Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/06 (Tue) 13:49:49

Takaさん、重要情報ありがとうございます。管理人はWindows10を使っていない（手元には有るのですが）ので詳細を確認していませんが、いずれにせよ非常に重要な情報ですね。感謝致します。Windows10のhome版（無印）ですが、home版のユーザーは99％「PCヲタクじゃない」人達が使用しているOSだと思いますので、マイクロソフト社から見れば「やりたい放題」なんだろうと思います。というのもマイクロソフト社から見ればhome版ユーザーさんらは「情弱＝ド素人さん」集団という位置づけでしょうし（多分）、ド素人さんに更新を任せたのでは脆弱性放置のままの危険なOSが全世界に放置される状況になるので、マイクロソフト社は「親心？」を発揮してupdateに関してはユーザー側関与の余地を消したんだと思っています。もちろん、それは表向きの話であって（？）本音レベルでは世界中に広がるOSをマイクロソフト社が思うがままに制御する、、、、そこに本当の狙いがあってhome版に関してはユーザーの自由裁量の余地を与えない処理をした、というのが管理人の「妄想」なのであります。さすがにpro版の場合は、ユーザー層は一定の知識skillある使用者たちであり、SEなどが制御している点を重視し自由裁量権を与えているんだろうと思っています。

マイクロソフト社は、ああ見えて？世界中のマイクロソフト対策ブログや、マイクロソフトを阻止するsoftwareの監視をしているはずで、例えばですがWindows10の暴力的アップグレードキャンペーンをゴリ押ししていた時期に、それを阻止するsoftwareが無償配布されていましたけど、配布されてしばらくすると、そのsoftwareは思うような阻止できなくなりましたね。マイクロソフト社が対抗してきたからです。その事実一つみても、home版でupdateブロックができなくなったのも、マイクロソフト社が慎重に抵抗勢力のテクを分析し、updateで「さり気なく」無効化したからであろう、と管理人は妄想している最中です。

今までもユーザー側がupdateに関してユーザー設定しても、update後にユーザー設定が白紙の状態に巻き戻されていた事例は枚挙に暇がありませんでしたからね。

＊
ところでTakaさんの場合、インタネット回線の契約は月極というか使用量上限が設定されている内容の契約なのですか？管理人も事情がありまして以前はE-mobileのPocket WiFi契約でした。しかし、E-mobileは安価な契約の割にはほぼ使い放題に近く、youtubeの動画をビシバシ閲覧しても通信規制をかけられるようなこともありませんでした。ありがたかったですね。しかし、突然通信規制が掛かるようになり管理人はその契約内容変更に気が付きませんでした。使い放題してしまった翌日は、掲示板を閲覧するだけでも動作が激重になり四苦八苦。原因を調べてみたら、なーんと孫正義らがE-mobileを飲み込んでおりY-mobile?に切り替わっていたんですねえ（全く知りませんでした）。Y-mobileに切り替わってからはPocket WiFiは使えないインタネット回線に変質してしまい、そんなところにマイクロソフト社からの巨大なupdateが襲いかかってくるとupdateした翌日はネットが使えないような激重に転落していったものです。困り果てて探したのがWiMAXの＋2でした。これも通信規制はあるのですが、規制されても通常のインタネット回線利用程度であれば通信規制されていないような感覚で利用でき、Y-mobileと決定的に違いましたねえ。10の暴力的アップグレードの頃、通信規制を心配しながらネット回線を利用しているユーザーの懐事情を考慮することなく、マイクロソフト社は一方的に10のアップグレードデータを送りつけてきたため、それを知らないユーザーのPCは、翌日、通信規制をかけられてほぼネットが使えない状態に転落したという怨嗟の声も多かった。

マイクロソフト社は、KY企業そのものですねえ、どこから見ても（爆笑）。

＊

Takaさん。ネタなどなくても構いませんから、どんどん掲示板に書き込みされてください。遠慮は体に毒というものです。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - Taka

2018/02/06 (Tue) 16:38:16

>>以前はE-mobileのPocket WiFi契約でした。
>>なーんと孫正義らがE-mobileを飲み込んでおりY-mobile?に切り替わっていたんですねえ
>>Y-mobileに切り替わってからはPocket WiFiは使えないインタネット回線に変質してしまい、

私もこれとよく似たことがあります。
まだ千葉にいたときから、
ddi_poket(今のau) と契約して、その回線でインターネット(最高64kbps、最低でも32kbps)をしていたんですが、

そのうちに、

ddi_poket →　ウィルコム　→　emobil →　Ymobile
になって、『オイオイ、Ymobileとは契約した覚えはないぞ』と思っていたら、

やけに遅くなった回線速度を測定してみると、最低保障の32kbpsどころか常時16kbpsになっていた記憶があります。


>>Takaさん。ネタなどなくても構いませんから、どんどん掲示板に書き込みされてください。遠慮は体に毒というものです。

ありがとうございます。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - Taka

2018/02/06 (Tue) 17:08:21

remsh.exeをグーグルで検索してみたら、トップに出てきます。(グーグルさんありがとう)

https://support.microsoft.com/ja-jp/help/4023057/update-to-windows-10-versions-1507-1511-1607-and-1703-for-update-relia
※ ↑『x64』のところをクリックするとremsh.exe が出てきます。

