面倒な話である。
ソフト名はメモとるの忘れたため、詳細が全然わからない。
わかっている範囲:
- ans.exe*1という実行ファイルで、ユーザーのホーム\AppData\Localに実行ファイルを置いた。
- 32bitアプリケーションだった。
- ブラウザが落とされた(侵入経路はブラウザのプラグインか?)。
- 偽セキュリティソフトで日本語ではあった。いわゆる正しい日本語かはチェックしていない。
- .exeの関連付けを書き換えて、ans.exeを通そうとする。もちろん実行させてはもらえない。(メッセージの表示のためだろう)
- Ctrl+Alt+Delはきいた。そこからタスクマネージャも起動できた。*2
- タスクマネージャからプログラムを落とせた。
- 後で気づいたが、デフォルトのブラウザも書きかえるっぽい。何に書き変わったのかは知らない(firefoxが上書きしてしまった)。
- ahにも関連付け?*3意味不明だが、どうもアプリケーションとみなして実行するようだ。*4
とりあえずこんなところである。ちなみにこれ以外でチェックしたものは
- どうもほかにレジストリをいじった部分はなさそう。
- スタートアップなどにも特に登録はない。
- サービスもなさげ。
- 下の対処後は、ネットにつないでも何も反応しない。
で、ひとまずの対処法。
- なんにせよans.exeを殺す。タスクマネージャからで十分。
- ネットから隔離。物理的に。LANケーブルを抜くとか、無線LANのスイッチを切るとか、それが無理(わからない)ならルーターの電源を切るとか。
- ans.exeを保存しておくと後々ウイルス対策ベンダーに提供できるのでいいかもしれないが、面倒なら即削除。保存するにしても間違って実行しないようにせめて改名+移動くらいはしておくこと。
- 関連付けはあくまでexplorerなので、実は最も単純にプログラムを動かす方法は「.exe以外をダブルクリック(など)で開くこと」。ファイルを引数にとりたくないならば.batファイルを作って、そこに実行したいファイルのフルパスを書けばよい。*5
- 上の方法でregedit.exeを開く。検索にans.exe*6を入れて、.exeのキーに来たらキーごと消す。ついでにahとか引っかかったらそれも消す。
これで一通りか。ブラウザを起動するとデフォルトにするか聞かれるくらい。
しかし気になるのは、本当にこの程度で済んでるのか?ということだ。
ほかに注意すべき場所はあるだろうか・・・?