今回は滋賀県大津市のお客様が、起動して5分位すると全画面でMETROPOLITAN BRITISH POLICEのサイトが表示されて操作できないとの事で来店されました。機種情報:Fujitsu LIFEBOOK AH(AH56/D)
店頭で、早速起動して少し待つと怪しげな画面が出ました(´・ω・`)
入力できるところはクレジットカードの番号だけという、いかにも悪質なマルウェア(広義のウイルス)が潜んでるのは間違いなさそうです。お預かりして、詳細な診断をしていきます。
マルウェアが侵入した場合に、Windowsで突いてくるところはだいたい決まっています。マルウェアは、Windows起動時に自動的に実行される場合が多く、起動時に自動的に実行されるプログラムの場所を見ていくと、怪しげなマルウェアのショートカットがあり、更に解析するとマルウェア本体にたどり着きます。
①レジストリ
②スタートアップ
③サービス
④タスクスケジューラ
今回もセオリー通りに、そのあたりを見ていきます。ただ、普段からそのあたりの中身を見ていないと、何が正常で何がマルウェアかの判別は難しいかもしれません。
①レジストリ
•HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
•HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
•HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
•HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
一通り見ましたが、ここは問題無さそうです。
②スタートアップ
何やら、怪しいプログラム又はショートカットがあります。このプロパティを見てみましょう。
リンク先に表示されている内容を見ると、C:PROGRA~3FA2D8130.cpp のプログラムが臭います。ちなみに、PROGRA~3=ProgramDataです。ひとまず、これらのプログラムを別の場所に移動します。プログラムが実行中の場合は、移動できないので、プロセスを強制的に殺すか、セーフモードなどで起動しなおして移動します。案の定、このプログラムが実行されなくなると、METROPOLITAN BRITISH POLICEの画面は出なくなりました。スタートアップを見る場合は、ログオンユーザーとAll User両方を見るのと、隠し属性のファイルが置かれている事もあるので、その辺も注意です。
③サービス
こちらも特に怪しげなのは、見当たりませんでした。
④タスクスケジューラ
ここも特に問題なさそうです。
今回は、スタートアップをきっかけとして起動させるマルウェアだった様です。但し、これでも正常なプログラムの一部に問題が出ていた事もあり、ウイルス対策製品でフルスキャンをかけると別でもう1つウイルスが検知されました。そもそもウイルス対策製品を導入されていなかったため、導入に対しての支援をして修理完了です。
ウイルス等でパソコンの挙動がおかしくなりお困りの方がおられましたら、パソコンドック24へお越し下さい。
PC修理 「正常に起動しない」の症状は?(修理に関する参考費用はこちら)
PC修理 「動作が遅い・固まる」の症状は?(修理に関する参考費用はこちら)
PC修理 ウイルス感染対策のご要望は?(修理に関する参考費用はこちら)
更新:
公開:
シェアする
