タグ別アーカイブ: IE7

21. Malwarebytes’ Anti-Malware 結果編

私の不安をよそにすばらしい成果です。
「Malwarebytes’ Anti-Malware」の驚きの性能に脱帽です。

「Malwarebytes’ Anti-Malware」のログファイル「mbam-log-****-**-** (**-**-**).txt」を見てみます。

レジストリキー、データアイテム、ファイル、が感染しています。

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 0
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 10

2つのレジストリキーを隔離し削除しました。

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

2つのデータアイテムを隔離し削除しました。

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

10のファイルをリブート時に削除します。

Files Infected:
C:\WINDOWS\system32\TDSSbrsr.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSoiqh.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSriqp.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSxfum.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\drivers\TDSSmqlt.sys (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\Temp\TDSS8669.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS89e3.tmp (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSlxwp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSStkdu.log (Trojan.TDSS) -> Delete on reboot.

SDFixで残っていた「TDSSoiqh.dll」も削除することになっています。
SDFixで削除したとしていた「TDSSmqlt.sys 」も削除することになっています。

今回はかなり楽観的に処理結果の確認を行えます。
(1)カスペルスキーの更新はOKです(既済)
(2)AVGなどのアンチウィルス会社のHPは参照できます(既済)
(3)以前作成した「TDSS.txt」が表示されています
(4)別のフォルダで「TDSS.txt」を作成しますが消えません。
(5)カスペルスキーを起動しますがフィッシングサイトへのアクセスはありません

完了です。
元に戻った感じがします。

IE7で重たかったサイトに繰り返しアクセスします。
もとのIE7のレスポンスに戻りました。
firefoxは快調です。

終わった感じがしました。

2008年12月22日 14:53:21

05. 何かがいます

やはり、IE7が重い
少々酷使したらとてつもなく重い

Googleで検索して、見てみたいページをCTRL+クリックでいくつも開いていく(10タブぐらい)
開いたタブを見終わるごとに閉じて、次のタブに移る
開いたタブを全部見終わったらGoogleの検索結果に戻る
検索結果から満足なHPが見つかるまでこれを繰り返す

これをしているとIE7はメモリ管理がうまくいっていないため、使用メモリが巨大化し動作が緩慢になる
これを解消するにはIE7をいったん終了し再起動すればよい
再起動したIE7はコンパクトなメモリ使用量となり動きも元に戻る

ところが今回は使用メモリが巨大化する前にHPの表示が極端に遅くなる
広告やリンクなどのイメージデータがたくさん張り付いたブログにアクセスしたときに顕著である
ページ全体が表示されるのに相当時間がかかるが、その間CPUはほとんど使用していない
メモリも巨大化と呼ぶにはまだ余裕がある状態である

広告やリンクなどのイメージデータはそれぞれ別のドメインのサーバ上にあるようだ
ここで推測、
私は1ページを参照しようとしているが、ブラウザは相当たくさんの数のサーバから別々にいろいろなデータを持ってきているのでサーバの数だけ名前解決が必要となる
そうです!
このパソコンの中で名前解決に時間がかかっているのです
このプロセスは出来が悪いようで名前解決の効率が悪く、負荷がたかくなりブラウザに対してタイムアウト(ほとんどフリーズ)を起こすようです

データの転送時間、サーバの負荷、このパソコンのブラウザの処理時間、のどれもたいした負荷はかかっていないのです
データの転送時間は回線の処理試験から感覚的に導き出します
サーバの負荷は別のノートパソコンで同時にサイトにアクセスすればわかります
パソコンのブラウザの処理時間はパソコンのCPU負荷を見ていればわかります

この状態でIE7を終了し、新規にfirefoxでアクセスしても状況は変わりません
さらにfirefoxを終了し、再びIE7を起動しメモリ使用量が最小の状態でも状況は変わりません
この状態だととてつもなく遅いレスポンスとなります

このパソコンのブラウザとわたしが訪れるWebサーバの間にはよからぬものが何かいます
また確信しました
しかし成す術がありません

2008年12月17日 10:37:37

04. 4人目を見つけました

4人目をMSN相談箱で見つけました

私を除いて4人目です
最初の2人は土日にハマったときに出会ったサイトだったのでURLを記録していません 不覚
この方は、かなり詳細に記しています
その内容は私のそれと瓜二つです

