ウイルス駆除 奮戦録
fdiph.dll Hacktool.Rootkit

この火山の如く、怒り狂っています
ムカーーーー!!!
海外スパム
2007.9.24 Windows Xp SP2 のノートパソコンに、ウイルス侵入 奮戦勃発。
常駐ウイルスは通常レジストリーキーの、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に書き込まれ、起動と同時に挙動する。しかし、このウイルス、Run 及び RunOnce に書き込まれていない。では、どうして起動するのか?? エクスプローラのローダ部の改変、svchost の改変 ・ ・  いまだに、よく判らない ・ ・ ・ というか、こういう知識は皆無の ど素人なもので ・ ・ ・ ・ 
ド素人 奮戦録です。
無料体験から始める人気ウイルス対策ソフト!

症状
コンピューターの管理者権限・Administrators を獲得する。 奪取ではないので気づき難い。つまり、管理者が私と、侵入者の2人存在する。(ユーザアカウントの画面で管理者が2人とGUESTの3人が表示される、”ようこそ”の起動時のアカウント選択画面はパスワードを入力しないので、アカウント選択画面は表示させずに起動しているが、表示させるとやはり管理者が2人いる)。これによって、コンピュータを外部から自在にコントロールしているのであろうか??不明 ただイベントログに外部操作の記録がないので、実行していないとも言える。しかし、DOSコマンドで頻繁にアクセスを試みている形跡がある。
PR マエストロFX
パソコン自体の動作
時折、エクスプローラの動きが鈍くなる事がある様に思えるが、頻繁に使わないのでよく判らない。その他の動作速度、挙動に不審に思う事はなかった。
ウイルスの程度
非常に深刻です。再インストールが必須。 例え、駆除しても安心して使えない。

 ビーグレン

ウイルスの種類
インターネット検索によると、Hacktool.Rootkit の一種でBackDoorを形成し、侵入者が自在にコントロールする。つまり、ファイルを自在に開きコピーできるという。したがって、パスワード類のものを盗み取る事が可能とある。

ウイルスのファイル名 発見したもの

scaremv.exe  (c:\windows\system32\  310,784 バイト)
scaremx.dll   (c:\windows\system32\  591,360 バイト)
fdiph.dll     (c:\windows\TEMP\    22,016 バイト)

そして、win.ini の末行に意味不明の run セッションが書き込まれます。
ウイルスバスター公式トレンドマイクロ・オンラインショップ

ウイルスバスター公式トレンドマイクロ・オンラインショップ
 開運財布
2007.9.24  定期的にウイルススキャンを実施(週に何度か不定期に実施していますので)。
ウイルスバスターで fdiph.dll が検出され「駆除不能」とある。しかし、このファイル dll です。本体が何故検出されないのか??。そこで、シマンテックの無料のウイルススキャンを実施、しかし結果は同じ、ウイルス 「fdiph.dll」 のみしか検出されない。
駆除不能というのは、現在動作中であるから削除出来ないので、セーフモードで起動すればと思いセーフモードにすると削除できました。しかし、ウイルス本体を削除していないので、案の定c:\windows\TEMP\fdiph.dll が復元している。ならば、復元機能を停止して再挑戦・・やはり復元されている(この復元機能で復元しているわけでないので、当たり前と言われれば当たり前ですが・・)。シマンテックのウイルス検索で 「fdiph.dll」 を検索してもヒットしない・・・そこで、
インターネットで fdiph.dll を検索すると、何と1件のみ、「PREVX」というセキュリティソフトの会社らしく
AUTOMATED SOFTWARE PROFILE, ANALYSIS, REMOVAL AND SIGNATURE INFORMATION:
DEFINITION OF: FDIPH.DLL
Safety Rating: Uncertain
First seen: Apr 5 2007 (GMT)
Last seen: Apr 5 2007 (GMT)
File Size: 22,016 bytes
Concerns about your PC security? We help thousands of new users every day to rid their PC of high risk spyware, adware, trojan, virus and rootkit infections
と書かれてあります。そしてそのページに、「Scan Your PC Now」 というボタンがあり、無料でスキャンしてくれるらしいのですが ・・・・ 不安ながらも、まともなウイルス関連の会社らしいので、クリックすると、よくあるスキャン手順で実行されていきます。
(海外のHPでは、突然 「あなたのPC、ウイルスに感染しています。駆除を実行しますか?」 なんて画面が表示されて、ボタンをクリックすると、厄介なウイルスを入れられて、結果 「??$を払えばそのウイルスを駆除してあげる」 なんて、手の込んだ詐欺が横行していますので、皆さん注意して下さい。絶対クリックしないで下さい。余談ですが・・)
結果、スキャン完了
検出したウイルスファイル

