偽者セキュリティ製品IE AntiVirusの情報です。
このセキュリティソフトは基本的に動画プラグインに混ざって侵入するDelfと言う悪意あるツールとセットで配布されてしまうのが特徴で、IE AntiVirusをセットアップに導くDelf本体は主に男性が参照する動画コンテンツに多く含まれます。
昔に流行した脆弱性を突き感染と言うか被害が拡大したシステムドクターの様な現象は今の所確認出来ていませんので女性が利用頂くパソコンでは余り心配頂く必要は無いと思います。(感染してもスーパーアンチスパイウェア等で簡単に駆除可能です。余り神経質にならないようにお願い致します。)
ただDelfは一般的なアンチウイルスソフトで検出は困難ですので、ライトユーザー様は動画プラグイン導入の際は特に注意が必要です。
まずDelfは何処から来るのか?
このセキュリティソフトは基本的に動画プラグインに混ざって侵入するDelfと言う悪意あるツールとセットで配布されてしまうのが特徴で、IE AntiVirusをセットアップに導くDelf本体は主に男性が参照する動画コンテンツに多く含まれます。
昔に流行した脆弱性を突き感染と言うか被害が拡大したシステムドクターの様な現象は今の所確認出来ていませんので女性が利用頂くパソコンでは余り心配頂く必要は無いと思います。(感染してもスーパーアンチスパイウェア等で簡単に駆除可能です。余り神経質にならないようにお願い致します。)
ただDelfは一般的なアンチウイルスソフトで検出は困難ですので、ライトユーザー様は動画プラグイン導入の際は特に注意が必要です。
まずDelfは何処から来るのか?
以下の様に動画を見ようとすると、なにやら動画再生用のプラグインが必要だと言う確認画面が表示されます。(サイト読者様ご連絡により確認する事が出来ました。ありがとうございます)
注:Delf限らずZLOB等の偽者セキュリティをセットする動画系トラップは現状似たような仕掛けが施されています。何度も申し上げますがインターネット上で閲覧する動画関連で安易にプラグインを入手しないよう注意が必要です。
まずダウンロードした動画再生用プラグインセットアップファイルを実行すると、Delfに感染してしまい以下様にステムエラー警告が頻繁に出力され、Windowsの操作が困難になりYAHOOやGOOGLEその他検索サービスを使用出来なくしてしまいます。
Windows操作や検索サイトをハイジャックされてしまったパソコンは最終的にIE AntiVirusをセットされ以下の様な状態にされてしまいます。
もちろんIE AntiVirusに表示されている検査内容は嘘です。また画面の指示に従って操作した結果最終的にIE AntiVirus購入画面が出てしまいますが絶対に購入してはいけません。
また、以下の状態で放置していてもパソコンは壊れることが無いので慌てず次の作業を行ってIE AntiVirusとDelfを駆除して下さい。
IE AntiVirus駆除手順
まず、ブラウザを開いてhttp://www.superantispyware.com とインターネットのアドレス欄に直接打ち込みしスーパーアンチスパイウェアページを表示頂いて、 SUPERAntiSpyware Freeを取得してパソコンにセットアップします。 セットアップが完了したら、スーパーアンチスパイウェアを起動して検査オプションボタン「Scan your Computer」ボタンを選択します。
切り替わった検査オプション画面で、Perform Complete Scanにチェックを入れてパソコン内全てを検査します。
一応検査対象ドライブがWindowsインストールドライブにチェックが入っているか確認下さい。
設定変更できましたら「次へ」ボタンを選択すると検査を開始します。
検査が完了したら、次へのボタンを選択して下さい。(検出されたリスクに付いては全てチェックのままで構いません。)次の確認画面でWindows再起動の確認メッセージが表示されるのでOKを選択しWindowsを再起動します。
Windowsが再起動すると以下の様にキレイさっぱりIE AntiVirusは駆除されます。
ただ、取得したDelfやIE AntiVirusセットアップの本体が残ってしまうので、最後にF-Secureオンラインスキャンを実行してマルウェアや偽者ツール(リスクウェア)の本体関連を検査及び駆除して下さい。
先日サイト読者様に教えて頂いたHijackThisでの検査ログです。
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kingsoft\Kingsoft Internet Security U\KPfwSvc.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kingsoft\Kingsoft Internet Security U\KWatch.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kingsoft\Kingsoft Internet Security U\KISSvc.EXE
C:\Program Files\Kingsoft\Kingsoft Internet Security U\KMailMon.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\Kingsoft\Kingsoft Internet Security U\KAVStart.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\TechSmith\Jing\Jing.exe
C:\Program Files\Kingsoft\Kingsoft Internet Security U\KPFW32.EXE
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\test1\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