ここでわかったこと
(1)AVG固有の問題ではなさそう
   マカフィーの固有問題でもなさそう
(2)名前解決、Webの画像、PCの再起動、などに注目して策を講じているところが私と同じ
(3)1週間程度、右往左往してしまい解決に至っていないことも私と同じ
(4)セキュリティソフト会社のサイトが見られない、アップデートができないことは私と同じ
(5)Freeソフトを使っていることが私と同じ
(6)この方はOfficeにも注目していますが、私のところではOfficeに直接起因することはしていません
(7)2008年の11月下旬で私と時期が近い

出典:MSN相談箱

http://questionbox.jp.msn.com/qa4503377.html

以下全文コピペ(引用)です

質問番号:4503377

質問者
masato-wa

質問
特定のWEBページにアクセスできない

困り度:
すぐに回答を! 1週間程前から以下の状況になってしまいます。同じような症状になった方はいませんか?対応策を教えて頂けると助かります。

【症状】
・PC起動後暫くWEBを使っていると、突然遅くなる(特に画像の読み込みが非常に遅い)。PCを再起動すると復旧する。
・特定のサイトにアクセスできない。
http://jp.trendmicro.com/
http://www.mcafee.com/japan/
などなど、時々ある。

【環境】
windows XP SP3

【確認したこと】
・家の他のPC(同じプロバイダー、ルータ使用)では、発生していない。
・もともと、Mcafeeを使っていたが、問題なし(ウイルス検出無し)。
・他のPCでダウンロードしたウイルスバスターをインストールし、ウイルススキャンを実施。問題がありそうなウイルスはひっかからず。ただし、trendmicroのページにつながらないため、最新のパターンファイルにはアップデートできなかった。
・hostsファイルを検索し、書き換えられていないことを確認。また、変なhostsファイルも存在しない。
・DOSで「nslookup www.mcafee.com」とたたくと、216.49.88.12となり、「http://216.49.88.12/japan/」では、正常に表示される。
・起動しているプロセスを確認したが、問題がありそうなプロセスは見当たらない。
・ウイルスソフトを抜いてみたが、状況変わらず。
・ファイヤーウォールをOFFにしたが、状況変わらず。
質問投稿日時:08/11/24 14:56

回答番号:No.1

回答者:marvel21

なかなか適切なご対応をされているので、相当に詳しい方のようです
> もともと、Mcafeeを使っていたが、問題なし(ウイルス検出無し)。
とのことですが、当のマカフェにアクセスできないのは変ですね
考えられるのは、セキュリティソフトの関係だと感じます
> PC起動後暫くWEBを使っていると、突然遅くなる(特に画像の読み込みが非常に遅い)。
画像のキャッシュが影響して、そのような傾向は出ると思いますがアクセスできないサイトが、何れもセキュリティソフト会社のサイトなので、ユーザーとして、マカフェの相談窓口に、お尋ねになられてはいかがでしょうか
アンインストールしても、レジストリーには、いろいろ残っているのでそれが影響しているかもしれません
プロキシの設定の問題のようでもあります
ソフトの費用には、サポート費も入っていますので、遠慮されず今回のことに限らず、トラブルは遠慮なく、セキィリティソフト会社やISPや、通信事業者に、お尋ねになられてはいかがでしょうか

直接話すと、このサイトなどと違って、質疑応答が即時に出来るので、時間も早く、正確な情報を基に、様々な原因究明に対応した、有効なお話し合いが可能になると思います

回答日時:08/11/24 15:25

この回答への補足

Office XPのSP3の自動更新要求に答えてアップデートしました。
今度は、うまくアップデートできましたが、問題はやっぱり、これでは解決しません。

以下の(1)(2)が何か関連しているのでしょうか、、
わかる方がいれば、アドバイス頂けると助かります。

(1)PC起動後暫くWEBを使っていると、突然遅くなる(特に画像の読み込みが非常に遅い)。PCを再起動すると復旧する。
(2)特定のサイトにアクセスできない。
http://jp.trendmicro.com/
http://www.mcafee.com/japan/
などなど、時々こういうサイトある。つながらないサイトはいつもつながらない。

この回答へのお礼

marvel21さん。ありがとうございます。
> もともと、Mcafeeを使っていたが、問題なし(ウイルス検出無し)。
これもフリーのお試しライセンスで、定義ファイルは全然アップデートしていないんです、、、ケチっていてすみません。

>プロキシの設定の問題のようでもあります
特にproxy設定はしていませんが、ネットワークの問題だったら、
同じルータにつながっている他のPCでも起こるように思います。

