サポート録

ウイルス対策ソフト NOD32が、メジャーバージョンアップ、V3.0がリリースされた。

うちに並んでいるパッケージも既にほとんど3.0に入れ替わっている。

いち早く自前でアップグレードしたお客様から、3.0のインストール後、何だか調子が悪くなったとサポート依頼が入った。

調べてみると、ekrn.exe というプロセス（これはNOD32のエンジン）のCPU使用率が１００％に張り付いていた。

早速バグか・・・ということで、メーカに問い合わせたところ、以下のように回答があった。

今のところ症状は治まっている。

 ————————————————–

詳細な原因については不明ですが、以下の手順で改善されるか
ご確認いただけますでしょうか。

1. ESET Smart Securityの基本画面を開きます。

2. 「設定」>「環境設定で詳細な設定をする」を選択します。

※環境設定で詳細な設定をするが表示されていない場合は、
「詳細モードに切り替え」をクリックしてください。

3. 「ウイルス・スパイウェア対策」>「リアルタイムファイル
システム保護」を選択し、画面右の「設定」ボタンをクリックします。

4. 「拡張子」を選択し、画面右の[拡張子]の下に MSP と
入力し、「追加」ボタンをクリックします。

5. 「OK」ボタンをクリックしていき、設定画面を終了します。

上記手順で改善されるかご確認ください。

上記手順で改善されない場合は、他の常駐アプリケーションとの
相性により発生している可能性がございます。

恐れ入りますが、以下の手順にて改善されるか
ご確認いただけますでしょうか。

1. 「スタート」→（Windows Vistaは「すべてのプログラム」→
「アクセサリ」→）「ファイル名を指定して実行」にて
‘MSCONFIG’ と入力し「OK」をクリックして
「システム構成ユーティリティ」を起動します。

2. WindowsXPの場合：
「スタートアップ」タブをクリックします。
表示された項目のうち「egui」以外のチェックをはずします。

「サービス」タブをクリックします。
□Microsoftのサービスを全て隠す にチェックをいれます。
表示された項目のうち「Eset HTTP Server」「Eset Service」
以外のチェックをはずします。

WindowsVistaの場合：
「スタートアップ」タブをクリックします。
表示された項目のうち「egui」以外のチェック
をはずします。

「サービス」タブをクリックします。
□Microsoftのサービスを全て隠す にチェックをいれます。
表示された項目のうち「Eset HTTP Server」「Eset Service」
以外のチェックをはずします。

「適用」「OK」で設定画面を終了してください。

3. コンピュータを再起動し、現象が改善されているかどうかを
ご確認ください。

以上でございますが、どうぞよろしくお願いいたします。

ブラウザの右下隅に時々中国語の広告が表示されるの続き

HTMLの先頭行に勝手に追加される以下のコード

<script src=”http:://l.52hxsh.com/1.js”></script>

が参照している　1.js　をダウンロードしてみた。

以下がソース

document.writeln(”<center>”);

function brand(a)
{
return parseInt((a)*Math.random()+1);
}

var hgbnum;
hgbnum=brand(8);

if (hgbnum==1)
{
document.writeln(”<div id=\”myads\” style=\”width:209px;height:138px;position:absolute;z-index:30000;bottom:0px;background-color:#ffffff;\”>”);
document.writeln(”<div style=\”height:138\”><a href=\”http:\/\/ad.hhhqd.net\/qb.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qb1.gif\” width=\”209\” height=\”138\” border=\”0\”><\/a><\/div>”);
document.writeln(”<\/div>”);
document.writeln(”<script language=\”javascript\”>”);
document.writeln(”function myads(){document.all.myads.style.top=document.body.scrollTop+document.body.clientHeight-138;document.all.myads.style.left=document.body.scrollLeft +document.body.clientWidth-209}”);
document.writeln(”window.setInterval(\”myads()\”,1);”);
document.writeln(”<\/script>”);
}

if (hgbnum==2)
{
document.writeln(”<div id=\”myads\” style=\”width:200px;height:130px;position:absolute;z-index:30000;bottom:0px;background-color:#ffffff;\”>”);
document.writeln(”<div style=\”height:130\”><a href=\”http:\/\/ad.hhhqd.net\/qb.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qb2.gif\” width=\”200\” height=\”130\” border=\”0\”><\/a><\/div>”);
document.writeln(”<\/div>”);
document.writeln(”<script language=\”javascript\”>”);
document.writeln(”function myads(){document.all.myads.style.top=document.body.scrollTop+document.body.clientHeight-130;document.all.myads.style.left=document.body.scrollLeft +document.body.clientWidth-200}”);
document.writeln(”window.setInterval(\”myads()\”,1);”);
document.writeln(”<\/script>”);
}

