« 確定申告終了 | トップページ | 墓参り »

2012年3月11日 (日)

マルウェア「System Check」駆除手順 その2

 System Checkの駆除手順について2012年1月21日 (土)に記載して以降、関連記事へのアクセスが32,000件を超えており、相変わらず猛威を奮っているようです。

 先の記事以降、駆除ソフトの「Trojan Killer Ver2.1」が無償で試用できなくなるなど状況に変化があり、また追記を重ねて読みづらくなったため、改めて駆除手順をまとめることにしました。
---------------------------------------------------

 私が駆除した手順は以下の通りですが、一部は記憶で書いていますので、多少違う可能性があります。

(注)
この駆除手順は、私が感染し駆除に成功した時の事例に、他の方の成功事例を加えたものです。
この手順でSystem Checkの駆除に成功した方もいれば、旨く行かなかった例もあります。
この手順で駆除ができることを保証するものではありません。
駆除については「マルウェア「System Check」駆除手順」に寄せられたコメントも参考にしてください。

---------------------------------------------------
※パソコンは再起動させないでください。症状が悪化することがあるようです。(2012.03.20追記)
※tobiさんのアドバイスで、手順を少し変えました。(2012.03.20)
※手順を一部修正・追加。(2012.03.24)

1.「Microsoft Safety Scanner」にアクセスし、最新版をダウンロードし、msert.exeをDeskTopに保存する。

2.次項でネットワークを遮断する前に、本ページや関連・参照するページを開いておく。

3.PCをネットワークより遮断する。

4.「System Restore ウイルスの駆除削除アンインストール方法」を参考に、System Checkの画面でレジストコードと絶対に使われないような架空のメールアドレスを入力し、あたかも購入手続きを済ませたかのようにしてSystem Checkの活動を止める。

・System Checkウィンドウの左下にある「Click here to activate full-functional version」をクリック
・レジストコード:1203978628012489708290478989147
・メアド:damasaretetamaruka@trojan.org(私の例(^^;)
・右下の[Activate]ボタンを押す

5.System Checkウィンドウの×ボタンを押して終了させる。

6.System Checkを常駐インジケーターから見つけて右クリックし「QUIT」で停止させる。

7.ブラウザのキャッシュ(インターネット一時ファイル)を全てクリアする。

8.DeskTopに保存した「Microsoft Safety Scanner」(msert.exe)を立ち上げ、クイックスキャンで駆除する。

スキャン中、常駐インジケーター内にSystem Checkが何度も起動されるときは、都度「QUIT」で停止させる。

9.駆除が完了してもアイコンやプログラムが見えないときは、PCをネットワークに接続し、「Remove HDD Repair (Uninstall Guide)」の項番19からリンクしている「Unhide.exe」を実行してアイコンなどの表示を復活させる。

※「unhide.exe」は全てのドライブのファイルを操作しますので、意外と時間がかかります。
黒い窓が開いたまま動いていないように見えますが、ちゃんと動作しています。一晩放置するつもりで使ってください。
※利用方法については「マルウェア「System Check」駆除したけれどアイコンが復活しないとき」を参照してください。

10.「\Ducuments and Settings\All Users\Application Data\」のSystem Checkフォルダにある、System Checkに同梱されている「uninstall.exe」(だったと思う)を起動させ、System Check本体をアンインストールする。

※「\All Users」はログインユーザ名の可能性あり。
※私が「Trojan Killer Ver2.1」で駆除したときは上記ファイルが残っていましたが、「Microsoft Safety Scanner」で駆除した場合の動作は不明です。
※場所は記憶で書いています。違う場所かもしれません。

11.市販のウィルス対策ソフトで残骸を駆除する。

※8で完全に駆除されている場合、何も残っていない可能性があります。

12.System Checkフォルダを削除する。

※8で完全に駆除されている場合、何も残っていない可能性があります。

13.PCを再起動する。

14.DeskTopに保存した「Microsoft Safety Scanner」(msert.exe)を立ち上げ、再度クイックスキャンで駆除を確認する。(2012.03.24追記)

15.ルートキットの確認と駆除

以下に虎威電兎さんよりのコメントを転載させいいただきます。
---------------------------------------------------
 SystemCheckウイルスに感染すると、同時に「ルートキット」と呼ばれるウイルスにも感染する可能性があります。
 ルートキットは特殊なステルス・ウイルスで、通常のセキュリティソフトでは検知・駆除が難しく、別途専用ツールを使用する必要があります。
 ですからTrojanKillerにてSystemcheck本体を駆除した後、カスペルスキー社が無償で提供しているTDSSKillerでのスキャンを付け加えることを推奨します。
---------------------------------------------------
ルートキットの確認と駆除は下記の手順です。

・TDSSKiller.zipをKaspersky Lab テクニカルサポートからダウンロードする。
・任意のフォルダに解凍しインストールする。
・Start scanボタンをクリックする。
・何も発見しなかった時はCloseボタンをクリックして終了させる。
・malicious objects (悪意あるオブジェクト)が発見された時は、DefaultのCureを選択した後、Continueをクリックして駆除する。
・Suspicious objects(疑わしいオブジェクト)が発見された時は、DefaultのSkipを選択した後、Continueをクリックする。
・感染除去を完了するために、コンピュータを再起動する。

16.「マルウェア「System Check」駆除後の対策」により、周辺ソフトを最新版に更新する。


以上が私の体験と多くの皆さんのコメントを基に再編集した駆除手順です。
他の方の参考のためにも、成功・不成功の事例をコメントいただけると助かります。

|

« 確定申告終了 | トップページ | 墓参り »

コメント

はじめまして。

3/11 1時~2時頃(深夜です)にSystemCheckに感染しました。

その時点でウィルスバスターは最新版でした。
なので、感染しているとは露とも思わず、
且つ、あの紛らわしいアイコンと名前にすっかりだまされ、
ネット環境に影響はなかったためにあれこりいじってから
(システム関係は素人同然なのに…)、
もしや、と思って調べたらこちらへ辿り着き、
事実を知りました。

下手にいじるんじゃなかった…
というのが正直なところですが、
手順ごとに経過を書かせていただきます。

感染時の状況は、こちらに書いてあるとおりでしたが、
当方の場合、デスクトップ背景はそのまま残り、
デスクトップアイコンがすべて消え、
常駐していたネット接続ソフトのツールバーが消え、
画面下部のツールバーにおいていた、
ショートカットキーが消えました。

スタートボタンからプログラム関係も、
名前は残っているものの、フォルダ内は
「なし」の状態に。

感染に思い至らず、自力で触ったのは、
アイコンの表示です、

スタートメニュー→ファイル名を指定して実行→「regedit」
レジストリエディタから

 HKEY_CURRENT_USER→Software→Microsoft→Windows
 →CurrentVersion→Policies→Explorer

上記の順で進み、。「NoDesktop」項目の「値のデータ」の末尾を
「0」から「1」に変更し、デスクトップ上のアイコンを復帰させました。

SystemCheckの本体はかろうじて消していなかったので

1.→指示通りに偽購入状態にしました。
テキストファイルのお礼状(恕)が届いていたので成功したはずです。
  
2.→OK。

3.→OK。

4.→「Microsoft Safety Scanner」からDL。
フルスキャンで3時間ほどかかりました。

5.→Unhide.exeの実行。
 ウイルスバスターが反応してしまい、2度失敗。
 3度目でフィニッシュまで。

6.→プログラムフォルダ内等には残っていませんでした。

7.→ウイルスバスターで隔離ファイルに隔離されていた
 本体とアンイントールのファイルを削除。

8.→スタートメニューのプログラム内に残っていたものを削除。

9.→指示通りに終了。

実際は8.9.7.の順で処理したような…。

アイコンが復帰しているので利用は出来ますが、
プログラムの表示は以前隠されたままで、
普通の黄色いフォルダに、
SystemCheckのアイコンらしきものが
重ねて表示されたままで、フォルダを開いても空です。

常駐していたネット接続ソフトのツールバーも消えたまま、
画面下部のショートカットキーも消えたままで設定すら出来ません。

もうこれの復帰は無理でしょうか。

リカバリですかねえ・・・。

長々と申し訳ありませんが、
何かアドバイスがありましたら頂けると幸いです。

投稿: みどり | 2012年3月11日 (日) 17時52分

みどりさん、対応ご苦労様です。
私も素人でして、経験談を載せているに過ぎません。
特にレジストリの操作については、手を出す領域ではないと思っていまして、NoDesktopへの操作が正しいのかも理解していないほどの素人です。(私の値と同じでした)

私のときと少し違うのは、ウィルスバスターで隔離されていたという所です。
私も常にウィルスバスターを最新版にしていますが、1月の段階ではTrojan Killer Ver2.1で復旧させ、手動でアンインストールさせた後でしたので、ウィルスバスターはSystemCheck本体の駆除までは行きませんでした。

いずれにしても、無能化し、駆除も終わっているようですから、後は見えないファイルを基に戻すだけのように思います。

Unhide.exeがウィルスバスターの影響を受けたのかもしれません。
3回目の時はウィルスバスターを停止させて完了したのでしょうか。

下記のサイトも参考にしてみてください。
マルウェアの名称は異なりますが、同じ系統の亜種です。
http://www.pc-master.jp/blog/trouble/3347.html

投稿: ちょんぱぱ | 2012年3月12日 (月) 00時43分

参考にさせていただいています。
1.2.3番を試すと、デスクトップが完全に戻りました。
その後、ノートンでチェックをかけたが何も見付からなかったので、system checkのuninstallを行いました。

デスクトップにまだsystem checkのショートカットがあり、リンクを調べるとC:ProgramData/の中にそれらしいファイルがあったので、完全削除しました。

再起動後も通常通りですし、常駐もなさそうですが、本当に削除できているのか分かりません。

順序が逆になってしまいましたが、
今Microsoft Safety Scannerでスキャンしています。
ここで感染しているファイルが見つからなかった場合、TDSSKillerでルートキットの確認をすればよいのでしょうか?

