悪用した攻撃の直撃は受けませんでした。オラクル社JRE機能をアンインストールするという脆弱性対策を施してから、この攻撃を受けるという感染実験をしていたわけですよ。一連の攻撃を目の前で観察し、「脆弱性対策こそが、防御の一丁目一番地なんだなあ」と痛感。以後、ウイルス対策ソフトに依存する防御対策じゃなく、脆弱性対策を柱とする防御対策に考えを切り替えた事件でもあったのでした。

ウイルス対策ソフトや、削除toolなどには、小さい意味はありますが、大きな意味は、ありませんよ。OSの脆弱性対策が為されてこその、周辺対策ですもの。win7を使い脆弱性対策を施し、ウイルス対策ソフトといえばMSEと、Windows 純正のFirewallだけ、という貧素な状態でDrive by downloads攻撃サイトにアクセスしても、びくともしませんよね。OSが健康な状態であること（脆弱性対策を施してあることという意味）と、OS周辺アプリケーションも脆弱性対策が為されてこその、防御網だな、と痛感する日々です。

とまあ、これは「雑感」です。独り言だと思ってもらえれば。

>OS本丸の脆弱性対策ができないって部分が致命傷なのに、部分的な意味で削除ツールなんか「いまさら」配布しても、それはマイクロソフトのブラックジョークだ、と言いたかったのです）

サポートがあるOSと同様に「PC自体や使用者を守るため配布している」と考えるからそう思えるだけで、XPについてはXP使用者やOSのために配布してるのではなく周りが迷惑するから
既存の危殆化されたプラットフォーム群を少しでも浄化（？）するため配布していると考えたほうが適当かと思います。そう考えれば迷惑になるPCは一台でもないほうがサポート対象のOS使用者にとっても有益なので意味はあるでしょう。
小さい意味はないのと一緒という考えるか、小さくてもその意味に価値を見出しているかという違いかもしれません。

それとは別にCCMの統計取得のためという側面もあるでしょう。本当はこれだけが目的かもしれません。
どっちにしろ最初から守るつもりで配布してるわけじゃないと思います。（もちろん、そういう意図もついでにもってはいると思いますが）

XPのセキュリティ更新は終了してます

↑

色々とありがとうございます。「独り言」のようなものですが、実はXPを巡って色々と調べていたら、マイクロソフトにとってはXPを維持管理する程度＝セキュリティパッチを配布する程度のOS保守点検だけに的を絞れば、コストは、ほとんどかからない、という指摘がありました。

それ、どう思います？

❷　まあ、いまさらこんなことを言っても仕方がないのですが、XPをオープンソース化し、有志に保守点検をさせれば、無償updateも可能だけど、マイクロソフトが絶対に許さないという声。勿論、マイクロソフトにとってLEGACYとなったXPであっても「財産」ですから、オープンソース化を拒否することも、権利の一つではありますが。

XPを使われ続け、新OSが売れないという事態に直面するでしょうし。

独り言のようなものですが。

crara06さん

ズボラなＸＰ使用者です(笑)
３月まではWin2000を（１０年ほど）使ってましたが、
それもズボラなままで、こんな被害に遭う事も無く、平穏に現役引退しました。
メモリ（上限）が500MBでなければ、あと２～３年は使っていたかも知れません。

ソフトの脆弱性は、大抵は新規に追加した機能にまつわるものが多く、
長く機能追加が無ければ、そうそう新たな脆弱性が発見される可能性は低いと言えます。
仮にＸＰに致命的な脆弱性が発見されれば、ＭＳは対応するでしょうね。

今のマシン（core 2 duo）は中古で１万円以下で入手しましたが、
中古メモリの増設で１回失敗したので、
元のメモリと同じのを入れて4GB（MAXは8GB）で止めてます。
どうせＸＰだと3.3Gくらいまでしか使えませんし。