if (hgbnum==3)
{
document.writeln(”<a href=\”http:\/\/ad.hhhqd.net\/qq.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qq3.gif\” width=\”760\” height=\”80\” border=\”0\”><\/a>”);

document.writeln(”<div id=\”myads\” style=\”width:200px;height:130px;position:absolute;z-index:30000;bottom:0px;background-color:#ffffff;\”>”);
document.writeln(”<div style=\”height:130\”><a href=\”http:\/\/ad.hhhqd.net\/qb.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qb9.gif\” width=\”200\” height=\”130\” border=\”0\”><\/a><\/div>”);
document.writeln(”<\/div>”);
document.writeln(”<script language=\”javascript\”>”);
document.writeln(”function myads(){document.all.myads.style.top=document.body.scrollTop+document.body.clientHeight-130;document.all.myads.style.left=document.body.scrollLeft +document.body.clientWidth-200}”);
document.writeln(”window.setInterval(\”myads()\”,1);”);
document.writeln(”<\/script>”);
}

if (hgbnum==4)
{
document.writeln(”<a href=\”http:\/\/ad.hhhqd.net\/qq.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qq3.gif\” width=\”760\” height=\”80\” border=\”0\”><\/a>”);

document.writeln(”<div id=\”myads\” style=\”width:200px;height:130px;position:absolute;z-index:30000;bottom:0px;background-color:#ffffff;\”>”);
document.writeln(”<div style=\”height:130\”><a href=\”http:\/\/ad.hhhqd.net\/qb.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qb3.gif\” width=\”200\” height=\”130\” border=\”0\”><\/a><\/div>”);
document.writeln(”<\/div>”);
document.writeln(”<script language=\”javascript\”>”);
document.writeln(”function myads(){document.all.myads.style.top=document.body.scrollTop+document.body.clientHeight-130;document.all.myads.style.left=document.body.scrollLeft +document.body.clientWidth-200}”);
document.writeln(”window.setInterval(\”myads()\”,1);”);
document.writeln(”<\/script>”);
}

if (hgbnum==5 || hgbnum==6)
{
document.writeln(”<a href=\”http:\/\/ad.hhhqd.net\/qb.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qb4.gif\” width=\”760\” height=\”80\” border=\”0\”><\/a>”);

document.writeln(”<div id=\”myads\” style=\”width:200px;height:130px;position:absolute;z-index:30000;bottom:0px;background-color:#ffffff;\”>”);
document.writeln(”<div style=\”height:130\”><a href=\”http:\/\/ad.hhhqd.net\/qq.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qq1.gif\” width=\”200\” height=\”130\” border=\”0\”><\/a><\/div>”);
document.writeln(”<\/div>”);
document.writeln(”<script language=\”javascript\”>”);
document.writeln(”function myads(){document.all.myads.style.top=document.body.scrollTop+document.body.clientHeight-130;document.all.myads.style.left=document.body.scrollLeft +document.body.clientWidth-200}”);
document.writeln(”window.setInterval(\”myads()\”,1);”);
document.writeln(”<\/script>”);
}

if (hgbnum==7 || hgbnum==8)
{
document.writeln(”<div id=\”myads\” style=\”width:200px;height:130px;position:absolute;z-index:30000;bottom:0px;background-color:#ffffff;\”>”);
document.writeln(”<div style=\”height:130\”><a href=\”http:\/\/ad.hhhqd.net\/qq.html\” target=\”_blank\”><img src=\”http:\/\/ok.52hxsh.com\/img\/qq1.gif\” width=\”200\” height=\”130\” border=\”0\”><\/a><\/div>”);
document.writeln(”<\/div>”);
document.writeln(”<script language=\”javascript\”>”);
document.writeln(”function myads(){document.all.myads.style.top=document.body.scrollTop+document.body.clientHeight-130;document.all.myads.style.left=document.body.scrollLeft +document.body.clientWidth-200}”);
document.writeln(”window.setInterval(\”myads()\”,1);”);
document.writeln(”<\/script>”);
}