私のこのPC固有の何かに依存しているような気がしているのですが、
全然解決できないのです。OS再インストールかな、、、

そういえば、問題が起こり始めたあたりで、Office XPの自動更新パッチをあてたら、Office(エクセルなど)が起動できなくなって、Office XPを再インストールしました。よくわからないけれどもこの辺が関係しているかもしれません。再度、Office XPのSP3の自動更新要求があるので、これを実施してみようと思います。

回答番号:No.2

回答者
marvel21

marvel21 です
あらら、お詳しい方なのにセキュリティソフトはケチらないでください
オンラインにしたら、即パターンファイルの更新をするくらいにしたい
ですね
> OS再インストールかな、、、
さすが、頼もしい方です
SP3と同時にIEを7にしていると戻せないので、できませんがそうでなければ、SP2に戻してみてはどうでしょうか
リカバリーすると、環境も快適になりますから、止めませんがマイクロソフトも、親切なので、聞いてみては?

回答日時:08/11/24 17:48

ここまで引用—————————

追記:
著作権法の定める引用の条件を満たすものと考え、このエントリには出典を明記した上で引用をさせていただきました

2008年12月16日 16:30:15

03. 3人目をみつけました

3人目を2chの板で見つけました

ここでわかったことは
(1)AVGの7.5でも起きていること
(2)SP3にしても現象が改善しないこと

出典:2ch 「AVG Anti-Virus Version 80」板
http://pc11.2ch.net/test/read.cgi/sec/1228138056/l50

以下コピペ(引用)です

なあ、最近ネット中にPCが異常に重くなるんだ。
cpuの使用率は0%なのに。
クリックしても反応しなかったり、タスクバー上でカーソルがヘンなかたちになったりするんだ。

ウィルスやスパイウェアもチェックして、メモリテストや再インストールもしたんだけどダメだった。

ひょっとしてavgの7.5が原因じゃないかと思うんだけど、どうかな?

ちなみにOSはXP Pro、ブラウザはIE6使用。XPはSP2でもSP3でも結果は同じだった。

ここまで引用—————————

なんと日付は
  DATE:2008/12/14(日) 22:00:54
同じ時間に苦戦している人がいた

追記:
著作権法の定める引用の条件を満たすものと考え、このエントリには出典を明記した上で引用をさせていただきました

2008年12月16日 16:29:15

02. 次の一手

私のパソコンはわりと軽快に動きます

CPUは2年ぐらい前の標準的なものでメモリは1GBです
WindowsXPのプロセスは整理したので、Windows起動直後で18です(System Idle Processを含む)
これにアンチウィルスソフトのプロセスが複数個動作します
さらに、tclockと付箋紙とpopfileをスタートアップで起動します
何が動いているかは把握しているつもりです 一応、レジストリとスタートアップに見覚えのない記述はないか調べましたがありませんでした

Windowsの自動更新は無効にしています
SP2まで対応した後は、個別に判断して更新します
(立ち上げ時や予期しないときに高負荷で身動きが取れなくなるのを好まないので)

一般の人にはあまりメリットがないということでSP3にはしていません。
SP2以降個別に判断して更新していましたが、こういうことがあるとSP3にすべきかなと思います
今日の夜、microsoftからダウンロードしておいたSP3を当ててみます

IE7は新規にインストールしなおしていますから感染の確率が低いでしょう
前述の18プロセスが感染して動作しているか、18プロセスには現れないステルスなウィルスなのか
どちらにしてもWindowsもしくはその最も近いところで何かが起きているのでしょう

おっと、IE7は新品ですがアドオンはどうなんでしょうか
アドオンのなかに悪さをするのがいるのでしょうか
しかもfirefoxやoperaでも同様だとするとアドオンはかなり絞れますね
とはいうものの、私のパソコンにどれほどアドオンがいるかはあとで調べてみます
アドオンの知識もいまいちなので少し調べないといけないでしょう

ノートパソコンもプロセスを整理していますが、いかんせんドライバをはじめいろいろなソフトが動作せざるをえないので動作は緩慢になります
でも、健全な動きをしてくれています

2008年12月16日 15:31:26

01. 新種のウィルスか、設定ミスか

自宅にAVG Free 8.0を使っているパソコンがあります
11月までは問題なく稼動していました

たぶん、12月初旬
AVGのアップデートがうまくいきませんでした
サーバのトラブルか混雑かと考え、明日にでも更新すればよいと特に気にとめませんでした
翌日もアップデートがうまくいきませんでした
「どうしたんだろう」とは思いつつ、また今度と考えました

