記事表示
Lasuperbaの鎮静化方法が判明しました - IVNO
2015/10/12 (Mon) 01:01:42
ここ最近巷を騒がせていたLasuperbaですが、遠隔操作による検証の結果、鎮静化の方法は確立しました。
この対応は対症療法であり、本体までは消えません。
そのため根本的な解決には至らないこと、あらかじめご了承ください。
Daugavaは事前にコントロールパネルからアンインストールしておいてください。
では以下に手順を記述いたします。
まずは下準備となります。
コントロールパネルを開きます。
システムとセキュリティ⇒システム⇒システムの保護をクリックします。
ローカルディスク(C:)(システム)が無効になっていた場合、構成ボタンを押して上にある3つのラジオボタンの一番上に変更し、OKを押します。
有効になっている場合はこの有効にする手順は省略します。
作成をクリックして任意のお名前を付けて作成ボタンを押してください。
作成が完了するまで待ちます。
作成が完了したらOKを押して閉じます。
キーボード左側にあるCtrlとAltの間のスタートボタンを押しながらRキーを押してください。
ファイル名を指定して実行が起動しますので、以下を入力します。
regedit
入力したらエンターを押して実行してください。
左側の項目の一番上にあるコンピューターと言う文字をクリックします。
ファイル⇒エクスポートをクリックし、エクスポート範囲がすべてになっていることを確認して任意のお名前を付けて分かりやすい場所に保存します。
この保存したファイルが万一のための復旧手段となります。
もしインターネットが繋がらなくなったり正規のWindows時ではないと言う表示が出た場合は、
このエクスポートしたファイルをダブルクリックしてはいを押し、その後PCを手動で再起動させることで復旧します。
これでも復旧しなかった場合は、上記で作成した復元ポイントを使ってシステムの復元を行います。
ここまでが下準備となります。
以下のソフトウェアをご用意ください。
OldTimer Listit(通称:OTL)
http://oldtimer.geekstogo.com/OTL.exe
直リンクです。デスクトップ等、分かりやすい場所に保存してください。
削除する際は起動後に「Cleanup」ボタンを押すことにより、自動的に削除されます。
ただし、Windows 10の方に限り「Cleanup」ボタンを押さずにファイルのみ削除してください。
メモ帳を開き、以下の3回分をすべてコピペしてください。
------1回目コピペこの下より------
:Files
%programfiles%\daugava
%programfiles(x86)%\daugava
%programdata%\daugava
%appdata%\daugava
%userprofile%\Appdata\Local\daugava
%userprofile%\Appdata\LocalLow\daugava
%userprofile%\Downloads/backups
------1回目コピペこの上まで------
------2回目コピペこの下より------
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteRegistry]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteRegistry\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6265CAFB-2688-4AED-A8CD-9B1E7B451C85}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\TypeLib\{6265CAFB-2688-4AED-A8CD-9B1E7B451C85}]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-18\Software\daugava]
[-HKEY_USERS\.DEFAULT\Software\{39e26a25-15e4-4038-b6af-f291dc7ffdcc}]
[-HKEY_USERS\S-1-5-19\Software\{39e26a25-15e4-4038-b6af-f291dc7ffdcc}]
[-HKEY_USERS\S-1-5-20\Software\{39e26a25-15e4-4038-b6af-f291dc7ffdcc}]
[-HKEY_USERS\S-1-5-21-171311851-2899825094-3029724637-1001\Software\{39e26a25-15e4-4038-b6af-f291dc7ffdcc}]
[-HKEY_USERS\S-1-5-21-171311851-2899825094-3029724637-1001\Software\Classes\Software\{39e26a25-15e4-4038-b6af-f291dc7ffdcc}]
[-HKEY_USERS\S-1-5-21-171311851-2899825094-3029724637-1001_Classes\Software\{39e26a25-15e4-4038-b6af-f291dc7ffdcc}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-18\Software\daugava]
[-HKEY_USERS\S-1-5-18\Software\{39e26a25-15e4-4038-b6af-f291dc7ffdcc}]
[-HKEY_USERS\S-1-5-21-171311851-2899825094-3029724637-1001\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\cds.v3x3b3b5.hwcdn.net]