C:\DOCUME~1\test1\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: kingsoft browser shield - {D963BE1A-6B35-47DB-B002-49FAE71D85CC} - C:\Program Files\Kingsoft\Kingsoft Internet Security U\KASBrowserShield.DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KavStart] "C:\Program Files\Kingsoft\Kingsoft Internet Security U\KAVStart.exe" -startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Jing] C:\Program Files\TechSmith\Jing\Jing.exe
O4 - HKCU\..\Run: [KavPFW] "C:\Program Files\Kingsoft\Kingsoft Internet Security U\KPFW32.EXE" -startup
O4 - HKCU\..\Run: [antispy] C:\Program Files\IEAntiVirus\ANTIVIRUS.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user')
O9 - Extra button: ウェブディフェンダー設定 - {3AECD3C1-7085-4731-96DC-47B6CF7EF749} - C:\Program Files\Kingsoft\Kingsoft Internet Security U\IEBuddyExt.DLL
O9 - Extra 'Tools' menuitem: ウェブディフェンダー設定 - {3AECD3C1-7085-4731-96DC-47B6CF7EF749} - C:\Program Files\Kingsoft\Kingsoft Internet Security U\IEBuddyExt.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/jp/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189172021702
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://www.f-secure.co.jp/ols/ols33/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0288E0A-4F55-4330-8D98-604182EFD3DA}: NameServer = 202.238.95.24,202.238.95.26
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Kingsoft Internet Security Common Service (KISSvc) - Kingsoft Corporation - C:\Program Files\Kingsoft\Kingsoft Internet Security U\KISSvc.EXE
O23 - Service: Kingsoft Personal Firewall Service (KPfwSvc) - Kingsoft Corporation - C:\Program Files\Kingsoft\Kingsoft Internet Security U\KPfwSvc.EXE
O23 - Service: Kingsoft Antivirus KWatch Service (KWatchSvc) - Kingsoft Corporation - C:\Program Files\Kingsoft\Kingsoft Internet Security U\KWatch.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
--
End of file - 4901 bytes
ログの方は以上です。懸念と言うか太い文字にあるANTIVIRUS.exeを確認頂けると思います。これは入り込んでしまったIEAntiVirusの実行プログラムをスタートアップで呼び出す関連のゴミ設定です。本体は既に駆除されているので特に問題ないですが、気になるようでしたら、HijiackThisで簡単に取り除く事が出来るのでお試し下さい。
注:Delf限らずZLOB等の偽者セキュリティをセットする動画系トラップは現状似たような仕掛けが施されています。何度も申し上げますがインターネット上で閲覧する動画関連で安易にプラグインを入手しないよう注意が必要です。
Windows操作や検索サイトをハイジャックされてしまったパソコンは最終的にIE AntiVirusをセットされ以下の様な状態にされてしまいます。
もちろんIE AntiVirusに表示されている検査内容は嘘です。また画面の指示に従って操作した結果最終的にIE AntiVirus購入画面が出てしまいますが絶対に購入してはいけません。
また、以下の状態で放置していてもパソコンは壊れることが無いので慌てず次の作業を行ってIE AntiVirusとDelfを駆除して下さい。
IE AntiVirus駆除手順
まず、ブラウザを開いてhttp://www.superantispyware.com とインターネットのアドレス欄に直接打ち込みしスーパーアンチスパイウェアページを表示頂いて、 SUPERAntiSpyware Freeを取得してパソコンにセットアップします。 セットアップが完了したら、スーパーアンチスパイウェアを起動して検査オプションボタン「Scan your Computer」ボタンを選択します。
切り替わった検査オプション画面で、Perform Complete Scanにチェックを入れてパソコン内全てを検査します。
一応検査対象ドライブがWindowsインストールドライブにチェックが入っているか確認下さい。
設定変更できましたら「次へ」ボタンを選択すると検査を開始します。
検査が完了したら、次へのボタンを選択して下さい。(検出されたリスクに付いては全てチェックのままで構いません。)次の確認画面でWindows再起動の確認メッセージが表示されるのでOKを選択しWindowsを再起動します。
Windowsが再起動すると以下の様にキレイさっぱりIE AntiVirusは駆除されます。
ただ、取得したDelfやIE AntiVirusセットアップの本体が残ってしまうので、最後にF-Secureオンラインスキャンを実行してマルウェアや偽者ツール(リスクウェア)の本体関連を検査及び駆除して下さい。
