※ ChatGPTを利用し、要約された質問です(原文:Dropperなど 駆除できるのか?)
ウイルス感染による問題とは?
このQ&Aのポイント
ウイルス感染による問題とは、ウイルスがコンピュータに侵入し、様々な不具合や損害を引き起こすことです。
ウイルス感染による問題は、ファイルやレジストリの削除ができなくなったり、ネットに繋がらなくなったり、重要な機能が消えたりすることがあります。
ウイルス感染した場合は、再インストールやフォーマットが必要になる場合があります。ただし、感染が深刻な場合には十分な対策が必要です。
ウイルスのサンプルから
Play_Video_Now.exe というのを入れてみました。
VirusTotal 結果。
https://www.virustotal.com/ja/file/3ebdaf3da113322d604881d993e7a06027bc16b907b739af25ac0400fdd41583/analysis/
インストール直後から 通信しっぱなしで
普段みないようなHost名で次から次へと 通信している。
ログイン時 GoogleUpdaterとしてプロセスに現れた以降はプロセスでは確認できない。
Services.exeかSvchost.exeとして 動いてるかもしれない?。
C:\Program Files (x86)\Google\Desktop\Install\{7b2c9d57-9950-c2af-1df1-3458379b6ad6}
C:\ユーザー\***\AppData\Local\Google\Desktop\Install\{7b2c9d57-9950-c2af-1df1-3458379b6ad6}\???\???\???\{7b2c9d57-9950-c2af-1df1-3458379b6ad6}
Programとユーザーフォルダ内へ ほぼ同じ構成のフォルダ・ファイルを作成。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\gupdate
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{AA58ED58-01DD-4D91-8333-CF10577473F7}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{2318C2B1-4965-11D4-9B18-009027A5CD4F}
C:\Windows\assembly\GAC_32\Desktop.ini 検出: Trojan.Sirefef.YS (B)
C:\Windows\assembly\GAC_64\Desktop.ini 検出: Trojan.Sirefef.YS (B)
レジストリをGoogleで検索するとRunなどにヒットするものの
全てアクセス拒否になるし 見えない。削除不可。
30分ほど 試した上で
Emsisoft Emergency Kit 出検出したので 削除してみたものの
Trojan.Win32.ZAccess・Trojan.Sirefef.HK・Trojan.Sirefef.YS 等。
駆除後 PC再起動したら ネットに繋がらず
WindowsFirewallが起動出来ない。Serviceからも消えている。
Bandicamを起動すると デスクトップがフリーズする。ログアウトは出来る。
その他 重要な機能が サービスから 消えているw
(PC再起動によるウイルス悪化か?駆除によるデータ損壊かは 不明です)
とにかく ファイル・レジストリ 全てが削除できない;
これだけなら良いのだけど
感染させたWin7をXPのHDDで起動しフォーマットしようと思ったらXPが
起動しないし TodoにてXPをリカバリするものの2割進んで 止まりそうな動きで断念。
(BIOS起動時点から 読み込みがおかしい)XP自体は 今まで使えていたもの。
Win7がフォーマット出来ないので 仕方なく
上書きにてWin7をリカバリして 一応 起動できた。
問題なく使用できるものの 気がついたら
コントロールパネルに 空のショートカットが消せないものが残ってるし;。
捨てようとしたHDDは その後 数回フォーマットしたりスキャン実行し
いまは使えているので ウイルスが原因だったと見ている。
これだけで終わらず XPをOSから入れなおしたら
今までと同じファイル・同じ順序でインストールしたにもかかわらず
いままで見たことのない ログインできないエラーが出た。
WindowsInstallerをインスト後PC再起動して
そのままログインできず 認証してあるのに して下さいともでるけど
認証を実行しても そのまま何もできない。
3回ほど フォーマット・インストール 繰り返し 今は使用できるようになった。
このレベルのウイルスって 駆除なんて出来るんでしょうか?
感染の状態まで行ってしまったら ウイルス対策なんて意味ないでしょ。
(これを入れないようにする のが対策ではあるけどw)
Emsisoft Emergency Kit で駆除してみたものの
ぜんぜん普通に 全てが残っていた;
久々に最強なウイルスを見た感じがしたけど。。。
それから Googleって 大迷惑だw GoogleUpdater を「装われている」し。
ChromeとFirefox は もう捨てたw
普段 こんなもん間違って実行することはないけど 問題は進入経路ですね。
どのように このようなウイルスが入り込むのか気になる。
このような感染した場合は フォーマットはどのようにするのがいいですか?
方法や 回数など。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_2_thumbnail_img_sm.png)
お礼
>Trojan.Win32.ZAccess ←悪名高きZeroAccessですけども。ルートキットです。非常に陰湿です。 最近は この手のウイルスが 多いんですかね。 おそらく実行したプログラムが 実行後にいろいろ落としてますね。 ルートキットは入ってるかな?って感じはしました。 >私はシステムを仮想化する方法でやっていますが。 あえて リカバリ覚悟で そのままの環境で入れてます。 そもそも 入れる物が どんなものなのか?すら分からないので 分からないからいれて試してますw ただ リカバリ自体が 手こずるとは思いませんでした; ほぼ無体策で ComodoのFirewallのみです。 >私がわざと攻撃サイトにアクセスしたときの検出ログ 先週 DomainListで初めて アクセスしただけで感染する leads to exploit kit てのを見ました。 アクセスするだけで IEの一時フォルダに 5.exe というファイルが落ちてきて その後コピーしたのか 名前を変えてユーザーフォルダにインストされてました。 分かっていれたからいいけど 知らずにアクセスしたら 頼りになるのは HIPSのような機能でしょうね。 IEのTempとユーザーフォルダへの実行形式のファイルが書き込まれるときに アラートを出せるようなソフトがあれば防ぎやすいかもしれませんね。 まあ とりあえず プロセスや IP監視に姿さえあれば すぐにバレますけどねw それでも 現れないモノは 諦めますね。 感染しないことよりも HDDを自動で まっさらにして欲しいですねw 面倒です。。。