偽セキュリティソフト Antivirus Security Pro

実家のPCがこのウィルスに感染
思った以上に面倒だったので対処法を記載
こちらを参考に駆除した
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-sysdoct.htm

こいつに感染すると
起動時に100%このアプリにUIを乗っ取られ
とにかくアカウント購入かアクティベーションしないと他のアプリも操作できない
さらにたちが悪いのがSafemode起動でアプリが動いていない間に
exeファイルを削除する方法が提示されていたのだが、9/19にこれの対応版が出現
ログイン時にSafemodeだと自動的に再起動がかかる仕掛けが入ってた

ということでまず、この再起動されるものを排除
0. 偽アクティベーションキーで乗っ取られたUIを取り返す
キーの情報は以下から入手
http://siri-urz.blogspot.jp/search/label/SysSec

1. regeditより
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
のUserinitの値を"C:\Windows\system32\userinit.exe,"に戻す。
","以降にウィルスの実行ファイルのパスが入っていてこいつが再起動をさせる

続いて実行ファイルの削除
2. Safemodeで起動(Windows7までならF8キー、Windows8は面倒)
C:\Users\[ユーザ名]\AppData\Roaming\[ランダム文字列]\[ランダム文字列].exe
を削除

デスクトップに"Antivirus Security Pro"のショートカットがあるので
こちらのプロパティからフルパスを取得
3. デスクトップ、スタートメニューからショートカットを削除

4. Regeditで"[ランダム文字列]"を検索して該当するキーを削除

再感染しないための対応
5. Adobe Reader, Java, Macromedia Flash, Windowそのものを最新にする
今回はJavaが古かった

6.一通りウィルスソフトで中身をチェック

こんな感じかなー。