incredibarについて(デフォルトページの改ざん、ダウンロードファイルの改&#123

■症状
・IE9のデフォルトページがincredibar.comに変更される。
・FireFox9.0.1 のデフォルトページがincredibar.comに変更される。
・firefoxでもIEでも、デフォルトの検索エンジンがincredibarに変更される。
・Chrome16.0 において、「about google chrome」をおして表示される画面で、自動的に最新バージョンかの確認が走るが、それに失敗する。
・Chromeを再インストールしようとしてダウンロードすると、下記のエラーメッセージが表示されます。
「ダウンロードエラーです。ダウンロードしたファイルの検証に失敗しました。エラーコード=0X80040508 」

■当方で行った対策
・avast Free Antivirus による「完全なシステム検査」
→異常なし (上記問題は引き続き発生)
・msconfigよりスタートアップの項目を、信頼できるものだけを残してほかはすべて停止
→上記問題の改善。chromeのインストール可能。
→chromeのインストール失敗はファイルの改ざん??
→ここで、ウイルス等の原因があると判断して、ネットから切断。
・malwarebytesによるスキャン
→異常なし

■原因の推測
http://www.poedit.net/というサイトから、 poedit というツールをダウンロードしようとしたときに、(実は広告だった)download here というリンクをクリックしてしまい、気づかずにそのままダウンロード、インストールしてしまった。そのソフトはADLSoft UnCompressor という名前。尚、このソフトはアンインストーラもついているが、それを実行しただけではインストールファイルが消えなかったため、ファイルの削除を行った。

■環境
windows 7 home edition

状況報告は以上です。
他にも、被害が見えにくいマルウェア等が入っていないか不安です。
なにか情報ありましたら教えていただければ幸いです。

こんにちは cottontonton さん

Malwarebytes Anti-malwareで引っかからないとなると厄介ですね。
avastやMalwarebytesの定義ファイルのアップデートは正常に出来ているのでしょうか。ウイルスによっては、定義ファイル更新を妨害するものもあります。
また、Google等の有名サイトが別のページに転送されるとか、セキュリティソフト会社のページにアクセスできない、などの症状はないでしょうか。

http://forum.avast.com/index.php?board=4.0 では専門家の方がウイルス駆除依頼を受け付けてくださっているのですが、英語ですので・・・。

私は駆除の専門家という訳ではないので、(比較的簡単に)単独で使える駆除ツール類をいくつか紹介させていただきます。
aswMBR
http://public.avast.com/~gmerek/aswMBR.exe
avast製のMBR感染型ルートキット駆除ツールです。
起動後、"Scan"をクリックするとスキャンが始まります。赤文字で"ROOTKIT"などと表示された場合には、感染が疑われますのでご一報ください。

Microsoft Safety Scanner
http://www.microsoft.com/security/scanner/ja-jp/default.aspx
Microsoft製の汎用ウイルス駆除ツールです。
個人的な感覚なのですが、Microsoftはこういったツールバー系やブラウザ乗っ取り系のウイルスに結構強い印象があるので、ひょっとすると何か引っかかってくるかもしれません。

TDSS Killer
http://support.kaspersky.co.jp/faq/?qid=208283445
Kaspersky製のルートキット駆除ツールです。対象は限られていますが、対応しているウイルスに対しては非常に性能が良いことで知られています。
起動後、"Scan"のボタンを押せばスキャンが始まります。

それから、cottontonton さんのメールアドレスが一般公開される設定になっているようです。

  1. 右上の"PROFILE"をクリック
  2. 左側の"Account Related Settings"を開く
  3. "Hide email address from public?"にチェックを入れる
  4. 一番下の"Change Profile"を押す
    の手順で、メールアドレス非表示の設定を行われることをお勧めします。

NON様

お返事ありがとうございます!

avast,Malwarebytesの定義ファイルは特に異常はでていません。
また、「Google等の有名サイトが別のページに転送されるとか、セキュリティソフト会社のページにアクセスできない」といった症状も出ていません。

駆除ツール類、教えていただき、ありがとうございます。
早速、ダウンロードしてスキャンしてみます。

以上、取り急ぎ御礼申し上げます。

NON様に教えて頂いたサイトのツールで全体スキャンを行いました。
結果見つかったのは、下記のものです。
・Windows\system32\drivers\ 以下の、
KPENUM.sys
KPMDM2K.sys
KPPORT2K.sys
KPUSB.sys
pmxdrv.sys

