顧客のPCがウイルス(スパイウェア)にやられたと言うことで、のこのこと対処に赴いてきた。
続きを読む
そのスパイウェアの名は"TSPY_LINEAGE.B"
先日、価格コム経由でばらまかれたものの亜種のようだ。先日書いたとおり、顧客のネットワークではPCに"ウイルスバスター コーポレートエディション"がインストールされている。で、ウイルスバスターはちゃんと仕事をしていて、見つけるやいなや"隔離しました"と報告するのだが・・・・起動するたびに"隔離"を行っている状態。管理コンソールでは、発生が100件を超えて、アウトブレークが始動してしまっている。
単純に、レジストリーのキーを削除すればいいのかな、、と思いつつ実機を触る。 起動させると話に聞いていたとおり、"隔離しました"のダイアログ
"システムの復元"が有効になっているせいという仮説を立て、監査を無効にし、ウイルスバスターで全検索するが、ウイルスは見あたらない。
トレンドマイクロのウイルスデータベースに従い、"T1DLL.DLL"を検索すると、プログラムフォルダの、トレンドマイクロフォルダの中にいる。うーむ。
プログラムフォルダに怪しいファイルが・・"Svhost32.exe"トレンドマイクロの英語情報では(俺の語学力が)心許ないので、mcafeeの情報を元に、レジストリを見あたらない。
まあ、起動時に何か悪さをしているやつがいるのだと推定して、"Msconfig"を立ち上げる。
ビンゴ!起動時に、前述の"C:\Program Files\Svhost32.exe"を呼びにいっている。 試しにこれをオフにして再起動すると、"隔離しました"は表示されなかった。
レジストリのキーを削除し、"Svhost32.exe"も削除。 やれやれ。
日本語情報が見あたらなかったので、このウイルスについての覚え書きを以下に記す。
botany
