ウイルスに感染。infostealer.gamepass

どんなウイルスか？


オンラインゲームなどのパスワードを盗むらしいです。
被害は小とかでてるけど、人によっては高。

このウイルスはウイルススキャンソフトでは現在削除できません。
情報を探してもほとんどありません。

このウイルスにかかったサイトは、youtubeboy.com。
サイトを訪問しただけで感染しました。
サイトを潰せるものなら潰したい。（なおったら負荷かけます）

症状は、CドライブにSysDayN6/Syswim1i/SvsWsi7というフォルダを3つ作成される。
その3つのフォルダの中に、svchost.exe/Ghook.dllが作成される。



強制削除はできません（それ系のTOOLでも不可能）
強削とunlocker（1.8.5）でもだめ。

セーフモードで起動をして各当の3つフォルダを削除したけど、再起動をするとまた作成されています。

レジストリが書きかえられてる模様です。
1つだけ発見したのが。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\upxdnd


このレジストリキーを削除して、セーフモードで3つのフォルダを削除するとSysDayN6/Syswim1i/SvsWsi7は、復元されませんでした。

ノートンとカスペを使ってるのですが、未対応です。








参考記事
PCトラブル解決掲示板（未解決）

感染タイプとかによって違うかも知れませんが、一応下記のファイルを作成するので全部削除する必要があるみたいです。

C:\SysDayN6\svchost.exe
C:\SysDayN6\Ghook.dll

C:\Syswim1i\svchost.exe
C:\Syswim1i\Ghook.dll

C:\SvsWsi7\svchost.exe
C:\SvsWsi7\Ghook.dll

C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\autorun.exe
C:\WINDOWS\system32\wanmei.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\winform.exe
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\mppds.exe

c:\documents and settings\ユーザーネーム\local settings\temp\upxdnd.dll
c:\documents and settings\ユーザーネーム\local settings\temp\upxdnd.exe

C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk

C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\windowstools.exe
C:\WINDOWS\system32\wanmei.exe
C:\WINDOWS\system32\moyu.exe
C:\WINDOWS\system32\scrnsave.exe
C:\WINDOWS\system32\rs.bin
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\mppds.dll

（まだ全部探し出せてなく一部しか削除してないのでどうなるかわかりません）

カスペサポートにメールしましたが、それまでには自分で解決ができるようにしたいです・・・。

ここまでにかかった時間12時間。

それまでブログ更新はお休みさせてもらいます。

追記2007/3/30
問題解決したかもしれません。

今回失敗したのがシステムの復元をとってませんでした（無効設定にしたらそれまでの復元も消えるの知りませんでしたｗ）

でノートンで必至に削除しようとしても警告がずっとでるので、ノートンアイン。
次にまたノートンをインストールして最新定義ファイルをWEBからとってきて、スキャンしたら削除されたみたいです。
でもまたでてくるかもしれないので監視しながらPC使います。
もう1台PCあるんですが、自作でPen4 3.0・・・。
CORE2DUOを使うと戻れません。





昨日と今日は、1年で最悪の日だと思います。
また何か変化があればこちらで経過を書こうと思います。


追記2007/3/31
ウイルスが復活してましたｗｗｗｗｗｗｗｗ
問題のファイル探して削除すればいいんですが全部ファイルを表示する設定にしてもないんですよね・・・。

レジストリキーHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winformを削除し、C:\WINDOWS\system32\winform.dllの自動作成を阻止。

NOD32をインストールしたらしっかり駆除をしてくれました。

この記事は参考になりましたか？ (2 投票, 平均: 3 中 5)  Loading ... 関連記事 通称 キンタマウイルス対策　Antinny (0) P2Pユーザーは要注意　MP3やMPEGファイルに偽装したトロイの木馬の感染拡大 (0) ASUSTeK Eee Boxウイルス入りパソコンは中国で生産された時に混入 (0) MP3タイプのウイルス (0) Maxtorの新品の外付けハードディスクにトロイの木馬　個人のデータが一瞬で北京に転送 (0)