USBメモリから拡散するウイルスの駆除方法2


★revoウイルス駆除方法について

※注意!
Cドライブを開く場合は、マイコンピュータからCドライブをダブルクリックしないでください。ダブルクリック=ウイルス起動されます。下記の作業を行うには、ファイル名を指定して実行(c:)からCドライブを開いてください。

▼確認
[感染しているかどうかの確認]
①「ツール」>「フォルダオプション」>「表示タブ」をクリックします。
②「すべてのファイルとフォルダを表示する」にチェックをいれOKをクリックします。
③もう一度「フォルダオプション」を開き、「隠しファイルおよび隠しフォルダを表示
しない」にチェックがされていたらそのパソコンは感染しています。

このウイルスの特徴は、オンラインゲームのIDとパスワードを盗み出して中国のサーバーに送るトロイの木馬に属されるウイルスです。重要度は低いですが、亜種も数多く存在しているので感染していないと思っているパソコンでも確認したほうが良いと思います。

▼駆除するための準備
(1)システムの復元を無効にする
「マイコンピュータ」を右クリック>「プロパティ」>「システムの復元」タブ>「すべてのドライブでシステムの復元を無効にする」にチェックをする。

(2)InternetExplorerを起動し、ファイルの削除を行う

[InternetExplorer7の場合]
「ツール」>「インターネットオプション」>「全般」タブ>「削除」>「すべての削除」>「アドオンによって格納されたファイルや設定も削除する」にチェックをして「はい」をクリック

(3)ファイル名を指定して実行(msconfig)
「スタートアップ」タブにあるスタートアップ項目に下記のファイルにチェックがある場合はチェックをはずします。(このファイル達がウイルスの親玉です)

kava
kavo
mmvo
tavo
revo

(4)パソコンを再起動をしセーフモード(起動時にF8キーを連打)「セーフモードとネットワーク」で起動します。

(1)~(4)までの準備が完了したら、下記(5)からの駆除作業にとりかかります。

▼駆除開始!
(5)ファイル名を指定して実行(regedit)
下記のすべて値を「1」に訂正

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Hidden

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\ShowSuperHidden

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

※感染したウイルスの亜種によって、レジストリが表示されない場合があります。
その場合は次に進んでください。
※レジストリの変更には十分に注意してください。

(6)ファイル名を指定して実行(cmd)

> cd c:\ [移動]
> dir . /a [c:\内の一覧を表示する]

※一覧の中に下記のファイルがある場合は削除します。
・autorun.inf
・f.exe
・yfog8p.exe
・wm93r0.exe
・o6hfog.com
・t2yev.com
・uvg.com
・awqlpyrd.com
・q83iwmgf.bat
・8e9gmih.bat
・p3th8wb.cmd

> attrib -r -h -s autorun.inf [属性の変更]
> del autorun.inf [削除]

※以下、繰り返し。
※上記のファイルを削除するとフォルダオプションが「すべてのファイルとフォルダを表示する」に変更できると思います。⇒設定の確認

また、変更できなくても(7)に進んでください。

(7)ファイル名を指定して実行(c:)
c:\windows\Prefetchに移動し、下記のファイルがある場合はShift+Deleteで削除します。また、コマンドプロンプト上でもc:\windows\Prefetchに移動し、削除することができますのでやり方がわかる方はコマンドプロンプト上で作業してください。

[ファイルを検索する]
①検索ボタンをクリック
②ファイルとフォルダのすべてをクリック。
③ファイル名のすべてまたは一部に下記のファイル名を入力

・ファイル名の出だしが(6)から始まるファイル
・頭文字が「UU」から始まるファイル
・kava
・kavo
・mmvo
・tavo
・revo

④探す場所にc:\windows\Prefetchを選択。
⑤詳細オプションを開き、次の項目にチェックをつける。
・システムフォルダの検索
・隠しファイルとフォルダの検索
・サブフォルダの検索
⑥検索開始!

(8)ファイル名を指定して実行(c:)
c:\Windows\system32に移動し、下記のファイルがある場合はShift+Deleteで削除します。また、コマンドプロンプト上でもc:\Windows\system32に移動し、削除することができますのでやり方がわかる方はコマンドプロンプト上で作業してください。

・ファイル名の出だしが(6)から始まるファイル
・kava
・kavo
・mmvo
・tavo
・revo

(9)ファイル名を指定して実行(regedit)
下記のファイルをCtrl+Fで検索し削除する。

・ファイル名の出だしが(6)から始まるファイル
・kava
・kavo
・mmvo
・tavo
・revo

(10)パソコンの再起動し通常モードで起動させます。
再起動後、表示されるダイアログはチェックを入れてOKで閉じます。

(11)「autorun.inf」という空フォルダをCドライブ直下に作成する。

(12)マカフィーでウイルススキャンの実施
ウイルススキャンは最低2回かけてください。

▼最終確認
(13)スキャン後、レジストリ(regedit)を確認します。

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Hidden

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\ShowSuperHidden

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

上記の値が表示されているか確認します。

(14)駆除できたかどうかの確認
①「ツール」>「フォルダオプション」>「表示タブ」をクリックします。
②「すべてのファイルとフォルダを表示する」にチェックをいれOKをクリックします。
③もう一度「フォルダオプション」を開き、「すべてのファイルとフォルダを表示する」のままであれば無事駆除されているはずです。

まだ、「隠しファイルおよび隠しフォルダを表示しない」に戻ってしまう場合はパソコン内にウイルスが存在しています。もう一度上記の手順で確認を行います。

トラックバック URL :



Profile

熱血経理マンのお仕事日記

熱血経理マンのお仕事日記では、経理のお仕事や事務手続きに関すること、また、仕事中に疑問に思ったことなどを中心にまとめた備忘録的ブログです。 皆様からのコメントもお待ちしています!