最悪、全データバックアップの後、再インストールを考えています。その際にウィルスが外付けHDDにまで感染しないかも不安ですね。

いろいろと質問してしまいましたが、
アドバイスを頂けると幸いです。
よろしくお願い致します。

投稿: ペンペン | 2012年3月12日 (月) 11時24分

管理人様のこのホームページのおかげで、無事パソコンが復旧しました(私はTrojan Killerを購入しました)。
本当にありがとうございました。
ただ、Window Updateができなくなってしまったので(管理者権限でログインしろなど言われます)、業者さんに見てもらうことにしました。
上のペンペン様が質問されている、外付けHDDへの感染が私も気になります。

投稿: フワメリー | 2012年3月12日 (月) 12時56分

連投申し訳ありません。

Microsoft Safety Scannerでスキャンをして、一つ処理がされ、Trojan Killerでスキャンしたところ、スタートメニューのプログラムとダウンロードの際のリンクのみでした。
評価版ではファイルの削除ができなかったので、
一応セーフモード起動後、それらのファイルを削除しました。

そして、ルートキットの確認のためにTDSSKiller.zipを使い、一つcureし、再起動。

Trojan removerというマルウェアチェックのソフトでも起動中のマルウェアはなかったです。
これは駆除成功という事なのでしょうか?

投稿: ペンペン | 2012年3月12日 (月) 14時08分

はじめまして。

3/12の午前にSystemCheckに感染しました。
画面が真っ黒になり、ツールバー?のみが表示されている状態から、いろいろ調べてみて
「Click here to activate full-functional
version」をクリックして頂いて、アクティベーションコード「1203978628012489708290478989147」を入力し、
デタラメなEメールアドレスを入れ、Activateボタンをクリックするところまではできたのですが、
各種ツールをダウンロード&インストールすることができませんでした。

Messengerを削除するといいということを見つけたため削除すると、再起動し背景、アイコンともに元に戻ったのですがSystemCheckのアイコンが再び出てきました。
これはまだ直っていないということですよね・・・?

なにか解決策ありましたら
宜しくお願いいたします。

投稿: ワン | 2012年3月12日 (月) 15時13分

ペンペンさん、フワメリーさん、マトコメで失礼します。

まず、外付けHDDの件ですが、私の知る限りウィルスが感染することはないと思います。
あるとすればファイル属性を「隠しファイル」化されることですが、エクスプローラで見えていれば問題ありませんし、見えていなければ「unhide.exe」で復旧できます。

お二人とも駆除は完了していると思います。
Window Updateについては判りません。(^^;

後は周辺ソフトを常に最新版にするようにしてください。

投稿: ちょんぱぱ | 2012年3月12日 (月) 20時31分

ワンさん

各種ツールをダウンロード&インストールすることがでないとき、どのようなメッセージが出たのでしょうか。
常駐しているSystem Checkをquitされていますか?

多分、駆除はされていないと思います。

セーフモードで立ち上げるとダウンロードが可能になるかもしれません。
http://www.pc-master.jp/blog/trouble/3347.htmlを参考にしてください。

投稿: ちょんぱぱ | 2012年3月12日 (月) 20時40分

ちょんぱぱ様

ありがとうございます。
ちょんぱぱ様が紹介されているソフトで何回かチェックをかけ、問題なさそうでしたので安心しました。
この様な記事を書いて頂き、また一人一人に返事をして頂き、ありがとうございます。

ペンペン

投稿: ペンペン | 2012年3月13日 (火) 11時53分

ちょんぱぱ様

外付けHDDの件、教えて下さってありがとうございました。

あと、昨日駆除できたと書きましたが、Windows Updateができないのは、まだ私のパソコンが何らかのウイルスに感染しているせいのようです。
しかも、今日セキュリティ強化のためにリアルプレイヤー(でしたっけ?)をダウンロードしている最中にWindows インストーラの不具合が発生し、更新パッチも受け取れなくなってしまいました。
もう新しいパソコンを買うことにします。

皆さんはWindows Updateはできますか?

投稿: フワメリー | 2012年3月13日 (火) 21時25分

ペンペンさん

Microsoft Safety ScannerとTDSSKillerで検知されなければ多分大丈夫だと思います。
本当ならレジストリまで確認出来れば安心なのですが、そこまでの知識がないもので申し訳ありません。

投稿: ちょんぱぱ | 2012年3月14日 (水) 07時34分

フワメリーさん

外付けHDDの件で補足ですが、今回のマルウェアはファイルに感染しないので大丈夫だろうという意味です。
これがウィルスになると外付けHDDのファイルでも感染する可能性がありますが、フルスキャンさせると接続しているドライブ全てを検索してくれるので、多分大丈夫でしょう。

私の場合Windows Updateは問題ありませんし、インストーラも不具合はありません。
原因はマルウェアの影響とは別にあるのでしょうか。

投稿: ちょんぱぱ | 2012年3月14日 (水) 07時34分

3月9日夜に感染し、昨日無事駆除しました。ちょんぱぱさんの日記のおかげです。ありがとうございました。
私は、Trojan Killer Ver2.1(1.9)は駆除が有料だったので、スキャンのみして、手動削除しました。
アイコンやスタートアップは、Trojan Killer Ver2.1のツールの4番目で復活しました。
 途中時間がなくてシャットダウンして翌日あげたら、画面真っ黒、ウインドウズ起動せず、カルソールのみ点滅、セーフモードも起動できない場面もありまして、リカバリしようとF10連打していたらなぜかウインドウズが起動しはじめ、リカバリ中止。
その後は、半日かかりましたが無事終了です。
ウインドウズアップデードもできましたし、今日はポップアップも出て更新されました。

Trojan Killer Ver2.1のツールに、アップデートをしないようにさせているものを直すものも、入っていたように思います。
わかりにくい説明ですいません。
まずは、お礼のコメントまで。感謝です。

投稿: くるたん | 2012年3月14日 (水) 09時57分

昨日感染してこのサイトにたどり着きました。おかげさまで今朝ほど無事駆除を確認しました。ありがとうございます!m(_ _)m

投稿: pekoh | 2012年3月14日 (水) 09時57分

くるたんさん

>スキャンのみして、手動削除しました。
なるほど、そのような使い方があったのですね。
ツール4番目でアイコンやスタートアップを復活させられるのも知りませんでした。
何せ、私の時は無料で全て自動的に解決してしまったので、深く追求していませんでした。
今後の方の参考になります。報告ありがとうございました。

投稿: ちょんぱぱ | 2012年3月14日 (水) 17時37分

pekohさん

無事に駆除できて何よりです。
すんなりと行かない方もいらっしゃいますが、良かったですね。(^^)

投稿: ちょんぱぱ | 2012年3月14日 (水) 17時37分

はじめまして。
ちょんぱぱさんの記事を見て強制終了になっていたパソコンが動くようになりました><

超パソコン素人の私なのですが・・・

6.のアインストールするときはスタートボタンからすべてのプログラムに行って、SystemCheckのフォルダを開いて、「uninstallSystemCheck」でアインストールできるんですかね・・・(;O;)

よければおしえてください・・・

投稿: ちろる | 2012年3月15日 (木) 02時09分

連続で書いてしまって本当にすみません・・・

一応アインストールをして、スタートのところとかにSystemcheckの表示が消えたのですが、常駐インジゲーターからは表示が消えてくれませんでした><
どうしたら消えますかね・・・(._.)

あと、5.の作業をする前にアイコンとかもすべて戻ってるみたいなんですけど5の作業は必ずした方がいいですか?

