『Antivirus Security Pro(偽セキュリティソフト)』を削除する際の注意点・追記あり

ここ最近、自社ウェブサービスのご提供をする傍ら、お客様の業務用PCの故障診断などをする機会が増えています。

その中で特に多いのが、マルウェア感染(不正プログラムのうっかりインストールなど)によって、PCの動作が重くなったり、アラートが出て使えなくなったり、という症状による対応依頼です。

これらは、セキュリティソフトとしてインストールを促すものが多く、うっかりインストールしてしまうことが少なくないようです。

 

この類のソフトの多くは迷惑ではありますが、削除は比較的容易で、アプリケーション名で検索すれば、削除方法を記したページもすぐに見つかります。

 

しかし、先日遭遇した『Antivirus Security Pro』はかなり悪質なソフトで、アプリケーションをインストールするだけでなく、トロイの木馬に化けるファイルも埋め込んでしまうという、かなり凶悪なソフトウェアでした。
これらのマルウェアの削除方法を記載しているページ(サイト)の多くはアフィリエイトを目的としてる?のか、表面的な駆除方法は記載されていますが、実害を経験していないと思われるサイトが多いです。

Antivirus_Security_Pro

このソフトそのものの駆除方法は前述のサイトを検索・参照していただくとして、こちらでは、仕掛けられるトロイの木馬(ウィルス)の確認方法と駆除方法を記載したいと思います。

 

削除方法は、こちらが参考になります。

 

このソフトによって埋め込まれてしまうトロイの木馬は、

\windows\system32\baspstat.dll

というファイル名で作成されるようです。

(他のファイル名もあるかもしれません、念のため)

このファイルは作成されてしまうと、セキュリティソフトを起動していても関係なくトロイとしての機能が発動してしまいます。

起動トリガーは不明ですが、トロイが活性化されてしまうとセキュリティソフトでは削除・検疫共にできない場合があります

実際、TrendMicroのビジネスセキュリティクライアントでは、ウィルス検出はできましたが、削除も検疫もできませんでした

更に、セーフモードで起動しても、ファイル削除はできませんでした。

そのため、Antivirus Security Pro を削除した後も、セキュリティソフトの監視に引っかかり続け、定期的にアラートが出る、という事態に陥る場合があります。

セキュリティソフトは万能ではないです

 

このような場合、ファイルを駆除するには、「システムの復元」機能を使い、Antivirus Security Pro がインストールされてしまったであろう日時以前の状態に復元してやることで、ファイルを消去することができます。

詳しい「システムの復元」機能の使い方は、こちらも検索するとマイクロソフトのサイトが見つかりますので、そちらを参照してください。

 

これにより、マルウェアをインストールする以前の正常な状態に戻して、PCを再使用できるようになります。

 

マルウェアやトロイの木馬に感染したから、と諦めないで、試ししてみることをお勧めします。

 

追記:

この記事のコメントに皆さんが書き加えてくださっていますが、どうやらこのソフトは改悪(機能追加)されているようで、上記の通りに作業しただけでは削除できないものも出てきているようです。

セーフモードにさえ入れないため、削除ができない、という方は、コメント欄を参照してみてください。

本来は、芳しいことではありませんが、削除の際に一時的にアクティベーションコードが必要になるようです。

コメント内でリンクを貼って下さっているページを参照されることをお勧めしますが、万一、該当ページがなくなった時のことを考え、そのページに記載されているコードを転記しておきます。

必要に応じ、活用してみてください(あくまで自己責任で)。

To register (and help removal), copy paste this code: AA39754E-715219CE

Follow me!

『Antivirus Security Pro(偽セキュリティソフト)』を削除する際の注意点・追記あり” に対して17件のコメントがあります。

  1. より:

    参考になりました。ありがとうございます。
    ところで、削除する前から復元ではだめなのでしょうか?
    最初から復元ではウイルスは無くならないのですか?