12月9日夜、インターネット・エクスプローラを酷使していました
時間とともに非常にレスポンスが悪くなりました
プロバイダのDTIの問題かと思いましたが、特にそんな様子はありません
ADSLのアッカの問題かと思いましたが、特にそんな様子はありません
NTTの問題かと思いましたが、特にそんな様子はありません

ADSLの速度試験をいくつか行ったがレスポンスは特に問題はないと出ました
摩訶不思議?
インターネット・エクスプローラかと思い、インターネット・エクスプローラを再起動しましたが特に変化はありません
これでは埒が明かないので、WindowsXPを再起動
見事に解消!
WindowsXPも最近はくたびれてきたのかと思いました

AVGのことをしばらく忘れていました
12月11日、AVGの更新がうまくいっていないのでAVGに何かあると思いWebサイトを訪れました
avgjapan.comは特に問題は無いようで騒いでいません
avg.comへ行ってみました
サイトにアクセスできませんでした
なるほどそういうことか、と思いました

12月13日、朝からインターネットを始めるもまた重いです
休みだし今日は手入れをするかと考え、IE7を上書き再インストール
結果は変わりません
IE7のクッキーや一時ファイルなどすべて消去しました
でもだめでした 手抜きはダメです
IE7をきれいに削除して再インストール
結果は変わらず、WindowsXPかな?
WindowsXP SP2を上書き再インストール
結果は変わらず、AVGのトラブルに起因しているのか?
AVG8.0を削除、再起動して久しぶりにIE7を裸のまま利用
まあまあ快調、どのサイトも通常のレスポンスになりました

っで、avg.com、相変わらずサイトが死んでいます
そういえば、AVGのアップデートはどのサーバーだろう?
free.avg.comでした
早速アクセス

「可能性のある原因:
インターネットに接続されていない。
Web サイトに問題が発生している。
アドレスに入力の間違いがある可能性がある。 」

やっぱり死んでいます
firefoxとoperaで試してみました
やっぱり死んでいます

でも、AVGが騒ぎになっていないのはなぜだろう?
Symantecはどうだろう?早速アクセス
えっ!死んでいる
avastはどうだろう?早速アクセス
えっ!死んでいる
Aviraはどうだろう?早速アクセス
えっ!死んでいる
Kasperskyはどうだろう?早速アクセス
えっ!死んでいる

これはおかしい
AVG.comを逆引きしてみました
64.74.243.15にアクセスできた!!!!!

ってことは、このパソコンがおかしい
知らぬ間に感染したのだろうか
早速、AVGで完全スキャンをっと思いつつもAVGを消してしまっていました
不覚
えっ AVG.comからダウンロードができません
avastもAviraもだめです

おお、救世主「ClamWin Free Antivirus」ならWebサイトにアクセスできるしダウンロードもインストールもできます
早速、ウィルス駆除開始!
結果、ウィルス感染してません!
ClamWin Free Antivirus しっかり!
ほかのアンチウィルスサイトがアクセスできないのに、ClamWin Free Antivirusにアクセスできたことがこのソフトの実力なのだろうか

ほかの感染していないパソコンで、AVG Free 8.0 をダウンロード
インストール完了
しかし、アップデートは当然できません
これでは、ウィルス感染している現状を打破できません
おお、さすがAVG! アップデートをファイルでダウンロードできるしくみがあります
さっそく、2台のパソコンを駆使して最新のAVG Free 8.0 を装備
さて、元の鞘に収まりつつも最新の状態で完全スキャン開始!
ウィルスは発見できません!!

