「Security Tool」ウィルスの削除

今更ながら 「Security Tool」ウィルスを駆除する機会があった

感染源はメールらしい
メーラー(MS-Outlook2007)が起動しないので、ウィルス感染したんじゃないかとの連絡を受ける
あまりにも有名で立派なユーザーインタフェイスなので、リモートですぐに確認


ひとまずプロセスを殺すため(タスクマネージャーは起動不可)に、rkill.com をダウンロードして、デスクトップあたりに置く(あとで、立て続けに起動しやすいように)

で rkill.com を連発して起動させ、プロセスを殺す
(最初に起動させたときに、実行時の警告チェックをはずしておく)
おそらく Security Tool は、主プロセスを別のプロセスから監視して、いなくなるとすぐに起動させるようにしているのだろう。なので、rkill.com を連続して起動する必要がある

プロセスを殺した所で (ここで再起動してはならない) ちょっと調べてみる
以下辺りに、あやしい実行ファイル有り
  • C:\Documents and Settings\All Users\Application Data\数字\数字.exe
  • C:\Documents and Settings\[UserName]\Application Data\数字\数字.exe
  • C:\Windows\Temp\ランダム.exe
また、レジストリのスタートアップ項目にも c:\Windows\Temp\ランダム.exe へのリンク有りHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(Windows\temp\ランダム.exe が監視プロセスなのかも)

未確認ながら、駆除前に上記のファイルをある程度特定していたので、
実行中にファイル名を書き換えてみた(実行ファイル名は、実行中に変更できる)が、
それで再起動しても対処可能だったのかも???

お急ぎで、怪しいファイルが必要ないとわかっている場合は、rename や
目的のレジストリ項目を削除するなどで完了
わからない人は Malwarebytes' Anti-Malware をダウンロード・セットアップ・実行して駆除を行う

コメント