ちくしょー。やられた。システム屋がウィルスに引っかかってしまった。感染したマシンは先日購入して、最近一番使用頻度が高かったネットブック。OSはWindowsXP Home Edition SP3でIE8に、ウィルスソフト導入済という環境。勿論、Windows Update等のセキュリティ・パッチは全て適用済。
で、今回感染したのは、Security Toolという、マルウェア。サイトを閲覧中に裏でこっそりインストールされて、あたかもウィルス検知ソフトであるかのようなインターフェースをしている。で、勝手にHDDをスキャンして、大量のウィルスが発見されたから、我々のソフトを購入しないとコンピュータは危険にさらされているよ!と「嘘の警告」を発してくるというもの。

しかもタチの悪いことに、インストールされた後に再起動をかけてしまうと、エクスプローラーをのっとってタスクバーやデスクトップの操作をできないようにした上でSecurity Toolが画面全体に立ち上がる。なので、タスクマネージャーから強制的にプロセスを終了させることもできないという(笑)
警告は全て英語で表示されるので、うっかりメッセージボックスのOKをクリックなんぞしようものなら、クレジットカードの番号を聞いてくる(らしい)。こんなソフトにクレジットカードの番号を教えた日にゃ、一体どうなることやら。
とりあえず、ネットワーク越しに他のマシンへ感染することがない種類だったので、メインPCで対策を調べてようやく駆除には成功。現在ネットブックは元気に再稼動中。駆除方法は以下の通り。
英語サイトではあるけど、Remove Security Tool and SecurityTool (Uninstall Guide)に駆除方法は詳しく記述されているけど、まあ、日本語の方がいい方も多いと思うので、ウチでもついでに紹介。
駆除作業の大まかな流れとしては、PC起動直後にSecurity Toolがプロセス起動する前に、そのプロセスを殺して、こちらがPCの操作権を握り、Security Toolをアンインストールする、といった感じ。
そこで、Security Toolのプロセスを強制的に終了させるDOSバッチrkill.comを使う方法。でも、これは成功率が低いので余りオススメできない。実際、俺はこれでは対処できなかったので、次の方法で駆除した。
次の方法としては、プロセスの監視と終了を操作できるタスクマネージャーのようなソフトであるProcExpを使う方法。但し、"procexp.exe"のままだとSecurity Toolに起動プロセスを阻害されるので、"explorer.exe"に名称を変更して起動させる。
rkill.comかProcExp.exeをSecurity Toolの起動前に起動できれば、後はこっちのもん。まあ、PC起動直後の数秒間が勝負なので、コイツらはデスクトップとかに直接置いて、PC起動直後の数秒間でとにかく速攻で起動させるのがコツ(笑)
で、俺の場合はrkill.comはダメだったので、ProcExp.exeでプロセスの一覧を表示させて、その中からSecurity Toolのプロセスを終了させた。Security Toolのプロセスはランダムで生成される数字なので、人によって異なると思うけど「54353929.exe」のような、とっても怪しいプロセス名。こいつを殺す。
Security Toolのプロセスを殺してしまえば、後は通常通りにPCが操作できるようになるので、駆除するソフトを起動。Malwarebytes' Anti-Malwareを使って、Security Toolをアンインストールする。
ただ、早くもSecurity Toolには様々な亜種が作られているようなので、上記方法では駆除しきれない場合もあるらしい。
念のため、アンインストール成功後に確認しておくべきことは
1.C:\Documents and Settings\All Users\Application Data配下にSecurity Toolが存在していないか。
2.再起動後もSecurity Toolを復活させるバッチがWindows配下やレジストリに存在していないか。
といったところかな。この辺からはPCの知識がかなり必要になると思うので、説明は割愛。Windowsのレジストリやディレクトリ構成を把握していて、腕に自信がある人は頑張ってみましょう。
まあ、一番確実なのはOSの再インストールだけど、面倒臭いからね(笑)