Win32/Daonolウイルス駆除 [ウィルス]
実家のPCが急に調子が悪くなったって連絡があった。
どうも起動後、デスクトップの表示がされずに、マウスカーソルだけしか見えないらしい。
で、ネットで調べると、どうもウィルスの感染を受けたみたい。
ネットでは(比較的)簡単に駆除できると書いてあったけど、ある条件下では非常に大変なものだった。
ここでは、その条件の確定と、そういうことを含めた対処方法の概要を自分のメモとして記録しておく。
1.Daonol(ダオノル)とは
今回感染したのは、「Win32/Daonolの亜種」のウィルスの様で、そのウィルスとは、
・トロイの木馬と呼ばれる不正プログラム
・ネットワーク・トラフィックの監視
・FTPアカウント情報の奪取
・セキュリティWebサイトへのアクセス阻止 (Adob,DaonolFix,bleepingcomputer,clamav,mbam,mcafee,miekiemoes,prevx)
・システムプログラムへのアクセス阻止 (reged,cmd, .bat, .reg)
・特定のWeb search engineのリダイレクト (msn, live, google, yahoo)
・USBメモリも使えない
・ソフトのアンインストール、インストールができない
・無料アンチウィルスソフトのAVGの実行、アップデートが阻止されている
・トレンドマイクロでは「TROJ_DELF.WQD」
・シマンテックでは「Infostealer.Daonol」、「Hacktool.Rootkit 」(どっち?)
・マカフィーでは「Lando」
・カスペルスキー「Trojan-PSW.Win32.Kates」
・感染経路:メール添付のマルウェア実行、改ざんされたWebサイトの閲覧
・感染原因:Windows及びFlash Playerの脆弱性から(具体的には不明)
・予防策:Windows Updateでシステムを最新にする、Flash Playerも最新にする
というものである。
【参考】
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fDaonol
http://internet.watch.impress.co.jp/docs/news/20091027_324647.html
2.トラブル
起動しないのはレジストリをタッチするための様で、「3」のレジストリ対策をすればまずは立ち上がる(ここだけしか説明していないサイトは多い)。
ただ、ウィルスはそのまま生きているので、システムの障害はそのまま受け継ぎ(要は動きが重く、コマンドプロンプトとか立ち上がらないソフトがある、ちゃんとシャットダウンできない、等)、直ぐにレジストリにタッチしてくるので、次回の立ち上がりはやはりマウスカーソルだけになってしまう。
3.対処方法(まとめ)
要は、次の6ステップを実行する。
(1)正常起動させるためにレジストリ操作をおこなう
・VistaインストールDVDでコマンドプロンプトを出し、レジストリ操作をする
レジストリ・バックアップ
レジストリ・ロード
特定レジストリの削除
参考: http://pub.ne.jp/Oyaji_syumi/?entry_id=2542172
(2)起動 →正常起動するはず
(3)自力でネットにつないで、Win32/Daonol駆除ソフトをダウンロード
ダウンロード: http://cc1.zaq.ne.jp/support/myshield2/v3daonol_gen.exe
(4)Win32/Daonol駆除ソフトを実行
私はDocument & Settingフォルダとc:¥WINDOWS¥に感染ファイルを見つけた
(5)再度正常起動させるためにレジストリ操作をおこなう
(1)と同様
(6)正常起動!
幸運を祈る!
どうも起動後、デスクトップの表示がされずに、マウスカーソルだけしか見えないらしい。
で、ネットで調べると、どうもウィルスの感染を受けたみたい。
ネットでは(比較的)簡単に駆除できると書いてあったけど、ある条件下では非常に大変なものだった。
ここでは、その条件の確定と、そういうことを含めた対処方法の概要を自分のメモとして記録しておく。
1.Daonol(ダオノル)とは
今回感染したのは、「Win32/Daonolの亜種」のウィルスの様で、そのウィルスとは、
・トロイの木馬と呼ばれる不正プログラム
・ネットワーク・トラフィックの監視
・FTPアカウント情報の奪取
・セキュリティWebサイトへのアクセス阻止 (Adob,DaonolFix,bleepingcomputer,clamav,mbam,mcafee,miekiemoes,prevx)
・システムプログラムへのアクセス阻止 (reged,cmd, .bat, .reg)
・特定のWeb search engineのリダイレクト (msn, live, google, yahoo)
・USBメモリも使えない
・ソフトのアンインストール、インストールができない
・無料アンチウィルスソフトのAVGの実行、アップデートが阻止されている
・トレンドマイクロでは「TROJ_DELF.WQD」
・シマンテックでは「Infostealer.Daonol」、「Hacktool.Rootkit 」(どっち?)
・マカフィーでは「Lando」
・カスペルスキー「Trojan-PSW.Win32.Kates」
・感染経路:メール添付のマルウェア実行、改ざんされたWebサイトの閲覧
・感染原因:Windows及びFlash Playerの脆弱性から(具体的には不明)
・予防策:Windows Updateでシステムを最新にする、Flash Playerも最新にする
というものである。
【参考】
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fDaonol
http://internet.watch.impress.co.jp/docs/news/20091027_324647.html
2.トラブル
起動しないのはレジストリをタッチするための様で、「3」のレジストリ対策をすればまずは立ち上がる(ここだけしか説明していないサイトは多い)。
ただ、ウィルスはそのまま生きているので、システムの障害はそのまま受け継ぎ(要は動きが重く、コマンドプロンプトとか立ち上がらないソフトがある、ちゃんとシャットダウンできない、等)、直ぐにレジストリにタッチしてくるので、次回の立ち上がりはやはりマウスカーソルだけになってしまう。
3.対処方法(まとめ)
要は、次の6ステップを実行する。
(1)正常起動させるためにレジストリ操作をおこなう
・VistaインストールDVDでコマンドプロンプトを出し、レジストリ操作をする
レジストリ・バックアップ
レジストリ・ロード
特定レジストリの削除
参考: http://pub.ne.jp/Oyaji_syumi/?entry_id=2542172
(2)起動 →正常起動するはず
(3)自力でネットにつないで、Win32/Daonol駆除ソフトをダウンロード
ダウンロード: http://cc1.zaq.ne.jp/support/myshield2/v3daonol_gen.exe
(4)Win32/Daonol駆除ソフトを実行
私はDocument & Settingフォルダとc:¥WINDOWS¥に感染ファイルを見つけた
(5)再度正常起動させるためにレジストリ操作をおこなう
(1)と同様
(6)正常起動!
幸運を祈る!