scaremv.exe
scaremx.dll
fdiph.dll

 とある。
さーすがぁ ウイルス本体らしき exe ファイルがある。迷わず 「駆除実行」 ボタンをクリック、Complated と表示され・・・
ルンルン・・・・。。。
再起動・・・・・・じゃーーーーーん・・・・
あらら・・・fdiph.dll ファイルがある。
駆除されていない。
しかし、この時初めて、scaremv.exe と scaremx.dll がウイルス実体のファイル名と知ったのです。
インターネットでは scaremv.exe と scaremx.dll の情報は殆どない。
もう少し、情報がほしいので、思い出したのが、マイクロソフトの悪意のあるソフトウェアの削除ツールです。やはり記録が残っています、6月頃からウイルス発見、駆除を何度か繰り返して、24日に頻繁な記録が残されています。 (何故、今までのウイルススキャンで発見されなかったのか??・・)
マイクロソフトの悪意のあるソフトウェアの削除ツール マリシャス(Malicious) が記録していた
データはこちら↓↓ にあります。
Microsoft Windows Malicious Software Removal Tool v 1.31
が記録していたデータの詳細

2年連続!最優秀ウイルス対策ソフト
2年連続!最優秀ウイルス対策ソフト

2007.9.26 
スパムメールにはいろんな種類のウイルスが添付されてくるのですが(最近は少なくなりましたが)、その中で「wincrack.exe」というウイルスが頻繁にスパムメールに添付されていました、インターネットで調べると、このウイルス勝手に複製していってハードディスクを食い尽くしパソコンを動かなくしていくというものです。どういうものかと興味本位に・・故意に入れた事があるのですが、最初のうちは、ワ!はこんな所に複製してる、オモシロイ・・・即削除。と気楽に構えて繰り返していたのですが、勝手にフォルダを作り、隠しフォルダ・システムフォルダお構い無し・・・、ハードディスクが動き放しでその速さ、ネズミ算式に増えるのです。気が付くとLANで繋がっている他のパソコンのHDも動き放し・・この時初めてヤバイと思ったものですが、この程度なら駆除も楽なのですが、今回はタチが悪いです。検知率最高を誇るあのカ○ペル○キーの(30日間無料版)でさえ、scaremv.exescaremx.dllfdiph.dllの3種類の検出で他と大差はなかった(お試し無料版だから検知率が違うでは、製品版を使う気になりませんから・・同じだと思いますが・・)。海外のオンラインウイルススキャンでも「A0193311.DLL」を検出したのは1件、今の所まだ「a0016849.exe ・・」を検出したオンラインスキャンはありません。インターネットで検索しても、現時点で全く情報が無いという事は新種なのでしょうか・・・。スキャンの後、駆除完了と表示されていても駆除されていない・・復元したのでしょう・・・・・。win.ini はウイルスではない正真正銘のシステムですから、ウイルス駆除ソフトでは駆除出来ないのではないでしょうか??、またエクスプローラ自体もタイムスタンプが不審でしたし・・・、ただし、レジストリについては、起動時に自動的にレジストリスキャンをかけて、書き加えたり、変更されたキーは全て表示される様にし全て内容を確認していて不審なレジストリーキーの変更・追加等には今まで気づかなかったので、レジストリには問題は無いかと思います。たとえウイルス感染したソフトをインストールしていたとしても解りますから ・ ・ ・ ????。

 柿渋石鹸で加齢臭対策
感染源は?
 6月12日に最初に scaremx.DLL が記録されていますが、この頃からであれば製品版ソフトやマイクロソフトの様な信頼できるであろうソフト会社のソフトしかダウンロード・インストールしていないのでソフトによる感染は無い?、と思います。とすると、やはりホームページ閲覧からの感染の疑いが強いです。今回の様に検索結果から海外のページに移動する事は頻繁にあるもので ・ ・ ・ ・ ただ、海外ページが多いときはIEではなく別のブラウザを使いスクリプト等禁止しているので、ウイルスは侵入できない筈です?? ・ ・ ・。 しかし無防備とも言えるIEで見た事もあるので ・ ・ ・ ・。IEをいろいろと設定すると、国内ページが見づらくなるし ・ ・ ・ 困ったものです。

win.ini の書き換えられたファイルを保存した筈なのですが見当たりませんが、scaremv.exescaremx.dll windows と system32 などのファイルはフォルダ毎保存してありますので、気が向いたら調べてみたいと思っています。 fdiph.dll ファイルも見当たりませんが無くても自動生成されるようです・・。  ただ、時間がない・・・・・・・。という事で、今後何かわかれば、報告したいと思っています。