先日サイト読者様に教えて頂いたHijackThisでの検査ログです。
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kingsoft\Kingsoft Internet Security U\KPfwSvc.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kingsoft\Kingsoft Internet Security U\KWatch.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kingsoft\Kingsoft Internet Security U\KISSvc.EXE
C:\Program Files\Kingsoft\Kingsoft Internet Security U\KMailMon.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\Kingsoft\Kingsoft Internet Security U\KAVStart.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\TechSmith\Jing\Jing.exe
C:\Program Files\Kingsoft\Kingsoft Internet Security U\KPFW32.EXE
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\test1\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
C:\DOCUME~1\test1\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: kingsoft browser shield - {D963BE1A-6B35-47DB-B002-49FAE71D85CC} - C:\Program Files\Kingsoft\Kingsoft Internet Security U\KASBrowserShield.DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KavStart] "C:\Program Files\Kingsoft\Kingsoft Internet Security U\KAVStart.exe" -startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Jing] C:\Program Files\TechSmith\Jing\Jing.exe
O4 - HKCU\..\Run: [KavPFW] "C:\Program Files\Kingsoft\Kingsoft Internet Security U\KPFW32.EXE" -startup
O4 - HKCU\..\Run: [antispy] C:\Program Files\IEAntiVirus\ANTIVIRUS.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user')
O9 - Extra button: ウェブディフェンダー設定 - {3AECD3C1-7085-4731-96DC-47B6CF7EF749} - C:\Program Files\Kingsoft\Kingsoft Internet Security U\IEBuddyExt.DLL
O9 - Extra 'Tools' menuitem: ウェブディフェンダー設定 - {3AECD3C1-7085-4731-96DC-47B6CF7EF749} - C:\Program Files\Kingsoft\Kingsoft Internet Security U\IEBuddyExt.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/jp/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189172021702
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://www.f-secure.co.jp/ols/ols33/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0288E0A-4F55-4330-8D98-604182EFD3DA}: NameServer = 202.238.95.24,202.238.95.26
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Kingsoft Internet Security Common Service (KISSvc) - Kingsoft Corporation - C:\Program Files\Kingsoft\Kingsoft Internet Security U\KISSvc.EXE
O23 - Service: Kingsoft Personal Firewall Service (KPfwSvc) - Kingsoft Corporation - C:\Program Files\Kingsoft\Kingsoft Internet Security U\KPfwSvc.EXE
O23 - Service: Kingsoft Antivirus KWatch Service (KWatchSvc) - Kingsoft Corporation - C:\Program Files\Kingsoft\Kingsoft Internet Security U\KWatch.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
--
End of file - 4901 bytes
ログの方は以上です。懸念と言うか太い文字にあるANTIVIRUS.exeを確認頂けると思います。これは入り込んでしまったIEAntiVirusの実行プログラムをスタートアップで呼び出す関連のゴミ設定です。本体は既に駆除されているので特に問題ないですが、気になるようでしたら、HijiackThisで簡単に取り除く事が出来るのでお試し下さい。
