|
何だかこの偽セキュリティソフト「MS Removal Tool」の感染被害報告が数日前からたくさんあがってますかね? 「MS Removal Tool」は、ウイルスチェックソフトを装った詐欺プログラムです。このプログラムが行うウイルススキャンやウイルス感染警告はぜーんぶ嘘です。ちなみに、名称が「MS〜」となってますがマイクロソフトとは何の関係もありやせん。 このウイルスは次の条件に当てはまったWindowsパソコンでのみ勝手に強制インストールされます。対策をしてあるパソコンは感染被害にあいません。 ドライブバイ・ダウンロード攻撃の対策をあらかじめ行ってないダメダメWindowsパソコンで、改ざん被害を受けてる一般サイトを単にブラウザで閲覧するだけ
昨日になって感染情報が多いなぁ、と気づくもウイルス検体が手に入れられず、今日やっと2ch掲示板に改ざんサイトの情報があがっているのを見つけ、さっそく手動でウイルス検体を回収してきました。VisrusTotalのスキャン結果も。 http://hibari.2ch.net/test/read.cgi/sec/1244633881/754- http://www.virustotal.com/file-scan/report.html?id=fd5caf5e81c1275c0d33a0748405e37b9eaf8e47bf392279828c56de1d120500-1301316451まずはこちらで感染させたスクリーンショット画像。 で、画面上のRegistrationをクリックしてレジストコードを入力し、わざと購入した状態へと持っていきます。レジストコードは下のサイトに掲載されてます。複数ありますが、1行目で問題なく適用できるはずです。  http://siri-urz.blogspot.com/2011/05/ms-removal-tool-update.htmlレジストが成功すると、赤みがかってた画面が水色っぽく変化します。 パソコンが勝手に再起動された後は、ギャーギャーと騒ぐことはもうないはずなので、無料ウイルス駆除ツールの「SUPERAntispyware Portable」か「Malwarebytes' Anti-Malware」を入手してスキャンし、検出したものをぜんぶ駆除・削除しちゃってください。 で、ドライブバイ・ダウンロード攻撃を回避する対策も。この対策をユーザーに代わってちゃんとやってくれる正規セキュリティソフトはこの世に存在しません。やってあれば、感染被害にあわないので駆除・削除に奔走することもないん・・・
 |
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
MS Removal Toolの駆除の仕方をまとめました。
1.セーフモードで起動します。
2.エクスプローラを起動し、フォルダ"C:\Documents and Settings\All Users\Application Data\gCl31001cPoHe31001\"を開きます。
3.ファイル"gCl31001cPoHe31001.exe"を削除します。
4.再起動します。
5.MS Removal Toolが起動しないことを確認します。
以上です。
[ aaa ]
2011/4/10(日) 午後 3:27
感染しても起動しない時もあるみたい
感染してしまったのでセーフモードで削除してやろうと思ったら隠しファイルが表示できずに仕方なく通常再起動したらなぜか起動しなかったのでそのままMalwarebytesで削除
その後の再起動でも起動しないので多分削除できた感じ
アイコンがWindowsのロゴみたいのだった
[ おヴァン ]
2011/4/11(月) 午後 1:04
上の方にあるaaaさんの方法で削除できました。
ただし、OSによって“Documents and Settings〜”という名称が異なるようです。
さらにWindows Vista/7では該当のフォルダは隠しフォルダに設定されているらしく、まず初めに コントロールパネル→フォルダオプション→表示タブ→『すべてのファイルとフォルダを表示する』にチェック→適用 を済ませておく必要があります。
そうするとローカルディスク(C:)に“ProgramData”という半透明のフォルダが表示されるので、その中にあるそれっぽいものを削除します。
[ フルト ]
2011/4/11(月) 午後 2:12
それっぽいもの、と濁してしまうのは大変申し訳ないのですが、自分の場合はaaaさんとは異なり"gCl31001cPoHe31001.exe"という名称ではなかったからです。
インストールされた日時が大体分かっていたのでそれを頼りに問題のものを発見しました。(確かファイル名と同じ名前のフォルダの中にありました)
名称が異なるとは言っても"gCl31001cPoHe31001.exe"の英語と数字が別のものだっただけで、英数字の並び方は似てました(並び方自体は同じだったかも)。
上でおヴァンさんが言っているようにWindowsのロゴみたいなものでした。
ファイル削除の際にアクセスが拒否される場合はセーフモードで実行すればOKです。
再起動時にF8を連打してればセーフモードで起動できます。
余計なものまで削除しないか注意が必要ですが、自分はこの方法で削除できました。
長々と連続コメントして申し訳ないですが、一応参考までに。
[ フルト ]
2011/4/11(月) 午後 2:12
はじめまして。
さきほど不注意でMS..いれちゃいました。
セーフチーモード→システムの復元で感染以前の状態にすると、削除はできませんが、システム起動時の自動実行は止められる模様です。
もちろん、そのあとで気持ちを落ち着けて、該当ファイルを消す必要はありますが。
[ ひろ ]
2011/4/11(月) 午後 3:59
いきなり例の赤画面出てきてびっくりしましたが
ここのおかげで対処できました
ありがとうございます
ただ、Malwarebytes' Anti-Malware使っても何も検出されないのですが
コメントに書かれている方法で削除すれば良いのでしょうか?