よければおしえてください><
おねがいしますm(__)m

投稿: ちろる | 2012年3月15日 (木) 03時45分

ちょんぱぱ 様。

一番最初に長々と投稿したみどりです。

手順にあるソフトを使っても隠しフォルダ化されたプログラム表示がどうやっても元に戻らず(プログラムファイル経由であれば見えますし使えるのですが)、見た目がやはり気持ちが悪いので再セットアップに踏み切りました。
久々に勉強になったという感じです。
とはいえ、こちらの記事がなければ今でも途方に暮れていたことだと思います。
どうもありがとうございました。

それから。
当方もブログ(FC2ブログ)をやっているのですが、このウィルスに感染しても、自分が管理しているブログには影響ないと見てもよいのでしょうか。
一応、リピーターさんがいらっしゃるので迷惑かけてたら怖いなあと…。

投稿: みどり | 2012年3月15日 (木) 17時16分

みどりさん

unhide.exeでも元に戻りませんでしたか。
色々な症状があるようですね。
再セットアップされたとのことなので、隠しファイル復活手順については省略しますが、みどりさんのPCが感染したことと、ご自身のブログは別の問題です。

みどりさんのブログが改変されているかどうかは、読者さんからの指摘が無い限り判らないと思いますし、ご自身でアクセスしてjavaの更新メッセージが出てこなければ心配する必要はないと思いますよ。

投稿: ちょんぱぱ | 2012年3月15日 (木) 21時54分

ちろるさん

私がアンインストールした時は、SystemCheckがインストールされているフォルダからuninstall.exeを見つけ出してダブルクリックで起動しました。
「uninstallSystemCheck」でアインストールした経験がないので何とも言えませんが、それでアンインストールできなければエクスプローラで探し出すしかないと思います。

常駐インジゲーターについてはカーソルをあてて右クリックすると「Quit」が表示されると思います。
「Quit」を左クリックすれば常駐インジケータから消えるはずです。

投稿: ちょんぱぱ | 2012年3月15日 (木) 22時03分


こんばんは。

たぶんアインストールできたと思います><

常駐インジケータから消すことができました><

本当にありがとうございました。
ちょんぱぱさんのおかげでパソコンも動くようになりました。
この記事がなかったら私はどうなってたんだろう。と考えただけでゾッとします。

すごく感謝していますヽ(^。^)ノ

投稿: ちろる | 2012年3月16日 (金) 01時01分

ちろるさん

駆除お疲れ様です。
常駐インジケータのQuitが一番最後というのがちょっと引っ掛かります。
再度Microsoft Safety ScannerとTDSSKillerで検索し、何も出ないか確認しておかれることをお勧めします。

投稿: ちょんぱぱ | 2012年3月17日 (土) 11時28分

はじめまして。

本日、System Checkに感染してしまい、困っていたところ、こちらのブログにたどり着きました。
なんとか復旧しました。(´▽`)/
本当にありがとうございました。
おかげでパソコンがゴミにならずに済みました。

投稿: tomboy | 2012年3月17日 (土) 23時00分

tomboyさん

復旧お疲れ様でした。お役に立てて何よりです。

投稿: ちょんぱぱ | 2012年3月17日 (土) 23時20分

昨晩ウイルスにかかり、こちらのサイトに載っている方法でなんとかもと通りになりました。
本当にありがとうございます。

一つ質問があるのですが、このサイトの手順で行ったところ、windows safety scannerで何も検出さなかったんですけど・・・
これは、駆除の必要がなくアンインストールするだけでいいということを表しているのでしょうか?

投稿: ぺいん | 2012年3月19日 (月) 10時43分

連投失礼します。
上の文章にミスがあったので訂正します。
windows safety scannerじゃなくて microsoft safety scannerでした。

投稿: ぺいん | 2012年3月19日 (月) 10時53分

情報のご提供ありがとうございます。

少子もブログをサーフ中にリンクを押した瞬間 system check に
感染しました。Javaコンソールが立ち上がったので、感染アプレットが
埋め込まれていたようです。(PC : Windows XP SP3)

=本ページを参考にした対応は以下の通りです=
1:すぐに再起動をしない。
2:Microsoft Safety Scannerの最新版をダウンロード。
 (次項の実行前に、本ページや関連ページを開いておく)
3:該当PCのネットワークを遮断。
4:本ページを参考に、System Checkに架空のレジスト。
5:常駐インジケーター内のSystem Checkを「QUIT」で停止。
6:Microsoft Safety Scannerでクイックスキャン(ファイルが削除された)
7:スキャン中、常駐インジケーター内にSystem Checkが何度も起動されるが、
  都度「QUIT」で停止。
8:Avastの設定で、ブート時のスキャンを有効にする。(感染PCがAvastのため利用)
9:再起動
10:Avastで、ブート時に全ファイルのスキャン実行。(何も発見されず)
11:タスクマネージャがディスエイブルの為、下記方法で復活
  http://pasofaq.jp/windows/admintools/disabletaskmgr.htm
  (常駐プロセスに追加や変更は無し)
12:TDSSKillerで検査。(何も発見されず)

項番 1-6 の対処で効果が有ったようです。

投稿: tobi | 2012年3月19日 (月) 16時21分

連続で聞いてばっかで申し訳ないのですが、駆除後、仮に残っていたとしても、ipadなどのApple製品と感染したpcのitunesを同期させた時に、ウイルスが移って、ipadで発症するというというのはあり得るのでしょうか?どなたか詳しい方回答お願いします。

投稿: ぺいん | 2012年3月19日 (月) 20時13分

ぺいんさん

Microsoft Safety Scannerで何も見つからなかったとのことですが、インストール済のウィルス対策ソフトが駆除したのでしょうか。であれば記録が残っていると思います。
そうでなければ・・・ちょっと不思議ですね。

私のときはTrojan Killerが無償で使えたので、実際にはMicrosoft Safety Scannerを使っていません。
Trojan KillerではSystemCheck本体までは駆除されず、手作業でuninstallさせる必要がありました。

Trojan Killerは検索するところまでは無料で使えます。
駆除させようとすると購入手続きの画面になりますので、検索だけさせてみてはいかがでしょうか。
もし発見(赤く表示)されたらメモを取り、手作業で削除するという方法もあります。

投稿: ちょんぱぱ | 2012年3月19日 (月) 20時28分

ぺいんさん

SystemCheckはウィルスではなくてマルウェアなの、他のファイルに感染することはないと思いますし、実行ファイルをコピーして起動させない限り発症しないはずです。

投稿: ちょんぱぱ | 2012年3月19日 (月) 20時32分

tobiさん

スキャン中、常駐インジケーター内にSystem Checkが起動されるという症状ですが、最近同じような記事を見ています。
別の亜種に進化しているのでしょうか。

タスクマネージャがディスエイブルという症状も初めて聞きました。
tobiさんのコメントは他の方の参考になると思います。
ありがとうございました。

投稿: ちょんぱぱ | 2012年3月19日 (月) 20時37分

ちょんぱぱさん

迅速な回答ありがとうございます。
すべての作業が終わって落ち着いてからもう一度microsoft safety scannerを使ったところ、検出&削除されました。
これで残骸も一通り消せたのかな…?って感じです。
明日にでもtrojankillerを使ってみようと思います。

投稿: ぺいん | 2012年3月19日 (月) 21時34分

ぺいんさん

やはり残っていましたか。一回目でどうして検出されなかったのでしょう。
でもこれで少し安心ですね。

実は私のPCで、Microsoft Safety Scannerやウィルスバスターでは何も検出されませんが、Trojan Killerでは危険と判断されるファイルが一つ残っています。
削除すべきなのか判断付かずそのままなのですが、削除する前にネットで検索した方が良いかもしれません。

投稿: ちょんぱぱ | 2012年3月19日 (月) 23時16分

ちょんぱぱさん

実は先ほどのmicrosoft safety scanner でのスキャンで、systemcheck以外にも検出されたものがありまして、
VirTool:Win32/Obfuscator.QD
というやつなんですけど…なぜか削除できないんですよね…
手動で消そうとしても場所が見つからないし…
こいつはsystemcheckに関係あるやつなのでしょうか?あとウイルスととらえていいんでしょうか?
分かるようでしたらお願いします。

投稿: ぺいん | 2012年3月20日 (火) 01時29分

ちょんぱぱさん。 tobiです。

本件の対応を行い、気付いた点を補足します。

1:マルウェアを読み込んでも、最初はブラウザのキャッシュに入り込むだけです。
Javaアプレットが起動しても、一部レジストリの追加はされる様ですが、
すぐに深刻な事態にはならないようです(画面上は深刻な事態を装っていますが)
  再起動すると被害の拡大が想定されます。

=感染したら、駆除プログラムで駆除するまでPCを再起動しない=

2:マルウェアを読み込んでも、最初はブラウザのキャッシュに入り込むだけです。
  
  =ブラウザのキャッシュを全てクリアする=

3::本ページを参考に、System Checkに架空のレジストを行ったら、
  通信動作が見られました。追加の動作かプログラム追加が有るようです。

 =該当PCのネットワークを遮断=

上記により、被害の拡大を防ぐとともに、駆除が容易になるでしょう。
お知らせまで。

投稿: tobi | 2012年3月20日 (火) 11時42分

ちょんばば 様

私も3/16に、無料ゲームか、掲示板のページから system check に感染し、何となくウイルスと分かりましたが、ウイルスバスターが効かず、どうしようか、人生真っ黒になりました。

そんな時、このページを発見し、丸1日、指導手順通りに行いましたら、私のbistaもすっかり元気になりました。本当にありがたいページです。感謝で一杯です。

対象ソフトは最新版に更新しましたが、今後の対策が心配です。アドバイスいただけたら幸いです。

投稿: まっちゃん | 2012年3月20日 (火) 14時17分

ぺいんさん

↓これでしょうか。
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=TROJ_MENTI.ACA

↓ここにあるようです。
C:\Documents and Settings\<ユーザ名>"

