moccoriの日記

• [windows] 例のspywareの駆除

結局windowsからは無理っぽそうだったのでHDDを取り外して別マシンでUSB接続して駆除。結局rundll32から起動された何かわけのわからんdllが影響しているようで、レジストリのオートスタート(run)に仕込まれていた。ただ、他の値とよく似たような値で仕込まれていて正直よくわからんかった。このdllの名前もレジストリの値も可変だと思うのでここにメモっても意味の無い事なんだろうけど、、さらにバックドアっぽいものもいくつかあったみたいで、ワシャっと削除した。削除に使ったのはSUPERAntiSpyware Free Editionとかいうので、これで大概削れたんだけどもレジストリまでは削除されず毎度毎度dllが見付かりませんとうっとうしいのでrunから手動で消した。

結局のところ、registryがバイナリデータなので、こればかりは何らかのエディタを使わないと削除できないというのと、さすがにwindows以外のものから弄るのもどうかという所なので、一度別マシンで削除した後、再度削除。

というかこいつに感染すると

• タスクバーにわけのわからんもんが常駐してwindows2000なのにバルーンみたいなのを出す
• そいつをクリックするとASpyC.exeが起動するのかどうかしらんが、いかにもなウインドウを出す
• と同時に外部へのネットワークアクセスを何かしてるようで、まともにネットワークが使えてない感じになる(しかし使えるものもある。DNSが書き換えられたりとかはなかったっぽい。hostsもしかり)

とにかくネットワークがおかしいのが難点で、antivirus系のソフトウェアは基本的にインストーラが更新ファイルを取りにいくものが多いのだけど、これのフェッチに失敗してインストールできないというような自体が続く。んでもってブラウザを起動するとわけのわからんウインドウが開くし、Firefox/IEともにおかしな通信を始めよる。なのでブラウザの問題というより、その間のレイヤに食いこんでる感じだったけど、もう削除してしまったのでよくわかりません。一番良いのはクリーンインストールなんだろうけど、とりあえず使える状況にはもってこれたかなと思ふ。