[ fitz ]
2011/4/11(月) 午後 4:02
この記事を拝見して解決することができました。
ありがとうございます!
[ - ]
2011/4/11(月) 午後 6:24
SUPERAntispyware Portableを使ってスキャンして再起動させたのですがまだ右下にアイコンが残っています。これはまだ除去できていないのでしょうか?
[ type0 ]
2011/4/11(月) 午後 8:51
先ほど自分もかかりました。参考にさせていただきましたありがとうございます。後の役に立つようにメモっておけばよかったんですが自分は「k〜」からはじまるものでした。exeファイルはwindowsのロゴっぽかったです。
[ mut**mon ]
2011/4/12(火) 午前 0:03
どうやら削除するファイル名は人によって違うみたいですね。
私の場合はC:\Documents and Settings\All Users\Application Data\jNl31001bBkIb31001\jNl31001bBkIb31001.exeでした
[ ぎゃら ]
2011/4/12(火) 午前 0:36
このブログのお陰で私も削除可能でした。
有難うございます。aaaさんのやり方で成功しました。
[ - ]
2011/4/12(火) 午後 2:12
同じく名称は違うものの怪しげな英数字羅列フォルダを同じディレクトリに発見。セーフモード移行せずにフォルダごと削除できました。
[ thx ]
2011/4/13(水) 午前 1:57
このブログとコメントのおかげで無事削除できました。
ありがとうございます!
[ ごびらっふ ]
2011/4/15(金) 午後 2:09
ダウンロードしたソフトをインストールしたらこれに感染しました。
セーフモードからシステムを復元したあとにあえてまた全く同じソフトをインストールしたところ、感染しませんでした。
何故だ。
[ 規制不可 ]
2011/4/15(金) 午後 9:54
ありがとう御座いました。回避することが出来ました。
感謝しておりますm(_ _)m
[ thanks ]
2011/4/16(土) 午前 9:53
4月11日に投稿いただいたaaaさんとフルトさんの方法で、VISTAのProgram Dataフォルダーから似たような並びのフォルダーを見つけ、中にあるファイルを削除したら、正常に起動するようになりました。
有難う御座いました。
いったいどのような状況で汚染したのでしょうかね。
[ ラビー ]
2011/5/29(日) 午後 4:16
削除出来たと思ったら、10分後にまた別の似たような並びのフォルダーが出来て、MS Removal Toolが復活してしまいました。冒頭に示されているMalwarebytesを使って1時間くらい Quick Scanし、Scanされたものを除去したとこと、正常に動くようになりました。2時間くらいネットで使っていますが、問題は再発していません。
ご参考まで。
[ ラビー ]
2011/5/29(日) 午後 10:57
このブログのお陰で直せました
ありがとうございました。
[ コレコレ ]
2011/6/26(日) 午後 7:16
Twitterでの情報を見ると、6月になってもMS Removal Toolの感染がまだポツポツあるようで・・・。コロコロと名前を変える他のインチキソフトもある中、感染キャンペーン長いねぇ。
[ noooo_spam ]
2011/6/27(月) 午前 0:59
はじめまして!うっかり感染してしまって、本当に焦りました…。なんとかここにたどり着き、記事やみなさんのコメントを参考にさせていただいて、なんとか削除できました。本当にこちらのみなさまのおかげです!!ありがとうございました<(_ _)>
2011/6/28(火) 午前 0:25