しかし、更新プログラムの説明のはずなんですが、肝心なKB番号がどこにも書かれていないですね。
(ただし上記のリンク名の真ん中付近を見れば、まぎれもなく『KB4023057』についての文書であることが一目瞭然です)
せっかく更新の管理番号を消去するならリンク名も変更しておいた方がよろしいかと・・・・to Microsoftさん。


それと去年の暮れにこの更新番号に気づいて、ググってみたら、

気になったある人がMicrosoftに問い合わせてみたところ
『あなたは何故それを知りたいのか?』
と、Microsoftから逆質問されたとの情報を見た記憶があります。

つまり本当のことを答えたくないときに使う言葉ですね。


また、
https://answers.microsoft.com/ja-jp/windows/forum/windows_10-update/更新プログ/21cdc57b-21ce-406b-8e16-81aef0563102

どうも、この↑リンク内のok123さんの返信内容から 2017/10/26 以前には、きちんとKB4023057の情報であることが、記述されていたみたいですね。

さすがMicrosoftさん。
感心しきり!!!。


--追記--
冒頭のリンクのページの下に、Microsoftのアンケートがあって、

>>この情報は役に立ちましたか
>>Yes or No

Noと答えたら、その理由を聞かれるタブが出てくるんですが、
そのタブの中に、

『KB4023057についての情報である、という一番重要なことがどこにも書かれていないから』

と、正直に書き込んで差し上げたらどういう風な扱いになるんでしょうかね?。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - elirks

2018/02/07 (Wed) 15:27:36

教えていただきありがとうございます。
私、やられまくってました。
pro版ですが、今年１月に週おきに3度も。
(2月6日のはアンインストールしたらまた入ってきたものです)

http://ms-vnext.net/UpdateArchive/
KB4023057
windows10.0-kb4023057-x64.msi
解凍すると確かに出てきます。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - Taka

2018/02/07 (Wed) 15:54:58

参考になれば幸いです。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - Angel of hell

2018/02/08 (Thu) 17:13:54

昨年より怪しいとウワサになってましたね。
当方Pro版、不思議(?)なKB4023057だったのでアンインストールしてます。

更新プログラムの信頼性のための Windows10 バージョン 1507、1511、および 1607 の更新プログラム 2017 年 12 月 8 日
https://support.microsoft.com/ja-jp/help/4023057/update-to-windows-10-versions-1507-1511-1607-and-1703-for-update-relia
↑
1703 がありませんね。

ここにはありません。
↓
Microsoft Update カタログ
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4023057

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - Taka

2018/02/08 (Thu) 17:23:40

>>Microsoft Update カタログ
の件は、Microsoftが意図的に検索などができないようにしたのかなと、思っています。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 名探偵アルパカ

2018/02/08 (Thu) 20:30:39

自分のWin10 homeなんですが、どうも OS_UPdateSTOP.exe を突破されていたらしく、 Windows Updateウイルスに感染してたみたいなんですね

しばらく使ってなかったんで、記憶違いと思ってたら知らない間に

remsh.exe

KB4023057

が生息しておりました

remsh.exeをESETのfirewallで遮断し

KB4023057をアンインストールしたら

Windows Update阻止に成功

ありがとうございました

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - Taka

2018/02/09 (Fri) 06:52:37

>>名探偵アルパカさん

貴重な情報ありがとうございます。
とりあえず、一石を投じてはみましたが、私一人の偏った考えだけではなくて、こういった情報が集まれば心強いです。

私も、一回目の時は、
自分が寝ぼけている状態で自身で解除したのかと思っていました。
しかし、さすがに二回目の時は『やられたと』思いました。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/09 (Fri) 10:22:25

Takaさん

管理人のlenovoノートパソコン（Windows10home）ですが確認してみても、いずれも見つかりません。そこで昨日の深夜、全く使っていない（電源もoffのまんま）デスクトップWindows10の方を緊急？アップデートしてみました。そのまま、寝てしまいましたが「チラ見」したところ、おそらく問題のKBがインストールされたと思います。あとで調べてみますね。


２）ええと、差分比較するに簡易で便利なtoolがありますよ。

https://www.gigafree.net/security/process/systemexplorer.html

マルウエアをちょこちょこっと感染させ動的解析する場合などに重宝するかと思います。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - Taka

2018/02/09 (Fri) 11:40:29

>>管理人さん

ありがとうございます。


ただ、微妙な部分なのでこれ以上は公開を控えさせていただきます。
管理人さんを含めてご協力いただいた方々に、大変感謝しております。

(投稿させていただいた内容にほぼ間違いないと思っています。特に肝心な部分は!)

それから最後に、M社御謹製の『Show or hide updates』は少なくとも、Windows_Homeユーザーに対しては、実質、無意味なツールであることも判明いたしましたので、申し伝えておきます。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - Taka

2018/02/09 (Fri) 14:27:00

>>管理人さん

もし、この件でテストされるなら、もう一つ重要な情報を失念していました。
『KB4023057』が入っていると、どうも『KB4049411』を誘導して入れるみたいです。

念のため。
　　　　　　　　　　　　　　　　　　　　以上です。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/09 (Fri) 14:30:52

【ただ、微妙な部分なのでこれ以上は公開を控えさせていただきます。】

はい、細部を公開し過ぎるとMicrosoft側から報復されて新しい攻撃を繰り返されることになり「後悔」することになりますからね（爆）。了解しております。

remsh.exe

KB4023057

海外でも「これ何？」という質問にとどまっており、決定機な回答がありませんね。これまた奇妙奇天烈な話であって、まこと気持ちの悪いKBです。一体、何を目的としているのか？ということや、明確になったのは電机本舗さんのお助けtoolが見事に破壊されたという事実。これはMicrosoftが明確な意図をもって積極的に行ったのでなければ、説明のしようがありませんから「故意犯」だと認定できるはずです。そうまでしてユーザーの個人設定を破壊する目的とは、何なのか？

