Vambrace

2011/06/24 00:09:15

ああいけない。
引っ張ったドキュメントだと、シェルのリプレースが入ってるので、確かにとめるだけでは自由に使えませんね。
自分が見たのは、
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" = "%UserProfile%\Application Data\CC\cc.exe"
これが無い亜種か、正常に処理されず書き込まれなかったようです。エントリとして記載が無いドキュメントもあるので、亜種もあるような気がしますが、この点においては「速度で勝てばなんとか」は確かに成立しないです。
正しいシェルが定義されていませんから、処理を取り戻すには、きちんと書き換えてやる必要があります。

ただ、資料の読み方としては、書き込まれているエントリが、HKCUの自動実行のエントリとシェル定義であるということだけが重要なことであって、それ以外の記述は今回においては蛇足です。
これによって「感染させた」ユーザ固有の問題であると定義できるわけですから、セーフモードで、Administratorアカウントなり、別アカウントなりで、エントリを確認して修正すれば話は済むといえます。
少なくとも「影響が限定される」時点で絶望なんて無いっていう話ですし、「システムとして提供される自動実行の仕組み」をフックされる程度で「高い技術力」なんて相手を過大評価することは正しくないと思うのですよ。

ゲームのデータの改造もまともな最近のアプリケーションだと、出力データはチェック入りだったり加工されてますし、プロセスエディタからの干渉は別スレッドから監視が入ってますけど？それが簡単って思える人なら他人の書いたコードを簡単に読めるわけですし、そんなにハードル高いと思わないんですが。
マイナーなエントリじゃなくて、チューニングツールや、msconfigが参照、定義するメジャーなキーですし、ヤラレタって思ったときには、「入られる余地」を考えれば多分答えは出ます。
http://ameblo.jp/pc-beatwave/entry-10482241636.html
ロールバックなしでもちゃんとやってる人も居ます。
バイナリじゃないんで、わかる気があるかどうかだと認識してます。

妖刀　さゆき

2011/06/21 19:44:45

そのサイトの解説によると　Malwarebytes' Anti-Malware　を使うようですが、ｴｸｽﾌﾟﾛｰﾗが起動していないアイコンのないデスクトップでは、いかなる操作もできないように思います。
ｺﾝﾄﾛｰﾙｾﾝﾀを停止すると、そこにはｼｮﾎﾞｲ壁紙を貼っただけのデスクトップしか表示されておらず、タスクﾊﾞｰも何も出ないのですからレジストリエディタを呼び出す方法がないです。
ウィンドウズキーも反応しないし。
また、それができたとしてもレジストリの何を変えればどうなるのかも分かりません。
ゲームのﾃﾞｰﾀを改造するのと違って、レジストリは良く分からないです。

Vambrace

2011/06/21 18:04:08

http://www.bleepingcomputer.com/virus-removal/remove-control-center
こんななんで。思い切りお約束の場所にお約束の設定がされてます。
自分の周辺の人間が踏んだならシステムの復元以外のアプローチをとります。

キーの実行タイミングとプロセスの起動完了のタイミングは違います。
その思い込みもまた、狙われてる錯誤のひとつです。
やってみれば意外と早く応答することが確認できるはずです。
まぁ、方法論としてはレジストリからバイナリのパスを洗い出して先にファイルを始末して置くのが望ましいですよ。
別に無理に競争する必然性もありませんが、手も足も出ないなんてことはないし、競争すれば勝てる程度の悪戯ですよってそういう話です。

ただ、この程度ならシステムの復元が不整合起こすことのほうが地雷の可能性高いかなぁと思います。
作業者しだいなんですけどね。

妖刀　さゆき

2011/06/21 09:18:50

http://rocketnews24.com/?p=88285
ｼﾑｼﾃｨの原発事故ｼﾅﾘｵだったら、事故が起こる直前に対処するところですが、いかんせんパソコンの起動中、エクスプローラ起動前にタスクマネージャーを動かせますかね。