信頼すべきAVGの最新版をもってしてもウィルスが検知できないとは・・・
現状を調査しながら整理します

1.WindowsXP、IE7、は最近まで通常利用に支障は無かった
2.AVG Free 8.0 もきちんと動作していたように思う
3.数日前にIE7が異常に重たくなった
  プロバイダや回線の問題ではないようだ(速度試験やWebサイトの広報から推測)
4.IE7、WindowsXP SP2、をリニューアルしたら重くはなくなったようだ
  (あれほどの酷使はまだしていないが)
5.99%のサイトは通常どおり利用できる
  利用できない(応答が無い)と確認したのは次のサイトである

www.symantec.com
www.mcafee.com
www.avira.com
www.bitdefender.com
www.nod32.com
www.kaspersky.com
www.avast.com
www.trendmicro.com
www.avg.com
www.grisoft.com
free.grisoft.com

おもしろいことに download.microsoft.com もダメなようです
IE7をダウンロードしようと「ダウンロードボタン」を押したら無視されました、何度も何度も

これはもう、「ある意図を感じる」「ビンビン感じる」
(私以外の)誰かの意図でこうなったと考えるのが普通でしょう
これで「ウィルスに感染した」と思いました

今度はウィルス感染に絞って考察します

6.この現象は、同じWindowsXP+IE7のもう一台のサブのノートパソコンを「自宅の同一LAN」上で利用しても起きない
  IE7のダウンロードも以降のソフトのダウンロードやサイトへのアクセスもサブのノートパソコンなら問題はまったく起きない
  つまり、プロバイダでも回線でもサーバーでもなく、原因はこの1台のメインパソコンの中にある

7.ネットで調べるとMytobというワームがサイトへのアクセス拒否で似たような動作をしている
  ここで問題になったのはWindowsXPのhostsファイルの記述である
  早速確認するも127.0.0.1 localhost の1文(デフォルト)しかない
  hostsではない
  そもそも今から3年前のワームをAVGが検出できないとは思えない

8.ping,tracert,nslookup,netstat,ipconfig,などを利用して感じたことは、
  問題のサイトにアクセスしようとすると、Proxyのようなところで要求がフックされ放置されるためアドレスがDNSで引かれない
  よって応答が無く、サイトが死んでいるように見える
  これは、httpのプロトコルだけでなくftpでアクセスを試みたり、その他のtcp/ipのコマンドの利用からの感想である
  所感では、www.avg.comが127.0.0.1へアクセスにいっているように見える Webサーバのサービスを停止しているこのパソコンは当然無応答なのでクライアントであるこのパソコンからは死んでいるように見える
  (自宅のLANではいずれもproxyは利用していない)
  WindowsXPのネットワーク設定、ファイアウォール、などいろいろいじくってみたが変わらない
  「設定ではない、何かに持っていかれている、それもアンチウィルスサイトについてだけ」・・・

9.「要求のフック」で自問自答
  迷惑メール対策にpopfileを利用している
  結構匂うが、これはpopプロトコルでかつ設定がされている場合のみであるためこの影響は低い
  popfileは迷惑メールによるワームの温床になるので非常に危険なフォルダである
  先ほどの完全スキャンの対象でもあるのでシロ
  判るのはここまで

10.ネットで調べようとするが適当なキーワードがわからない
  ワーム、ウィルス、プロキシ、フック、hosts、特定のサイト、名前解決、DNS、・・・
  いくつか似たような人の質問サイトを覗くが、回答している人が端っから赤子扱いで参考にならず
  別のサイトで質問者の中に2人今回の私とほぼ同様の現象で、ひとつひとつ現象を潰している人がいた
  結論には至っていないようだ
  気になったのは、この2人が質問をしているのは今年の11月である

11.そうこうしているうちに藁をもすがる思いで、avastとspybotと必殺カスペルスキーで完全スキャンした
  どれもウィルスを検知せず!!!

12.ルートキットの臭いもしてきたが、私自身がこの手の知識が不十分なのであくまでも臭いである
  でも、ルートキットは厄介である 対処がおおごとになりそうである
  さらにトロイの木馬ということで、バックドアがあいているのか?
  一応、自宅のルータには少々強めのパケットフィルタリングをしているが、この厄介な産物のハッカーならば無いに等しいフィルタリングかもしれない

ウィルスのような外部からの影響でこのような事態になったと思います
私個人は確信しています
でも、外界にはそんな様子が無い!
アンチウィルス会社はどこもそんな報告をしていません
アンチウィルスのソフトでも引っかかっていません
上記のような状態では「誰かにやられた」と助けを求めづらい

土日のすべてをこれに費やしました
メインパソコンの通信環境はほぼ調べつくし、やれることはやりました
でも、解決できない 困った

ほかの人が同様の問題に遭遇し、解決して、公表してくれるのを待つか
あきらめてWindowsXPをクリアインストールするか

今はどちらかしかありません

知力、体力、能力の限界!
少々不安ですが、賢人が解決ししてくれるのを待ちましょう

2008年12月16日 00:04:05