以前から管理人は問題視していますがMicrosoftは各個人のPCを「覗き見」しているのではないか？と。いや個人レベルのPCを覗き見したところで有益な情報などありません。しかし、これが公的な組織だとか、重要人物のPCとなれば話は別。ましてマイクロソフトというのは米国の企業であり、しかも「戦勝国」の企業。かつ米国政府と「ズブズブ」の関係にあり、PRISM計画の共犯であることも併せて考えれば、とてもじゃないがMicrosoftなんぞ、とても信頼できる相手じゃないと。

世間は、しかし管理人を「妄想」だと揶揄しますが、そんな軽薄な態度で個人の安全を確保できるものか？

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/09 (Fri) 19:19:20

Takaさん

　管理人の手元にあるノートパソコンlenovo（Windows10のhome）には当該KBもexeも全く姿が見えないのです。ところが深夜未明にDELLデスクトップPCを緊急アップデートさせ「ちら見」したところ問題のKBがインストールされている。DELLのWindows10pro(64bit）。この落差は一体、どこから？lenovoの方はインストールされていないのではなく、姿かたちを変えて潜り込んで姿を消した状態にあるんでしょう（多分）。

＊

　ところでなんとも間抜けな怪答が投下されていたんですね。

https://answers.microsoft.com/ja-jp/windows/forum/windows_10-update/kb4023057/980d08cd-2801-4b4d-81c3-4356bf86f354

（引用）

【Windows Update を行ってみて KB4023057 が再適用されている場合は、それが正常な状況と考えてそのままにしておいていただくのが良いと思います。不明点があれば、遠慮なく返信くださいね。松本　七生 – Microsoft Support】

↑

なんとまあ「暢気」なことを、、、、。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/09 (Fri) 19:38:18

【もし、この件でテストされるなら、もう一つ重要な情報を失念していました。『KB4023057』が入っていると、どうも『KB4049411』を誘導して入れるみたいです】

↑

Windows10 home（64bit）のlenovo（バージョンは1709）の方には『KB4023057』も『KB4049411』も、インストールされていない状態です（潜伏している可能性ありますが）。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - Taka

2018/02/09 (Fri) 19:55:59

>>管理人さん

これ↓の件ですが。

KB4013214(プライバシー設定関連)

ユーザーに対して、プライバシー関連を再設定してくださいと要求する為のもの、だとばかり思っていたら、

なんと、なんと、

私がしていた重要な設定を勝手に切替えていたり。

※だからこのKB4013214もわざわざ普通のインストールアプリの方に入れてカムフラージュしていたんでしょう。
※やはり人間は後ろめたいことがあると、いつもとは違う行動をとったりしますが、プログラムも一緒なんですね。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/09 (Fri) 20:01:22

ごみニュティーから（引用）

【菊太郎 返信日

1709でも同じkBがでます。

得体が知れないままです。

気持ちが悪いですよね。】


バージョン1709でも発症しているとの報告か。うーん。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/09 (Fri) 20:12:33

Takaさん


　そういえば？関係あるか無いか分かりませんが管理人のlenovoノートパソコンWindows10 home（64bit)の方には【Destroy Windows 10 Spyin】を仕込んでおいたのですよ。すっかり失念しておりました。問題のKBが仕込まれていない点とDestroy Windows 10 Spyinのインストールに関係があるのか？は管理人は分かりません（苦笑）。というか失念しておりました。他方、管理人のDELLデスクトップの方にはDestroy Windows 10 Spyinを仕込んでいなかったはず。とはいえDestroy Windows 10 Spyinはテレメトリ機能をブロックするための機能だから、本件とは関係ないですね（笑）。

　

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/09 (Fri) 22:20:49

【昨年より怪しいとウワサになってましたね。当方Pro版、不思議(?)なKB4023057だったのでアンインストールしてます】

Angel of hellさんの指摘の通り、調べてみると昨年からすでに疑惑のKB扱いされていたんですねえ。しかし一定の時間経過しているというのに、未だ、正体が不明。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - Taka

2018/02/09 (Fri) 22:30:11

>>Destroy Windows 10 Spyinはテレメトリ機能をブロックするための機能だから、本件とは関係ないですね（笑）。


いえ、あながちそうとも言えないんではと思われますが。

一旦侵入した、問題のKBが更新不可の原因をfeedbackしながら、改善方法を模索しているとも思われますし。

remsh.exeが作動し始めてサーバーへその情報を送り、その一方で、ユーザーPCの更新サービスを無効から有効に切り替えているんではと思っていますが。

昨年から、今年にかけての、あり得ないような騒ぎが体よくKB4023057を侵入させる為の口上として使われたのでは?。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/09 (Fri) 22:37:04

https://okwave.jp/qa/q9383613.html

興味深い質問

（引用）

OSはWin10（1607）OSビルド14393.1715です
コントロールパネルのプログラムの機能に「KB4023057」と言うものがあります
Microsoft Corporationで2017/09/29にインストールされ644KBでバージョンが2.4.0.0です。
ネットで色々見たのですが、結果、理解できるサイトがありませんでした。
Windowsの更新なら更新プログラムの一覧にあると思うのですが、これは必要な物ですか？どのような用途・意味でインストールされたのですか？


