ふざけたウイルス＆スパイウェアを駆除する方法

ここ数ヶ月、ＰＣの様子がすこぶるおかしかった。特にIE8を使っている時の挙動が非常におかしかった。IE8でタブを大量に開くと頻繁にフリーズ（固まる）気味になるのだ。さらに同時使用している他のソフトとかもフリーズ気味になる。十数秒待っているとフリーズが解けるんだけど、とにかくIE8はもとよりPC自体も重かった。

PC環境
OS：Microsoft Windows XP Professional Version 2002 SP3(32bit)
CPU：Intel Core 2 Duo E6600 2.40GHz
GPU：NVIDIA GeForce 7900GT + 7900GS
メモリー:3072MB RAM
導入ウイルスソフト：@niftyの常時安全セキュリティ２４(Kaspersky)

@niftyの常時安全セキュリティ２４(Kaspersky)でパソコンをスキャンしても何も見つからなかったので、IE8のアドオンを無効にしてみたり、いろいろ試したが問題は解決しなかった。

ある日、あまりにも調子が悪かったので、セキュリティソフトに原因があるのかと思って、一度アンインストールして、セキュリティソフトがない状態でパソコンを使っていた。

そしたら数時間くらい経ったところで、突然、異常事態が起こった！

「ボォン！ボォン！ボォン！ボォン！ボォン！ボォン！ボォン！ボォン！ボォン！ボォン！」

警告音が鳴り響き、パソコンのモニターに警告ダイアログが無数に開き、パソコンの操作が不能になったのだ！

「やばいウィルスに感染した！」

どうやら Webサイトを見ただけで感染するトロイの木馬型ウイルス「TROJ_FAKEAV（フェイクエイブイ）」関連に感染したと思われる。偽システム修復ツール詐欺ソフト「System Recovery」を買わせるてクレジットカード番号を摂取する詐欺ソフトだという。

ソフト名が違うが同じ手口の「Data Recovery」「SMART HDD」「SMART Check」「SMART Repair」「System Check」「System Restore」「file Recovery」「Windows Recovery」「Windows XP Recovery」「Windows 7 Recovery」というシリーズもあるらしい。

このウイルスが恐ろしいのは、パソコンを再起動させる度にＰＣ内のフォルダ等のデータが消えて無くなっていくのだ。最後は、デスクトップやその他フォルダのすべてのデータが消えて、ブラックアウトした画面に警告ダイアログだけが残るようになる。調べるてみると実際は消えたのではなくて、隠しファイルや隠しフォルダに変更して消えたように見せかけているだけというのを知って少し安心した。

しかし、その状態から正常な状態に回復させるのに相当苦労した。とにかく焦っていたので正確な方法は忘れたけれど大まかな駆除方法は下記。

1. 「System Recovery register code」とかでググって出回っているレジストコードもしくはシリアルキーを使って、偽ソフトを起動させてとりあえずＰＣが使えるようにする。※検索するのに別のパソコンが必要

2. 導入ウイルスソフトで検出された「Rootkit.Win32.TDSS」というTrojan系ウィルスが、何度駆除してもＰＣを再起動すると復活してしまう。途方にくれてニフティのサポートに電話してみたら、駆除する方法がわからないのでパソコンをリカバリーしてくれと言われた。なんという投げやりで素人丸出しの対応だろうか？ニフティのサポートはほんと使えない（怒）！仕方なくネットで調べまくっていろいろ試している内に、Symantec(シマンテック)社のBackdoor.Tidservというページで無償配布している駆除ツール「FixTDSS.exe」というのをダウンロードして使ってみたら駆除に成功した。
≫ Backdoor.Tidserv Removal Tool ※利用は自己責任でお願いします。

とりあえずこの日のTROJ_FAKEAVウィルス問題は、なんとか自力で解決したんだけれど、ここ数ヶ月続くＰＣの様子がおかしい件は相変わらず変わらなかった。

それで最近、スタートアップ(Startup)をチェックしていたら、見覚えのないめっちゃ怪しげなソフトが常駐していた。

YNmgewtRfOqdbYh.exe
ALJAvtwQtBa1mt.exe

みるからに怪しいファイル名である！ファイルの場所は両方とも[C:Documents and Settings\All User\Application Data\]に入っていた。

