土曜日に妻の知り合いから「動かなくなってしまった(汗)」とのことで預かったDELLのノートPC。久しぶりにウイルスと格闘することになったので備忘録がてら・・・

始まりは勘違いから


どれどれ・・・と、とりあえずオフラインでPCを起動。

WindowsXPが普通に立ち上がり・・・と思ったらいきなり英語のセキュリティソフトが起動。何やらメッセージを発してます。持ち主より「フリーのセキュリティソフト(メーカー名不明)を入れている」と言われていたので、それかな?と思いつつ、中身をよく読んでみると。なんと21個のウイルスに感染しているとのこと!

「おぉ。これはまずいんじゃないの(汗)。でもちゃんとセキュリティソフト動いてるやん」と思い、Removeボタンをクリック。そうすると、どうやらアクティベーションが切れているようで、認証コードを入力してください!との警告が。

「ははーん、体験版入れたはいいけど更新しなかったクチか。しゃーないな。」と、他のセキュリティソフトでの駆除を行うことに。ウイルス対策ソフトは競合しがちなので、そのセキュリティソフトをアンインストールしようと思い、コントロールパネルからプログラムの削除を行おうと思ったのですが・・・なにやら警告が出て起動せず。英語のメッセージで「ウィルスに感染してます!クレッジットカード情報が漏れる可能性があるのでウイルスを削除してください」とのこと。

「へー、このセキュリティソフト、消すまで他のプログラムにロックかけるなんて徹底しとるな?」なんて感心しつつ、そのメッセージにしたがって消す作業をしていくと、またもや認証コードの入力画面が。コードを取得するためにはどこかWEBサイトでの登録が必要なようです(オフラインなのでつながらず)

この時点で一瞬感心した思いが疑念へ。「アクティベーションするまで全てプログラムをロックするなんてありえんやろ」ということで自分のPCでその状況を調べたところ、どうやらそのセキュリティソフトは「Secutrity tool」という最近流行のマルウェアだったことが判明。

一瞬でも感心してしまった自分に反省しつつ、マルウェアの削除作業を始めたのでした。

とりあえずSecurity toolの削除には成功


すべてのプログラムがロックされている以上、にっちもさっちも行かないのでとりあえず一旦シャットダウンして、セーフモードで起動(F8を押しながら電源ON)。そして、自分のPCよりダウンロードしたMcAfeeのStinger(スティンガー)という無料の駆除ツールを走らせてみました。(その前に知人が言っていたホントのウィルスソフトをアンインストール)

チェックするのに5時間くらいかかったでしょうか(汗)。終了すると何種類かのウィルスが削除されたようで、改めて起動するとSecurityToolもなくなっており、とりあえず一安心。

ウイルスは終わらない・・・


一安心したのもつかの間、念のためプロセスをチェックするとCPUが100%張り付きに・・・どうやら「_ex-08.exe」というプログラムが負荷をかけているもよう。こんなの見たことない・・・ということでGoogle先生に聞いてみると、どうやらトロイの木馬っぽい。最近のものなのでスティンガーにもかからずか・・・これがマルウェア感染の原因かな?と思い、今度は市販版のウイルス対策ソフトの体験版で対策を行うことに。_ex-08.exeはとりあえずプロセス終了。

選択したのは「ESET Smart Security」。選択基準はなんとなく。。。スティンガーを走らせる時にセキュリティソフトはアンインストールしていたので、そのままインストール&実行。まだ感染していることは確実だったので定義ファイルのオンラインアップデートはせず、2009年12月に更新された定義ファイルに一抹の不安を感じつつも2時間くらいのスキャンを完了。そうするとまたもやいくつかのウイルスを削除した模様。「これで大丈夫だろ?」と思い、再起動してプロセスを確認するとまだそこには_ex-08.exeの姿が・・・

手動で駆除対策を実施


ウイルス対策ソフトでも削除しきれないということで、同様の事態に遭遇した方のブログを拝見して手動で対策を実施することにしました。参考にしたのは以下のブログです(感謝)。

Security Tool 削除作業 – smilebanana

スティンガーですでに一部のファイルは削除されていましたが、_ex-08.exeと関連ファイル(その殆どは”C:\Windows\TEMP”に格納)は手動でファイル&レジストリ削除しました。

最後に予防対策・・・のはずが?


再度起動すると怪しいプロセスも上がっていなかったので、体験版であったESETをアンインストールし、再度フリーのセキュリティソフト(KINGSOFT)をインストールしなおして、ネットに接続。(体験版で返してもいいのですが、購入するの忘れてまたウイルスに感染しても面倒ですので・・・)KINGSOFTを選んだのはFirewallが付いていることと、ネットブック用という軽そうなやつがあったから。古いXP端末だったので。。。

Windows、Adobeソフトなど脆弱性が突かれそうなところをアップデートして完了・・・のはずが、なぜかフリーのセキュリティソフトがウィルスを1つ検知。。。あれだけやったのにまだいたか・・・と、ログを見るとスタートメニューにwwwpos32.exeというウイルスが入っていたようです。調べてみると巷を騒がせているガンブラーなどの8080系ウイルスの亜種っぽい。

機ッ会なAOC

なんだか手動で削除しようとすると大変そうですね。。。フリーソフトながらすでに対応していたKINGSOFTあっぱれ。スティンガーで駆除するタイミングでこれ使っておけばよかった・・・とちょっと後悔。

ウイルス駆除作業終了


wwwpos32.exeの削除と復旧対策(windows updateの確認など)をもって駆除作業終了です。PCを返却するときにはOSのクリーンインストールを強くすすめるとして、改めて各種ソフトのアップデートとウイルス対策ソフトの重要性を強く感じました。

最近流行りの8080系ウイルスはWEBサイトを通じて各種ソフトの脆弱性をついてくるため、誰にでも感染の可能性はあると思います。面倒な作業ですが、数分のアップデート作業を怠ると数時間あるいは数日を無駄にする可能性もあるわけですから、確実に実施しときましょう。

久しぶりのウイルス駆除で色々と勉強にはなりましたが・・・疲れた。。。