（中略）

サポートが問題ないとしていますよね。ただ、「可能性としては、リカバリー直後の Windows 10 のバージョンが 1507、1511、1607 のいずれかになっていて、Windows Update でこの更新プログラムが入ったのかもしれません。そして、そのあとで Creators Update が適用されて現在の状態になっているのではないでしょうか」とあり私のPCはCreators Updateを止めているので・・・。Creators Updateが適用されていれば現象としては理解できたのですが、Creators Updateを適用していないので理解できず質問してしまいました。


--------------------------------------------
上記相談者は「Creators Updateを適用していないので」と告白していますね。

↓

【Creators Updateを適用していないので理解できず質問してしまいました】と続けている。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - Angel of hell

2018/02/10 (Sat) 05:36:35

2018/02/09 (Fri) 19:55:59
Taka さん

>私がoffにしておいた重要な内部スイッチを勝手にONにしていたり

大型アップデート(Redstone xx)するたび、プライバシー関連を全て ON に戻しますね。その手法もわかるけど・・・

どうでもよい話ですが・・・
デジタルリサーチ(CP/M-86)がIBM PCにCP/Mをライセンス契約してたらなぁ～
と、今でも思ってます。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - Taka

2018/02/10 (Sat) 08:47:05

>>管理人さん
>>バージョン1709でも発症しているとの報告か。うーん。
それは発症ではなくて潜伏状態の可能性も?、
いずれ大型バージョンのたびに、発症方向へ刻一刻と近づいていくものと思われます。

>>Angel of hell
>>デジタルリサーチ(CP/M-86)がIBM PCにCP/Mをライセンス契約してたらなぁ～
と、今でも思ってます。

その辺のことはよく分からないな～

1979年頃に、ようやっと、ひょんなことから、
ザイログ社のZ80(Intel_8bitの上位互換命令)のハンドアセンブラにこるようになりましたから。
今でもZ80チップは何個か持ってます。記念にどう?。
(Z80に2716ROMのソケットがついた珍しいやつもあります。)
比較的新しいものでは、秋月通商で手に入れたPICも持ってますが。

そのうちゴミ処理場に行くんでしょうね。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - Angel of hell

2018/02/10 (Sat) 09:07:54

MZ-80K、外付け8インチFDDなど・・・
何故か処分するに忍びなく、思い入れがあり押入れにあります。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/10 (Sat) 10:22:30

>>Angel of hell
>>デジタルリサーチ(CP/M-86)がIBM PCにCP/Mをライセンス契約してたらなぁ～
と、今でも思ってます。
----------------------------
Angel of hellさん、その辺を詳しくお話ください（差し支えなければ）

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/10 (Sat) 10:26:17

ほとんど放置Play状態のDELL Windows10 pro（64bit）デスクトップがあります。事情があってメモリを引っこ抜いてしまったPCのためメモリ2GBという惨状でした。さてTakaさんの問題提起をきっかけに本機をWindows updateさせてみました。

【コントロールパネルのプログラムの機能に「KB4023057」】　←　ありました（爆）

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/10 (Sat) 10:27:29

更新（Windows update）の履歴にも記載あり

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/10 (Sat) 10:35:10

管理人のWindows10 proはすでに1709にしておきました。それなのに、遅れて【「KB4023057」】が追いかけるようにしてインストールされました。

だけど、これ根本的に矛盾していますね？

https://support.microsoft.com/ja-jp/help/4023057/update-to-windows-10-versions-1507-1511-1607-and-1703-for-update-relia　は

→「更新プログラムの信頼性のための Windows 10 バージョン 1507、1511、および 1607 の更新プログラム: 2017 年 12 月 8 日」とコメントしています。

バージョン1709の為にとは、どこにも書かれていないはず。

マイクロソフトは「Windows 10 バージョン 1507、1511、および 1607 の一部のビルドにのみ、この更新プログラムを適用する必要があります」と述べているが、続けて「この更新プログラムは、最新の更新プログラムがインストールされていない一部のデバイスの Windows Update クライアントにも直接提供されています」とも述べている。ということは結局のところバージョンには関係なく、条件が合致すればどのバージョンだろうがお構いなしにインストールするぞ、という警告なのではないか？

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/10 (Sat) 10:43:12

【KB4023057が作動し始めてM社のサーバーへその情報を送り、更新の非通知を通知に切り替えるよう指示(or feedbackが無くても一定時間ごとにサーバーが勝手に通知に切替えている)その一方で、ユーザーPCの更新サービスを無効から有効に切り替えているんではと思っていますが】

↑

管理人も、そのように仮説を立てました。同感です。ユーザーのPCが例えばですが電机本舗さんらのtoolで対抗しているような場合、私達のようなユーザーはマイクロソフトからみると「抵抗勢力（小泉純一郎）」扱いとなるわけですね。マイクロソフトから見えれば、おもうようにならないユーザー。そこでまずKB4023057らにPC内部の設定を探らせ、そして掻き回し電机本舗さんらのtoolを破壊して、その後はマイクロソフトが思う存分にユーザーらの設定を改竄しまくると。