[-HKEY_USERS\S-1-5-21-171311851-2899825094-3029724637-1001\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\hwcdn.net]
[-HKEY_USERS\S-1-5-21-171311851-2899825094-3029724637-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hwcdn.net]
[-HKEY_USERS\S-1-5-21-171311851-2899825094-3029724637-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hwcdn.net\q2u3z6t7.ssl]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hwcdn.net]
------2回目コピペこの上まで------
------3回目コピペこの下より------
:Commands
[purity]
[resethosts]
[emptyflash]
[emptyjava]
[emptytemp]
[createrestorepoint]
[reboot]
------3回目コピペこの上まで------
コピペが完了しましたら、任意のお名前を付けて分かりやすい場所に保存してください。
保存が完了しましたら、PCをセーフモードで起動させます。
Windows 7の方は以下URLをご覧ください。
http://www.pc-master.jp/sousa/s-safemode.html
Windows 8/8.1の方は以下URLをご覧ください。
http://121ware.com/qasearch/1007/app/servlet/relatedqa?QID=015917
Windows 10の方は8/8.1の説明と以下の説明をご覧ください。
スタートボタンを押し、すべてのアプリ⇒設定⇒更新とセキュリティをクリックすると、8/8.1の手順4と同じ状態となります。
以降は8/8.1の手順4以降を参考にセーフモードで起動させてください。
OTLを起動させ、Custom Scan/Fixesの項目内に上記で保存した内容をコピペしてください。
まずは1回目のものからコピペします。
赤い文字の[Run Fix]をクリックして処置を開始してください。
OTLの処置に従って進めてゆくと再起動がかかります。
再起動が完了しましたら、2回目、3回目とセーフモードで作業を続けてください。
作業が完了しましたら、PCを通常モードで再起動させてください。
このタイミングでインターネットに繋がらなくなったり、正規のWindowsではありませんと表示が出た場合は、
下準備の案内に従って復旧作業を行い、その後2回目と3回目の処置をやり直してください。
3回の処置が完了した状態で通常モードでインターネットが動作しており、かつ正規のソフトウェアではないなどと言う警告も表示されなかった場合、
以下のURLを制限サイトに設定してください。
http://q2u3z6t7.ssl.hwcdn.net/js/vbates.js
こちらのURLをコピーしたら、まずはコントロールパネルを開きます。
ネットワークとインターネット⇒インターネットオプションを開きます。
セキュリティのタブをクリックし、制限つきサイトと書かれたアイコンをクリックしてください。
サイトと書かれたボタンをクリックして「このWebサイトをゾーンに追加する」の欄に先ほどのURLを貼り付け、追加をクリックします。
追加が完了したらOKを押してインターネットオプションを閉じます。
Google Chromeを導入されている方は、以下の手順も行ってください。
Google Chromeを起動させます。
三のマークの設定ボタンをクリックし、設定をクリックします。
下部の詳細設定を表示をクリックしてください。
プライバシーの欄にあるコンテンツの設定をクリックします。
Javascriptの項目にある例外の管理をクリックします。
URLを貼り付け、ブロックに設定してください。
完了⇒完了をクリックして設定を終了させます。
念のため一度Google Chromeを終了させてください。
Firefoxの設定も確認しましたが、Firefoxには設定できそうな項目がありませんでした。
以上で鎮静化されているかご確認ください。
この対応は対症療法であり、本体までは消えません。
そのため根本的な解決には至らないこと、あらかじめご了承ください。
Daugavaは事前にコントロールパネルからアンインストールしておいてください。
では以下に手順を記述いたします。
まずは下準備となります。
コントロールパネルを開きます。
システムとセキュリティ⇒システム⇒システムの保護をクリックします。
ローカルディスク(C:)(システム)が無効になっていた場合、構成ボタンを押して上にある3つのラジオボタンの一番上に変更し、OKを押します。
有効になっている場合はこの有効にする手順は省略します。
作成をクリックして任意のお名前を付けて作成ボタンを押してください。
作成が完了するまで待ちます。
作成が完了したらOKを押して閉じます。
キーボード左側にあるCtrlとAltの間のスタートボタンを押しながらRキーを押してください。
ファイル名を指定して実行が起動しますので、以下を入力します。
regedit
入力したらエンターを押して実行してください。
左側の項目の一番上にあるコンピューターと言う文字をクリックします。
ファイル⇒エクスポートをクリックし、エクスポート範囲がすべてになっていることを確認して任意のお名前を付けて分かりやすい場所に保存します。
この保存したファイルが万一のための復旧手段となります。
もしインターネットが繋がらなくなったり正規のWindows時ではないと言う表示が出た場合は、
このエクスポートしたファイルをダブルクリックしてはいを押し、その後PCを手動で再起動させることで復旧します。