マシン（ＯＳ付き）はいくらでも安く手に入るので、ＯＳの更新が進まないのは、
ソフトの互換性の問題だけと見た方が良いでしょう。
ＭＳも新しいＯＳを売らないと巨体を維持出来ないと言うのもありますが、
ＸＰとアプリインストールで互換性の高い業務用ＯＳのマーケットを切り捨てている事に問題があるのです。
仮にＸＰ２と言うＯＳを２万円程度で発売して、最低５年はサポートを行うのであれば、
需要はかなりあるでしょうね。

自分のXPも同じ症状に見舞われ、玄人編を参考に当該フォルダ毎削除してマシンが常時重たくなる状況は改善されたのですが、タスクマネージャのプロセスには依然として増殖したcmd.exe、explorer.exe、msiexec.exe、notepad.exe、svchost.exe等が残ったままとなっています。

また、cmd.exeとmsiexec.exeについては瞬間的にちょくちょくメモリを50%占有することがあります。(1秒に満たない程度。通常のアップデート試行？)

ウィルスを削除された方々は、その後の状況は完全に復旧されているのでしょうか？残骸の処理はどうされていますか？

TORAさんへ

伏魔殿さんはXPに関する対応は終了しており、本件も本来趣旨からすればアウトだったと思います。でも、XPが全世界で１５％のshareを維持していること、企業などいまだに現役OSであること、使わざるを得ない理由もあることなどから、本件事案は取り上げる価値がある、と管理人さんが考えてのスレッド成立だったのだと考えています。そして、TORAさんが問題意識を持ってスレッドを立ち上げてくれたことで、同じ被害に悩む被害者の、相談窓口となりました。大手柄スレッドに成長したと思いますよ（苦笑）。


http://blog.livedoor.jp/blackwingcat/archives/cat_49444.html

↑

今でも現役userさんがおりますからねぇ。知恵袋でも圧倒的知識を開陳されていた「しょうへい」さんも、win2000には造詣の深い方でした。http://blog.babibubebo.org/　オイラが知恵袋セキュカテで「この人は、すごいなあ」と心底、感嘆したのが「しょうへい」さんでした。もっとも知恵袋セキュカテの荒れよう＋頭の悪いQ&Aが多すぎたことが原因なのか、消えてしまいましたが。しょうへいさんもwin2000をサポート終了後も、必要なパッチなどを当てて、使っていた？と記憶しております。今は、どうか、分かりませんが。

今回の感染ですが、win7などでも感染しておりFlashなどの脆弱性を狙い撃ちした経路からの感染だろうと、推測しています。そして奴らの狙いはオンラインバンキング関係の情報ですね。


ところで、ランサムウェアに関して被害者の興味深いブログがあります
http://honmaka.cocolog-nifty.com/blog/2015/03/post-7bb9.html
PC内部のデータは壊滅したけれど、クラウドしていたデータだけは無事だった。その無事だった理由が、興味深い内容です。LEGACY　OSを使うuserにとって、対策の一つになるかも？

京極さん

MBAMは、使いましたか？

XP環境です。
ちょっと強引ですが
ＩＥを起動して本物のexplorerをkillしてから
IEのファイル開くからたどって
Documents and Settings/All Users/Application Data/{英数字(可変)}
を削除したらなおりました。

あっ
ちなみにavastによるSystem Volume Informationの中を削除してからです。
・・・avastだけでは解決しなかったので。

XP使用者です。私もcmd.exe、explorer.exe、msiexec.exe、notepad.exe、svchost.exe等が重複して発生し、かなり重くなっていました。このサイトにたどり着き一読した中で、crara06さんの投稿にあるMBAMを使うと症状はなくなりました。ありがとうございました。

