Internet Protection ウイルス(トロイの木馬)を駆除

先日、お客様から電話がかかってきてパソコンがウィルスに感染したようなので修理してくださいとのこと。
訪問してパソコンを見ると簡単にウィルスを駆除できそうに思ったのですが。。。

この症状、駆除の方法は全ての方には当てはまらないかも知れません。
ご自身の判断でバックアップが取れるなら必ず取って作業を始めてください。

Internt Protectionの症状

Internt Protectionに感染すると、Internt Protectionの窓が立ち上がってパソコンの内部をスキャンし始める(ように見える)。
スキャンをストップして窓を閉じようとするとこのような画面になる。
スキャンの結果

スキャンの結果:あなたのコンピュータには4つのマルウェアアプリケーションが発見されました。

この画面を右上の×ボタンで閉じるとこのような画面になる。

これらの画面の「Remove all」や「Activate」のボタンをクリックすると、クレジットカードの情報を入力する画面に誘導される。

また、「Contiue unprotection」のボタンをクリックすると、キーロガーに感染していますなどの警告が出る。
この画面は閉じれないし、全ての窓の全面に表示されるのでかなりうっとうしい。
そして、InternetExplorerを立ち上げると警告が出るので使いにくい(使えないことはない)。

Internt Protectionの駆除1

お客さんのパソコンはXPServicePack2だったのでWindowsUpdateをしていないのが判明。
また、ウィルスソフトはインストールしているものの認証されていなかった。

そこで、XPをServicePack3にアップデート、その他のWindowsUpdateも行いました。
また、ウィルスソフト(ウィルスキラー)も認証をかけてハードディスクをスキャンしましたがウィルスを発見できませんでした。
ウィルスキラーは私は聞いたことがなかったので、一番評判のいいESET NOD32アンチウイルスをインストールしてスキャンしましたがこれもダメでした。
システムの復元で以前の状態に戻そうとしたのですがこれも使えない、かなり手ごわいトロイの木馬です。

ググッてみたらこんなサイトがあったので参考にしました。How to remove Internet Protection scam from your computer?
このサイトは日本語で表示されるかも知れませんが自動翻訳を使っているので訳のわからない日本語になっています。参考にする場合は言語を英語にして下さい。
そして、このサイトは有料のトロイの木馬駆除ソフトの販売サイトなので駆除ソフトの利用はご自身の判断でお願いします。
私はこのサイトのソフトは使いましたが、購入はしませんでした。

Internt Protectionの駆除2

上記のサイトHow to remove Internet Protection scam from your computer?でTrojankillerと言うソフトを販売しているのですが価格が4,200円と結構なお値段でした。
15日間のトライアルはあるのですが、このソフトを使ってトロイの木馬を駆除しようとすると購入しなければいけないようになっています。

でも、トライアル版でもトロイの木馬のファイルやレジストリは表示されます。( 「Trojan Killerの使い方」をアップしました、参考にしてください。)
とりあえずインストールしてスキャンをかけます、基本的にはこのTrojankillerで表示されたファイルとレジストリを削除します。
上記のサイトでは手動で駆除する方法も書いていますがXP?ではファイルの場所が違っているので注意してください。

当方が変更したり削除したのは以下のとおりです。
上記のサイトをを参考にしています。今回特有の作業と思われる部分は緑で書いています。
※このお客さんのパソコンだけに有効かもしれませんので必ずバックアップを取って(特にレジストリ)作業をして下さい。
上記のTrojankillerでスキャンして指定されたファイル、レジストリを削除してください。(ファイル名が違う場合があります。)

「コントロールパネル」→「インターネットオプション」を開き「接続」のタブを選択、「LANの設定」をクリックします。
「プロキシサーバー」の中にあるチェックボックスのチェックが入っていたらはずします。そして一番上のチェックボックス「設定を自動的に検出する」にチェックを入れて全ての窓を閉じます。

次にパソコンを再起動してF8を押してセーフモードでXPを起動します。

以下のファイルがあれば全て削除(上記のサイトを参考にしています)

c:documents and settings\ユーザー\(ユーザー名)\Desktop\Internet Protection.lnk (今回はありませんでした)
c:documents and settings\ユーザー\(ユーザー名)\Local Settings\Temp\ins1.tmp (ファイル名がins24.tmpでした)
c:documents and settings\ユーザー\(ユーザー名)\Local Settings\Temp\mv2.tmp (ファイル名がmv25.tmpでした)
c:\Program Files\Internet Protection\
c:\Program Files\Internet Protection\Internet Protection.dll
c:\documents and settings\all users\application data\a3d726c3-6d8a-45b3-9a35-39f28b588233.dat (上記サイトには説明なし、ただしこのファイルを削除したらInternt Protectionが起動しなくなった、復元したら起動したので削除が必要と思われる)

以下のレジストリを削除
レジストリを操作する場合は必ずバックアップを取ってください。
「スタート」→「ファイルを指定して実行」に「regedit」と記入してEnterでレジストリエディタが開きます。
「ファイル」→「エクスポート」でエクスポートの範囲を「全て」にしてレジストリのバックアップを取ります。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe (もしかしたら今回は関係ないかも知れません)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe (もしかしたら今回は関係ないかも知れません)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “a3d726c3-6d8a-45b3-9a35-39f28b588233“

以上の項目を削除したらInternet Protectionは起動しなくなりました。

基本的にはWindowsとウィルス対策ソフトを最新にしておけば感染しないと思いますが、ググったら英語のサイトしかなかったのでかなり新しいウィルス(トロイの木馬)だと考えられます。

この記事にコメントする

必須

1件のコメントがあります