これでも復旧しなかった場合は、上記で作成した復元ポイントを使ってシステムの復元を行います。
ここまでが下準備となります。
以下のソフトウェアをご用意ください。
OldTimer Listit(通称:OTL)
http://oldtimer.geekstogo.com/OTL.exe
直リンクです。デスクトップ等、分かりやすい場所に保存してください。
削除する際は起動後に「Cleanup」ボタンを押すことにより、自動的に削除されます。
ただし、Windows 10の方に限り「Cleanup」ボタンを押さずにファイルのみ削除してください。
メモ帳を開き、以下の3回分をすべてコピペしてください。
------1回目コピペこの下より------
:Files
%programfiles%\daugava
%programfiles(x86)%\daugava
%programdata%\daugava
%appdata%\daugava
%userprofile%\Appdata\Local\daugava
%userprofile%\Appdata\LocalLow\daugava
%userprofile%\Downloads/backups
------1回目コピペこの上まで------
------2回目コピペこの下より------
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteRegistry]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RemoteRegistry\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6265CAFB-2688-4AED-A8CD-9B1E7B451C85}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\TypeLib\{6265CAFB-2688-4AED-A8CD-9B1E7B451C85}]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-18\Software\daugava]
[-HKEY_USERS\.DEFAULT\Software\{39e26a25-15e4-4038-b6af-f291dc7ffdcc}]
[-HKEY_USERS\S-1-5-19\Software\{39e26a25-15e4-4038-b6af-f291dc7ffdcc}]
[-HKEY_USERS\S-1-5-20\Software\{39e26a25-15e4-4038-b6af-f291dc7ffdcc}]
[-HKEY_USERS\S-1-5-21-171311851-2899825094-3029724637-1001\Software\{39e26a25-15e4-4038-b6af-f291dc7ffdcc}]
[-HKEY_USERS\S-1-5-21-171311851-2899825094-3029724637-1001\Software\Classes\Software\{39e26a25-15e4-4038-b6af-f291dc7ffdcc}]
[-HKEY_USERS\S-1-5-21-171311851-2899825094-3029724637-1001_Classes\Software\{39e26a25-15e4-4038-b6af-f291dc7ffdcc}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-18\Software\daugava]
[-HKEY_USERS\S-1-5-18\Software\{39e26a25-15e4-4038-b6af-f291dc7ffdcc}]
[-HKEY_USERS\S-1-5-21-171311851-2899825094-3029724637-1001\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\cds.v3x3b3b5.hwcdn.net]
[-HKEY_USERS\S-1-5-21-171311851-2899825094-3029724637-1001\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\hwcdn.net]
[-HKEY_USERS\S-1-5-21-171311851-2899825094-3029724637-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hwcdn.net]
[-HKEY_USERS\S-1-5-21-171311851-2899825094-3029724637-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hwcdn.net\q2u3z6t7.ssl]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hwcdn.net]
------2回目コピペこの上まで------
------3回目コピペこの下より------
:Commands
[purity]
[resethosts]
[emptyflash]
[emptyjava]
[emptytemp]
[createrestorepoint]
[reboot]
------3回目コピペこの上まで------
コピペが完了しましたら、任意のお名前を付けて分かりやすい場所に保存してください。
保存が完了しましたら、PCをセーフモードで起動させます。
Windows 7の方は以下URLをご覧ください。
http://www.pc-master.jp/sousa/s-safemode.html
Windows 8/8.1の方は以下URLをご覧ください。
