メガトレンド

ということで(?) 最近出回りだしたと思われるスパイウェアに感染してみました（わらい
アイコンも無い、明らかにアヤシイexeを実行したらやっぱり怪しかったという。
症状としては不定期に
http://antispyware.com/index.php

（インストールしたらダメですよ）
に飛ばされるというもので、タスクマネージャというかProcessExplorerで見ると、いつもは居ない、イカニモアヤシイ.exeやらソリャナイゼセニョール.sysとかがいて、それらをKillするも、exeはまぁ落ちるのですが、sysの方はすぐ復活してくる。まぁコマンドライン見るとrundll32から呼んでるのでサービスとして動いてるんでしょうけど。
ところで最近こんなことに見舞われるとすぐ実行するcombofixですが、これがなぜか実行できない。
SmitfraudFix.exeも実行できず。
exe壊れたかな。とおもってぐぐって落とそうと思ったら、どこも404。ページが見つかりません。
ありゃ、いつのまにか配布中止したのかな。と思ったけど、感染してないマシンではダウンロードも実行も出来ることから、スパイウェアが止めてるのね。すげえ。
まぁアヤシゲなサービスとexe終了させてもなおその状況なので、こりゃーHiddenなサービス、Rootkitでしょー。ってことでとりあえずフリーのRootkit削除ツール、RootkitBusterをダウンロードして実行。
したらちゃんとHiddenで不正なレジストリエントリが発見されて、clbdll.dllを実行するようになってました。Vundoの亜種なのかな。
とりあえずそれらをRootkitBusterで削除して、再起動した後にはComboFixとSmitgraudFixが実行できたので、一件落着。
その後、違うスパイウェア削除のツールを2～3試しましたが何も検出されないのでまぁいいかと。