2）【昨年から、今年にかけての、あり得ないような騒ぎが体よくKB4023057を侵入させる為の口上として使われたのでは?】


↑

なるほど、なるほど。そこまでは推論しておりませんでしたが、今にしておもえば十分にありえるなと。つまりマイクロソフトは「どさくさに紛れて」やりたい放題をしていたということですな。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/10 (Sat) 11:01:10

>>Destroy Windows 10 Spyinはテレメトリ機能をブロックするための機能だから、本件とは関係ないですね（笑）。


いえ、あながちそうとも言えないんではと思われますが。

一旦侵入した、問題のKBが更新不可の原因をfeedbackしながら、改善方法を模索しているとも思われますし
----------------------
逆から言えば、この一連のマイクロソフトの行為は「一つには」ユーザーのPCにテレメトリ機能を組み込むための問題行動の可能性がある、ということかもしれませんね。そのためにはユーザー側が設定している防波堤をすべて木っ端微塵に破壊せねばなりませんし（マイクロソフト側から見れば）。


remsh.exe←これは見つかりませんね。まあでもTakaさん曰く「手を変え品を変え【名前も変えて】いる」らしいので、小林旭じゃないけど「昔の名前で出ています」ってな馬鹿は流石にマイクロソフトも中止して、新しい偽名で送り込んでいる可能性はありますよね。それを探し出すのがまた難儀ですが。


しかし、ここまでくるとマイクロソフトのやっていることは「正当」なOSの改良行為ではなく、あきらかに「マルウエア」攻撃だと揶揄されても、致し方ないと思いますねえ。「後ろめたい気持ち」がマイクロソフト側に無いのなら、正々堂々と「何を」インストールしたのか、告知の上、情報が欲しくてやっているというのなら「WSPのような究極の馬鹿」どもに頭を下げて「インサイダー取引」じゃなくて「インサイダープログラムなんちゃら」の会員になってくだされ、とおねだりすれば、ごみニュティの馬鹿が殺到して個人情報を献納してくれるはず。

マイクロソフトへの協力は「絶対に嫌だ」と宣言しているユーザーは、そのまま放置すれば済む話。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - Angel of hell

2018/02/10 (Sat) 11:01:16

偏見です・・・忘れてください

デジタルリサーチ社はOSの開発元である会社、創業者はゲイリー・キルドール。
強烈な個性(アル中だった)と才能で一世を風靡した男。

当時の国内のPCも、CP-M/86 と MS-DOS が付いて来たものです。
M社が前者をパクったとか、マネジメントとしての資質に欠けたキルドールは
IBM PCの契約に至らず、ビル・ゲイツとの比較に絶えず直面没落。原因不明で
死亡。

強烈な個性を持った草創期のいわゆる先進的なプログラマであり、先進的な
コンピュータ・インターフェースを創造し、且つ現代の方向性は彼が目指した
方向性と言ってもいいくらい。

M社の昨今の行動を見るにつけ、あの時、もし・・・あの時
と勝手に想像してます。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/10 (Sat) 11:27:34

考えてみればますます、摩訶不思議な話であって。

CMDを起動し

--------------------------------------------

systeminfo |find "xxxxxxxx″

--------------------------------------------

書式を使って当該KB更新プログラムがインストールされたか？確認します。【「KB4023057」】ですから

systeminfo |find "xxxxxxxx″は　→　systeminfo |find "4023057"


しかしCMD上、一切の反応はなく形式上KB4023057はインストールされていないことになる（Windows updateファイルとしては）。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/10 (Sat) 11:31:29

Angel of hellさん、ありがとうございます。勉強になります。いつも思うのですがビル・ゲイツってのはプログラマーとしての才能は別として「経営者」というか、商売の「天才」だったんでしょうね。逆から言えば、才能はそこそこでも「パックマン」としての才能がピカイチなら、世界を制覇できると。

うーん当掲示板管理人も、勇気と自信が芽生えてきましたぞぉー（つまり才能なくても、パクれば億り人になれる鴨）。苦笑。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/10 (Sat) 11:39:33

いつも思うのですがCMDってのは醜いなあと（見難い）。そこで

＊C driveに"KB"という新規フォルダを作成
＊メモ帳を開き、中身は空欄のままでOKなので「kb list.txt」と名付け新規ファイルを１個自作
＊「kb list.txt」を事前に自作しておいた「KB」（フォルダ）に保存。
＊Path名は、"C:\KB\kb list.txt"（になっているはず）


--------------------------------

wmic qfe list full /format:list > "C:\KB\kb list.txt"


--------------------------------
メモ帳に出力されており、logとして提出したり何かと便利なはずです。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - Taka

2018/02/10 (Sat) 12:05:05

>>管理人のWindows10 proはすでに1709にしておきました。それなのに、遅れて【「KB4023057」】が追いかけるようにしてインストールされました。
>>だけど、これ根本的に矛盾していますね？

当方としては、そもそも何十日も前の古い情報で、最新に更新されていないだけか、場合によっては最新情報は完璧に内部情報として別の管理番号で秘匿されているものと思っていますが。
(まさか、逆からたどって来られて、その古い情報に紐付けされるとは夢にも思ってなかったと思います)

KB4023057はそのままで、プロセス名のみ変更して、繰り返し流布していると思っている理由ですが、今月になったばかりの時に初めて『remsh.exe』という不審なプロセスを発見して、セキュリティ対策の完全チェックでもかからない為、別の方法で確認してみたところ、『信頼度は最高ランク、このプロセスを利用している人は数人程度』、
少なくとも、去年の夏か秋頃からズ～と同じプロセスで流布し続けていたら、数人程度はないなと思った次第です。

