巧妙に仕組まれた史上最悪のマルウェア“Antivirus Trigger”に感染していた件。

joffiによるPixabayからの画像

実は昨日までの数日間、私の機嫌は悪かったです。
というのも、自宅のパソコンがマルウェアに感染していましたもので。

原因は、私の留守中に、自宅に居た者が、
わけも分からず、無料のウイルス対策ソフトと思い込んで
マルウェアをインストールしたらしく。。
自宅に帰ったらPCがとんでもない状態になってました。φ(´д`o)

IEにはいつの間にかヘンなツールバーが付いてるし、
タスクトレイにもヘンなアイコンが出てるし、
セキュリティーアラートバルーンは消しても消してもでっぱなし。
たまに勝手にIEのウインドウが開いてヘンなサイトが勝手に開くし
システムを起動するたびに自動的にヘンなソフトが立ち上がって
検索し始めて、通常のステップでは止めさせてもくれないし、、

もう、さいあくだφ(´д`o)

実は過去にもこういうことがあって、その都度ちょいちょいと削除したのですが、
今回はかなりのツワモノ。

取り除こうとしても、あれこれ抵抗してきます。
これまでに感染したなかで、一番ひどいφ(´д`o)

たとえば、ウイルス対策ソフトのサイトに行って
オンラインウイルススキャンをしようとすると、
処理の途中でへんなエラーが出て、拒まれてしまったり。

正規の対策ソフトのアーカイブをダウンロードしてきて
インストールしようとしても、それを拒んできたり、かなり厄介φ(´д`o)

。。。これは少し腰をすえて対策ねらなきゃならんな、と思ったのですが、
平日だったので自宅で私が活動できる時間が限られました。

結果的に、2日ほどまたいで、昨日の段階で、少なくとも表面上は正常に戻せました。

というわけで、以下、騒動の一部始終を書きます。

とりあえず、最近入ったアプリやら、怪しいツールバーなど、
手作業でアンインストールできるかな、と思ったのですが、どうもできなさそうでした。
そこで、いい機会なので、ウイルス対策ソフトを買おう!ということになりまして。

いままで対策ソフト入れてなかったのかよ!
といわれそうですが。そうなんです。入れてませんでした。(*´д`*)

更新料のいらない、ウイルスセキュリティゼロ。
https://www.sourcenext.com/eshop/action/es_cartadd?com_id=DL009868&quantity=1

↑とりあえず、これをダウンロード版で買いました。

インストールして、ユーザ登録して、
ウイルス定義を最新にした状態でPC全体をチェックしました。

いくつか怪しいウェアは検出され、隔離されたり、削除されたりはしたですが、
変なツールバーこそ消えてくれたもの、

001
タスクトレイにヘンなアイコンが点灯して
消えないバルーンが出たり

06
止められないシステム診断のオートラン

※↑無理やり止めたい場合は、コントロールオルトDELETEボタンを押して
タスクマネージャを開き、
01
↑VirTrigger.exeを殺せばOK

07
勝手なサイト等への接続

などなど、さまざまなものがそのままで問題は山積みです。
これはイタイし、第一、PCの利用に影響出すぎです。

08
しかも、ウイルスセキュリティゼロがこんなバルーンを
数秒ごとにループして出し続けてきます。

フォルダに見にいって、これを削除したあと、再起動したあとも、
ひたすらこのバルーンが数秒ごとに出ては消え、出ては消え、、、
という状態が永遠に続いていました。

対策ソフトのせいで、さらに、ウザさが倍増することにφ(´д`o)
ああ、、だめだこりゃ、せっかくお金払ったのに(*´д`*)

ウイルスセキュリティZERO (新パッケージ版)
ソースネクスト (2007-04-05)
売り上げランキング: 583
おすすめ度の平均: 3.5

1 心配
2 再インストール多発
1 リカバリーCDが必要な代物
1 安くて軽いだけ
4 一年以上使ってますが問題なし

評判もそれほどよくないですし、このソフトはやっぱ気休めですかね。
それか、感染後では効果なし、ということですか。

もう、これは、自分でじっくりこのマルウェアのことを調べて
手動削除するしかないな、と腹をくくりました。めんどいけど。

海外サイトにこのマルウェアに関する記述がいくつかありました。
一部日本語訳したものを紹介すると、、

09
Antivirus Triggerは、インターネット上で多くのコンピュータユーザの中で
大破壊を加えている偽アンチスパイウェアアプリです

だそうです(*´д`*)

あんしんしました。相当な悪党なのですね。
これは成敗しないとヽ(皿゜;;ヽキシャアアアア

手動アンインストールの手順についても
英語サイトではありますが、いくつか解説しているサイトがあり、
それをたよりに調べてたのですが、

SpyHunter 3というスパイウェア検知ツールを導入して、これで
このマルウェアを検索するのがもっともよい方法のようでしたので
さっそく試してみました。

Capu002
こんなかんじです。このソフトではスパイウェアを検索した後、
削除までを行う機能はあるのですが、削除するには有料登録が必要でした。
有料とは、、なんだかなぁ(*´д`*) ということで
レジストリなどをいじるのは怖いけど、削除は手動でやることにしました。

08
こんなかんじで今回の怪しいのがずらっと出てきました。
これを削除したらよいのでしょうね。

レジストリをいじる場合は、Windows Rを押して
regeditでレジストリエディタを出せばOKですね。

Locationのところで、HKLM\…….. と書かれている部分の
HKLM の意味は レジストリエディタでいうところの

002
↑の頭文字なようです。

次。

04
これは相当怪しいファイル群かつ致命的です。

見たところ、ここにあるファイルが、タスクトレイの表示や
ウェブサイトへの自動接続などをつかさどっているようでした。
なので、フォルダごと、全部コロシしちゃいましょう!!削除です!!!!

でも、そのままでは削除できません。
というのも、このマルウェアがシステムで利用中なので。(*´д`*)
なので、まずはプロセス自体を殺してやる必要があります。

WebMediaViewer直下にある.exe系のファイル名は、
実はWindows タスクマネージャでプロセスを見ると
これらが動作中であることがわかりますので、これを殺せば(停止すれば)よいです。

06
↑たとえば、このプロセスとか。
停止後、ファイルの削除ができるようになるはずです。

Program Filesフォルダ直下にあるものの、気づきませんでした。(*´д`*)
WebMediaViewerとかいう、もっともらしいディレクトリ名ということと、
Wではじまる名前なので、Program Filesフォルダの最下に位置されることから
見落としていたのかもしれません。
、、、にしても、意図的であれば(たぶん、意図的)、
このソフトを作った奴(奴ら?)は実に巧妙であるなぁと。

他にも、書き漏れているものはあると思いますが、
とりあえず、ここまでやれば表面上は、正常に戻ると思います。

もし、このマルウェアにかかったら、本記事を参考にしてみてください。
でも、本当はOSの再インストールぐらいしてしまったほうが
よいと思いますが(*´д`*)

●外部参考リンク

マルウェアとは
http://e-words.jp/w/E3839EE383ABE382A6E382A7E382A2.html

Antivirus Triggerをアンインストールする方法を教えてください。 – 教えて!goo
http://oshiete1.goo.ne.jp/qa4497096.html

Antivirus Trigger Removal Instructions (AntivirusTrigger) For Windows XP/Vista
http://tinyurl.com/5jku98
Antivirus Trigger のアンインストール方法の英語情報。