重複の可能性あり:
コンピュータがウイルスやマルウェアに感染した場合はどうすればいいですか?
私は、インターネットに接続できず、PC がランダムに再起動する、という苦情をユーザーから受けた PC を調べていました。
PC は WinXP SP3 を実行しています。調べたところ、ワイヤレス ゼロ構成サービスが停止していることがわかりました。これを有効にすると、インターネットが再びオンになりました (PC は Wi-Fi 経由で接続されています)。次に、Firefox を起動して gmail.com にアクセスしました。いくつかのエクスプローラー ウィンドウを除いて、他のプログラムは起動しませんでした。
そのとき、ウィンドウがポップアップ表示されていたことに気が付きました (ポップアップではありませんでした)。エクスプローラー フォルダーのアイコンがあり、エクスプローラー フォルダーの内容の代わりに、"Homer Stinson" というユーザーがログインしている Hotmail ページが表示されていました。タイトル バーは空で、ツールバーはありませんでした。クライアントに、これが自分のメール ID かどうか尋ねたところ、違うとのことでした。タスク マネージャーを開きましたが、アプリケーション タブにこのエクスプローラー ウィンドウは表示されませんでした。"不正な" ウィンドウに戻ると、Hotmail 設定ページが開いていて、その後、同じユーザーの Hotmail プロファイル編集ページに変わっていました。私は何もクリックしていませんでした。すると突然、ウィンドウが閉じました。
自動実行の場所を確認し、Malwarebytes Anti Malware スキャンを実行したところ、比較的クリーンな結果が得られました。システムには AVG の更新されたインストールもありました。
このウイルス(?)問題の解決策は欲しくない誰かが同じようなことに遭遇したかどうかを知りたかったので、ここで質問しました。これはどのような種類のマルウェアでしょうか?
ユーザーは以前に同様のウィンドウを見たことがなかったので、スクリーンショットを撮るべきでした。
(追記:Homer Stinson は架空の名前です。関連するキーワードで別の実名を検索しましたが、ウイルス/マルウェアに関するディスカッション投稿は見つかりませんでした。)
アップデート:
後で PC を確認すると、DEP エラーがポップアップ表示され、PC が再起動しました。
(dep エラー ダイアログ、Google 画像提供)
更新2:
翌日、同じ奇妙な電子メール登録ウィンドウが複数回表示され、そのたびに AOL、Hotmail、または Yahoo (アドレス バーがなかったので推測ですが) に電子メール ID を登録していました。そのスクリーンショットの 1 つを添付します。
リンクをクリックしたり、テキストを入力したりするなど、ページとやり取りできました。他の「ユーザー」が入力しているときにテキストを入力しようとしたところ、他の「ユーザー」がパスワード フィールドに入力しているときに、コントロールを通常のテキスト ボックスに移動しました (私が見たパスワードはランダムな文字でした)。その間、他の「ユーザー」は登録を続行しましたが、その「ユーザー」がキャプチャを入力していることに気付かなかったので、その「ユーザー」が実際の人間なのかボットなのかはわかりません。
AVG、Malwarebytes、Spybot スキャンを実行したところ、アドウェア、レジストリ エラー、Hosts ファイル リダイレクト エラーが発生しました。Malwarebytes では、hosts ファイルの問題を修正できませんでした。hosts ファイルを手動で確認したところ、問題ありませんでした (デフォルトのコメントと 127.0.0.1 行が含まれていました)。Malwarebytes は、再スキャンでも同じ hosts ファイル リダイレクト エラーを返しました。
システム スタートアップ ラインに AlwaysOff スイッチを追加することで DEP の問題を解決できましたが、電子メール登録ウィンドウが心配でした。
アクティブ ポートを実行したところ、explorer.exe がリモート IP と通信していることがわかりました。スクリーンショットは次の通りです。
explorer.exeを終了して再起動した後でも、リモートIPに接続し、すべて解決されました。。郵便。.yahoo.* ドメイン名。
また、Windows ファイアウォール/ICS サービスが無効になっており、起動しなかったことも覚えています。
PC にドキュメントのバックアップがあったので、OS の再インストールを進めましたが、どのようなマルウェアに直面していたのかを知りたいです。
同様の問題に遭遇した人はいますか? どんな情報でもいただければ幸いです。
追記: わかりやすくするために、質問を自由に編集してください。
答え1
詳細情報とそのPOP1アドレス http://www.robtex.com/dns/pop1.plus.mail.vip.sp2.yahoo.com.html
