「ブラウザハイジャックに遭う^^; 解決編 (2017/10/17)」
(前回のあらすじ):
ブラウザハイジャックに遭ってブラウザを乗っ取られた。^_^;
「Adblock Plus」のニセモノがChromeウェブストアで配布され3万7000人がダウンロードしてしまう事態が発生(gigazine)
ウィルス対策ソフトでも対応してない新型なので
自力で駆除することにする。
今回使ったのはProcessMonitorってツール。
Windowsの全ファイルアクセスに対するアクティビティを取得します。
ちなみに。これ
「OSで発行されている全てのファイル活動を完全に拾う」
ので、
わずか10秒で10万行ぐらい出力されます。^^;
なので使うときには必ずフィルターを設定して
欲しい情報だけを取り出します。
今回は例の「chrome_cleanup_tool.exe」
こいつで罠をかけて見張ってると・・・
あー出た出た出た。
chrome_cleanup_tool.exeにDELETEコマンド出して削除してる奴。
こいつが犯人だ。
あっ
・・・なんてこった。OTL
思ってたよりも根が深い。
たかが広告型マルウェアと思ってあなどってたら
こんな深い所まで侵入されちゃってたかあ。
rundll32.exeはOS謹製の重要な.exeファイルです。
ウィルス対策ソフト、つまりは通常のアプリ権限より上位にいます。
なので(感染してる)rundll32.exeを調べようと思ってもOSから拒否られるから
この領域は調べられないんですね。
こりゃウィルス対策ソフトでも見つからないわけだ。
ウィルスさんも、どうやってこんな深い所まで来たんだろうな。
まあいいや。
犯人&場所さえわかっちゃえば
別に怖くありません。
Windows10のオフラインスキャンを実行します。
オフランスキャンとはマシンを再起動して、OSがブートする前に
ウィルス検査&駆除用のミニOSを走らせて
HDDをスキャンする方法です。
これを走らせれば
問題の不正rundll32.exeは純正rundll32.exeと中身が違う。
すり替えられてると気づいて
純正rundll32.exeに置き換えてくれます。
OSがロードするまえならrundll32.exeでもたかが
HDD上の1ファイルにすぎまないので
普通に削除できるようになります。
これで完了。
オフラインスキャンを実行してからは
ブラウザの不審な挙動もなくなって
無事完治しました。
・・・いやあこれは手が込んでたなあ。^^;
OSのプロセスが乗っ取られぐらい
深い所まで入られたのにむしろ感心ですよ。
- 私がいつも管理者モードでPCを使っている。(フルコントロールを持つほうが楽だから)
- 私がいつもWindowsDefenderをオフにしている。
(ウィルス対策ソフトをオンにするとPCの性能が3割ぐらい落ちる。
車で言えば常時300kgの重りを荷台に乗せてるようなもので、
切れるなら切った方が普段の燃費に圧倒的に良くなる。)
- Chormeストアにマルウェアが紛れ込んでた。
- そのマルウェアがrundll32.exeまで乗っ取る強個体。
これらの要因が全部同時に重なった結果
rundll32.exeまで食われたみたい。
う~っむ。
「不審なファイルはクリックしない。起動させない」自信があったので
ウィルス対策ソフトは切ってたら、
・・・Chromeの純正ストアにマルウェアが紛れ込んでたとは困ったな。
たはは。
油断してた私が悪いかな。
ストアの品と言えど
信頼しすぎて警戒0で家に招き入れちゃったのはミスですね。