※スタートアップは、[スタート][ファイル名を指定して実行][msconfig][OK]で「システム構成ユーティリティ」の[スタートアップ]タブで見られる。

ネットで調べてみると・・・Trojan.Agentとなっている。やはりウィルスかスパイウェアである。

しかし、導入ウィルスソフト@niftyの常時安全セキュリティ２４(Kaspersky)でスキャンしてもまったく何も検出されない。

「どーなってるんだ常時安全セキュリティ２４！これじゃお金を払っている意味ないじゃんか（怒）！」

前回の投げやりなサポート対応もあってか、かなりむかついた。

それで、だいぶ前にスパイウェア駆除・対策ソフト「Spybot」の調子悪かったのでアンインストールしてからスパイウェアの検出を行っていないことを思い出した。それにどうやらKasperskyはスパイウェアの検出をしないらしい。いろいろ調べたら「SUPERAntiSpyware」という無償でも使えるスパイウェア対策ソフトの評判が良さそうなのでインストールしてみることに。

ソフトはここでダウンロードした↓
≫ SUPERAntiSpyware 5.5.1012: Free Download
[Softpedia Secure Download(US)]クリック→情報バークリック→ダウンロード

日本語パッチはここで入手↓
≫ SUPERAntiSpyware ver.5.50.1012 - 日本語化セット
Free(32bit) ->>[Download]をクリック→デスクトップに保存

インストール方法
SUPERAntiSpyware.exeをクリック→[Express Install]→[Decline]

日本語化方法
ソフトを閉じた状態で、[C:\Program Files\SUPERAntiSpyware\Language]に「Japanese (JA).lng」ファイルを入れる→PCを再起動→ソフト起動して下の[Preferences]をクリック→[Language]のドロップダウンメニューから[Japanese(JA)]を選択

そんでもってまずはQuick Scanをしてみたら・・・

3匹も危なそうなのが検出された！

さらにTracking Cookie（トラッキングクッキー）も84匹！
※Tracking Cookie自体はそれほど脅威ではない


≫≫ クリックで拡大

Critical Threats
重要な脅威
These items should be immediately removed from your computer.
これらのアイテムは、あなたのコンピュータからすぐに取り外されなければなりません。

もちろんすぐにRemove Threats（脅威を取り除く）して駆除した。そしたら心なしかパソコンやIE8が少し軽くなったよ（喜）。そんでもって再度、スタートアップを見たが、YNmgewtRfOqdbYh.exeとALJAvtwQtBa1mt.exeは、まだ消えていなかった。どうやらウィルスを駆除してもスタートアップには残るらしい。チェックを外した状態で常駐を解除しておけば問題ないらしいんだけど、どうにも気持ち悪いので、下記サイトを参考にしてスタートアップから削除した。

≫ msconfigのスタートアップ項目を削除する方法

さらにSUPERAntiSpywareの[Critical Point Scan]と[Complete Scan]ですべてのハードディスクをスキャンしてＰＣに残っているトラッキングクッキーもすべて削除。さらにＩＥ８が遅いとかフリーズするとかの不具合を直す方法も実行。さらに頻繁に検出されるうざいトラッキングクッキーを[インターネットオプション]→[セキュリティ]タブの制限付きサイト[サイト]ボタンに登録してやった。

■制限付きサイトに登録したトラッキングクッキー■
2o7.net　advertising.com　atdmt.com　atwola.com　fastclick.net　imrworldwide.com
invitemedia.com　itmedia.co.jp　itmedia.jp　jlisting.jp　kontera.com
revsci.net　ru4.com　serving-sys.com　specificclick.net　statcounter.com
trustclick.ne.jp　webtrendslive.com　yadro.ru　yieldmanager.com

まあでも、この一連のトラブルを一応解決したら、（まだ完璧ではないが・・・）だいぶパソコンの調子が良くなったし、とにかく気分がスッキリした！しかしもうちょっとで、Windows8も発売されるし、XP、そろそろキツイかな・・・。