画面全体にINTARPOLの警告画面が出てしまう
WindowsVistaのPCにて、画面全体に英文で変な画面が出続けて何も操作が出来ないということでご来店頂きました。
画面を見てみますと
なぜか英国エリザベス2世女王陛下の写真と、IPアドレスと国名、金払え的な文面、そして送金した後に送られてくるであろうシリアルキー入力フォームが。
そして常にこの画面が最前面に来てしまうので何も出来ません。
調べてみますと、インターポールウイルスとか言われてる類の詐欺系ウイルスのようです。
駆除プログラムも一応は有るみたいですが、信頼性の低いサイトのようでしたので使いませんでした。
セーフモードで起動しようとしても起動しきれずに再起動します。
コマンドプロンプトモードもダメ。
ということでHDDを外して検証機にかけてF-Secureで全スキャンをかけます。
諸々のウイルスが検出されて削除しましたが、HDDを実機につけ直すとまた出てきてしまう。
マイナーな部類の代物なのか、単にパターンに引っかかってないだけなのか・・・
ということで、これらのウイルスの動きから、ファイルとして有りそうな所を見てみます。
比較的最近更新されたであろうファイルを時間別ソートすると・・・
ありました、本体らしきファイルが
(実行回避の為に拡張子末尾に_を付与してあります)
C:\ProgramData\ 直下に
ファイル更新日が昨日と今日のファイルがあり、ご丁寧にもReg(レジストリ情報)ファイルまで一緒に。
VirusTotalにかけたところ
9wjfd8do.jss
https://www.virustotal.com/ja/file/14a334541d9a6cf29cd48a37587134198a02eeb28eef1e1a04a5a8898e4627e5/analysis/1386910856/
od8dfjw9.feeはファイル容量が90MB近くあるのでzip圧縮してアップ
https://www.virustotal.com/ja/file/40438ca28279973e96456e75a66aa499653216aa87411064d1482d0b3f58732a/analysis/1386910956/
やはりマイナーな部類だったようです。
F-Secureには検体を提出。
該当ファイルは拡張子変更の上、献体として保存しておきます。
そして改めて実機で起動。
無事該当の詐欺画面は出てこなくなりました。
ここでレジストリの修正をしないといけません。
Winmgmtサービスのパラメータ欄をいじられてますので、正規の値に変更します。
HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters配下の
ServiceDllの値です。
書き換えられた値は
C:\PROGRA~2\9wjfd8do.jss
これを
正規の値
%SystemRoot%\system32\wbem\WMIsvc.dll
ですので、この値に書き換えます。
CurrentControlSetだけ書き換えて再起動すれば、他のCurrentControl001~のレジストリも書き換えられます。
また、今回はスタートアップにもRunDLL経由のショートカットリンクが造られてましたのでこれも削除します。
タスクスケジューラーにも、TemporaryInternetFiles等のテンポラリフォルダを参照し実行させる値が入ってましたのでこれも削除。
併せて、c:\windows\tempや、ユーザーフォルダのtemp、TemporaryInternetFiles全て消します。
あとは各社のウイルス検索プログラムで全スキャンを何回か行ってオールクリーンな状態を確認して終了です。