ですから、管理人さんの KB4023057 という番号は私と同じでも、発症したときのタスクスケジュールに食い込むプロセス名は、私のものと(remsh.exe)は全く違うものになっているとも予測しています。
当然ファイアウォールでの遮断すべきプロセス名も、連動して替わってくるはずです。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 名探偵アルパカ

2018/02/10 (Sat) 12:44:59

あのー、盛り上がってる中、割り込むのも微妙な感じですが、アルパカの更新停止破壊ウイルスの感染備忘録を残しますね

2017年末、多分、 12月か早くても11月末と思うのですが. Win10 home PCを1607から1703へアップデートをしようと決断

普段はOS_UPdateSTOP.exeからWindows Updateを無効にしているのですが、1703の人柱様も出揃ったうえマザボのドライバ更新も特に行われていなかったので重篤なトラブルは発生しないだろうとの判断

OS_UPdateSTOP.exeからWindows Updateを有効にし、いざ1703をダウンロードしようにも表示されないので始まらない

定例のWindows Updateが幾つかあってそれらをダウンロードし再起動適用

優先順位か何かで1703を表示していないのかと何度もWindows Updateを確認するも『最新の状態』と表示される

なんか変だと思いバージョン確認すると、自分のインストールしたと覚えのないビルド1703にアップデートされていた

確かに再起動はしたものの、あれだけ大きなファイルなのでダウンロードすら気付かないなんてあり得ない

実はAndroidタブレットを買って以来、 Win10の使用頻度が極端に少なくなり、たとえ起動させてもごく短時間でWindows Updateをしていませんでした

なのでKBを何度も見て確認してから開始しているので見過ごしたわけではありません

自分の知らない間にOS_UPdateSTOP.exeが突破され1703へとアップグレードされていた

今思うにWindows Update無効化ツールを使うユーザーは大型アップデートを阻止する目的なわけで、更新停止破壊ウイルスに感染させ1703を隠蔽し、こっそりダウンロード&インストールまで持っていったのでしょう

その後もOS_UPdateSTOP.exe から停止させWindows Updateを走らせるも『最新の状態』と表示される症状が続いていました

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/10 (Sat) 13:46:45

【今思うにWindows Update無効化ツールを使うユーザーは大型アップデートを阻止する目的なわけで、更新停止破壊ウイルスに感染させ1703を隠蔽し、こっそりダウンロード&インストールまで持っていったのでしょう】

↑

なるほどなあ。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/10 (Sat) 14:07:54

ところでこれ、凄く便利ですね
http://all-freesoft.net/system8/othersystem/tvsettings/tvsettings.html

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/10 (Sat) 14:44:42

https://freesoft-100.com/review/wulf-express.html

これも便利ですねえ。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/10 (Sat) 16:19:08

https://forest.watch.impress.co.jp/library/software/ashamp_anspy/

Ashampoo AntiSpy for Windows 10

v1.0.6（16/06/16）

実行すれば日本語になります。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - とおりすがり

2018/02/11 (Sun) 18:13:34

kb4023057で検索していてたどり着きました。
数日前から毎日こんなログが記録されるようになりました。

WindowsUpdateClient ID20
インストールの失敗: エラー 0x80070643 で次の更新プログラムのインストールに失敗しました: Windows 10 Version 1703 for x64-Based Systems 用更新プログラム (KB4023057)。

当方の環境はwin10pro 1703で更新の延期を設定しているのですが、その設定を無視してkb4023057の最新版を拾いに行こうとしているようです。
延期設定を0日にしてアップデートを再試行してやると最新版と評価されるので延期設定で阻止されたときに記録されているんでしょうか。

もう一件、とてもきになるのですが、インストールされたプログラムの一覧に
update for windoes10 for x64-based systems(kb4023057)のほかにwindows setup remediations(x64)(kb4023057)というプログラムが表示されていたのですが、これはなんなのでしょうか?
不審なのは発行元が空白になっていることと検索しても海外の掲示板が数件ヒットするだけで決定的な結論をえることはできませんでした。
名前からするとOSのバージョンをロールバックするプログラムなんですかね。
アンインストールしてしまいましたが問題のないものなんでしょうか。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/11 (Sun) 18:34:07

とおりすがり様、ご来店ありがとうございます。

本件、回答者のTakaさんらが詳しいので回答者陣から回答が付くまでお待ち下さい。

home(無印版)とは違い、さすがpro版だなと感じます。設定次第で更新を阻止してくれているわけですから（ブロックに成功しているという点で）。home版にはこの機能が欠落していて更新の度に想定外トラブル発生し、悲鳴が挙がります。

ところで【windows setup remediations(x64)(kb4023057)】←こんな不明なKBまで潜り込んでいたわけですか？

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - Taka

2018/02/11 (Sun) 20:31:51

>>とおりすがりさん

Taka といいます。
今後ともよろしくお願いいたします。

『windows setup remediations(x64)(kb4023057)』の件ですが、再確認してみたら、確かに『kb4023057』が二つも通常のインストールアプリのカテゴリーの中に入って来ましたね。(年末に確認したときには存在していた記憶が無いんですが)


当方Homeですが、
『update for windoes10 for x64-based systems(kb4023057)』
これをダブルクリックすると、きちんとアンインストール画面が出て、正常にアンインストールができましたが、問題の『windows setup remediations(x64)(kb4023057)』はダブルクリックしたタイミングで、正常なアンインストール画面も出ないでスッという感じで消えてしまいました。本当にどうなっているのでしょうね。