疑わしいファイル(危険度:midium)で出てきたので、一応、別フォルダへ退避させました。

ですが、その後malwareBytes
において、下記のようなブロック報告が出ています。

2012/01/22 01:18:36 IP-BLOCK 83.128.111.252 (Type: outgoing, Port: 48561, Process: skype.exe)
2012/01/22 01:18:36 IP-BLOCK 83.128.111.252 (Type: outgoing, Port: 48561, Process: skype.exe)
2012/01/22 01:18:44 IP-BLOCK 83.128.111.252 (Type: outgoing, Port: 48561, Process: skype.exe)
2012/01/22 04:34:30 IP-BLOCK 89.28.38.57 (Type: incoming, Port: 48561, Process: skype.exe)
2012/01/22 04:34:30 IP-BLOCK 89.28.38.57 (Type: incoming, Port: 48561, Process: skype.exe)
2012/01/22 04:34:30 IP-BLOCK 89.28.38.57 (Type: incoming, Port: 48561, Process: skype.exe)
2012/01/22 04:34:30 IP-BLOCK 89.28.38.57 (Type: incoming, Port: 48561, Process: skype.exe)
2012/01/22 04:34:38 IP-BLOCK 89.28.38.57 (Type: incoming, Port: 48561, Process: skype.exe)
2012/01/22 04:34:38 IP-BLOCK 89.28.38.57 (Type: incoming, Port: 48561, Process: skype.exe)
2012/01/22 04:36:54 IP-BLOCK 98.142.245.106 (Type: outgoing, Port: 52742, Process: skype.exe)
2012/01/22 04:36:55 IP-BLOCK 98.142.245.106 (Type: outgoing, Port: 52743, Process: skype.exe)
2012/01/22 04:36:55 IP-BLOCK 98.142.245.106 (Type: outgoing, Port: 52744, Process: skype.exe)
2012/01/22 04:36:55 IP-BLOCK 98.142.245.106 (Type: outgoing, Port: 52746, Process: avastsvc.exe)

これをみると、avastのアップデートもうまく行っているか、少し疑わしい気もします。
hostsファイル等が書き換えられているわけでもなく、どこをどうやって確認するか、わかりません。

もし情報がありましたら教えていただけますとありがたいです。

本体は発見できなかったようですね・・・。
VMにて問題のソフトを試してみたのですが、Babylon Toolbarがインストールされたものの、Incredibar(調べたところMystartというマルウェアの一種のようです)は出てきませんでした。
リダイレクトやHosts改竄はないようですので、やはりツールバーの類でしょうか。

avastの定義ファイル更新の状況については、メインウィンドウ → メンテナンス → 更新 で定義ファイルの日付を見れば確認できます。
今日は2012年1月22日ですから、「公開日」が2012/01/22になっていれば問題ないと思います。

次のソフトで直らなければ、英語ですが専門の方に依頼を出すことを考える必要がありそうです。
ツール紹介ならまだしも、これ以上は生兵法で無暗に出来るものではないので・・・。

Kaspersky Virus Removal Tool
http://www.kaspersky.com/antivirus-removal-tool?form=1
Kasperskyの製品版と同じエンジン・定義ファイルを使った駆除ツールです。
ダウンロード後に実行、"I accept the license agreement"にチェックを入れて"Start"をクリック。
画面右側の歯車をクリックし、スキャンしたい場所を選択して(Cドライブあたりにチェックを入れると良いかもしれません)、左端の"Automatic Scan"を選び、"Start Scanning"をクリック。
ウイルスが見つかると、画面右下に赤いウィンドウが出ますので、必要なファイルでないことを確認して"Delete"を押すと削除されます。
全ての駆除が終わると、製品版の宣伝が出ますので"No Thanks"を選べば消えます。あとは終了して構いません。

NON様

本当にご丁寧にありがとうございます!
検索してもなかなか情報が出てこなくて困っていたところで、とても感謝しています。

ツール、試してみます!
ありがとうございます。

尚、avastの更新は、最新日付になっています。
(通信先が改ざんされて、ダミーファイルで更新されている、、とかでないかな、という意味で少し心配です)

以上、取り急ぎ御礼申し上げます。

ものすごく今更なのですが、このトピックに検索でたどり着かれた方もいるかと思いますので、参考までに載せておきます。

IncredibarやMystartを含め、ツールバー系の感染に有効な駆除ツールが英語版フォーラムで紹介されていました。
なお、このツールはMystartのみならず、「悪質」とされるツールバーをまとめて駆除してしまいますので、場合によっては使っていたツールバーまで消されてしまう可能性があります。
また、ツールバー自体も変化していますので、このツールで常に駆除できるとは限らないこともご承知おきください。

AdwCleaner
こちらからAdwCleanerをダウンロードし、適当な場所に保存してください。
次に、起動しているソフトを可能な限り終了し、編集中のデータなどを保存してください。
その後、起動して「Delete」をクリックすると、駆除が実施されます。駆除後はコンピュータの再起動が要求されますので、「OK」を押すと再起動されます。

2012/10/08編集:誤記修正