投稿: ちょんぱぱ | 2012年3月20日 (火) 15時26分

tobiさん

パソコンにお詳しいのですね。
ブラウザのキャッシュに入り込むだけなんて思いもしませんでした。
レジストを行うと通信動作があるというのは危険ですね。
でも、通信せずにレジストが有効になるのか検証する訳にも行かないし、悩ましいところです。
注意事項として追加することにします。
ありがとうございました。

投稿: ちょんぱぱ | 2012年3月20日 (火) 15時30分

まっちゃんさん

対応ご苦労様でした。無事に復旧できて良かったですね。
今後の対策は、やはりOSや周辺ソフトを常に最新版にしておくことでしょう。
あとIPA↓の情報を定期的にチェックすることでしょうか。嫌な世の中になりましたね。
http://www.ipa.go.jp/

投稿: ちょんぱぱ | 2012年3月20日 (火) 15時34分

ちょんぱぱさん。 tobiです。

お尋ねの件に回答いたします。
>通信せずにレジストが有効になるのか検証する訳にも行かないし、
悩ましいところです。
==
少子の対応時は、ネットワークを遮断後、
ちょんぱぱさんのレジスト情報を設定、問題なくレジストレーションが完了されました。
ただし、その後システムディフォルトの設定ブラウザが立ち上がったので、
通信の試行をしていたようでした。Javaアプレットでしたら可能性はあります。

本件の対処の参考になりましたら幸いです。

投稿: tobi | 2012年3月20日 (火) 21時49分

tobiさん

最初のコメントで、遮断後にレジストコードを入力したとご報告戴いていましたね。
駆除手順にネットワークの遮断を加え、手順を一部修正いたしました。
もし問題がありそうでしたらご指摘願います。

投稿: ちょんぱぱ | 2012年3月20日 (火) 22時14分

ちょんぱぱさん
情報ありがとうございます

探しても見つからないので、とりあえずネットは切って、これ以降はipadでネットにつなぐことにしました…
これで一段落…かな?

今回の件では本当にお世話になりました。
ありがとうございます。

投稿: ぺいん | 2012年3月21日 (水) 00時20分

ちょんぱぱさん。 tobiです。

情報のご更新、ならびに皆様への親切なご対応に敬服いたします。

僭越ですが、本件の対処の考え方をまとめました。

ブラウザ経由で押し込まれるマルウェアのスクリプトや
アプレットは、OSやブラウザによってその動作が限定されて
います。しかしながら、そのスクリプトやアプレットを
むやみに操作したり、再起動を行うとPC内部で新しい
展開が起こり、事態の悪化や駆除が困難な状況になるようです。

ブラウザ経由で押し込まれるマルウェアのスクリプトや
アプレットは、ブラウザのキャッシュ(インターネット一時
ファイル)に、最初は書き込まれ、最初はそのスクリプトや
アプレットが起動し、レジストリの改悪や次の事態への布石を
PC内に仕掛ける様です。

ブラウザ経由で押し込まれるマルウェアのスクリプトや
アプレットは、ネットワークの経路が存在していると、それを
利用し悪意プログラムの追加や情報の流出を試行します。