これ以上の情報は持ち合わせていないのですが、アンインストール後、丸一日稼働させても問題は出ませんでした。

情報は以上です。

>>不審なのは発行元が空白
でも間違いなく発行元はM社と私は思っていますが。

どうもこのウイルス?は、非常に小さいファイル容量なのでとりあえず接続があれば極力目立つことなく簡単に侵入してきます。
その後
(1)より高速の回線接続が確認できるまで1～2時間(あるいはそれ以上)でもじっと潜伏している感じです。
(2)あと微妙ですが、どうもユーザーが油断しているときに限ってサービスボタンを有効に切り替えて一気に回線を占有してダウンロードを試し見る傾向があるようです。

最後に、とりあえず貴重な情報ありがとうございます。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - とおりすがり

2018/02/12 (Mon) 00:44:38

管理人です様、Taka様、回答ありがとうございます。

>ところで【windows setup remediations(x64)(kb4023057)】←こんな不明なKBまで潜り込んでいたわけですか？
先月の月例アップデートでupdate for windoes10 for x64-based systems(kb4023057)がインストールされたときは存在していませんでした。
2/7から2/9の間にupdate for windoes10 for x64-based systems(kb4023057)が2.10.0.0→2.11.0.0→2.12.0.0とバージョンが更新されていて、この間にwindows setup remediations(x64)(kb4023057)がインストールされたものと思われます。
一度アンインストールしてからは再度アップデートしてもインストールされることはありませんでした。

>でも間違いなく発行元はMicrosoftと私は思っていますが。
インストールされたタイミングがwindowsアップデートのタイミングと思われるので、仮に何者かのマルウェアであった場合はマイクロソフトのアップデートサーバーに干渉しなければならないのでそういうことになりますよね。
update for windoes10 for x64-based systems(kb4023057)が短い間隔で更新されていたので、この間のいずれかのバージョンでマイクロソフトがやらかしたと考えるのが順当なんでしょうか。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - とおりすがり

2018/02/12 (Mon) 01:20:47

訂正です。
update for windoes10 for x64-based systems(kb4023057)のバージョンですが、1月の月例アップデートの時点では2.9.0.0
1/30に更新延期を解除してこのときに2.11.0.0に更新。2/7からupdate for windoes10 for x64-based systems(kb4023057)の更新エラーのログが記録されるようになります。
2/8にいったんupdate for windoes10 for x64-based systems(kb4023057)をアンインストールして再インストールします。この時のバージョンが2.10.0.0でもう一度アップデートして2.11.0.0になります。
2/9に2.12.0.0に更新されています。
信頼性モニターではupdate for windoes10 for x64-based systems(kb4023057)のインストール履歴は記録されているんですが、windows setup remediations(x64)(kb4023057)の記録がないのが不思議です。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/12 (Mon) 01:26:29

【インストールされたタイミングがwindowsアップデートのタイミングと思われるので、仮に何者かのマルウェアであった場合はマイクロソフトのアップデートサーバーに干渉しなければならないのでそういうことになりますよね。update for windoes10 for x64-based systems(kb4023057)が短い間隔で更新されていたので、この間のいずれかのバージョンでマイクロソフトがやらかしたと考えるのが順当なんでしょうか。】

＊

とおりすがり様

　マルウエアではなく「マイクロソフト」が行っていると考えるのが妥当だと思います（時系列的に考えて）。管理人の手元にあるLenovoのノートPCにはDestroy Windows 10 Spyingが組み込まれているのですが（しかし失念しておりました）、このPCには本件で議論されているような現象は全く発生していないのです。物は試しと防御網をユルユルにして何度もWindows updateを繰り返しているのですが、感染（？）する気配がありません。テレメトリ機能も、コルタナ機能も「ほぼ皆殺し」状態に置いているので「もしかすると」テレメトリ機能だとかコルタナ機能を含むWindows10の個人情報収集機能をほぼ停止ブロックしていることが、関係しているのではないか？と思うようになってきています。他方、管理人はDELLのデスクトップPCのWindows10 pro(64bit)の方は、一切小細工をしておりません。Destroy Windows 10 Spying的な防御壁は一切組み込んでおらず、Takaさんからの問題提起がなされたため緊急Windows updateを行ったところ「ものの見事に」当該KBプログラムが次々とインストールされていたわけです。この落差は一体どこから？と考えた場合、テレメトリ機能などを次々に遮断していったPCと、その手の工夫を一切行っていないPCとの差から生まれているのではないか？と、妄想している段階です。

　

　

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - Taka

2018/02/12 (Mon) 08:07:28

>>管理人さん
『update for windoes10 for x64-based systems(kb4023057)』
『windows setup remediations(x64)(kb4023057)』
この二つは、KB番号(文書の管理番号)が全く同じなのが面白いですね。

何も証拠はないですが、

その更新をユーザー側のいろいろな条件下でも確実に仕掛ける為、その途中工程で使ったもので、本来は使用後に自動削除されるべきものが、何らかの原因でユーザーの目につくように残ってしまった、

という可能性がないでしょうか?。

だって、私のHome_PCの場合は前投稿の通り私の監視している眼前で、確かにアンインストールもしていないのに消えていきましたから・・・・・・。


それにしても今日は寒い。

昨日から雪で、気づいたら相当積もってました。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/12 (Mon) 15:36:36

