Home > ウィルス、スパイウエア > | セキュリティ > 新たなヴィルス Trojan Horse - siszyd32.exe

新たなヴィルス Trojan Horse - siszyd32.exe

先日、「あちこちのWebサイトを閲覧中に突然 Windowsインストーラが起動して何かをインストールし始めた。」というPCが持ち込まれました。

嫌な予感がしてすぐさまPCを詳細に調べるとスタートアップに siszyd32.exeという今まで見たことも無い名前のファイルがセットされていました。

今回、閲覧していたどれかのサイトで感染したと思われます。該当のPCにはAntiVirus製品はきちんとインストールされてましたが検出できなかったみたいです

Trojan House - siszyd32.exe 発見の過程

以前に USBメモリー等を介して感染を広げるVirusの駆除方法をご紹介した時もそうでしたが AntiVirus製品で検出できないVirusに遭遇する可能性は ゼロではありません。

こんな場合は手動駆除するしかありません。

今回は こんな場合の対処の方法を含めてご紹介いたします。

尚、この方法はレジストリ変更をともないますし、目視にて行う為ヴィルスやワームを完全に駆除できるとは言いがたい事をあらかじめお断りしておきます。

LANケーブルを抜き、さらに無線LANを無効にします

Virusに感染した場合や疑いがある場合は 必ず最初に LANケーブルを抜きさらに無線LANアダプタが搭載されている場合は無効にして2次感染を防止します。

システム構成ユーティリティで確認

  1. コマンドプロンプトから " msconfig " と入力してエンターキーを叩きます
  2. システム構成ユーティリティが起動しますので スタートアップタブをクリックします。
  3. その中に通常起動している物意外に怪しいものが無いか目視で探します。

今回は siszyd32.exe がスタートアップに登録されています。

場所は

C:\C:\Documents and Settings\[ユーザー名]\スタート メニュー\プログラム\スタートアップ\siszyd32.exe

場所を確認したら実態を確認します。 ところが・・・

スタートアップフォルダに siszyd32.exe が 見えません??

スタートアップに格納されているはずの siszyd32.exe が 見えません
当然、Windows Explorer の表示設定は 「全てのファイルを表示」になっています。

レジストリエディターで ファイル表示属性を確認

以下のキーを調べます。

HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Explorer¥Advanced

    以下の名前を確認します

           "Hidden"            値は(1)が正しい値です
           "ShowSuperHidden"   値は(1)が正しい値です


HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Explorer¥Advanced¥Folder¥Hidden¥SHOWALL

    以下の名前を確認します

           "CheckedValue"     値は(1)が正しい値です


以上3つのレジストリの値が【1】以外であれば全て【1】に再セットします

今回は 全ての値は正しく【1】になっていました。

どうやって 自分自身の存在を隠しているのだろう??

念のため 本当に実態がスタートアップに登録されているか確認

本当にスタートアップに siszyd32.exe が登録されているかを確認しています。

スタートアップフォルダを開いて(当然 siszyd32.exe は見えません )

スタートアップフォルダーの中で 同一ファイル名のフォルダを作成してみます。

「指定されたファイル名は既に存在します。別の名前を指定してください」というエラーメッセージが返されますので siszyd32.exe は存在している事が確認できます。

siszyd32.exe 等の Virusやワームの駆除

システム構成ユーティリティで siszyd32.exe が起動しないようにします

システム構成ユーティリティ スタートアップタブを選択

そこに登録されている siszyd32.exe の項目のチェックをOFFにします。
その時、他に怪しい物があれば同様にチェックをOFFにします。

Windowsをセーフモードで起動

システム構成ユーティリティ BOOT.INIタブを選択

/SAFEBOOT(F)にチェック→OK→再起動

起動時 「F8」キーを入力してセーフモードを選択しても同様です。
セーフモードで再起動後 確認画面が出たらYESを押します。

レジストリエディターで怪しいキーを全て削除

1. レジストリエディタを起動
2. 現在のレジストリのバックアップを取得
3. siszyd32.exe を検索して 該当のキーや値を全て削除します。

他に怪しい項目が無いかチェックします。

多くのヴィルスやワームはシステム起動時に自動実行する為以下のキーにエントリを追加します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

上記のエントリを確認して怪しいものは削除します。

今回は、siszyd32.exe 以外に 以下の項目が登録されていました。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"sysgif32"="C:\\WINDOWS\\TEMP\~TMD.tmp"

メモを残して レジストリーから削除します。

作業が完了したらレジストリエディタを終了します。

又、感染PCにインストールされていた Symantec AntiVirus の脅威の履歴 を確認すると
win.jpg が検疫されていました。

これも 検疫フォルダから削除します。

作業が完了したらレジストリエディタを終了します

siszyd32.exe 等 Virus やワームの実態の削除

作業が間違いなく行われていればシステムはヴィルスやワームは起動せず正常起動するはずです。

この状態では ヴィルスやワームは活動していないはずですから siszyd32.exe 等のファイルの実態を削除します。

レジストリに 実態のパス名が載っていましたのでその場所から ヴィルスやワームの実態ファイルを [Shift] + [Delete] キーで完全に削除します。

作業が完了したらシステムを通常モードで再起動します

余裕があれば 削除前に zip ファイルに圧縮すれば AntiVirus製品メーカに検体として送付する事が可能です。

感染を確認したらクリーンインストールをお勧めします

ここまで書いておきながら・・・ですが

今回の場合、怪しいファイルは siszyd32.exe と ~TMD.tmp 以外に発見できませんでした。(後、AntiVirusアプリケーションの脅威の履歴に win.jpg が検疫されていましたが。)

siszyd32.exe はダウンローダーの働きをしているみたいですのでこれ以外にどんなVirusが侵入しているか不安です。 この状態では 侵入した全てのヴィルスやワームを駆除しきれているとは言いがたいので不安があれば 一度PCをクリーンインストールをお勧めいたします。データは最新のバックアップから戻して使ったほうが良いと思います。

AntiVirus製品メーカ に siszyd32.exeを検体として送付

今回のPCにはSymantecのAntiVirus製品がインストールされていましたので Symantec社に siszyd32.exe と ~TMD.tmp を ZIP圧縮してから検体として送付しました。

AntiVirus製品メーカからレスポンスがありました。

早速、23日にレスポンスがありました。

検体を分析した結果 Trojan Horse として分類され 定義ファイルに反映したとの事でした。

12月23日以降の定義ファイルであれば いくつかのAntiVirus製品で 少しずつ検出駆除できるようになっているのではないでしょうか?

Trackbacks:0

TrackBack URL for this entry
http://www.googrekas.com/mt/mt-tb.cgi/45
Listed below are links to weblogs that reference
新たなヴィルス Trojan Horse - siszyd32.exe from アフィリエイトで稼ぐためのサーバ構築スキル

Home > ウィルス、スパイウエア > | セキュリティ > 新たなヴィルス Trojan Horse - siszyd32.exe

Search
Feeds

Return to page top