はい、それはwinlogon.exeウイルスです
再インストールする必要はありません。
PCを適切に消毒するには、以下の手順に従ってください。
1.) ブート AV ディスクを作成し、ディスクから起動してハード ドライブをスキャンし、見つかった感染を削除します。私は Kaspersky ディスクを好みます。新しい 2010 Kaspersky ディスクは、スキャン時にインターネットに接続していれば AV dat ファイルを更新できるため、スキャン前に更新することをお勧めします。
http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/
2.) 次に、無料の MBAM をインストールし、プログラムを実行して [更新] タブに移動して更新し、[スキャナー] タブに移動してクイック スキャンを実行し、見つかったものをすべて選択して削除します。
http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
3.) MBAM が完了したら、SAS の無料バージョンをインストールし、クイック スキャンを実行して、自動的に選択されたものを削除します。 http://www.superantispyware.com/download.html
最後の 2 つは Norton のような AV ソフトウェアではなく、プログラムの実行時にのみ有害なものをスキャンするオンデマンド スキャナーであり、インストールされている AV に干渉しません。感染していないことを確認するために、1 日または 1 週間に 1 回実行できます。毎日または毎週のスキャンの前に必ず更新してください。
。
答え2
LogMeIn などのリモート管理ソフトウェアはインストールされていますか? 会社のコンピュータの場合は、IT 部門に相談して、どのような対応をしているかを確認してください。
答え3
探偵の仕事:
- 少なくとも6人アメリカでは「ホーマー・スティンソン」という名前で知られています。これは本名かもしれません。
- 奇妙なメールウィンドウはAOL Webメールサインアップつまり、ウイルスは新しい AOL WebMail アカウントを作成中です。
- サーバー
pop1.plus.mail.vip.sp2.yahoo.comは Yahoo! メール サーバーです。おそらく、ウイルスはそこでも同じことを行っています。
このウイルスは、スパム送信のために新しいアカウントを作成したり、既存のアカウント名を総当たり攻撃で検出しようとしたりする可能性があります。おそらく、スパム送信ボットの一部です。
非常に多くの症状があるという事実から、あなたのウイルスは実際にはトロイの木馬であり、いくつかの「仲間」を連れてきたのではないかと推測します。 1 つのトロイの木馬感染によって数十のウイルスがインストールされたというケースを聞いたことがあります。
コンピュータはすでに感染が深刻化しており、感染がどこから始まったのかを突き止めるのはほぼ不可能かもしれません。それでもまだ知りたい場合は、オンラインウイルス対策コンピュータをスキャンし、見つかったすべてのウイルスのリストを作成するサービス。また、既知のウイルス対策製品のブート CD をいくつかダウンロードし、Windows の外部から実行します。完全にスキャンするには、Spybot S&D と Lavasoft Ad-Aware も使用します。
唯一の解決策は、すべてのハードディスクをフォーマットして Windows を再インストールすることです。このコンピュータは回復不能です。ウイルスを追跡する努力は、費やす時間の価値がないかもしれません。
答え4
技術的には、質問があなたが望んでいたような回答ではなかったと思います。これは、簡単に言えば、ボットネット マルウェアでした。ボットネットとは、マルウェアに感染したコンピューターのグループで、悪意のあるものであるかどうかにかかわらず、何らかのタスクを実行するために連携して動作します。そのコード、またはおそらく人物が行っていたことは、コンピューターを正当なフロントとして使用して、さまざまな Web サイトで大量のアカウントを作成することでした。おそらく、ボットネットを制御していた人物は、その PC 以外にも自分のために働いていた可能性があります。ボットネット タイプの取引でなかった場合、単に誰かがそのコンピューターをプロキシとして使用して、自分の作業を隠し、作成されたアカウントを正当なものに見せかけたということになります。マルウェア自体は、実際には非常に単純です。彼は何らかのフィッシング詐欺を使用してソフトウェアをコンピューターに侵入させ、そのソフトウェアは PC がそれを見たり、それについて何かをしたりできないように設定されていました。ポップアップしたウィンドウは、基本的に、私を見て、私が何ができるかを見てくださいという力作でした。この種のことには、そのどれも実際には必要ありませんでした。