対処駆除方法

以下は、今回の私のウイルス感染の経験を元に、無駄な時間の浪費を少しでも省く参考になればと思い、単に記載しているだけですので、これで駆除が出来ると言うものではありません。増して、これによって、システムが起動しなくなったり、データが破損した場合やその他の一切の責任を負うものではありません。全ての行為は全て自己責任でお願いします。自己責任が出来ない方は、自分で解決方法を見つけて下さい。下記の記載は一切参考にしないで下さい。また、exeとdllの区別・意味がわからない方、隠しフォルダの表示の仕方が解らない等の方は、ハードデスクのフォーマットをして再インストールをお勧めします。
ウイルスの感染は c:\windows\TEMP\ fdiph.dll の有無で確認できます。
まず、システムの復元を試る。
復元ポイントを最新から順次古くして fdiph.dll が出なくなるまで戻す。 fdiph.dll が出なくなれば解決ではありません。復元してウイルスが起動しなくなっただけで削除されませんので、下記の削除するファイルを参考にウイルスファイルを削除して下さい。
一番古い復元ポイントまで復元しても、未だ fdiph.dll が消えない場合。 ハードディスクのフォーマットをし、再インストールが妥当です。
データを残したままの、システム再インストールは意味がありません。ウイルスも残りますから・・。
システムの復元をしても fdiph.dll がある場合、ハードディスクのフォーマットが必須ですから、データファイルのバックアップでは、保存した記憶のないファイルは出来るだけ破棄する。どうしても残したい場合には、ウイルス検査を徹底して下さい。下記のウイルスファイルを削除した後でも、絶えず fdiph.dll が現れないか確認して下さい。特に C:\SystemVolumeInformation\_restore・・・・・が曲者です。

ハードディスクのフォーマットはどうしても出来ない場合
以下のファイルを削除して下さい。 この際、fdiph.dll がある場合、ウイルスが起動していますから、削除出来ませんのでセーフモードで起動して下さい。また、フォルダオプションの設定で、システムフォルダ・ファイルおよび隠しシステムフォルダが表示される様にセットして下さい。これをしないと、ウイルスファイルを探す事が出来ません。つまりは削除出来ません。
削除するファイル
削除 c:\windows\system32\scaremv.exe
削除 c:\windows\system32\scaremx.dll
削除 c:\windows\TEMP\fdiph.dll
削除 c:\systemvolumeinformation\_restore{CF4FBB37-A91D-441B-AD35-D2B7E4E4837E}\RP705\A0193311.dll  この色の部分は変化して追記されていますので、同じではありません
削除 c:\systemvolumeinformation\_restore{CF4FBB37-A91D-441B-AD35-D2B7E4E4837E}\RP705\A0201324.exe  この色の部分は変化して追記されていますので、同じではありません
変更・復元するファイル
編集又は変更して復元 c:\windows\win.ini
win.bak としてバックアップファイルが作成されていますので、まず win.bak をコピーし、win.ini を削除してコピーした win.bak を win.ini にファイル名を変更します。この際テキスト・システムエディタ(c:\WINDOWS\system32\sysedit.exe 等)で内容を確認して下さい。win.bak というバックアップファイルが見当たらない場合、win.ini の編集が必要ですので、末行の2行に意味不明も文字列の羅列がありますので、2行を削除して保存して完了です。
タイムスタンプに不審がないか確認するファイル
要注意 c:\windows\explorer.exe
不審があれば、オリジナルで復元し、以後アップデート。

以上が、私が調べた対処方法です。これでも十分と言えませんので、一時しのぎにして再インストールをして下さい。非常に厄介なウイルスです。
それにしても、今回は Malicious というマイクロソフトの悪意のあるソフトウェアの削除ツールが、いつ何をしたのかという記録が残されていたので、大変参考になりました。
 1Mバイト近くもあるウイルス、普通のプログラムなら相当な事が出来る、何をされたのだろう ・ ・ ・ ・ ・ ・ ・  尤も、盗まれる程のお金は無いので、そういうデータは入れていないので無駄な行為、侵入した相手が悪かったようですが ・ ・ ・  。
 天然水・ミネラルウォーター
ウォーターサーバー
大人気のコラーゲンゼリー“愛しとーと”のCMでおなじみの、
< うるおい宣言 >
Malicious のログを見ると C:\WINDOWS\TEMP のフォルダのみが表示され、全てのウイルススキャンでも表示されて存在する筈の fdiph.dll が記録されていない、ウイルス本体はファイル検索もされない・・・、このようなウイルススキャンをすると察知して、ウイルス scaremv.exe と scaremx.dll が身を隠し、或いは普通のソフトの振る舞いをし、fdiph.dll は一時的に削除するような、手の込んだプログラムを仕組んでいる様にも・・・・、1Mバイトもあればいろんな事が出来るでしょうし・・・。
いきなり時間を奪われた、とんだウイルス騒動でした・・・