« 2013年9月 | トップページ | 2014年10月 »

2014年3月

2014.03.22

windows7に変なファイルが入り込んでいたので駆除

自分備忘録対処記録メモ。
今日、久しぶりにタスクマネージャを見たら「jubyfa.exe」というプロセスが常駐している??
スタートメニューに居ないし、サービスにも居ないし、レジストリRUN(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)にも居ない。
どこから侵入??
毎日ネットをうろついていたから?しかしブラウザ閲覧だけで何かインストールなんて...
しかし今回は史上最悪にやっかいでした。

(2014年5月追記)
■今度はkxhppo.datが入り込んできた?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
「regsvr32.exe "C:\ProgramData\kxhppo.dat"」
msconfigで見ると、バイナリ提供者はマイクロソフトとあるが、こんな変な場所にdat置かない。
入りこんだ日付ではChromeをインストールしていたんだが....
検索してもこんなファイルの話題はどこにも無いし、
Chrome入れた後で、あちこちWEBサーフィンしたときに変なの踏んだのか?
でもブラウジングしただけで、\ProgramDataにファイル置けないよなぁ。
うーん、またも侵入を許してしまった。
最近IE10で正常に表示できないサイトが増えたので、サーバ障害か?と思っていたけど
他の利用者はサーバにクレームの書き込みしてないし。
なのでChromeを入れたのでした。それだと正常に表示される!!
IE10はオワコンらしい。

(2014年3月)
■消せないファイルの特徴
・実体は「C:\Users\win7\AppData\Local\Temp」自分のプロファイルのtempに居た
・実行コマンドはローカルマシン\runじゃなくユーザ\runに潜伏してた
*ファイルが削除できない!!ファイル所有者(今回の場合win7という名前)なのに
 「win7のアクセス権が必要です」エラーで削除や改名ができない。私がwin7なのに??
・ファイルの移動はできる。移動先でも削除できない。
・ファイルをコピーするとエラーが出るが0バイトのファイルで複製され「それも削除できない!」
・Microsoftエッセンシャルでexeをスキャンさせると「できません」エラー!?
 スキャンできないってどういうこと?
削除できない侵入ファイル

■削除の道程
ネットで検索すると「所有者を自分すればいい」ばかりの回答で、ファイルの所有者は最初から自分(今回場合はwin7という)になってる。これをいじろうとすると「win7の許可が必要」とエラーしやがる!?
adminとかguestとかeveryoneとかにファイル所有者を変えても「win7の許可が」と変わらないのがオカシイ。
win7はadminグループなので所有者を変更できたしフルコントールアクセス権あるのに、自分のモノを自分で始末できない??

封印していたadministratorユーザを登録して(win7では隠されているので、コンピュータの管理から封印解除)、
adminでログインして削除をするもやはりNG。管理者でさえ削除できない??
F8ファンクション起動で、セーフモード配下でやってもやはりダメ。

ツールで「DelFile」「unlocker」試すも削除できなかった。

常に「所有者の許可がー」と言うので、コマンドラインでオーナーを強制変更してみる。
pathの短い場所に移動させてからテスト。

C:\Ehm>takeown /f *.exe   (/aが無いのでログインユーザ(win7)に所有権移る)
成功: ファイル (またはフォルダー): "jubyfa.exe" は現在ユーザー "win7-PC\win7" に
よって所有されています。
C:\Ehm>del jubyfa.exe
C:\Ehm\jubyfa.exe アクセスが拒否されました。

C:\Ehm>takeown /f *.exe /a   (/aでadminグループに書き換え)
成功: ファイル (またはフォルダー): "jubyfa.exe" は現在 Administrators グループに
よって所有されています。

C:\Ehm>del jubyfa.exe
C:\Ehm\jubyfa.exe アクセスが拒否されました。

C:\Ehm>dir *.exe
2010/06/25 12:15 422,400 jubyfa.exe

2010年とかファイル名「jubyfa」は偽装だろうけど、
コマンド使うと所有者は変えることには成功したが、
結局「Administrators グループの許可が必要」と変わっただけで削除はできない。
win7だってadminグループなのに。

■で、結局OSを変えて削除に成功
最後の手段で、HDDからbootしてるWindows配下ではどうしようもないので、
別のOSをDVDからbootして、そのOSに削除をやらせようと考えた。
windows8だと下位互換でご丁寧に7のアクセス権を尊重するかもしれなかったので、
古いvistaを使うことにした。
しかし、
インストールを途中で中断させてコマンドプロンプトを出させたかったのだが、方法判らず。
仕方ないので、ドライバ追加読み込みのボタンを押して
ファイル選択ダイアログウインドウを出させることに成功、そのダイアログで
問題のファイルのあるフォルダに行き、マウス右クリックでフォルダ削除に成功!!

Windowsって、システム属性かなにか知らないが、admin権限でも削除できないファイルあるよね...
今回の変なファイルもそういう特殊属性を付加してたのだろうか。


■もうひとつ侵入していた謎ファイル

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ここで別の侵入者を発見したのだが、「regsvr32.exe "c:\programdata\gluzrhny.dat"」
他にもjneaxnoy.datとかqjncfkzu.datとか、暗号な命名。
msconfigで見るとファイル作成microsoft社でOS由来だとシグネチャあるが、
こんな場所にこんな名前で常駐させるか? ネットで検索しても何も出ない。
誰も困ってないのか? 逆に公式でないファイルなんだろうと判断。
regsrv使っているなんて怖い。日付見ると今週に侵入してる。
何かやったっけなぁぁ??
とにかく怪しいので削除。特にファイルプロテクトはなかったので削除は成功。

■スタートアップ侵入手口・その他
他の事例だと、ここに仕込んでくる奴も居ましたね
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run


海外の怪しいサイトや怪しいフリーウェアを漁るのは危険ですね。
たまに、タスクプロセスと\runをチェックする私は気付けて、増えているものもわかって
削除すべきか判断できますが、
PCに詳しくない人は、変なのが常駐しても気付かないでしょうし、
先のような削除できないのなんか、私だって怖かったです。
ネットでjubyfa.exeでは全くヒットしなかったので、いったい何者だったのやら。
しかし今回、「強制削除できるフリーソフト」とか藁にもすがる思いで試用したので、
感染侵入に結局セキュリティ充分でないですね私は(汗

まぁ、みなさんもたまにはPCの中を監査してみましょう...ってことで。
にしても、久しぶりのブログでした。
公私ともども忙しく、ネットは読むけど書き込む時間がなかなかとれません...
書きたい話題はたくさんあるのですが。

| | コメント (1)

« 2013年9月 | トップページ | 2014年10月 »