『TW317A7のリカバリで必ずウィルスに感染する原因特定』のクチコミ掲示板

[ちんす]

スタートアップ後、初めてIEを開いたときに
ONKYOサイトとAUサイト2個の同時3個の窓を開くんですが
そのどれかのサイトにマルウェアが仕込まれている模様です。

ちなみに感染するウィルスは、
GoogleやBing等、IEやFirefoxやChromeなどのブラウザを問わず
検索エンジンで検索し、表示結果をクリックすると
別サイトにリダイレクトする、というものです。

最初は、当方のローカル環境に問題があるのかと思い、
ルーターをリセットしたり、NASを切ったりしてみたんですが、
何をやっても、リカバリ直後に症状が再発するので、
もうスタートアップで開くサイトしか原因が思いつきません。

しかもこのウィルス、デフォでインスコされてるマカフィーを最新版にしても駆除できず、
さらに、WindowsUpdateを実行不能にします。

さらに、USBメモリからSecurityEssencialをインスコすると、BSODするようになります。
セーフモードで最新の定義パターンをインスコしても駆除できません。

かなり凶悪です。

メーカーに問い合わせしたいんだけど、感染が怖くてできません。
とりあえず、初回起動時にregeditでIEのスタートアップ画面を変更する以外に
リカバリする手段がありません。

みなさま、ご注意を。

書込番号：13075792

[EXILIMひろま]

ａｕのサイトと書かれているのでTW317A7をお使いだと思います。

私もA7を使用していますが、そのような目にあったことはありません。
セキュリティソフトはAvast!インターネットセキュリティを入れています。
EsetSmartSecurityを入れていたときも問題ありませんでした。

マカフィーはPC買ったら即削除がデフォなので使ってませんｗ

書込番号：13075841

[ちんす]

リカバリしたことありますか？

書込番号：13075880

[ムアディブ]

サイトアドバイザーだったりして

書込番号：13075929

[EXILIMひろま]

ちんすさん

ディスクから１回リカバリしています。

セキュリティソフトはUSBメモリにインストーラーを入れてあるのでネット接続前にマカフィーと入れなおしてます。
Windowsの認証はやっちゃった気がしますが(苦笑)

とりあえずそのマルウェアには引っかかった事ありません。

書込番号：13075951

[ちんす]

えーと、じゃあ情報をまとめると、
EXILIMひろまさんがリカバリしたときには感染しなくて、
当方がここ1週間ほどリカバリすると感染するってことは、

ここ1週間内に、AUなりONKYOのサイトがハックされたという意味かと思います。

リカバリって、SSDの内容を全消しするんだから、
SSDのどこかにウィルスが潜んでも、削除されるはずですよね？

あれですかね、MBRとかBIOSに潜伏するウィルスも存在するんですかね。

とにかく、当方がリカバリのたびに感染してるのは事実なんです。
もちろん、特にほかのサイトを開いてない状態での話です。

書込番号：13076061

[EXILIMひろま]

ちんすさん

リカバリ後の設定手順ですが、私はセキュリティソフトのインストール→アップデートの後Windowsのアップデートを済ませてます。
もしWindowsアップデートより前にブラウザを起動しているなら止めた方が良いです。


＞MBRとかBIOSに潜伏するウィルスも存在するんですかね。

昔はBIOSを破壊するウィルスの話なども聞きましたが、最近は聞いたおぼえがありませんね〜
ただ、もしかしたら有るのかもしれません。
絶対に無いとは言い切れない類の物なので。


ついでにちょっと実験してみました。

私は普段IEを使ってないのでホームページなどもリカバリ時のまま弄っていません。
その状態でIEを起動してauやonkyoのHPも見てみたのですが、特に異常は発生していないようです。

何が感染源なんでしょうね〜？？

書込番号：13076456

[ちんす]

昨晩、リカバリセットアップ中にネットワーク設定をせずに
完了直後にセーフモードでログインし、
msconfigで診断スタートアップ設定し再起動し、検証してみました。

まずマカフィーは即効削除。

この状態でSecurity Essencialをインスコすると、
iastor（intel rapid storage）との相性でBSODするので、
今回はSecurity Essencialはインスコやめました。
※ちなみにintel matrix managerのバージョンを9xに落とすと、（デフォは10x）
　Security Essencialはインスコできます。

で今回は、AVG FREEをインスコ。無事完了。
ここまでブラウザ起動してません。

ここでAVGで初期スキャン中に、感染が見つかりました。
システムフォルダの中の「googleupdatebeta.exe」。
つまり、リカバリディスクの中に復元イメージに
すでにウィルスが含まれている可能性大です。

ちなみに今まで同様の手順で、マカフィーやSecurity Essencialで
初期スキャンを実施したときには、このウィルスを発見できてません。
AVGのみの快挙というべきか。

これを駆除し、再起動。

ネットワーク設定してブラウザ起動すると、感染は治ってました。

つまり、本題を訂正します。

スタートページにウィルスが仕込まれているのではなく、
リカバリの中に含まれているようです。

書込番号：13078128

[ちんす]

今ぐぐって「googleupdatebeta.exe」の情報見つけました。

http://translate.google.co.jp/translate?hl=ja&sl=en&u=http://www.threatexpert.com/files/googleupdatebeta.exe.html&ei=KaRyTciTDseHcYOw2PgC&sa=X&oi=translate&ct=result&resnum=1&ved=0CCIQ7gEwAA&prev=/search%3Fq%3DGoogleUpdateBeta.exe%26hl%3Dja%26rls%3Dcom.microsoft:ja:IE-SearchBox%26rlz%3D1I7GGLL_ja%26prmd%3Divns

書込番号：13078134

[EXILIMひろま]

おお！そんな所に犯人が居ましたか！！
私はたまたま運良くセキュリティソフトに救われていたんでしょうね〜(汗

書込番号：13078203

[ちんす]

要は、googleupdatebeta.exeというのは、
ブラウザのアドオン的に起動し、
ネットワークにつながった時点で本体をダウンロードして
システムのレジストリを書き換えるウィルス、だと思います。

どちらにせよ、これ明確にonkyoの不手際なんで、
メーカーに問い合わせしようかとサイト見たんですが
問い合わせフォームへの行き方がわかりませんでした。

書込番号：13078244

[EXILIMひろま]

私も問い合わせフォームを探してみましたが良く分かりませんでした。
ホームメニューから「ONKYO 問合せ窓口一覧」を開くと出てくるのはナビダイヤルの電話番号なので電話をかけろって事なのかな？

その下に表示されている「ONKYO 管理情報」ってので個体管理してるのかな？
シリアルナンバーとは違う番号ですが・・・

書込番号：13078317