Vambrace

2011/06/20 18:20:26

自動実行の項目にキーを追加していて、起動時に居座ってプロセスの起動を抑止しているだけですから「高い技術力」もダウトです。そのプログラムがシステムツールを装うように「その出来の割に勝てる気がしない」状況を印象付けるのもその手のツールの手の内の一つですが、仕掛けはくだらないので、本気で悪意が無いものは印象ほどは手ごわくないです。そういうくだらんものに「手が出しにくい」って思ったら負けなんですよ。それも織り込み済みでああいう挙動をするので。
でもきちんと起動の仕組みを理解していれば、止められます。破壊が無く、その程度のいたずらならね。
まぁ、見つかり次第セキュリティーホールを利用してシステムに入り込む辺りは無駄に頑張ってるなぁとおもいますが、ベンダが認識、対処する前じゃなければきちんとアップデートすることで多くの場合防げます。

実際にはシステムの起動は処理が集中するので、当然「奴」の起動にもタイムラグが存在します。
ですから、よほど小型で、優先順位が高く起動されない限りは落とすチャンスは今出回ってる程度のPCならちゃんとありますから、きちんと落ち着いてタスクマネージャで対象を叩き落せばどうにでもできます。

厄介なのは「自分が起動されると困るもの」を起動しようとしたときに抑止されることですから、それさえ止めてしまえば後は餅は餅屋。セキュリティーツールの類に頑張ってスキャンしてもらえばいいのだと思います。
というより、止められた程度で終わったと思うことが危険で、何かの小細工や、置き土産が無いかを確認するためにも止めた上できちんとスキャンすることが大事です。

別ユーザで、影響がないのなら、それの実行キーはユーザプロファイルに設定されています。
だったら、HKEY_USERSを漁れば実行されているプロセスは探せますので、先に場所を割り出してファイルを消してしまうという手もあります。
置き土産があることもありますし、あくまで次の手を打つための手段ですから「駆除の完了ではない」のですが、動作を理解することは面倒ごとから自分を守ることでもあります。
ま、買ったばかりの人にやれってのは酷ですが、そこそこの期間使ってる人にとっては絶望するほどの威力は無いです。

妖刀　さゆき

2011/06/20 05:23:31

SAKINOさん：その場合、ﾒｰｶｰはOSの内容を初期状態に戻すでしょう。ﾃﾞｰﾀも全部削除される可能性があります。
ろぷ☆びぎなーさん：ｴｸｽﾌﾟﾛｰﾗｰが使えないとお手上げですよ。
VAMBRACEさん:ロールバックは厄介ですがまず使える状態にしないと何も出来ないです。
DOLCEXさん：いつ、どこで感染したかも分かりません。
TAKAKOさん：年配じゃなくても難しいです。

sakino

2011/06/20 03:30:38

それにしても自力でそのウィルスを削除できたなんてエライわ～＠＠　私なら即買った電気屋さんに

済みませ~んてかけ込むとおもいますｗｗ

ろぷ☆びぎなー

2011/06/19 14:15:44

日記のコメントありがとうございました。
Control Centerというマルチウェアですかぁ(＾-＾;　
自分もサポートしている人も感染してないので判りませんが、大変でしたねぇ(＾-＾;　
マルチウェアの削除は慣れるとすぐに対処できるので、経験積んだと思えばいいと思います。＾＾

Vambrace

2011/06/19 11:20:10

HKEY_CURRENT_USER\辺りにどうせ自動実行キーが書き込まれているだけ。
起動して他のプロセスが起動することを抑制しているだけなので、黙ってもらえばどうということはない。
最初に起動するから、ぬぼーっとご丁寧にシステムが上がるのを待ってると処理を持ってかれる。
デスクトップが応答する辺りで、さっさとタスクマネージャを起動して叩き落せばいいのだけど、Safemodeでもいいんじゃないかと。
レジストリをいじるのがいやなら、MS Configでも用は足りる。どうせやることは同じ。

システムの復元は、ロールバックされると困るものまでロールバックされてしまうので、安易に使うのは地雷を踏むこともあるような気がするのですよね。
説明は楽で、誤操作は少ないですが。

DOLCE×

2011/06/19 08:00:34

うわ～…
大変でしたね(・_・;)
なおったみたいでよかったですね☆

TAKAKO

2011/06/19 07:49:07

うんうん＞＜
Macの場合は起動HDを複数台あれば切り替えできるので
問題のあるOSのHDを別のHDで起動して問題解決しますの。

データは別HDに保存してるので
HDフォーマット→OS入れ直し

年配の方には難しいんでしょうね＾＾；