不正振込実施マシンのスパイウエア駆除
2017年4月29日
依頼者:埼玉県さいたま市西区佐知川在住
対象機:NEC PC-VN770HS6R
ハードディスクの状態:
ST31000528AS 39度→ 異常なし 2058時間動作 4072 回 C4= C5= 0 C6= 0
症状:
銀行から不正な振り込みが確認されたのでオンラインを止めたと連絡を受けた。
作業:複製後ウィルス駆除
レジストリの手動削除
その他改竄部分を削除。一時ファイル削除。古いソフト削除。
主なスパイウェア
Inbox、Babylon
削除後オンライン。
セキュリティソフトは何も入っていないので『MicrosoftSecurityEssential』のインスト。
MBAMを実行
***** [ フォルダ ] *****
C:\ProgramData\Babylon
C:\ProgramData\Application Data\Babylon
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AppGraffiti
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileOpener
C:\Program Files (x86)\AppGraffiti
C:\Program Files (x86)\BabylonToolbar
C:\Program Files (x86)\Tweaks
C:\Program Files (x86)\MapsGalaxy_39
C:\Program Files (x86)\InboxAce_1g
***** [ レジストリ ] *****
HKCU\Software\AppGraffiti
HKCU\Software\BabylonToolbar
HKCU\Software\InboxAce_1g
HKCU\Software\InstallCore
HKCU\Software\MyImageConverter
HKCU\Software\AppDataLow\Software\InboxAce_1g
HKLM\SOFTWARE\AppGraffiti
HKLM\SOFTWARE\Babylon
HKLM\SOFTWARE\BabylonToolbar
HKLM\SOFTWARE\InboxAce_1g
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MyImageConverterTooltab
Uninstall Internet Explorer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6F6A5334-78E9-4D9B-8182-8B41EA8C39EF}_is1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BabylonToolbar
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tweaks FileOpener
[x64] HKCU\Software\Microsoft\Internet
Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-108215444-219806621-3087675099-1000\Software\InboxAce_1g
[x64] HKCU\Software\AppGraffiti
[x64] HKCU\Software\BabylonToolbar
[x64] HKCU\Software\InboxAce_1g
[x64] HKCU\Software\InstallCore
[x64] HKCU\Software\MyImageConverter
[x64] HKCU\Software\AppDataLow\Software\InboxAce_1g
[x64]
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MyImageConverterTooltab
Uninstall Internet Explorer
HKU\S-1-5-21-108215444-219806621-3087675099-1000\Software\Microsoft\Internet
Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
HKU\S-1-5-21-108215444-219806621-3087675099-1000\Software\Microsoft\Internet
Explorer\SearchScopes\{b0441a0e-a49a-4e16-afc1-74ecced1921f}
HKU\S-1-5-21-108215444-219806621-3087675099-1000\Software\Microsoft\Internet
Explorer\SearchScopes\{C04B7D22-5AEC-4561-8F49-27F6269208F6}
HKCU\Software\Microsoft\Internet
Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
HKCU\Software\Microsoft\Internet
Explorer\SearchScopes\{b0441a0e-a49a-4e16-afc1-74ecced1921f}
HKCU\Software\Microsoft\Internet
Explorer\SearchScopes\{C04B7D22-5AEC-4561-8F49-27F6269208F6}
HKLM\SOFTWARE\Microsoft\Internet
Explorer\SearchScopes\{b0441a0e-a49a-4e16-afc1-74ecced1921f}
[x64] HKCU\Software\Microsoft\Internet
Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
[x64] HKCU\Software\Microsoft\Internet
Explorer\SearchScopes\{b0441a0e-a49a-4e16-afc1-74ecced1921f}
[x64] HKCU\Software\Microsoft\Internet
Explorer\SearchScopes\{C04B7D22-5AEC-4561-8F49-27F6269208F6}
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\
akz.imgfarm.com
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\
appgraffiti.com
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\ask.com
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\
hp.myway.com
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\imgfarm.com
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\
internetspeedtracker.dl.tb.ask.com
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\softonic.jp
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\
staticimgfarm.com
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\
ttdetect.staticimgfarm.com
[x64] HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\
akz.imgfarm.com
[x64] HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\
appgraffiti.com
[x64] HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\
ask.com
[x64] HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\
hp.myway.com
[x64] HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\
imgfarm.com
[x64] HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\
internetspeedtracker.dl.tb.ask.com
[x64] HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\
softonic.jp
[x64] HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\
staticimgfarm.com
[x64] HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\
ttdetect.staticimgfarm.com
[x64] HKLM\SOFTWARE\Microsoft\Shared Tools\MsConfig\StartupReg\agupdate
[x64] HKLM\SOFTWARE\Microsoft\Shared Tools\MsConfig\StartupReg\AppGraffiti
HKLM\SOFTWARE\Classes\AppID\escort.DLL
HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
HKLM\SOFTWARE\Classes\AppID\esrv.EXE
HKLM\SOFTWARE\CLASSES\b
HKLM\SOFTWARE\Google\Chrome\Extensions\bmiabdepfhhiieiipmeecdmeljggmfee
不要なソフトの削除。
特急作業 救急 緊急対応はパソコン救急バスターズにお任せください
埼玉 パソコン修理 さいたま データ復旧 データ復元 パソコン救急バスターズデータ復元センター
〒330-0856
さいたま市大宮区三橋3-191-2 バスターズビル2F
TEL:048-657-9933
www.pc99.co.jp