垢ハック、流行ってますね
「TROJ_MARAN.**」や「TSPY_MARAN.**」というウィルスを、
ここ最近 仕事のウィルス駆除依頼でよく扱うようになりました。
調べたところ、最近流行りだしたネットゲームの垢ハックプログラムのようですね。
そして今日もまた1件。「TSPY_MARAN.AET」
・・・これROの垢ハックプログラムじゃんか。
このウィルス関連で今回見つかったのは、下記。
こういったファイルが自分のPCに 存在して潜伏してないか確認ですよー。
TSPY_MARAN本体 C:\Windows\System32\tj9viewer.dll
TROJ_HEUR.AE C:\Windows\System32\WinSpy.EXE
TROJ_NSPM.TC C:\Windows\Svchost.EXE
とくに「tj9viewer.dll」が、WindowsのLayered Service Providerを乗っ取って動くため、
ファイルを常時掴んでしまっていて、簡単にはファイル削除ができません。
以下、駆除方法の備忘録。
「TSPY_MARAN.AET」対応の備忘録
※ 注意
あくまで今回私が対応したウィルスの対処方法であり、
すべてのこのウィルスの亜種に対してこの方法が有効とは限りません。
詳しくは、各ウィルス対策ベンダの情報を見てもらうとしまして、
参考程度に見ていただければと。
<1> Layered Service Providerの修復
【修復ツールの使用】
1)LSP-Fixを入手して、起動します。
LSP-Fix入手先
http://www.higaitaisaku.com/lsp.html
2)ウィルスとして検出されている「tj9viewer.dll」
をremove側に移動させて、Finishボタンを押します。
<2> ウィルス活動サービスの削除
【修復ツールの使用】
1)SDELISTを入手して、起動します。
SDELIST入手先
http://www.higaitaisaku.com/sdelist.html
2)ウィルスの情報に基づき、ウィルスが作ったサービスを削除します。
今回は、Power Adapter (ADIDown) という、サービスを削除。
<3> PCを再起動
再起動をして、全ファイルをウィルス検索し、発見されたファイルはすべて削除
ただし、いま使っているウィルス対策ソフトで「tj9viewer.dll」すら検出していないようでしたら、
別のツールでウィルスチェックをかけるべきです。
売り込むわけではないですが、カスペルスキークラスの検知率を誇るソフトでの
検索はかけるべきですね。(無料で体験版もしくはオンラインスキャナで検索できます)
最後に、アカウント、パスワードが漏れてしまっている可能性があるので、
忘れずに、使用しているパスワード等の変更を
すべて一通りやっておくことですね。
いじょう、参考になれば。