そして新たに同ネットワーク内で２台の感染が確認された。
感染したPCの症状は

1. 非常に動作が不安定で重い
2. セーフモードではブルースクリーンになって起動できない
   追記：STOPエラーの種類は 0×0000007B　INACCESSIBLE_BOOT_DEVICE
3. NOD32をインストールしようとするとインストールウィザードで”次へ”ボタンをクリックすることができない

このような状態で、単体でチェックすることはできない。

そこで、感染したPCのHDDを取り外し、別のPCに接続してNOD32でスキャンを行った。
結果はexeというexeに感染が確認された。中には未知のウイルスの疑いというのも含まれている。

win32/Genetik 亜種
win32/Xorer 亜種

リストに出てくるのはこの２つばかり。

思ったように調査が進まないので続きはまた後日。

表題の件で訪問依頼。
ああ、なんかのアドウェアにかかったかと見に行ったのだが、今回はちょっと違った。

なんと社内の殆どすべてのPCで同時発生したというのだ。
確認すると、不定期に中国語の広告が表示されている。
ペンギンのマスコットで有名なQQというサイトの広告だ。
夜勤中の中国人実習生が会社の端末で勝手にインターネットをしていたら、翌朝から症状が出始めたとのことだった。

ルータのログを除いていると、定期的にqq.comと52hxsh.comへアクセスした履歴がある。
が、ルータはNTT WebCaster710
こいつのログは１００件程度しかたまらないらしく、あまり参考にならない。
とりあえず上記のURL２つをフィルタして確認すると、広告は表示されなくなった。

それぞれのマシンでマルウェアをスキャンしてみたが、全く引っ掛からない。

しかし、ネットの接続が妙に不安定だ。
頻繁に「サイトが表示できません」とエラーが出て、リロードすると表示される。
担当者に話を聞くと、これも広告が出始めてからの症状だという。
ここでなんとなく読めてきた。

症状が出る時には以下のスクリプトがソースのトップに追記されている。
<script src=”http:://l.52hxsh.com/1.js”></script>

いやびっくり。
初めて見ました。
ウイルスに感染したPCがプロクシの役割をし、htmlをクライアントに渡す際にスクリプトを追記しているようなのです。
問題のPCをネットワークから外せば全く問題なく動き始めました。

今回のケースは、中国人実習生が勝手にPCに触ったことがことの起こり。
触ってはいけないと伝えるのは勿論、話して分かる人間ばかりじゃないため、パスワードロックなどの対策は必要だ。

３月３日追記
<script src=”http:://l.52hxsh.com/1.js”>でGoogle検索したところ、現時点でヒットする文献は中国語サイト３件のみ
この症状または52hxsh.comについて何らかの情報を持っている方はぜひ教えてください。

問題の感染したPCをチェックしようと、 Safemodeで起動しようとするとブルースクリーンでストップ。
通常起動だと普通に起動する。（不安定で細かいチェックは難しい）
システムの一部が改変されているのだろうか？

PCの電源が突然落ちて、すぐに電源を入れようとしても入らず、しばらくすると入るようになる。

こういう現象が頻繁に起こっている方はいないだろうか？
おそらくそれは、サーマルシャットダウンである可能性が高い。

1. CPUヒートシンクの目詰まり
2. CPUファンの故障
3. CPUとヒートシンクの結合不良
   （熱伝導パッド若しくはグリスが適正に取り付けられて（塗られて）いないか、単純にヒートシンクの取り付けが緩んでいる）
4. パソコン本体内での空気循環が悪く、熱がこもる

サーマルシャットダウンとは、主にこれらの原因によって、CPUが冷却されず規定値以上の温度に達してしまい、過熱保護機能によって電源が落ちることをいう。

こんな真冬にとも思ったが、どうやらお客様のところで起こっているらしい。

参考までにこの写真を見てもらいたい。

真中にある四角いのがCPUのヒートシンクで、その向こう側についている黒いのがヒートシンクに風を送るファンだ。
ヒートシンクの隙間がここまで目詰まりしてしまうと、いくらファンが風を送っても全く冷却されないのは理解していただけると思う。

さて、今の時期はたとえこのような状態であっても、少しファンの音がうるさいくらいで異常は起こらないというケースが多いのだが、このまま夏になるとえらいことになってしまうのだ。

ぜひPC内部の掃除を実施していただきたい。
自分でする自信がないのであれば、是非ADD-inにお問い合わせを！