まだ、対応途中なのですがウィルスにやられたっぽいのでメモ
ウイルスの呼び名は「vista internet security 2011」としておきます。
【状況】
海外のサイトを巡回中、突然ブラウザにJavaのインフォメーションが表示され、
Webブラウザが落ちました。
突然、どこかで見たようなセキュリティソフトが動き出し、
どんどん私のPCのファイル名を列挙しながら「ウィルスに感染しています、対策のために金払え」
というダイアログが。
・・・わかりやすいウィルスだなぁ・・・
正直、ニセモノのウィルス検索画面の作りは丁寧で、一見するとマジでウィルスにやられたから
早くお金払わないと！という気分になるダイアログなんですよ。
・・・
ただね、
私の環境日本語のはずなのに、全部それ英語なんですもの。
一歩下がってみてみれば、騙されないですわ。
落ち着いて対策を検索するためにブラウザを立ち上げると・・・接続できない。
開かれたブラウザにもしつこく、「please register (safety) no Register (danger)」(綴りあってる？)
とかなんとか。で、支払わずにページ見ようとしても、見せる気がそもそもない。
ページも何も開かない。
ムキー！
タスクマネージャーとにらめっこして、怪しい「rij.exe」というプロセスをとめてウイルス対策ソフトを走らせてとりあえず起動。
問題なく起動した･･･と思ったんですけど、普段やっているようにデスクトップ上のショートカットから
ブラウザを起動したら問題なく動作し、二重窓にするためにスタートメニューからもう一つブラウザを起動したら
先ほどと同じ、でんじゃーでんじゃーと文字が。
で、またrij.exeが動き出してしまって接続不可能に。
もう、rij.exeに関する情報が全然Hitしないからこれがウィルス(マルウェア)とみていいだろうと
rij.exe探しに。
【対策編】
セキュリティソフトでサルベージした場所にrij.exeが見つからず、何か特別な方法があるようなので調べてみると
そのファイルが隠れている可能性が。
隠しファイルとか見れるようにしているはずなのに･･･と良く調べてみると、更に厳重に隠されたファイルが存在するらしく、奴もそこに隠れている可能性が。
【見えないファイルを見えるようにする手順】
フォルダメニューにある[ツール]⇒[フォルダオプション]⇒[表示タブ]⇒一番下の「保護されたオペレーティングシステムファイルを表示しない」のチェックを外す。
【今回怪しいファイルがあった(隠れていた)場所】
c:\users\(ユーザ名)\AppData\Local\rij.exe
【対策結果】
怪しいファイルを消して再起動したところとりあえず怪しい挙動がすぐに起こることはありませんでしたが･･･
今回のウィルスがWindows defenderという機能のリンク先をぶっ壊したようで、使用できなくなりました。。
元々、他のウィルス対策ソフトでマルウェア対策しているので機能は切ってあるのですが･･･
起動時に、ハンドルが見つかりませんでした、とダイアログが出るのはうっとおしいですね。
あと、Javaアプレットも少し挙動が変で時々エラーのダイアログが飛び出します。
一番酷いと思ったのはブラウザソフト。なんと、クローンを作られていました。
デスクトップから飛ぶブラウザは今までどおりでしたが、
スタートメニューに登録されていたブラウザがクローンに繋がっており、その所為で
スタートメニューからブラウザを動かしてしまうとウィルスが動き出してしまうというとんでもないことをやられました。
しばらく、現在はこの状態で稼動します。
何か酷い状況が見つかったら、また次の記事にでも・・・
(今回の悪者はウィルスと記述しましたが、実際はマルウェアのようです。
どっちにしても、悪者です。)