とおりすがり様

　袖振り合うも多生の縁といいます。良ければ今後も、気楽な気持ちで当掲示板に回答者としてご参加ください。そして今回貴重な情報提供ありがとうございます。PC環境は十人十色といいますが、それにしても今回の奇妙な出来事は、一体何が基準となって、インストールされたり、されなかったりしているのか？その一見すると無軌道なマイクロソフト側の愚行に、今更ですが呆れ果てます。正常な感覚を持った企業であればユーザーに対して説明責任を果たしてからプロジェクトを遂行するものなんですが、マイクロソフトに関してはユーザーらを疑心暗鬼、猜疑心に転落させるような不誠実な取り組みの繰り返しです。個人の情報（Big データを含め）が欲しいのなら、事前に告知して情報収集に協力してくれるinsiderを募集すれば済む話なんです。それを全世界のユーザーに、事前の説明もなく、怪しい動きを繰り返す。とても正常な企業とは思えません。しかも、米国マイクロソフトと、日本マイクロソフトの間にも共有されていない企業機密があるようで、それは言ってしまえば米国政府と「ズブズブ」の協力関係にある米国マイクロソフトと、第二次大戦で敗北し植民地化した日本に設置された「日本マイクロソフト」の、主従関係に根本原因があるんだろうと管理人は妄想しているのです。


＊

『update for windoes10 for x64-based systems(kb4023057)』
『windows setup remediations(x64)(kb4023057)』
この二つは、KB番号(文書の管理番号)が全く同じなのが面白いですね。

↑

Takaさん、同感です。

とても正常な企業のする行為とは思えません。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - とおりすがり

2018/02/13 (Tue) 00:19:47

本日もupdate for windoes10 for x64-based systems(kb4023057)のインストールエラーが記録されていました。
現行のバージョン2.12.0.0に対して古い2.10.0.0をインストールしようとして失敗している様子。
kb4023057は根源的に雑な仕事のパッチなんだなとおもいました。今月の月例アップデートでの修正を期待したいところです。
思い返せばwindowsupdateがグダグダになったのは2015年の9月からだったでしょうか。向こうでは年度初めの月になりますよね。
重要なスタッフが異動になるか居なくなるかしたのか、月例アップデートの度にどこかで悲鳴が聞こえてくる始末で残念でなりません。
新しい機能の追加はサードパーティーに任せて、まともに保守をしてもらいたいものです。世の中のインフラの一つを担っている自覚があるのか疑問を覚えずにはいられません。
Taka様、管理人です様、私の質問に付き合ってくださりありがとうございます。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/13 (Tue) 00:48:14

【重要なスタッフが異動になるか居なくなるかしたのか、月例アップデートの度にどこかで悲鳴が聞こえてくる始末で残念でなりません。】

↑

同感です。ソースを忘れてしまいましたが、その部分に関して「マイクロソフト社ではリストラが進んでおり、人的資源がカットされた結果としてWindows update配布前の検証が杜撰化しているのだ」という指摘を読んだ記憶があるのです。当たらずといえども遠からず、だと思いますね。管理人の個人的な記憶（？）を振り返っても、ここ数年、急激にWindows updateの「質」が急低下しているという実感があります。杜撰なKBプログラムの配布に加えて、Windows update実行の方法もロールアップ方式に変更され個別にKBプログラムを選択的取捨する自由裁量権も奪われてしまいました。home版の場合、特に自由裁量権が奪われておりマイクロソフト側の主張を鵜呑みにしてWindows updateを実行すれば、予想外のとんでもないトラブルに巻き込まれるリスクも一層、大きくなってしまったなあと感じます。Windows updateのリアルタイム適用を時間差でズラすテクニックはFreeのSoftwareを使うなど数種類のテクがあると思いますが、根本的な対策としてはEaseUS todo backupのようなバックアッパーを使い万が一の大トラブルに備えておくことが最善の防御策ではないかと思っています。


とおりすがり様がコメントされている通りでして「マイクロソフト社は、社会のインフラを管理しているという自覚があるのか？」という指摘は、まことその通りだなあと。スマホが台頭するなどしマイクロソフトの地位が相対的低下著しく大きな焦りがあってビジネスモデルを変えようとしているのだろうとは思いますが、それにしても「安定性」を最重要視しているユーザーからすれば現在のマイクロソフトとWindows updateの不安定さは、許容できるレベルには無いと思うのです。

本件、継続的調査案件にしたいと思っていまして、何か情報があれば随時投稿してゆきたいと思います。今後とも、ご参加ください。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - とおりすがり

2018/02/19 (Mon) 00:27:05

2月の月例アップデートを適用しましたが、相変わらずupdate for windoes10 for x64-based systems(kb4023057)のインストールエラーが連日記録されています。
修正は入らなかったようです。残念。
ただし、2/14からダウンロードしてくるバージョンが2.11.0.0に変わりました。インストールされているバージョン2.12.0.0よりも古いのでインストール段階で蹴られていますね。

Re: 『更新停止(破壊)ウイルス?にやられちゃった!』 - 管理人です

2018/02/19 (Mon) 00:44:54

とおりすがりさん、ありがとうございます。

　実は数日前、旧いNECのPCにWindows10の1709をクリーンインストールしたんですが、コントロールパネル（プログラムとアンインストール）を眺めたら、性懲りも無く「そのまんま」の形でインストールされているんですよね。