営業さんのPCがマルウェアに感染したようです。
症状としては、だいたいAM10:00〜PM1:00くらいの間に、Chromeで勝手にwebサイトを開かれてしまうというもの。
接続しにいくwebサイトは
http://static.gepyvararec.com/bg/?d=7427EA39C9C1DAED___z=1___rd=59d455d30dab447fbe4967a8cc57f443___cd=DS
こんなところ。一旦、上記のところに繋がれた後、0秒ジャンプで
http://litoffc5fyoroku.kocajrekoquwu.info/a3548249a9472509b20eb5c03434b5e5/?p=VELISMEDIA1&trckid=abJ64chiWwEWw8mdfHvNbsvXlEscJz7TLpC-4xZYQ_I7oL9SqPnqSyuhYr2TAN8sK2FL6VMLvJ2vvorUwCrOJBeuiaKp-zpwbdKnKj8Vri2UlyHydbAUi1g6BItj0JsY8yR5dxlhtvyOshx19AV7Bjk0HKXbEkxbcTIp2fEmG9KxyY83v2sPXMjAdiTZz2Q9-1EMBDcjA-4LW2zjulnXreI4jFnrsjzekofIp6IvMA1CF_q4JfdU3EjqJDRl735YRYnipvVum6B2ut7nysAisL4VdyXZvoBaYmOTSfVviWNJ0DjekEDJbhOtjxJH9sw-yRgfWHN4eLGKllqeB27W13rsY3Is9ZNJm8RJr9EK2QF36BoGvOkPeWyz_jUX48-pjKDmd9cB8YbHJfBT_j5VGwhR8tuU2B-vfRKk7CNhbvcqYJ2euJ5vpP0lCAa2NU-pVKYn2xfT2fPMaMzJQg
や
http://ads.vm-corporate.com/imp5277?a=50772552&context=c54091244&size=800×600&rt=popunder&ci=10&r=http%3A%2F%2Fstatic.gepyvararec.com%2Fbg%2F%3Fd%3D7427EA39C9C1DAED___z%3D1___rd%3D59d455d30dab447fbe4967a8cc57f443___cd%3DDS&u=http%3A%2F%2Fstatic.gepyvararec.com%2Fbg%2F%3Fd%3D7427EA39C9C1DAED___z%3D1___rd%3D59d455d30dab447fbe4967a8cc57f443___cd%3DDS
こんな感じのところに飛ばされていました。インストール系のようです。
ウィルスチェックソフトが全く反応しないって面倒ですよね。。。さらに、症状が出始めたのは2、3ヶ月前ということで、その時の行動が見えないのが痛い。感染したときに言ってよ〜・・・orz
まぁ、起こった事は仕方が無い。問題を解決しよう。
「Chromeで勝手にwebサイトを開かれる」ということなので、”ブラウザのアドオン”か”タスクスケジュール”がとりあえず怪しいと思い見てみましたが、表面上おかしな物が無い。
一旦、問題の切り分けとして、chromeのアドオンならばchromeが立ち上がっていないと動けないはず、ということで該当時間にchromeを閉じておいてもらうことにしてチェックしたところ、閉じていてもchromeは起動してきました。
ということはアドオン系ではなく、アプリとしてインストールされたか、タスクスケジュールで動いているはず。
ただし、見た目上おかしなものが発見できないので、困った時はツールにお願いするしかない!!
上記の条件でいろいろと検索していると以下のサイトがヒット。
マルウェア感染!static.salesresourcepartners.comのページが勝手に表示される時の対処方法
ここでツールをいくつか紹介してくれているんですが、私はその中の「AdwCleaner」というものを使ってみる事に。ただ、ここのサイトから繋がるところからだとバージョンが古いらしくインストールが出来なかったので、別途検索して最新版をインストールしました。
このツールをインストールして検索ををしてみると・・・・
でるでるwwwwww
ファイルはもとより、レジストリやタスクスケジュールからもちらほらとその形跡が。
迷わずこれらをツールによって駆除してもらい、翌日パソコンをチェックしてもらったら症状は止んでいました。これにこりて変な物のインストールをやめてくれるといいんですが。。。