「Security Tool」ウィルスの削除
今更ながら 「Security Tool」ウィルスを駆除する機会があった
感染源はメールらしい
メーラー(MS-Outlook2007)が起動しないので、ウィルス感染したんじゃないかとの連絡を受ける
あまりにも有名で立派なユーザーインタフェイスなので、リモートですぐに確認
ひとまずプロセスを殺すため(タスクマネージャーは起動不可)に、rkill.com をダウンロードして、デスクトップあたりに置く(あとで、立て続けに起動しやすいように)
で rkill.com を連発して起動させ、プロセスを殺す
(最初に起動させたときに、実行時の警告チェックをはずしておく)
おそらく Security Tool は、主プロセスを別のプロセスから監視して、いなくなるとすぐに起動させるようにしているのだろう。なので、rkill.com を連続して起動する必要がある
プロセスを殺した所で (ここで再起動してはならない) ちょっと調べてみる
以下辺りに、あやしい実行ファイル有り
(Windows\temp\ランダム.exe が監視プロセスなのかも)
未確認ながら、駆除前に上記のファイルをある程度特定していたので、
実行中にファイル名を書き換えてみた(実行ファイル名は、実行中に変更できる)が、
それで再起動しても対処可能だったのかも???
お急ぎで、怪しいファイルが必要ないとわかっている場合は、rename や
目的のレジストリ項目を削除するなどで完了
わからない人は Malwarebytes' Anti-Malware をダウンロード・セットアップ・実行して駆除を行う
感染源はメールらしい
メーラー(MS-Outlook2007)が起動しないので、ウィルス感染したんじゃないかとの連絡を受ける
あまりにも有名で立派なユーザーインタフェイスなので、リモートですぐに確認
ひとまずプロセスを殺すため(タスクマネージャーは起動不可)に、rkill.com をダウンロードして、デスクトップあたりに置く(あとで、立て続けに起動しやすいように)
で rkill.com を連発して起動させ、プロセスを殺す
(最初に起動させたときに、実行時の警告チェックをはずしておく)
おそらく Security Tool は、主プロセスを別のプロセスから監視して、いなくなるとすぐに起動させるようにしているのだろう。なので、rkill.com を連続して起動する必要がある
プロセスを殺した所で (ここで再起動してはならない) ちょっと調べてみる
以下辺りに、あやしい実行ファイル有り
- C:\Documents and Settings\All Users\Application Data\数字\数字.exe
- C:\Documents and Settings\[UserName]\Application Data\数字\数字.exe
- C:\Windows\Temp\ランダム.exe
(Windows\temp\ランダム.exe が監視プロセスなのかも)
未確認ながら、駆除前に上記のファイルをある程度特定していたので、
実行中にファイル名を書き換えてみた(実行ファイル名は、実行中に変更できる)が、
それで再起動しても対処可能だったのかも???
お急ぎで、怪しいファイルが必要ないとわかっている場合は、rename や
目的のレジストリ項目を削除するなどで完了
わからない人は Malwarebytes' Anti-Malware をダウンロード・セットアップ・実行して駆除を行う
コメント