ウイルスと戦う
久々にウイルスと戦いましたね。 壮絶なる3日間でした。そして結果は負けかもしれません・・・まずは取り出したるはウイルスまみれのパソコン。普通のお客様がウイルスに感染したみたいなので駆除を御願いします。 ・・・と依頼してきた時は大抵の場合 100近いウイルスに感染している状態です。ウイルスが100いればスパイウェアは5倍くらいくっついてるのでパソコン自体の動きも大変もっさりしており謎のエラーメッセージもバカスカ上がって来ます。さて今回はどーしたものか・・・敵はWindows2000 ここまで感染したらリカバリしたほうがよいと思うんだけどリカバリCDをなくしてしまったドライバ関係にケチくさいSONYのVAIOしかもMXシリーズ!MDデッキとかFMラジオとか付いてるし・・・下手に余計なことをすると打つ手がなくなってしまう・・・ 慎重にいこう・・・とりあえずはウイルス検索ソフトが入らないか試してみるまずはウイルスバスター体験版を入れてみよう・・・なんとWindows2000 SP4じゃないとインストール御断りと出やがる!そうだったのか・・・ 知らなかった。いったいWindows2000のなんなんだ?と確認するとSP1だった。 うーん放置しとるなぁ・・・別パソコンでMicrosoftからSP4のバージョンアッププログラムを拾ってくる。これでSP4にあげてウイルスバスターが試せるな・・・バージョンアップごー! ぽち。なんかエラーでた。 インストールを終了? 再起動します?なんてこった。 家中のパソコンを切ってLANを抜いてWindowsUPDATEからSP4へのバージョンアップを試してみた。 駄目だ。 同じところでエラーを吐く。どうやら駆除してからじゃないと駄目らしい。そこで重い腰を上げてHijackThisを試してみる。うわーーーーーー めんどくせぇ・・・・・・(割愛)こんだけあったらムリだぁ・・・ものは試しにavastをインストールしてみる。インストール失敗。 エラーを吐きやがる。くそぅ 負けるものか。 ではスパイウェアから駆除してみよう。Spybotをインストールしてみる。なんとインストール成功。 やったね。早速、検索してみる。スパイウェアいっぱい入っているなぁ・・・・ すげぇな。ひさびさの大量ぶりに気持ちがいい。まとめて消えされぇぃ!!再度avastをインストールしてみる。「お いったいった。」正解のようだ。早速、ウイルス検索をしてみる。 ん。 さっきから進んでいないような・・・ 固まってるのか?突然ブルーパニック! 0x000000D1 でSTOP。なんてこった。 ウイルスの逆襲か?別パソコンで調べてみる。 どうやらWindows公認のエラーらしい。 SP4で修正できますとある。そうかSP4を入れよう! そのためにはウイルスを駆除しなければ そのためには検索かけなければ そのためにはブルーパニックのエラーのパッチを当てなければ そのためには・・・・うーん。 なにか手があるはずだ考えよう・・・ (この辺で前回の裸族が発動)セーフモードで立ち上げてavastを動かしてみよう!これがうまくヒット。 ちょっとづつだがウイルスを駆除しはじめている。「よしよし これはいいぞ。」ただいちいち駆除を選ぶのがめんどくせぇ。ウイルスバスターのように一括で駆除させてほしい。頑張るavastを無視するがごとくブルーパニック発生! うーむ。 これはメモリを疑ったほうがいいな・・・ってわけで前回のmemtes86でテスト。・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・あ エラーでた。ウイルス駆除で修理に出してメモリを交換か・・・ ぼったくりっぽいなぁ・・・ 嫌だなぁ・・・まぁ 現実なんだから仕方ない。 お客様対応はあとで考えよう!とりあえず家にあるメモリを挿してウイルス駆除を開始。この際なので256MB 2枚ぶっさしてやった。 パワー4倍増し。メモリテスト正常終了。 基盤の問題ではなさそうだ。ウイルス駆除のつづき。もう一度 セーフモードのavastでウイルス駆除。 うーん うごきが早くなった。「ウイルスを駆除しますか?」「永久に削除する」「ウイルスを駆除しますか?」「永久に削除する」「ウイルスを駆除しますか?」「永久に削除する」これを冬の朝日が見えるまで繰り返す。 「ウイルス駆除5000円? やってられるか!!」「いやいや いつか陽(ひ)のあたる日も来るだろう・・・ 頑張れ頑張れ・・・」avast!駆除も終了。早速、SP4のインストールを試す。大成功! よーし 続いてウイルスバスター2007体験版だ! 未来を体験させてくれよ!大失敗! なんだよ。 感じ悪いな!さてどうしたものか・・・トレンドマイクロシステムクリーナーでもやってみるのが王道だろうな・・・システムを洗ったあとに再度 ウイルスバスター2007体験版インストール!さぁ 未来を体験させてくれ!!大成功! では早速、未来のウイルス検索を・・・ウイルスバスター2007はセキュリティホールやスパイウェアも見てくれる。(圧縮ファイルの中身も見てくれるんだろうか? それなら買ってもいい。)おおー Spybotとavast!が探したあとなのに200近い問題箇所を発見。90個くらいはセキュリティホールなんであとで修正するとして残りはザクっと駆除。よしよし。では再起動だ。起動時にマイドキュメントが開く。 なんだこりゃ? まぁいいや。 あとで直そう。RUNDLL系のエラーが多発している。 ウイルスの残骸みたいなもんだ。MSINFO32を使ってスタートアップをチェックする。Windows2000にはXPのようなMSCONFIGがないからちょっと面倒くさい。HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run このへんのレジストリを修正することでエラーを抑える。さてさてウイルス大量虐殺も大詰めかなあれ? レジストリにマイドキュメントの項目あったかな?あれプログラムの中のスタートアップかな?あれ あれ なんでこれ開くんだ?起動時に毎回マイドキュメントが開く・・・ なんで? どこだ? なにが悪い?