冬に流行するもの

あ、さて・・・

とか流暢なこと言ってられなくなっています。
なんと、自分のプライベート PC （win7 x64）が　Salus なる木馬にのっとられてしまいまして
グーグル先生に聞いたところ、なんでも今年の冬あたりから流行しているらしいです。

でもノンセキュリティ対策ソフト組のわれわれとしての対処法があまり明記されていないため以下に書いときますので
ご参考あれ～

症状

・IE とか　Crome とかを開くと　以下のように、Flush Player とかの Adobe 製品のインストールを要求してくる画面にとびます。それが　Alt ＋　F4　とか　×　では終了できないウィンドウを使ってきます。 （図1）
・ブラウザを開くと意味深な情報バーもどき（図2）が表示されます。当然右側の　×　では消えません。

図1

図2 参照：スタートアップでmwiynzm4ndy1yjz.exeのチェックマーク外してタスクマネージャー開いてファイル消しまくってるのにゾンビ機能で復活してくるのやめろや
https://twitter.com/aoi_810/status/561915230402273281

こんな感じなんで、WEB を開いて何かするのも一苦労です。。。
まぁ、システムフォルダとかの DLL とかを消したりはしないらしいのでまぁいいのですが。。。とにかくウザい　とこれに尽きます。

対応

で暫定的な対応としては下のリストに書いたバッチを動作させ、ウィルス対策ソフトにとかで最新の定義ファイルで対応を待つ。もしかしたらできているかもです。

ウィルスはほかのウィルスと同じように以下のように展開するので作られたものを削除していくのが確実かと思います。

・Program Files の下に自分のアプリのフォルダを作りそこに居座る
・mwiynzm4ndy1yjz.exe(Salus の実態) を動作させる
・Run レジストリに　mwiynzm4ndy1yjz.exe 起動のエントリを書く

結構最初甘く見ていて、appwiz.cpl からアンインストールするとか、アドオンから無効にすればいいでしょ？とか思ったんですが、これがなかなかうまくいかないのですね。

で、しようがないので手動で上の箇所を消してやったら一応収まりましたが、
なんとゴミ箱空にしたにもかかわらず再発しているじゃありませんか…
更なる対策として
以下のようなバッチをスタートアップにいれて再度ログオンし、さらに MS が無償で配っている　MS Security Essebtial をインストールしてやりました。
これでしばらくは平穏であればいいのだけど・・・

リスト1

taskkill /F /IM “mwiynzm4ndy1yjz.exe”

rd /s /q “C:\Program Files (x86)\Smwyyntm1ndi1zdz”

rd /s /q “C:\Program Files (x86)\Salus”

reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run /v mwyyntm1ndi1zdz /f


※このバッチは　Salus に特化していて、感染した　OS から一旦正常化を図るものです、

　

これをテキストエディタに貼り付けて、Virus.bat とかの適当なバッチファイルを以下プロファイル内のスタートアップ　（%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup） に保存し、再起動か再ログオンする。

まぁ　ローカルの管理者権限が前提ですが、自宅の　PC なら自分が管理者権限でしょうから問題ないですよね。

で、要はログオンのたびに　bat を実行するので　ウィルスの再発も防げるだろうという素人判断からの対処法です。
でさらに自分みたいにチキンな方は以下から MS Security Essentials を入れればよりウィルス対策になるかとおもました。
Microsoft Security Essentials

http://www.microsoft.com/ja-jp/download/details.aspx?id=5201
次回は誰も見てないと思っていた等ブログを「Windows ドメインとワークグループの共存」をキーワードに検索して引っかけた俳のためにそのテーマに書こうと思います。

でも共存。。。っていってもどういうことを書けばいいのだろう。
考えられるシナリオとして、新年度前に W2003 のワークグループの環境から W2012 か W2008 のドメイン環境に移行する際に

どうしても、ドメイン名とワークグループ名が競合するのでどうしましょう。

ってくらいかなぁ
わからんけど、そこについてでいいのであれば次回なるべく早めに　< ホント？w 書きたいと思います。

でわでわ