少子の対応経験とその後のスキャン結果、近接PCの調査では、
本system checkマルウェアは、一般的ウィルスで一番恐れる感染
PC内での自己拡散や近接PCへの拡散動作は無い様です。
(1回限りの少子限りの経験で、感染PCの駆除前の再起動はしていない
 状況での調査結果。追試行はしていません)

~~~
今回(3月20日)の更新手順は大変充実されています。
少しだけですが、本文に追加されると安心できる手順として、

項番13の駆除後の再起動後、すぐに「ウィルススキャン」と
「Microsoft Safety Scannerでのスキャン」を行い、何も検出されない
事をご確認されると良いでしょう。
その後に項番14の「ルートキットの確認と駆除」も実行してください。

皆様のお役に立てれば幸いです。

投稿: tobi | 2012年3月21日 (水) 14時10分

私も3月19日にsystem checkに感染しちゃいました。
当初、スタートボタンを押してもIEのショートカットが見つからず、スマホでこのページの存在を見つけ、virusであることがわかりましたが、パソコンからInternetにアクセスできず、microsft safety scannerをダウンロードするのに四苦八苦しました。
手順としてはスマホ片手に3.~7.を最初に行い、1.2.8.~の順でやると解決できました。
でも、Internetが立ち上がらないとかなり致命的ですね。。。

投稿: あき | 2012年3月21日 (水) 22時25分

ぺいんさん

折角お持ちのパソコンですから、各社が用意している無料のワクチンソフトを色々と試してみてはいかがでしょう。
私はiPadを持っていないので使い勝手が判らないのですが、文字入力とか大変そう。(^^;

投稿: ちょんぱぱ | 2012年3月22日 (木) 00時05分

tobiさん

駆除手順へのご指導ありがとうございます。
今日は遅くなってしまったので、明日にでも修正したいと思います。

投稿: ちょんぱぱ | 2012年3月22日 (木) 00時08分

あきさん

IEのショートカットまで消えたのですか?
それは厄介でしたね。
他のPCがあれば、そのPCでMicrosoft Safety Scannerをダウンロードし、USBメモリなどを使用して感染PCの駆除という方法もありますが、これとてエクスプローラが使えないと難しいでしょう。

でも、レジストコードの入力が出来れば先に進めることが判りました。
他の方の参考になると思います。
報告ありがとうございました。

投稿: ちょんぱぱ | 2012年3月22日 (木) 00時15分

tobiさん

お勧めのとおり、再起動後のクイックスキャンを追加しました。
また、再度スキャンしやすいよう、「Microsoft Safety Scanner」ををDeskTopに保存するようにしました。
アドバイスありがとうございました。

投稿: ちょんぱぱ | 2012年3月24日 (土) 01時03分

はじめまして。
先ほど感染してしまいました。
はじめはどうしたものかあたふたしてしまい、とりあえずscanしてしまった後おかしいと思い、もう1台のpcで検索してみたところこのサイトを発見したので、これを参考に駆除に取り組んでいるところです。
しかし、手順4を行うとsystem checkが何やら動作(直してる感じ?)し始めたので慌てて止めて、手順5を行ったら、勝手に再起動されてしまいました・・・。
手順8のmicrosoft safety scannerでも検出されず、不安な状況です。(デスクトップのアイコンは全部ではありませんが見えます)
やはりまずい状況なのでしょうか?

それと、ふと思いつきvistaのシステムの復元を見てみると、まだ感染(発症?)してない時の復元ポイントだったのですが、復元に効果があるのでしょうか?

長文で申し訳ないです。

投稿: りく | 2012年3月25日 (日) 01時28分

りくさん

System Checkの症状は色々あるようで、ここの手順でうまく駆除できないパターンもあるようです。
またウイルス対策ソフトもパターンが更新されて、一部駆除する例もあるようです。
おそらく駆除されていないと思いますが、6の常駐インジケーターを「QUIT」して進めたのでしょうか。

システムの復元は効果があるようですが私は経験していないので、キーワードで検索して他の経験者の報告を参考にしてください。

なお、復元した後でもSystemCheckは残っていますので、手順の14~16は必要です。

投稿: ちょんぱぱ | 2012年3月25日 (日) 02時32分

返信ありがとうございます。
再起動前は6を行う前に再起動してしまったので、できてないです・・・。
再起動後にまたsystem checkのウィンドウが開き、デスクトップのアイコンがコンピュータとごみ箱を除いて消えてしまったので、手順1~3を行った後5、6と行っていき、現在8を終えて様子を見てるところです。
8で検出されないのと、デスクトップのアイコンが幾つか表示されない以外は落ち着いている感じです。

しかし、10の作業をしようとAppDataに行ってもsystem checkフォルダがない状態でした。
デスクトップにはまだショートカットがあるのであると思うのですが、進めて問題ないのでしょうか?
なるべく手順通りにしていこうと思っているので(汗

復元についてはここの方法を行った後考えようと思います。

投稿: りく | 2012年3月25日 (日) 03時05分

りくさん

すみません。就寝していました。

デスクトップにあるのは「System Check License.txt」ですか?
であれば、レジストしたことへの御礼と連絡先ですので、右クリックして削除してください。説明が漏れていましたね。
10の作業については、Trojan Killer Ver2.1での駆除の時は必要でしたが、Microsoft Safety Scannerでは駆除されている可能性があります。
それと、最初にscanしたとのことなので、そちらのソフトで本体を駆除してしまっているかもしれません。
であれば、この手順を行って14、15で何も出なければ完了したと判断しても良いかも。
最初のscanで駆除ファイルのログは残ってないでしょうかね。

投稿: ちょんぱぱ | 2012年3月25日 (日) 07時43分

デスクトップには、「system check」というソフトを起動させるショートカットとactivateした時できたtxt.があります。
それとscanについては、system checkが「ハードディスカやメモリがこれだけダメージを受けてますよ」的診断を出すためのものです。
診断後にactivateしたら、現在直してます的画面に勝手に移り、これが完了すると(やめると?)自動的に再起動するのかも。
説明不足で申し訳なかったです(汗

6時間ほど放置してもsystem checkが勝手に起動しないので、使っているウイルス対策ソフトを使って検査していこうと思います。

それと、Cドライブに「ProgramData」というファイルの更新時間が感染後の時間になっているのですが、やはり何かされたのでしょうか?
少し気になります。

投稿: りく | 2012年3月25日 (日) 11時02分

りくさん

なるほど、やはり少し進化しているようですね。
私のときはSystemCheckのショートカットは出来ませんでしたし、アクティベートしても再起動はしませんでした。

市販のウィルス対策ソフトは、まだSystemCheckに対応していない可能性があります。
Microsoft Safety Scannerで検知されないのなら駆除されたと思うのですが。

ProgramDataの時間については、SystemCheckによるものなのか、Microsoft Safety Scannerによるものなのか判りませんが、その中に「SystemCheck」のフォルダが作成されていないのなら心配ないと思います。

投稿: ちょんぱぱ | 2012年3月25日 (日) 13時03分

ウィルス対策ソフトでも何もなかったので、一応Trojan Killer(v2.1.2.0)を試しているところです。
こちらだと、びっくりするような警告音とともに見つけ出しているので、まだあるものだと思います。

ProgramDataについてなのですが、隠しファイルも見えるようにするとデスクトップに作られたショートカットと同じアイコンのexeがあるので、たぶんsystem checkではないかと思ってます。(BQ6rw1~.exeという名前になってます)
また、Programdata内にsystem checkというフォルダはないようです。

今はTrojan Killerの結果を待ってみようと思います。

投稿: りく | 2012年3月25日 (日) 13時45分

りくさん

BQ6rw1~.exeというプログラムについては情報はありませんし、ネットで検索しても出てきませんでした。
でも怪しいですね。

Trojan Killerで検索して赤く表示されるファイルは、ほぼウィルスやマルウェアの関連ファイルと見て問題ないと思いますが、ちょっと微妙なDLLも赤く表示されます。
私のPCでも1つ表示されますが、判断が付かずそのままにしています。

最新版のTrojan Killerも多分無料では使えないと思いますので、検索されたファイルを出力したlogを利用してください。

投稿: ちょんぱぱ | 2012年3月25日 (日) 14時40分

system checkのフォルダについてなのですが、Trojan Killerのおかげで見つけることができました。
中にはsystem checkとそのuninstallのlnkだったのでどちらもリンク先を調べると、system checkはProgramDataにあるBQ6rw1RWhXmKIt.exeとなってました。(先ほどは省略してしまい申し訳ないです)
しかしuninstallの方はBQ6rw1RWhXmKIt.exe 1となっており、ProgramData内にはないようなんです。(これがuninstallを行おうとすると再発してしまう理由・・・?)

もう一度Microsoft Safety Scannerでフルスキャンしていこうと思います。
あと、アンインストールについてはどうするべきなのでしょうか?

何度も何度も申し訳ないです。

投稿: | 2012年3月25日 (日) 15時18分

りくさん

Trojan KillerではSystemCheck本体まで駆除しなかったようで手動でuninstallしましたが、Microsoft Safety Scannerでは本体まで駆除する可能性があります。

もしMicrosoft Safety Scannerでそれらのファイルを駆除できないようでしたら、ブラウザのキャッシュを消去し、常駐をQUITした上で直接削除して問題ないと思います。

今後の参考のために、system checkのフォルダの場所を教えていただけますか?

投稿: ちょんぱぱ | 2012年3月25日 (日) 16時17分

フルスキャンしてたので遅れました。

C:¥Users¥Owner¥AppData¥Roaming¥Microsoft¥Windows¥Start Menu¥Programs¥System Check
vistaではこのようになってました。
またWindowsからは隠しファイルとなっています。

せっかくフルスキャンしたのに検出されないどころか、違うものが出てきてしまった・・・。
Malwarebytes Anti-Malware Freeというのも試してみようと思います。

投稿: りく | 2012年3月25日 (日) 20時03分

連投で申し訳ないです。

Malwarebytes Anti-Malware FreeのPerfrom quick scanを試しましたが検出されず、コメントにある再起動による悪化が効いてるのではないかと落胆している状態です。
情報漏えいの可能性も考えると一刻も早く直したいのに・・・。

Trojan Killerで検出された赤い表示(及び関連しそうなもの)のものを手動で消し、もう一度Trojan Killerなどを試し、ないことを確認した後再起動(手順13)してみようと思います。

リカバリも考えなくてはいけないかもしれません・・・。

投稿: りく | 2012年3月25日 (日) 22時06分

りくさん

なかなかうまく行かないようですね。
別のワクチンソフトの報告がありました。

「Roguekiller」
http://www.sur-la-toile.com/RogueKiller/