GENさんPCの容態は、その後如何ですか？

❶念のため、システム復元ポイントを作成しておきましょう。
完成したら、一旦再起動へ

❷http://www.bleepingcomputer.com/download/roguekiller/

これを使い、念のためscanしてみて

❸http://www.bleepingcomputer.com/download/panda-anti-rootkit/

❹http://www.bleepingcomputer.com/download/trend-micro-rootkitbuster/

rootkit系の対策ソフトでscanしてみましょうよ。

京極さん

反応遅くなってすみません。（サポートを約束している訳ではありませんが）

増殖症状がまだ出ているとなると、
中間生成ファイルがまだ動いているものと思われます。

1.
発症した日から１週間くらい前までの間に作成されたファイルに怪しいものが無いか調べてください。

2.
レジストリエディタで、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
の下に、怪しい実行ファイルが登録されていないか確認してください。

駆除は、実行ファイル削除か、レジストリ削除のどちらかが行われていれば問題はありません。

京極さん

追加ですが。

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
私の場合はこの下に中間処理ファイル（TMP～.EXE）などが複数登録されていました。
ここも調べてください。
（このキーは正常マシンでは存在しません）

最新のAVASTなどでスキャンすれば、残党は全て検出されるはずですが、
異常無しだと、どこかのロックがかかっているフォルダの下に隠れている可能性が大ですね。
LINUX起動（フルアクセス可）で、日付で検索・・出来たっけな。

crara06さん

お誉め戴き光栄です。
こっちは藁にもすがる思いで投稿したまでですが。
「再インストールなどしてたまるか！」と言う意地はありましたが。

http://blog.livedoor.jp/blackwingcat/archives/cat_49444.html
↑
ドＭサイトですね(笑)。
一時期、Win2000に（裏技で）Cromeを入れようか考えた事はありましたが、
メモリ500ではマトモに使えないのは明らかなので、
結局思い立ったが吉日で一気にマシン更新（なおもＸＰ）。
重いアプリ（サイト）を２つ３つ同時立ち上げもへっちゃら快適～とやってた矢先の感染でしたので、
ミッドウェー海戦敗北並みの衝撃でした。

＞そして奴らの狙いはオンラインバンキング関係の情報ですね。
それはどうか判りませんね。
もしそうなら、感染している事を見抜かれるような症状は安易に表に出さないはずです。
今一番凶悪なのは、振り込み先だけを擦り替えると言う手口ですが。

そう言えば、ここに書き込まれている方で、（管理人さんを除き）ほぼ唯一、
crara06さんだけが感染被害に遭われていないのですね。
私（スレ主）がサボっている間も面倒見て戴けるのはありがたいですが、
書き込みあり通知がないのが設定上寂しい所ではあります。（忘れたらおしまい）


匿名希望(?)さん

>ＩＥを起動して本物のexplorerをkillしてから
>IEのファイル開くからたどって
>Documents and Settings/All Users/Application Data/{英数字(可変)}
>を削除したらなおりました。

そういう方法もありましたか。
何がフォルダ（ファイル）をロックしているかによりますね。
「explorerを立ち上げない」と言うのは、色々と面倒で億劫ですが。

TORAさんの功績大です。XPサポートは、他の掲示板でも消滅しつつあり、今回の感染はTORAさんの投稿で救われた被害者は、多いと思いますよ。

感染した場合ですが表面的な感染の「裏」で、別系統のmalwareが混入し、金融機関関係の情報を盗みにかかっています。これは妄想とかではなく（藁）ベンダーのブログなどに、紹介されている手口なんです。Backdoorの形成も含め。

＊
ところで暗号化ランサムウェア感染。静かですが相当な被害が日本でも発生してますね。知恵袋セキュカテに投稿されるようになると、あっちこっちで感染被害者発生しているって兆候なんですよ

http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10148351510

↓
さらに　http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12148426452/a365470597　（被害者さんは、同じ人。ランサムウェア感染だと、未だ、気がついていない）。

恐ろしい感染ですが脆弱性対策さえ施しておれば99%感染しないものでもあります。

脆弱性対策という概念が、普及すればいいなあ、、、、、、、、、、、。