http://121ware.com/qasearch/1007/app/servlet/relatedqa?QID=015917
Windows 10の方は8/8.1の説明と以下の説明をご覧ください。
スタートボタンを押し、すべてのアプリ⇒設定⇒更新とセキュリティをクリックすると、8/8.1の手順4と同じ状態となります。
以降は8/8.1の手順4以降を参考にセーフモードで起動させてください。
OTLを起動させ、Custom Scan/Fixesの項目内に上記で保存した内容をコピペしてください。
まずは1回目のものからコピペします。
赤い文字の[Run Fix]をクリックして処置を開始してください。
OTLの処置に従って進めてゆくと再起動がかかります。
再起動が完了しましたら、2回目、3回目とセーフモードで作業を続けてください。
作業が完了しましたら、PCを通常モードで再起動させてください。
このタイミングでインターネットに繋がらなくなったり、正規のWindowsではありませんと表示が出た場合は、
下準備の案内に従って復旧作業を行い、その後2回目と3回目の処置をやり直してください。
3回の処置が完了した状態で通常モードでインターネットが動作しており、かつ正規のソフトウェアではないなどと言う警告も表示されなかった場合、
以下のURLを制限サイトに設定してください。
http://q2u3z6t7.ssl.hwcdn.net/js/vbates.js
こちらのURLをコピーしたら、まずはコントロールパネルを開きます。
ネットワークとインターネット⇒インターネットオプションを開きます。
セキュリティのタブをクリックし、制限つきサイトと書かれたアイコンをクリックしてください。
サイトと書かれたボタンをクリックして「このWebサイトをゾーンに追加する」の欄に先ほどのURLを貼り付け、追加をクリックします。
追加が完了したらOKを押してインターネットオプションを閉じます。
Google Chromeを導入されている方は、以下の手順も行ってください。
Google Chromeを起動させます。
三のマークの設定ボタンをクリックし、設定をクリックします。
下部の詳細設定を表示をクリックしてください。
プライバシーの欄にあるコンテンツの設定をクリックします。
Javascriptの項目にある例外の管理をクリックします。
URLを貼り付け、ブロックに設定してください。
完了⇒完了をクリックして設定を終了させます。
念のため一度Google Chromeを終了させてください。
Firefoxの設定も確認しましたが、Firefoxには設定できそうな項目がありませんでした。
以上で鎮静化されているかご確認ください。
追加しました - IVNO
2015/10/22 (Thu) 00:19:27
毒をもって毒を制すという手段で、SpyHunterを導入してスキャンを行いました。
検出されたものを右クリックしてファイルを表示させて手動削除しました。
検出されたのはBabylonのレジストリとクッキーでしたので、ここでは詳細の記述は控えます。
その後HPでスキャンを行い、ダウンロードフォルダ内にあったbackupsフォルダ内部から検出があったため、
該当フォルダを含めてすべて削除しました。
レジストリエディタを起動して改めて調査したところ、追加で1件のレジストリを発見しました。
本作業を行ったのですが、未だに一部Webページでは広告が出ているようです。
続けて処置が必要な状況と思われます。
しかし正直なところ万策尽きていますので、対策が難しい状況です。
ここまでで完全に鎮静化しなかった場合はリカバリが望ましいでしょう。
検出されたものを右クリックしてファイルを表示させて手動削除しました。
検出されたのはBabylonのレジストリとクッキーでしたので、ここでは詳細の記述は控えます。
その後HPでスキャンを行い、ダウンロードフォルダ内にあったbackupsフォルダ内部から検出があったため、
該当フォルダを含めてすべて削除しました。
レジストリエディタを起動して改めて調査したところ、追加で1件のレジストリを発見しました。
本作業を行ったのですが、未だに一部Webページでは広告が出ているようです。
続けて処置が必要な状況と思われます。
しかし正直なところ万策尽きていますので、対策が難しい状況です。
ここまでで完全に鎮静化しなかった場合はリカバリが望ましいでしょう。
Re: Lasuperbaの鎮静化方法が判明しました - 和三盆 URL
2015/11/02 (Mon) 05:00:52
お疲れ様です。&お初の乱入です。
Symantec、2014/12の記事です。
JS見てみましたが、IFLAMEで全画面公告を表示する行もありました。
うざいですね。
ものすごい数のレジストリエントリを作るみたいですから、駆除はめんどくさそうで。去年から手口が変わっていなければ、ですが。
なお、ノートンイレイザーは2015/6/7製造のようです。私にもDLできましたから、どなたでも使えそうです。
Lasuperbaも対象のようです。(↓英文) 使い物になるでしょうか?
https://support.norton.com/sp/ja/jp/home/current/solutions/v115326813_EndUserProfile_en_us
Symantec、2014/12の記事です。
JS見てみましたが、IFLAMEで全画面公告を表示する行もありました。
うざいですね。
ものすごい数のレジストリエントリを作るみたいですから、駆除はめんどくさそうで。去年から手口が変わっていなければ、ですが。
なお、ノートンイレイザーは2015/6/7製造のようです。私にもDLできましたから、どなたでも使えそうです。
Lasuperbaも対象のようです。(↓英文) 使い物になるでしょうか?
https://support.norton.com/sp/ja/jp/home/current/solutions/v115326813_EndUserProfile_en_us