使用報告は以下のサイトです。
http://ameblo.jp/pit-me/entry-11197900398.html

システムの復元で復活した方の報告です。
http://howto.az8.jp/%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%8D%E3%83%83%E3%83%88%E6%8A%80%E8%A1%93/%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E3%80%8Csystem-check%E3%80%8D%E9%A7%86%E9%99%A4%E6%96%B9%E6%B3%95/

リカバリはダメージも大きいので、最後の手段と考えて頑張ってください。

投稿: ちょんぱぱ | 2012年3月25日 (日) 22時58分

ちょんぱぱ様

情報ありがとうございました。
私も、System Checkにやられまして、
ライセンスキーで動作を止めた後、ここの説明のとおりSecurity Scannerを掛けると確かに当該プログラムは削除されていました。

System Checkが起動して感染に気づく直前にJavaが起動しており、後で調べてみるとそれが古いバージョンだったので、この脆弱性が原因が侵入経路かと思います。

スタートメニュー「すべてのプログラム」内にSystem Checkフォルダが作成されており、そのショートカットからプログラムの位置を特定することができましたが、
System Check自体のファイル名は無意味な文字列の羅列で、怪しいアイコン(Windowsの窓マークが入った白四角)がなければ気づかないところでした。

ワクチンソフトを入れているだけで安心していないで、各種ソフトの最新版をキープすることの重要性を実感しました。
今回は大変助かりました。

投稿: てつた | 2012年3月25日 (日) 23時01分

りくさん

マルウェア「System Check」駆除手順の方で、システムの復元で復活したとのコメントがありました。
その方はアイコンなどが復活しなかったので、このブログの「マルウェア「System Check」駆除したけれどアイコンが復活しないとき」を参考に全て復活したとのことです。

投稿: ちょんぱぱ | 2012年3月25日 (日) 23時06分

てつたさん

報告ありがとうございます。
スタートメニューからプログラムの位置を見つける方法があったのですね。
今後の方の参考になると思います。

投稿: ちょんぱぱ | 2012年3月25日 (日) 23時11分

わざわざ対策サイトを探していただきありがとうございます。
system checkを終了させると再起動するという症状が自分だけではないことに加え、復旧できているみたいなので希望が持てました!

(一応)現時点の自分の症状としては、「デスクトップ及びスタートメニューのアイコン(ファイル)がいくつか消えている」ぐらいです。
壁紙が真っ黒にはならなかったです。

今日ももう少しだけ頑張っていこうと思います。

投稿: りく | 2012年3月25日 (日) 23時26分

度々すみません(汗

システムの復元が特に問題なく出来るみたいでよかったです。

先ほどのRogueKillerを使った人を参考に使って見ましたが、また見たことないもの(E_FATIGBJ.EXE)が出てきました。
手順からは外れますが、TDSSkillerを実行してみようと思います。

投稿: りく | 2012年3月25日 (日) 23時42分

りくさん

対応本当にご苦労様です。
アイコンの復活ですが、unhide.exeを先に行っても問題はないと思います。

明日からは仕事のため返答が遅くなりますがご容赦ください。

投稿: ちょんぱぱ | 2012年3月25日 (日) 23時58分

システムの復元についてなのですが、どうやらチェックポイントが更新されてしまい感染後のポイントしか残ってませんでした・・・。
今後復元を考えている人が居たら、気をつけて下さい。

TDSSkillerを行ってみると何も出てきませんでした。
Microsoft Safety Scannerのフルスキャンを行った時に出てきた「Trojan:Win32/Alureon.FE」というのがルートキットらしいので見つかるかと思ったのに・・・。

現在はunhide.exeを使っているところです。
時間がかかるみたいなので、今夜はこのままにしようと思います。

投稿: りく | 2012年3月26日 (月) 01時01分

一応報告です。

昨夜unhide.exeを使ったのですが、デスクトップにあったアイコンが全て現れなかったです。
ところが、先ほどフレッツウイルスクリア(自分が使っているウイルス対策ソフトです)でCドライブをスキャンすると、TROJ_HIDEFIL.BMCというものが駆除され、デスクトップのアイコンが全て戻ったようです。(記憶があっていれば全てです)

相変わらずsystem checkはありますが、一歩前進かと思っています。

投稿: りく | 2012年3月26日 (月) 10時34分

本日感染しこちらを参考にして復元できました。
PCはXPです

感染→再起動済み
レジストコードを入れると何かが実行される
×ボタンでは終了できないがインジケータのQUITで終了
「Microsoft Safety Scanner」では異常なし表示
しばらくすると強制再起動され、デスクトップが復元、スタートメニューはすべて回復していない
Program Filesに「System Checkフォルダ」は見当たりませんでしたが
デスクトップに「System Checkアイコン」と「System CheckLicense.txt」がありましたので削除
スタート→すべてのプログラムにSystem CheckがあるのでそこからUninstallができました。


その後にシステムの復元、すべて元通り
スキャンして異常なしです。

投稿: | 2012年3月26日 (月) 17時22分

りくさん、お疲れ様です。

Microsoft Safety Scannerで出てきた「Trojan:Win32/Alureon.FE」は、そのときに駆除されてしまったのではないでしょうか。
それとTDSSkillerはマルウェアの駆除には対応していないとどこかで読んだ記憶があります。

TROJ_HIDEFIL.BMCって如何にもファイルを隠しそうな名前ですね。
と言うよりも、私が1月2日に感染したときと随分と変化しているんじゃないかと思います。

りくさんの次のコメントに
>スタート→すべてのプログラムにSystem CheckがあるのでそこからUninstallができました
とありますが、りくさんのPCではどうでしようか。

投稿: ちょんぱぱ | 2012年3月26日 (月) 20時43分

匿名さん

駆除報告ありがとうございます。
最近Microsoft Safety Scannerでは何も駆除されないという報告が目立つのが気掛かりです。
どんどん変化しているのでしょうか。

スタートメニューからUninstallができるのですね。
1月の段階ではそこまでの情報が無く、フォルダを見つけてUninstallしました。

システムの復元が可能なときは、それが一番有効な手段のようです。

投稿: ちょんぱぱ | 2012年3月26日 (月) 20時56分

デスクトップのアイコンが戻ったのと同時にすべてのプログラムの欄も戻り、system checkのフォルダがありました。
中には確かにuninstall system checkと書かれたものはありますが、一応リンク先を調べてみるとsystem checkを起動するもの(uninstallのすぐ上にあります)と同じexeに繋がってました。

それでもやってみるべきでしょうか?
普通に考えると避けるべきではないかと思いますが・・・。

投稿: りく | 2012年3月26日 (月) 21時00分

りくさん

その「uninstall system check」はフェイクかもしれませんね。
以前のSystemCheckでは馬鹿正直にuninstall.exeを同梱していてアンインストールされてしまうため、アンインストールを偽装しているのではないかと疑ってしまいます。

更に、私はuninstall.exeをダブルクリックして処理しましたが、りくさんのPCにあるuninstall.exeは本物なのだろうかと悩んでしまいます。

それと、SystemCheckの一連のファイルが存在しているのに、Microsoft Safety Scannerで検知されないというのも不気味ですね。SystemCheckも対策を重ねているとしか思えません。

そのフォルダごと削除し、再度幾つかのワクチンソフトで検索して何も出なければ完了かなぁ。(^^;

投稿: ちょんぱぱ | 2012年3月26日 (月) 21時23分

system checkと思われるものがTrojan Killerでしか検出されないのに、これで除去できないのが痛いです。

一方で、Rogue Killerのレジストリのscanでsystem checkのexeと繋がりがあるものが見つかった上、ProgramData内にはないexe(これもsystem checkのexeみたいな文字列)と繋がりがあるものが見つかりました。
他にも幾つかありますが、key(ここへのパスか何かかも)がSoftware¥Microsoft¥Windows¥CurrentVersion¥ということが共通してます。
また、¥Explorer¥HideDesktopIcons¥NewStartPanelと続くものが3つあります。

気になってはいますが、レジストリということもありなかなか消せないでいます。

他の方々と違って、Microsoft Safety Scannerなどに引っ掛からない上にuninstallが使えない(それらしいexeが見当たらないです)ことを考えるとなかなか辛いです。
今の所、インジケータでのQUITをして以来一度もsystem checkが起動しないことが救いな感じです。

投稿: りく | 2012年3月26日 (月) 22時16分

りくさん

レジストリについては削除等をしない方が無難かも。
それとMicrosoft Safety Scannerは日々新しく更新されているので、サイトから直接インストール&起動させてみてはどうでしょうか。
それでも検知されなければ、SystemCheckは駆除が完了しているのかもしれません。

投稿: ちょんぱぱ | 2012年3月26日 (月) 23時58分

自分も感染してしましこのHPを見てある程度直せました、ほんとに感謝しております。

ただ自分の場合Microsoft Safety Scannerのクイックでは検索されず、フルスキャンで検索されました。

ProgramDataにソレらしいファイル等がありました。

uninstall.exeで削除しましたが、PCをシャットダウンする時にSystem Checkのショートカットアイコンが勝手に出来ました。

起動し直すとアイコン等が戻っている状態ですが、自動でSystem Checkが起動してきます。
(Quitで停止可能、自動的にマカフィーでトロイの木馬が検出、隔離される)

削除しても勝手に復活するなどの報告はあがっているのでしょうか?

ちなみに自分は手順4,5段階でアイコン等は戻ってきました。

投稿: ななし | 2012年3月27日 (火) 03時56分

追記ですが自分も

Trojan:Win32/Alureon.FE 

というものがMicrosoft Safety Scannerで検索されました、完全に削除するには手動の削除が必要らしいのですがどうすればよいのでしょうか?

スキャンの結果から
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Trojan%3aWin32%2fAlureon.FE

というサイトにとべるのですが……

投稿: ななし | 2012年3月27日 (火) 05時17分

同じく昨日の午前3時ごろ感染し、先ほど再起動したら全て元通りになりました。

OSはXPです。

手順8あたりのMicrosoft Safety Scannerを使って駆除のところで、ウイルスが検出されなかったので全てのプログラムに追加されていたuninstall system checkを行いました。

その後、デフォルトにあるウイルスバスターを起動し、スキャンを行いましたが、またsystem checkが再起動してしまったので、QUITさせ、フォルダと同時に作られたと思しき残骸のようなファイルが残っていたので全て削除。