    1. geek54u より:

      コメントありがとうございます。
      削除する前に「復元」をしても平気かもしれません。
      当社のクライアントへの対応の際は、

      1.まずアプリケーションの削除を実施
      2.レジストリのクリーニングを実施
      3.セーフモードでウィルスチェックをかけ、ウィルスが発見された場合に該当ファイルの削除を実施
      4.それでも削除できなかった場合に、システムの復元を実施

      という手順で行っています。
      理由は3つ。

      1.アプリケーションがインストールされていても、トロイの仕掛けられたファイルが生成されていない場合があるため。
      2.インストールされているセキュリティソフトによっては、トロイの仕掛けられたファイルを駆除できる場合があるため。
      3.アプリケーションを削除せずにシステムの復元を試みた際に、復元の日付を選べない事象が実際にあったため。

      駆除の考え方として、前述の1~4のプロセスを経ることが適切と、当社では考えています。

      システムの復元はOSの持つ非常に強力なツールですが、復元される際に具体的にどの部分が対象になって、その影響がどこまで及ぶのかが、正直なところ掌握でききれませんので、復元は最後の手段と考えています。

      答えになっていますか?

  2. AYAN より:

    大変わかりやすく解説されていて、助かったと思い作業しようとしているのですが、セーフモードで起動しようとすると、シャットダウンされてしまうのです。
    何か方法はありますか?

    1. geek54u より:

      コメントありがとうございます。
      通常、当社で対応させていただく場合、パソコンの保証条件の関係でセーフモードで起動できないパソコンの復旧は、別途料金でのデータ救出サービスをご提案しています。

      その理由は、セーフモードで起動できない原因が、

      1.レジストリが破損していてWindowsが正常に起動できない
      2.ハードウェアの故障に起因してWindowsが起動できない

      という2点のいずれかであることが多いです。

      1の場合、Windowsは正常起動できてもインストールされていた各種アプリケーションが起動できなくなる場合が多く、データの救出はできても、それ以前の動作状態に復元できないケースが殆どです。

      2の場合、メモリの不具合の時々見受けられますが、パーツの取り外しや交換による確認のためパソコンのケースを開けてしまった時点でメーカー保証が受けられなくなるため、実施できないことが多々あります。

      ご質問の状況から見て、マルウェア感染前の正常状態に復旧するのが目的だと思われますので、1の方法(レジストリの初期化対応)を試されるのはお勧めできません。
      可能であれば(ノートパソコンですと困難かもしれませんが)、デスクトップパソコンであれば、可能な限り部品を取り外し、起動に必要な最小限の部品構成にし、再度起動を試されることをお勧めします。

      但し、Windows起動選択時のF8キー押下後、セーフモード選択のメニュー画面さえ起動しないでシャットダウンしてしまうのであれば、ブートローダーが壊れているだけ、という可能性もあります。

      大変だとは思いますが、状況を細かく切り分けるとともに、挙動の再現性を確認して、該当する状況の対応方法を検索してみてはいかがでしょうか?

      1. AYAN より:

        早速の回答ありがとうございます。

        可能な限り部品を取り外しとありますが、具体的にはどういったものを外せばいいのでしょうか?

        1. geek54u より:

          当方が確認する際には、Windowsを起動するのに最低限必要な構成まで部品を取り外し、確認することが多いです。

          1.メモリ
          起動可能な最小容量の1枚のみにするか、予め正常機能チェック済みの1枚を用意し、確認します。

          2.グラフィックボード
          マザーボード・オンボードでグラフィック出力がある場合は、AGPやPCIeのグラフィックボードは外します。

          3.拡張ボード
          PCI、PCIeなどの拡張バスを利用しているボードがある場合は、すべて取り外します。

          4.その他
          当然ですが、USB接続の機器やLANの接続はすべて外します。

          これらの機器を取り外した上で、BIOSを初期化(デフォルト設定の読み込み)し、動作確認を実施します。

          ただ、ここまでの対応を行うのは、極めてまれです。
          また、この操作を試してもセーフモード起動ができない(途中でシャットダウンしてしまう等の)ような場合は、OSに関わる致命的な損傷がHDD内に存在すると判断し、データの退避とリカバリー(完全初期化)を行うようにしています。

    2. Yuichi136 より:

      このマルウェアは、セーフモード潰しなる動作もさせるもので
      恐らくPC起動時などにマルウェアからのアクセスの認証が表示された際に承認してしまったからでしょう。

      その状態になってしまうとセーフモード関連で起動しようとしても自動的に再起動がかかり通常起動してしまいます。

      通常起動ではファイルのダウンロード、レジストリ、スタートアップ、リカバリ等を実行しようとしてもマルウェアの妨害により実行できません。

      対応方法としては通常起動状態で以下のとおり行ってください。
      ※マルウェア自体は対処できますが責任は追えません。

      アクティベートコードで故意に購入状態へと持ってくことにより削除する方法です。

      1.Antivirus Security Proウィンドウ右下の「Buy Full Edition」のところクリック

      2.ショッピングウィンドウ左下の「I already have activation key」ボタンをクリック

      3.赤文字のアクティベートコードを入力ボックスに打ち込む
      http://siri-urz.blogspot.com/2013/08/antivirus-security-pro.html

