※: このマルウェアおよび症状は2004年頃大流行した当時のものです。
2007年1月現在でホームページが「c:\secure32.html」になる場合には、まず、SmitFraudFixの使用を検討して下さい。
最近このサイトの掲示板で、このスパイウェアの被害が立て続けに来てますのでこのページを作りました。なお、このページの対処法は「とりあえず」である可能性があります。作業終了後必ずアンチウイルスソフトでウイルススキャンをして下さい。
また、Windows2000をお使いの方は以下の「C:\WINDOWS\」を「C:\WINNT\」に読み替えて下さい。
secure32.htmlの代わりにsecure.html、secure1l.html、securea.html、secureb.htmlとなる変種も出現してます。
その場合はsecure32.htmlをsecure.html、secure1l.htmlに読み替えて下さい。
1の場合、IEを起動させるとこんな警告のページが立ち上がります(70%に縮小)。secure32.htmlによるもの
「You are visiting PEDO sites!」。典型的な脅して何かを買わせようという手口です。
下の方を見るとこんなこけおどしも書いてあります
まあこのあたりは「Web見たときに抜かれる情報」をこれ見よがしに見せてるだけで何の心配もいりません。ただ脅しとしては結構効果的かも。それにしても「YOUR LIFE IS DANGER!」ってアンタ(笑)。
ついでにこのウィンドウを閉じると恐ろしいことに全画面でこんな奴が出ます。慣れた人ならCtr+Alt+Delでタスクマネージャを出して終了させるか、Alt+F4で簡単に閉じられるのですが、初心者だとどうしても閉じられなくてクリックしたり、無理矢理電源を切ったりということになりそうです。ちなみにこれはsecure64.htmlによるものです
「Detected SPYware! System error #384」って…そらアンタのことやがね。
まずHijackThisのログを取ります
ログO4を良く見て、下記のエントリと同じものが無いか探して下さい。
HijackThis以外のウィンドウをすべて閉じ、見つかったエントリエントリをHijackThisから「Fix Checked」ボタンを使って削除し、PCを再起動して下さい。
再起動後、必要に応じて初心者ツールを使うなどして「C:\WINDOWS\reg32.exe」など、見つかったファイルを削除して下さい。念のためまだごみ箱には残しておいて下さい。
ピンポイントでレジストリの修正は可能ですが、ここではIE関連のレジストリを完全にリセットします。一旦IE関係のレジストリをすべて削除し、改めて必要最小限のものを設定します。万一の場合でもバックアップファイルが作成されるのでまず大丈夫です。その代わりバックアップファイルは必ず削除せず保存しておいて下さい。
手順に従って実行すれば、再起動後にきれいな体になっているはずです。もっとも、他のスパイウェアに複合感染してなければですが。
作業終了後PCを再起動し、必要に応じて初心者ツールを使って「secure32.html」と「secure64.html」、または「dl.html」と「dlm.html」を検索して削除して下さい。通常は、
に存在します。また、変種の場合はそれぞれ「secure.html」「secure1l.html」を削除して下さい。もしこの場所に類似の怪しげなhtmlファイルがあればすべて削除して下さい。
ただし、念のためにごみ箱にはしばらく残しておいて下さい。
このページに関しては、ひとえにClass3さんの功績と言って良いと思います。毎度おなじみadultさんのフォローもありましたが、感染例が増えたことに気が付いてデータを取り始められたのがClass3さんです。
Class3さんに感謝致します。
2007.1.12 最初の注意書きを追記
2004.3.8 改訂