さらにスタートメニューに残った物やショートカットを削除しました。

デスクトップのアイコンが直らなかったので、さらにMalwarebytes Anti-Malware FreeのPerfrom quick scanを試してみたら3つほど検出され、その後再起動で、直りました。

本当に感謝しております。ありがとうございました。


ただ、まだ潜伏が怖いので、しばらくスキャンを怠らないようにします。

投稿: ぐつ | 2012年3月27日 (火) 05時36分

今日の一時半頃に発症し、対処中です。
大変参考にさせていただいております。ありがとうございます。
こちらで報告されてる方とは少々状況が違っており、ご報告と、もしできれば助言をいただきたく書き込ませていただきます。
以下長文失礼いたします。

私の場合、発症直後に別PCにてTrojan KillerをDLし、クイックスキャンしました。
この時点でSystemcheckの動きが止まり、大量の警告窓やタスクバーのアイコンも消え、
デスクトップには一部のアイコン(マイコンピュータやIEなど、デフォルト時のもの?)が復活しました。
ここで、Systemcheckの実行ファイルと思しき、不可解な文字の羅列のexeが二件、dw.logというファイルが一件引っかかっております。
なお、この時Systemcheckの動きが完全に見えなくなり、アイコンの類もまったく出現しなくなったため、4~6の作業は行っていません。
また、この段階ではTrojanKillerのツールの存在を知らなかったため、フォルダを辿ることはできず、TrojanKillerのみでの対策を断念。
その後こちらのサイトに辿り着きました。

取り敢えずIEが使える状況まで戻っていましたので、一旦ネットに繋ぎ、
Microsoft Safety ScannerをDL、フルスキャンを実行。
同時に、TrojanKillerのToolを使用して隠しファイルの復元も実行しました。
これで、デスクトップのアイコンはすべて復活。
フォルダの設定を変更して隠しフォルダを表示し、エクスプローラではすべてのファイルが見られる状態になりました。
また、Safety Scannerにより、exe二件が削除されたのを確認しました。
再度Trojan killerにてスキャンすると、dw.logが相変わらず引っかかるので、こちらは手動で削除。

また、ウィルスバスターがトロイの木馬(Hidden)を隔離していたので、これも削除。

続いて、Systemcheckのフォルダを削除すべく、ありそうなフォルダを探したのですが発見できず……。

この時、スタートメニューの復元が不完全でした。
プログラムの項目は三分の二程度しか復帰しておらず、一部のプログラムにはスタートメニューのプログラムからはアクセスできない(エクスプローラからなら問題なく起動できる)状況です。

とはいえ、SafetyScanner(クイック)とTrojanKiller(フル)のダブルチェックではこれ以上引っかかるものはなく、一旦再起動をかけてみることにしました。
再起動しても、特にSystemcheckらしき挙動をするものはなし。
但し、相変わらずスタートメニューの表示は不完全なまま。

このため、今度はunhideを実行することにしました。
これがウィルスバスターに散々引っかかるので、どうせカスペルスキーの体験版をインストールする予定もあるので、ウィルスバスターを一旦アンインストール。
ところがそれでも「完了したはずですが、もし駄目ならアンチウィルスソフトをアンインストールしてください」というような内容の表示が出て、スタートメニューの完全復元ができていません。

これは未だどこかにSystemcheckが潜んでいると考えるべきでしょうか。
お知恵を拝借できれば幸いです。

投稿: やまだ | 2012年3月27日 (火) 06時11分

Microsoft Safety Scanner フル検索で

Trojan:Win32/Alureon.FE

と言うファイルが引っかかり手動での削除を求められています。検索結果から手動で削除したいファイル名をクリックしてください、と言うのでクリックしたら

 ttp://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Trojan%3aWin32%2fAlureon.FE

と言うHPに飛ぶのですが手動での削除方法が分かるかたおりますでしょうか?

少しでも多くの情報を皆様と共有できたらと思います。

投稿: ななし | 2012年3月27日 (火) 06時23分

Microsoft Safety Scanner フル検索で

Trojan:Win32/Alureon.FE

と言うファイルが引っかかり手動での削除を求められています。検索結果から手動で削除したいファイル名をクリックしてください、と言うのでクリックしたら

Malware Protection Center


と言うHPに飛ぶのですが手動での削除方法が分かるかたおりますでしょうか?

少しでも多くの情報を皆様と共有できたらと思います。

投稿: ななし | 2012年3月27日 (火) 06時24分

報告です。

昨夜から自分が使っているフレッツウイルスクリアやここなどで紹介されている対策ソフトを何度もかけていた結果、いつのまにかProgramData内のsystem checkのexeが消えていたので、TrojanKillerで検出された赤い項目を手動で消し(ごみ箱に入れて消去)、再起動してみるととsystem checkの起動は見られませんでした。

その後もMicrosoft Safety ScannerやTDSSkillerで検索しても特に何も出なかったです。
フレッツウイルスクリアのウイルス隔離ファイルを見てみると、system checkのexeなどがあったので消去。(TrojanKiller関連や(文字列).exe.tmpと書かれた物もなぜか入ってましたが、一緒に消してしまいました)

駆除に関してはこれで大方片付いたかなと思っています。(フレッツウイルスクリアの履歴が見れなくなってしまいましたけど)

ななしさんのTrojan:Win32/Alureon.FEについてです。

自分の方でも発見しましたが、一部削除されたということだったので今は放置しています。
ただ、できれば処理したいと思っているので、自分も何か情報が頂けたらと思います。
一応、ページの下のほうに英語から日本語に翻訳できるようにはなっているのですが、読んでも分かりづらかったです(汗

投稿: りく | 2012年3月27日 (火) 15時40分

駆除できたと安心していましたが
RegistryBoosterというソフトがいつの間にかインストールされたいました。ネット閲覧時にランダムでDLページに飛ばされます。SystemCheckを駆除する事で頭がいっぱいになり「正規品のウルススキャンソフト」と勘違いしてしまう恐れがありますので、注意してください。
こちらは日本語で、「無償スキャン」をうたっているので大変騙されやすいです。

このような別の悪質ソフトもDLされる危険があるので注意した方がいいですね。

投稿: ななし | 2012年3月27日 (火) 16時28分

すみません、訂正です。
RegistryBoosterの事を書いたものですが
リダイレクトウイルス(ランダムで別のウェブサイトに飛ばされる症状)
に感染していたようです。
RegistryBoosterはその時に気づかずクリックしてしまったのかも

検索してみるとSystemCheck関連からその症状になった人が他にもいたので、同時感染している可能性が高いです。セキュリティソフトでは検出されないようなのでご注意を

投稿: ななし | 2012年3月27日 (火) 18時34分

ななしさん

最近の状況は、私が駆除に成功した1月とは随分と異なっていると思います。
このブログでの駆除手順はもう古いのかもしれませんね。

まず、Microsoft Safety Scannerのクイックスキャンで検索されないという点は、Microsoft Safety Scannerが変化に追い付いていない可能性があります。
逆に考えれば、近々対応したバージョンに変わるという期待も持てます。

削除しても復活するという報告はあります。
SystemCheckのuninstallが、本体へのショートカットではないかとの報告です。
となると、SystemCheckのuninstallを起動させるのは危険で、活動を停止させてバッサリと手動で削除した方が無難かもしれません。

また、ワクチンなどで駆除するよりも、活動を停止させたうえでシステムの復元(可能であれば)をするとか、HDDが破壊されている訳ではないので、データをバックアップしてリカバリを行う方が安全じゃないかと、このままこの駆除手順を公開していて良いものかと悩んでしまいます。

RegistryBoosterについてはhttp://bto-pc.jp/btopc-com/repair/registry-booster-2011.htmlで詳細に書かれていますが、自分からダウンロードしない限り勝手に取り込まれないようですので、何かの拍子にクリックしてしまったのかもしれませんね。
さっさと削除した方が良さそうです。

リダイレクトウイルスはルートキットのようです。
ここの手順15に書いているとおり、SystemCheck感染すると、同時に「ルートキット」と呼ばれるウイルスにも感染する可能性があります。
TDSSKillerは試してみましたか?

投稿: ちょんぱぱ | 2012年3月27日 (火) 21時28分

ぐつさん

全てのプログラムにあるuninstall system checkは、どうも偽者のようです。

Malwarebytes Anti-Malware FreeのPerfrom quick scanというソフトを使ったことがないのですが、このソフトでスキャンするとアイコンも復活するのですか?

投稿: ちょんぱぱ | 2012年3月27日 (火) 21時34分

ななしさん

Microsoft Safety Scannerの手動削除についてはhttp://support.microsoft.com/kb/2520970にありますが、機械で翻訳したサイトのようでむちゃくちゃな日本語です。
まぁ理解できないこともないかな・・・。(^^;

投稿: ちょんぱぱ | 2012年3月27日 (火) 21時45分

りくさん

随分と時間が掛かったようですが、何とか駆除できたようですね。
本当にお疲れ様でした。

フレッツウイルスクリアというソフトは、フレッツユーザーしか使えないのでしょうか。
何だか優れもののようですね。

投稿: ちょんぱぱ | 2012年3月27日 (火) 21時48分

ルートキットの件ですが昨日の段階ではTDSSKillerでは引っかかりませんでした。
その後Microsoft Safety Scannerで

Trojan:Win32/Alureon.FE

が引っかかったのですがこれがルートキットでしょうか?

投稿: ななし | 2012年3月27日 (火) 22時08分

やまださん

スタートメニューのプログラムからアクセスできないとのことですが、一部のプログラムが見えていないのですね。

Trojan Killerのツールのひとつであるunhider.exeは、unhide.exeと同じ機能だと思うのですが、unhideで復活しないという話は初めて聞いたような気がします。

また、SystemCheckをレジストせずに活動が停止したという件も初耳です。

unhideの実行時や実行後にアンチウィルスソフトに関するメッセージが出るというのは、バックグラウンドで何か動作しているのでしょうか。
Microsoft Safety ScannerやTDSSKillerは常駐して監視するソフトではないので、何か動いていないかタスクマネージャで確認してはいかがでしょう。

SystemCheckの場所ですが、「スタート」-「すべてのプログラム」でSystemCehckの表示は出るでしょうか。
出るのであれば、そのプログラムを右クリックしてプロパティを表示させれば、SystemCehckの場所がわかると思います。

それと、右下のインジケータにカーソルを当てて、SystemCheckが常駐していないかも確認してみてください。

駆除されていると見えないかもしれませんけど。

投稿: ちょんぱぱ | 2012年3月27日 (火) 22時23分

ななしさん

Trojan:Win32/Alureon.FEはルートキットに良くみられる手法を用いるとのことです。
下記のサイトは参考になるでしょうか。