      4.Windowsのスタートメニュー → [すべてのプログラム] → [Antivirus Security Pro] → [Uninstall Antivirus Security Pro] でアンインストールができるようになってる

      5.再起動を行うとセーフモード等も起動可能になる

      ※感染による後遺症のようなものは残りますが、残りは一つずつケアしていくしかありません。

      6.Malwarebytes Anti Malware&Microsoft Safety Scanner 等マルウェア対策ソフトでクイックスキャン

      1. AYAN より:

        ありがとうございます。
        ハードウェアの取り外しもよくわからず、アクティブコードを入力して、なんとかセーフモードで再起動できました。
        なんとか、削除もできました。
        本当にありがとうごさいました。

      2. geek54u より:

        コメント(補足)ありがとうございます。

        当方の遭遇していない状況でしたので、補足とてもありがたいです。

        やはり、感染後の期間や使用状況などによって削除方法に関して対応を随時変える必要があるのかもしれないですね。

        セーフモード不可の状況での削除方法、大変参考になりました。

        ありがとうございます。

        こちらでも、また新しい状況などに遭遇しましたら、追記していきたいと思います。

  3. ももくま より:

    初めまして
    antivirus security proに困り果ててこちらにたどり着きました
    感染された皆さんは簡単にフォルダの削除まで出来ているようですが
    どうしてもそこまでたどり着けません、
    もし宜しければ助言を頂けると有り難いです。

    自分なりに復旧するために最終的に購入した状態に戻すリカバリをかけようと思っているのですが最終手段です。
    仕事先のPCなので、又後日復旧に取りかかる形になって手が尽くせていないままの質問で申し訳有りません。

    __
    フォルダごと削除と思い、隠しファイル表示状態にしてから
    セーフモードでフォルダを削除しようと試みたのですが
    vistaだからなのか、既に新しい要素が入ったウィルスになっているのか
    「別のプログラムがこのファイルを開いているので、操作を完了できません」のエラーが出てしまいフォルダの削除が出来ません。
    (プログラムの追加と削除で削除を試みても、フォルダの中一つ一つ摘んで捨てようとしても同様)

    切り取り→ペースト→削除 も試してみても失敗
    セーフモードに入ってないのかもしれないとも考えましたが
    起動する前の画面ではしっかりとセーフモード選択は出来ています。(単なるセーフモード/ネットワーク上のセーフモードどちらも試しました)
    これを切ってくれるフリーソフトは有るそうなのですが、IEのアプリケーションは機動出来てもサイトに飛べない状態です。

    削除が出来ない以上リカバリをかけるしか無いのですが、
    リカバリをするアプリ(元々vistaに付いているマイリカバリ)も遮られている状態ですぐに強制終了され
    必要なデータをとりあえず移そうとウィンドウズのバックアップを取ろうとすればエラー
    (zip方式でバックアップがとれなくなっている?一度zipになったファイルはCD上からも削除が出来なくなりました)
    アプリケーションはほぼ何を使おうとしても強制終了、ウィルスバスターの使用も新たなダウンロードも不可
    必要な処置がほぼ出来ません

    復元ポイントはお恥ずかしながらそういうものが有ると知らずに設定していませんでした
    バックアップを時々とっていたマイリカバリをセーフモード選択画面の復旧から選択して
    リカバリを試してみるつもりですが、セーフモードで起動しても邪魔されるような状態で
    まともにリカバリーがかけられるかまだ解りません

    手動で、zip状態にせず、感染した日時より前に更新されたファイルだけを救出して
    買った当初の状態に戻すリカバリを試そうかと思っている所です(勿論リカバリ後はJAVA等の更新は済ませます)
    元々がmacユーザーでWindowsPC初心者ですので、対処に大穴が有るかもしれないと思い書き込ませて頂きました
    対処に何か思う所がありましたら助言頂けると嬉しいです

    1. geek54u より:

      コメントありがとうございます。

      だいぶお困りの様子、お察しします。

      さて、antivirus security proのフォルダを削除できないとのことですが、コメントの内容から察するに、antivirus security proのフォルダ内のいずれかのファイルが使用中の状態にあることが原因かと推察されます。

      既に、お試しになられているかもしれませんが、

      1.通常モードなら、ネットワークを無効にして再起動する。
        セーフモードならネットワークのドライバは組み込まれないのでそのままでOKです。

      2.タスクバーを確認し、起動しているアプリケーションをできる限り終了させてみる。
      (アイコンのみの状態のものも全て)

      3.Ctrl + Alt + Del でタスクマネージャを起動し、「プロセス」タブで表示されるプロセスで、ユーザー名が自機のもの(SYSTEMでないもの)
      をできる限り終了させる。(終了させるプロセスによっては動作不安定になる場合もあるので、複数回やり直すことを覚悟して、トライしてみる)

      という手順を試してみてはいかがでしょうか?

