ご自身のパソコンに感染された方は突然現れる「security tool」?・・何だこれ?と思われた方が多いと思います。これはウィルスの一種であるマルウェアです。
もちろん、ウィルスの一種なのですが、破壊活動はしないので感染力は弱いです。ただ、レジストリのファイルを更新したり、パスワード関係のファイルを自動配信するので、そのままにしておくのは危険です。
即、ネットを遮断し、早急な対処が必要です。この手のマルウェアは一般的に不審なプログラムが動き、クレジット番号等を要求するものや、パスワードなどを盗み取るようなものが多いというのが特徴です。(「Gumblarとは」を参照)
対策は感染しないよう最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除を行うことが必要です。
特にFlash Player、Adobe Readerなどの「プラグイン」を最新版にアップーデートすることが重要と言われています。
今回は急遽近隣の方が当オフィースに駆け込んでこられたので、その処置方法を参考にしてください。
機種はdynabook N10のビジネスモデル(windowsXP pro)です。
一番簡単なのはHDDをフォーマットしてリカバリーすることです。
下記の手順でデータ保全を行ってください。
データ保全
※今回は感染ルートの特定をしなければ、同じことの繰り返しになってしまいますので、皆さんも要注意です。
感染すると、起動時に左記の画面が突然現れ、壁紙が消え、全ての操作がロックされます。
私の場合は起動と同時に「スタート」→「ファイル名を指定して実行」を選びそこに「msconfig」よ入力して「OK」をクリックします。すると、起動時のスタートアッププログラムが起動されます。それが起動すると直ぐに左記のwarningがガイドされて「早く処置しないさい!」とせかします。
常駐(スタートアップ)を調べる数字の羅列のモジュールがあります。
(起動場所)
C:\Documents and Settings\All Users\Application Data\*******\*******.exe
そのチェックを外します。→再起動要求で再起動する
再起動後にデスクトップを見ると左記のようなショートカットができています。
起動場所を確認すると
C:\Documents and Settings\All Users\Application Data\*******\*******.exe です。
悪の根源はここに潜んでいます。
エクスプローラで確認するとありました。
左記のように削除します。
削除しました。
これで起動時には問題ありません。
ネットの中でも駆除方法はいろいろ掲載されています。どれが正解?か分りませんが、リカバリーをしたくない方は、やはり、ワクチン会社の駆除方法を参考にされると良いと思います。
https://www.mcafee.com/japan/security/virF2009.asp?v=FakeAlert-KW
東芝としても注意を掲載しています。
https://dynabook.com/assistpc/faq/pcdata/800034.htm
尚、感染源、感染方法、予防、対策は下記サイトを参照ください。ここでは割愛します。
・感染方法
・予防、対策
時々オンラインスキャンをすることが良いようです。
(ワクチン会社のオンラインスキャン)
・トレンドマイクロ
・ニフティ無料チェックサービス
・シマンテック
【感染した時の様子】
某サイト閲覧時にブラウザーがロック(ダウンロードの為)し、操作不能になり、再起動後、security toolなるソフトが起動します。
【今後の対策】
最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。その他はファイルの共有やUSBメモリー等の社内運用徹底をお願いします。