ページ

ページ

2013年5月13日

FBI.CYBERCRIME DIVISION・・・Windows7占拠されました!

知人の知人さんのPCが・・FBI!に・・なんじゃ?それって・・・!

・・ここから知人の知人さんをAさんと記します!

平凡なおっちゃん・・の、知人から、「知人のPCがおかしいから、見てやってくれんやろか?」と・・
まぁ、暇やし・・「こちらの都合の良い時間であれば・・・」で、伺うことに・・!

気楽に受けてしまった・・・後の祭り・・・ 初体験・・良い勉強になりました!
一応、何があっても責任はとれませんが、いいですか?・・と、・・了承をもらい・・!

それは・・・NECのノートBook Windows7です
起動させると、順調に起動・・その後、「FBI CYBERCRIME」のなんかFBIや!って画面!

それも、全画面・・所謂、終了させる手立てがない・・・・
では、「Ctrl」+「Alt」+「Del」でタスクマネジャへ・・・
一瞬、表示されるが、又、「FBI CYBER CRIME」!がでてきはります
おい、おい、なんじゃ・・こりゃ・・?



Aさんに「どうしはったんですか?」と、聞くと・・・
Aさん・・「夜中に目が覚めて、インターネットでみていただけなんです」
平凡なおっちゃん・・・「なにをですか?」
Aさん・・「普通に・・・・」
平凡なおっちゃん・・・もしかしたら・・、うん?・・・
でも、確証が無いし、言えません あれこれ、他人のPCの履歴なんか、覗けないし・・自由やしね!!

持参した、平凡なおっちゃんのLets'Noteにて、Lanケーブル繋いで・・・
そうそう、このAさん宅のインターネットは、NTT光プレミアム、NEC WR8150N 無線ルータで、無線接続にて使っています
その無線ルータにLanケーブル・・・・・ ググって・・・「FBI CYBERCRIME」・・・・出てきました・・英語ばっか・・・!!
で、PCを終了さえできないため、Aさんに、話して、電源強制終了を・・・
そうしたら、Aさんも、そうしていたらしく・・ 結構ですよ!・・やって下さい・・っと!!
では、遠慮なく、・・電源長押し、強制終了・・・!

で、勉強した定番方法・・・セーフモードで、立ち上げてみようか?
そして、システム復元してみようか・・と!! はい、立ち上がりました・・・もしかしたら・・って話していたら、・・
ええぇ・・ 「FBI CYBERCRIME」!が出現です!!
セーフモードも使えませんし、又々、終了さえ、できません・・・・!!

正直、困りました・・・・

平凡なおっちゃんの、Lets'Noteで、ググって表示している、サイト・・・

英語だけど、Googleさんで翻訳してもらい・・・
読んでいくと・・・ やっぱり・・・・・ウイルス! ・・
解決方法・・Step3まであります!

よく読んでみれば、Step2に・・・・システム復元で・・と、あります

この方法しか、ない・・・・・よっしゃ・・これ、実行!!
では・・・F8連打で、セーフモードとコマンドプロンプトを起動

C:¥windows¥sysyem32>cd restore と、入力・・・・ 続いて・・
C:¥windows¥sysyem32\restore>rstrui.exe と、入力・・Enterです

どうでしょう・・・システムとファイルと指定と復元 画面が現れました・・・おおおぉ・・!
ここからは、時折行う、復元です・・・
Aさんに何時から、「FBI CYBER CRIME」が・・・ Aさん・・・4日前から・・・
「では、その前の復元ポイントで復元します」・・・ が、いいですか?・・
一部消えることがありますが、いいですか?と・・・Aさん・・構いません!!って

じゃ・・と、言って、実行・・・ そうするといつもの、Windows7の復元のステップが始まり、終わり、再起動・・・・
さぁさぁ、お立ち会い・・・PC起動し、暫く様子を見ていても・・10分経過しました・・!!
「FBI CYBER CRIME」・・・出てきません・・成功です!!

これで、終わるわけではないのです・・
スタートアップ、Virus対策ソフトで、検疫、レジストリ確認など・・・あります!
で、「msconfig」にて、スタートアップを眺めると、・・書き留めなかったのですが・・
平凡なおっちゃんの勘?で・・・ Aさんに確認し、不要、おかしい?ものを停止させ・・

再起動・・・おおぉ・・普通に起動しました! 出てきません・・・「FBI CYBERCRIME」・・・

次は、Virus対策ソフト・・・AさんのPC・・・NTT光プレミアムのウイルスソフトがインストールされています
それを使って、全検索・・・・開始しました・・・待つこと30分・・・出てきました、
・・ ・・削除・・なんと、42個・・・ウィルス21個、Web脅威21個!!・・

削除されたファイルを眺めると・・・Java・・ばかり!

で、その間に平凡なおっちゃんの、Lets'Noteで、検索条件で、日本語表記で、ググってみると、ありました・・サイトが!!

その方のブログにも、同じ事が書かれています・・・ なんと・・・
「パソコン人質」FBIランサムウェア型ウイルス Win32/Urausy 「身代金要求」
ランサムウエア「Ramsomware」とは、身代金を要求する脅迫ウイルスです・・っと!!

(注:以下の文・・引用箇所あります)
・・ランサムウェアに殺される条件・・として!!
1.Javaを最新版に更新していない
2.Adobe Playerを最新版に更新していない
3.Flash Playerを最新版に更新していない
4.Windows Updateを実施していない
と、詳細の記載と、危険性を・・・・・ で、感染経路は、一般サイト、ブログ経由のドライブバイ・ダウウロード攻撃・・と、あります

因みに、ドライブバイダウンロードとは、特にマルウェアなどの悪意のあるツールや悪意のあるアプリケーションを秘密裏にダウンロードさせるために用いられることが多い。 この場合、ユーザが単にWebページを閲覧しただけで自動的にマルウェアがダウンロードされてしまったり、そのマルウェアが勝手に実行され、インストールされたりする。また、秘密裏にマルウェアのダウンロードや実行が行われるため、ユーザはマルウェアに侵されていることに気付きにくい(ウィキペディアより引用)

Aさんにこのページを見てもらい、「どうですか?」の問いに・・・

Aさん・・1..2.3.は出てきたけど・・邪魔くさいし、分からんから・・していないと!!
4.は自動更新されている様子・・・・
やっぱり・・・・と、

で、最終は、「regedit」・・レジストリ確認です・・・
セーフモードで起動し・・・・「regedit」で・・・
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows NT/CurrentVersion/winlogon/ と、
入っていき、右側の一覧で「Shell」を見つけると・・・と、あります

探しても、ありませんでした
まぁ、とういうことで、無事?「FBI CYBER CRIME」は消えましたし、出てきません!!

知人の知人さんですから、やはり、気を遣います・・・専門家に頼んだらいいのにね!
少々高くついても安心なのに!!

知人・・・勝手気ままな、おっちゃんへの感謝、感謝で、「コーヒー」 奢ってもらいました!
持ちつ持たれつ・・です!・・困った時はお互い様です・・

無事解決できて、ほんと、一安心です・・よかった!! 平凡なおっちゃん・・・今回、覚えました・・・
セーフモード、とコマンドプロンプトからの復元の方法・・役にたちます・・きっと!!

気をつけましょう・・最新版への更新と、ウイルス対策を・・・・・ね!!

追記:この記事、Aさんに了承いただいてから、ブログ作成しています

0 件のコメント:

コメントを投稿