      また、ひょっとして、対象フォルダをエクスプローラで開いていることが原因になっている可能性も皆無ではないでしょうから、
      デスクトップにあるantivirus security proのアイコンから、フォルダの元位置を正確に控えておき、

      「アクセサリ」→「コマンドプロンプト」を起動し、

      cd "antivirus security proのディレクトリ"

      del *.*

      cd ..

      rd "antivirus security proのディレクトリ"

      として、削除を試してみられてはいかがでしょうか?

      当方の経験上ですが、antivirus security pro のフォルダを削除できないという事象にはまだ遭遇したことがありません。
      おそらく何らかのアプリケーションが削除の邪魔をしているか、削除対象が違っているか、ではないかと思われるのですが・・・
      ただ、このアプリ自体に亜種が発生しているのであれば、この解釈も適切ではないかもしれません。
      antivirus security pro にはインストーラは付属していないはずなので、プログラムの追加と削除のリストにアプリケーションがリストアップされるはずもないですし。
      もし、追加情報などありましたら、教えていただけるとありがたいです。

  4. kokoa より:

    消去しようとしても起動中とでてしまうのですがどうすればよいでしょうか?

    1. geek54u より:

      コメントありがとうございます。

      起動中と出てしまうとのことですが、タスクバー上からの起動アプリケーションの確認・終了や、タスクマネージャを利用してのアプリケーションの確認・終了、などは既にお試し済みですか?

      また、セーフモードでの起動による削除の可否、なども試されましたでしょうか?

      あるいは、感染のタイミングがおわかりなのであれば、システムの復元も試されましたでしょうか?

      それらの対処も不可能であれば、他の方々のコメントを参考にして削除をしてみてはいかがでしょうか?

  5. mii より:

    みなさんと同じく、本日Antivirus Security proがインストールされてしまい、Yahoo検索ができない状況です。フォルダをゴミ箱に入れても再起動すると、またスキャンが開始される状態にあります。アンインストールするには一度購入した状態にするとありますが、お金を請求されることはないのでしょうか?

    1. geek54u より:

      コメントありがとうございます。
      返信が大変遅くなりました。
      ご心配の内容に関してですが、当方はまだ削除できない状況に遭遇したことがないので推測になりますが、下記のYuichi136さんのコメントを拝見する限り、購入のボタンを押して、次の画面に遷移するけれど、すでにアクティベーションコードを持っている(購入済みだと認識させる)という選択肢を選び(新規に支払いを行わずに)、下記コメント内のリンクにあるコードを入力する。
      ということだと認識しました。
      このアクティベーションコードそのものは、どなたかが支払いに使ったものなのか、あるいは、プログラムの認証部分をクラックして見つけ出したものなのかはわかりませんが、認証に使えるものだということ、だと思います。
      一般的にアプリケーションのライセンスコードの転用やアプリケーションのクラックは違法行為に含まれる事柄ではあります。
      ただ、こいういったマルウェア的なアプリケーションへの適用行為は、個人的な見解としては容認されるべきものと解釈しています。
      ただし、実施は自己責任において行われるよう、くれぐれもご注意ください。

  6. TK0708 より:

    皆さんのコメント、対処方法非常に参考になりました。
    アクティベーションコードを使ってプログラムからは削除ができました。
    しかしMalwarebytes Anti Malware や Microsoft Safety Scanner
    のダウンロードができません。何か考えられることはありますか。

  7. E.K より:

    このような対策方法を書き出していただきありがとうございます。
    途中で操作が止まってしまうので相談させていただきます。

    プログラムとファイルの検索で、regeditを入力しEnterを押しても、右下にWorning! Infected file detectedの表示しか出て来なくてそのあとどうすればいいか困っています。

    どーしたらいいか助言頂けると助かります。
    よろしくお願い致します。

コメントは受け付けていません。