・・・ためしにスタートアップチェッカーを使って見てみる・・・「わからない・・・」ググってみても同じ症状の人はいても解決したという報告がない。どうやらXPのSP2で同じような症状が出ているようだ。ウイルスバスターが悪いと言っているやつもいるが真相がわからん・・・ここで助けを求めたい。誰か知っている人がいたら情報求む。ちなみにセーフモードでも開く。なんだろう・・・ ウイルスの最後の置き土産が痛すぎる・・・ 害はないけど・・・OS起動時に必ずマイドキュメントが開くパソコン。なんかヤじゃありません?以下 わかる人いたらご教授御願いします。セーフモード時のHijacThisのログO2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINNT\DOWNLO~1\CNSMIN~1.DLLO2 - BHO: (no name) - {40A2988E-C954-4DDE-BD08-453191805BB9} - (no file)O2 - BHO: BandBHO Class - {6CA1C00B-90FC-4F3E-911F-95306ABA43AA} - C:\Program Files\AdSponsor\AdSponsor.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: Domain Helper - {B8A5DE1C-BC13-4DD2-BF00-7BE3C603F9F2} - C:\WINNT\System32\DomainHelper.dllO3 - Toolbar: @msdxmLC.dll,-1@1041,ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [McSvr] "C:\Program Files\Sony\VaioMX\McSvr\McSvr.exe" /REG_RUNO4 - HKLM\..\Run: [MxFanCtl] C:\Program Files\Sony\VaioMX\FanCtl\MxFanCtl.exeO4 - HKLM\..\Run: [OmgStartup] C:\Program Files\Common Files\Sony Shared\OpenMG\OmgStartup.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osbootO4 - HKCU\..\Run: [Internat.exe] internat.exeO4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exeO4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kggh2982188.exe O8 - Extra context menu item: JWordでウェブ検索(&J) - res://C:\WINNT\DOWNLO~1\CnsMin.dll/203O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htmO12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dllO16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163866488266O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1164069040572O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (ウイルスバスター On-Line Scan) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {8569D715-FF88-44BA-8D1D-AD3E59543DDE} (ActiveReports Viewer2) - https://www2.bitcampus.jp/zeus/css/arview2.cabO16 - DPF: {D51813A7-2D98-4BE3-8BAB-8B47B7BC6F41} (EBookCtl Class) - http://haishin.ebookjapan.jp/contents/appli/reader/eBookCtl.cabO16 - DPF: {F5078F32-C551-11D3-89B9-0000F81FE221} (XML DOM Document 3.0) - http://www4.d-pam.com/fileRoot/fp/4/0/400140/DigitalAlbumRoot/060623165103/appendix/msxml3.cabO18 - Filter: text/html - (no CLSID) - (no file)O20 - AppInit_DLLs: c:\winnt\system32\ldcore.dll,BattyRun2.dllO20 - Winlogon Notify: rpcc - C:\WINNT\system32\rpcc.dllO20 - Winlogon Notify: rpccd - C:\WINNT\system32\rpccd.dllO21 - SSODL: DgNDgtsYXfL - {B86E89C2-12C4-2368-316C-8524A5CD47B3} - C:\WINNT\System32\rzzz.dll (file missing)O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exeO23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINNT\System32\msasvc.exe