http://canon-its.jp/product/nd/virusinfo/vr_win32_olmasco_r.html
http://www.mcafee.com/japan/security/virD.asp?v=DNSChanger.cq.e

投稿: ちょんぱぱ | 2012年3月27日 (火) 22時32分

ちょんぱぱさんの駆除手順・支援及び様々な方のコメントのおかげでなんとか復帰するまでに至ることができました。
本当にお世話になりました!

フレッツウイルスクリアはトレンドマイクロがサポートしてます。
また、ウイルスバスターとほぼ同じとも目にしたことがあります。

ただ、見た感じには終わりましたけど、「こっそり情報漏えいされているのではないか」などと正直不安にはなります。
そのため、結局のところ初期化を考えています。(駆除して使い続けたいから色々と頼ったのですが(汗))

自分の不注意・怠慢が招いた事態の大変さを思い知るとともに、どのように対応するべきかなどさまざまな経験になりました。
重ねてですが、本当にありがとうございました。

少しでも被害が収まることを祈っています。

投稿: りく | 2012年3月27日 (火) 22時54分

自分の場合は、system checkのアンインストールと手動で直接の削除を行ったら真っ暗だった背景が元に戻りました。

さらにMalwarebytes Anti-Malware FreeのPerfrom quick scanをかけたところ3つ検出、その後再起動したらデスクトップのアイコンが全て復活、右クリックも復活しました。


投稿: ぐつ | 2012年3月28日 (水) 07時56分

ちょんぱぱさん、お返事ありがとうございます。
その後のご報告です。

スタートメニューでいくつかのプログラムが見えない状況は、システムの復元で解決しました。
実は一度、Trojan Killerを入れてSystemCheckの動作が止まった時点でシステムの復元を試みて、この時は動作しなかったのですが、ここに書き込んだあとにもう一度試みると今度は成功しました。

その上で、改めて新しくウィルスバスターを再インストールしようとしたところ、アンインストールしたはずの前のウィルスバスターが「残っています」と表示され、専用のソフトで削除してからインストールし直すことになりました。
unhideがメッセージを出してきたのは、ウィルスバスターのアンインストールが不完全だったからのようです。

その後、SafetyScannerなどいくつかかけてみても特に問題なく、またSystemCheckがタスクトレイやプログラムに表示されることもないので、ひとまず解決したのではないか、と思っています。
SystemCheckのフォルダがなかったのは、レジストせずにSystemCheckの動作を止めることができたため(レジストするとフォルダが生成される、など)なのかもしれません。

こちらのおかげで無事、対処できました。
本当にありがとうございました。

投稿: やまだ | 2012年3月28日 (水) 19時59分

りくさん

長時間に亘っての対応お疲れ様でした。
費やした時間の損失を考えると、実に腹立たしい迷惑なマルウェアですね。
クリーンインストールをするとのことですが、現状復帰が出来たことでデータなどの資産を失うことこともないでしょうから、感染したままの状態からクリーンインストールすることを考えれば良い結果だったと思います。
相変わらずもの凄い数のアクセスがあるところを見ると、今後も被害者は絶えることはないでしょう。
そのために、多くのサイトが改ざんされないためにはどうすべきかということをIPAに求めたいですね。

投稿: ちょんぱぱ | 2012年3月28日 (水) 21時33分

ぐつさん

駆除体験の報告ありがとうございました。
私は使ったことがなくてブログでは紹介していないのですが、「Malwarebytes Anti-Malware Free」は結構有効なようですね。
私もダウンロードして使ってみることにします。

投稿: ちょんぱぱ | 2012年3月28日 (水) 21時35分

やまださん

システムの復元が可能な場合は一番の近道のようですね。
ウィルスバスターのアンインストールが完全であれば、ひょっとするとTrojan Killerのツールやunhideでプログラムの一覧は復活していたかもしれません。

レジストせずにSystemCheckの動作を止めることができたとのことですが、それはTrojan Killerで効果があったのでしょうか。
それと、Trojan Killerは購入されたのですか?

投稿: ちょんぱぱ | 2012年3月28日 (水) 21時51分

レジストせずにSystemCheckの動作が止まった件についてです。
感染直後から順を追ってお話しますと、

・大量のメッセージが出て、他のソフトが次々と終了する。プログラムが見えなくなる。タスクトレイにSystemCheckのアイコンが出る。他の方と同様の発症時の症状です。
・この時点でウィルスと考えて、LANケーブルを抜く。
・別のPCでTrojan KillerをDL、USBメモリ経由で感染PCへ。
・USBメモリの自動実行→エクスプローラで開く→TrojanKillerをデスクトップへコピー→実行

Trojan Killerでクイックスキャンをしている最中に、SystemCheckによる大量のメッセージウィンドウやアイコンなどがぱたぱたっと消えていき、Windows初期化時のものと思われるアイコン(DELL製PCですので、マイコンピュータやIEなど最低限でした)と背景が出現しました。
Trojan Killerにより、SystemCheckの実行プログラムと思しき「(文字列).exe」が二種とdw.logが発見されていますが、この段階では駆除はされていません。
また、Trojan Killerは購入していません。

最新版のTrojan Killerは、体験版でも、私が感染した段階のSystemCheckを抑制する機能がある(但し削除まではしない/Unhideはケースによっては不完全)、なのでは、と思っています。
同様のケースが見受けられないようなので、確実ではないのですが……。

どなたかの参考になれば幸いです。

投稿: やまだ | 2012年3月29日 (木) 00時05分

やまださん

お返事ありがとうございます。
最新版のTrojan KillerはSystemCheckの動作を抑制する機能があるのでは、という点ですが、Trojan Killerのサイトにある使用方法の動画(本年1月の記憶)ではSystemCheckが立ち上がったままで起動させ、Trojan Killerが画面から消滅しているのを見ると、当初からその機能はあるのかもしれません。

私が最初に参考にしたサイトでは、まずレジストして動作を止め、常駐をquieし・・・と、このコメントをしている記事ではなく、最初に書いた駆除手順が説明されていました。

後で動画を見て、「レジストしなくてもいいのかなぁ」と思ったものです。

最近の報告を見ていると、レジストすることで悪化しているような印象があります。
であれば、やまださんの行った手順は有効な方法かもしれませんね。

再度感染して試してみる気にはなれないので、永遠の謎かもしれませんが、多くの方の参考になると思います。

詳細な報告ありがとうございました。

投稿: ちょんぱぱ | 2012年3月29日 (木) 00時20分

はじめまして!
私は職場のPCが感染してしまい、困っているところを助けられました。ありがとうございました。
アイコンも復活し、元に戻ったと思われます。
本当にありがとうございました。

投稿: ひろし | 2012年3月30日 (金) 12時15分

ひろしさん

職場のPCもやられましたか。
自宅と違ってシステム担当者任せにしているので、エンドユーザ自ら確認しないですからね。

最近、旨く行かない例がありますが、元に戻って何よりです。

投稿: ちょんぱぱ | 2012年3月31日 (土) 01時08分

ちょんぱぱさん。はじめまして。
先週の水曜日(3月28日)の深夜に感染し、
あまりの衝撃的なPC画面にショックを受け、その日はLANケーブルを抜いてPCを落とし、次の日に携帯でこちらのブログ等色々検索しながら対処しました。丁寧に手順がまとめてありとても助かりました。本当にありがとうございます。

それからもMicrosoft Safety Scannerを毎日ダウンロードし直して、チェックしていたんですが、今チェックしたら、
Exploit:Java/CVE-2012-0507.G
なるものが検出、削除されていました。
Microsoftで公開されたのが3月31日となっております。
system scanウイルスとともにインストールされてしまったのでしょうか?

だとしたら、新種のものがまだPC内にいてまだ検出できていないのかも。
ウイルスを駆除できたと思って浮かれていたのにまた不安になってしまいました。
まだ注意が必要なのかもしれませんね。
参考までに連絡させていただきました。
(system scanウイルスと全く無関係だったら申し訳ありません。)

投稿: デビ | 2012年4月 2日 (月) 19時41分

デビさん、こんばんは。

Exploit:Java/CVE-2012-0507.Gはまだ情報が少ないようですが、最近急激に流行りだしたようです。
Ststem Checkとの関連性は不明ですが、マルウェアの多くは勝手にあちこちのサイトにジャンプさせて危険なファイルを収集させるようです。
ひょっとしたらStstem Checkの攻撃に関係しているかもしれません。

私も最新版でスキャンしましたが、何も検出されませんでした。
私が攻撃を受けてから3ヶ月経ちましたので、かなり変質しているのでしょうか。

「CVE-2012-0507」はJavaの脆弱性ですが、デビさんは周辺ソフトを最新版に更新されたでしょうか。
もし更新していなければ、1月22日にアップした「マルウェア「System Check」駆除後の対策」をお読みください。

参考にしたサイト
http://unixfreaxjp.blogspot.jp/2012/03/javacve-2012-0507-epidemic.html?utm_source=BP_recent
http://news.livedoor.com/article/detail/6420948/

投稿: ちょんぱぱ | 2012年4月 3日 (火) 00時05分

こんばんは。
返信いただいてありがとうございます。
今日もまた数種類のウイルス対策ソフトでPCを
検査してみました。幸い(?)検出なし、でした。

もともと、AdobeやJavaのソフトの更新は頻繁にチェック
していたのですが、ある時、何回更新を実行してもうまくいかなくなったので、そのまま放置してたら今回憂き目に会ってしまったという次第です。
なので、System Checkを駆除してからは周辺ソフトは
最新の状態を保つようにしています。
(更新がうまくいかなかったのは、一度ソフトをアンインストールするとあっさり解決しました)

今後もメンテナンスを欠かさず、
毎日PCをチェックすることを続けてみようと思います。
それでも不安ならリカバリですかね。

どうもありがとうございました。

投稿: デビ | 2012年4月 3日 (火) 23時01分

デビさん

常に最新の状態を保っているとのこと、余計な心配をして失礼しました。
となると、Exploit:Java/CVE-2012-0507.GはStstem Checkの攻撃に関係している可能性濃厚ですね。(本当のところは不明ですが)

私もStstem Checkにやられて以降、毎日ではありませんが週に数回は更新をチェックするようになりました。
予防策はそれしか無いようですから。

投稿: ちょんぱぱ | 2012年4月 5日 (木) 00時15分

コメントを書く



(ウェブ上には掲載しません)




トラックバック


この記事へのトラックバック一覧です: マルウェア「System Check」駆除手順 その2:

» マルウェア "System Check" にやられました [てつたのつぶやき - KR鉄道館ブログ]
マルウェア (Malware) とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称である。 - ウィキペディア「マルウェア」より 駆除を済ませてひとまずは落ち着きまし...... [続きを読む]

受信: 2012年3月26日 (月) 00時39分

« 確定申告終了 | トップページ | 墓参り »