【近況報告】
    2022春イベ2022梅雨イベ甲完走。
    資源回復モードで次イベ待機中。


WinAntiVirusPro2006除去作業中

会社のある部署のPCで感染し復旧を依頼されましたが、残業3時間でも終わらず自宅へ持ち帰り。。。

「WinAntiVirusPro 2006」について詳しくは
http://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=467
http://forum.higaitaisaku.com/viewtopic.php?p=6750#6750
を参照してください。

簡単に言えば、ウィルス対策ツールに偽装したウィルス本体って事です。

「WinAntiVirusPro 2006」そのものに感染しているわけではなく、PCを使っているとイキナリ

こんなメッセージが出て、OKボタンしか押せないので押すと、

ブラウザ(IE)が起動してこんな画面を表示し、「WinAntiVirus2006 Pro」のインストールを勧められます。
この画面を閉じても、しばらくするとまた同じように起動される…というものです。「アドウェア」って言うんでしょうかね、これは。

何度もこれを繰り返していると、そのうちインターネットへ接続できなくなってPC再起動するハメになるようです。

また、キーボード配列にも影響がでるようで、

「半角/全角」キーを押すと「`」が表示される
SHIFTキーを押しながらフルキー側の「8」を押すと、「(」のかわりに「*」が表示される
「*」で「"」
「:」で「'」
などなど

という妙な状態になってしまいました。

それも、メモ帳でキーボード入力すると正常なのに、IEのテキストボックス欄やWord、Excelなどで発病するという不思議さ。メモ帳と他のツールで挙動が違うのも謎の一つです。。。

【追記】
HijackThisを実施して、タスクに居た「ctfmon.exe」を調べ
http://www.atmarkit.co.jp/fwin2k/win2ktips/630ctfmon/ctfmon.html
の記事から不要と判断して起動しない設定にしたら、キーボードの妙な配列現象は治まりました。
一つ解決 v(^^


とりあえず、誘導先の怪しいURLでスクリプトを実行しないようにするのが先決と、「IE」→「ツール」→「インターネットオプション」→「セキュリティ」→「制限つきサイト」→「サイト」と進んで

http://amaena.com
http://*.winantivirus.com

を登録しましたが、邪魔な勧誘画面が表示されることに変わりなく。


タスクのなかにこのURLへ誘導するモノが居座っている模様なので、
HijackThis http://www.merijn.org/downloads.html で自動実行されてるものをチェックしましたが、一杯ありすぎてどれだか判りません(爆 
『「WinAntiVirusPro 2006」について詳しくは〜』とリンクしたところに載っているExeとも名前が違う様子。


Spybot-S&D  http://www.safer-networking.org/en/home/index.html で検索して出てきたクッキーやレジストリの類は全て削除しましたが、効果なし。


shareEDGE  http://www.shareedge.com/modules/shareware/のX-Cleaner評価版  http://www.vector.co.jp/soft/dl/winnt/util/se360247.htmlでもチェック。「Zango」という名のアドウェアが検出されたので削除しましたが、これも効果なし。


スパイウェアアドウェア相手だと、あまり頼りにならないウィルスバスターでもスキャン。
TROJ_Generic  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FGENERIC&VSect=Sn が3件Hitし隔離されました。…が、これでもまださっきと同じ

が勝手に起動します。

さて、どうしたものやら。。。


あれこれ弄っているうちに、アドウェアの挙動が変わって来ました。WindowsUpdateのページを開こうとすると、

こんな画面をWindowsUpdateの画面とぴったり同じサイズに重ねて、その上に表示して邪魔してくれます。う〜む、そこまでするか。。。


これも、IEエクスプローラを実行しているとその上に重なって出てくるようになりました。
邪魔や〜。


さらに状況が悪化したかも。次にお邪魔画面が出たとき、右下の「制限付きサイト」マークが消えてました。
おかしいな、と「制限付きサイト」の設定に「amaena.com」を再登録しようとしたら

こんなメッセージが。

「指定したサイトは既に別のゾーンにあります」をキーワードに検索して
http://dayreina.exblog.jp/2487509/
を見つけました。「クロスゾーン・スクリプティング」ですか。ブラウザ換えて、見えなくするくらいしか手がないみたいですね。

深夜3時を過ぎたので、とりあえず明日以降に持ち越しです。