Site Archives ウイルス駆除

USBメモリから拡散するウイルスの駆除方法3


★USBメモリが感染しているか確認する方法
※注意!
USBメモリを開く場合は、マイコンピュータからリムーバブルディスク(USBメモリ)をダブルクリックしないでください。ダブルクリック=ウイルス起動されます。
1.USBメモリをShiftキーを押しながらPCに差込む
2.コマンドプロンプトを開く
・ファイル名を指定して実行
・名前に「cmd」と入力しOKボタンをクリック
> dir e:\ /a (eの箇所は適宜変えること)
[怪しいファイルたち]
・autorun.inf
・c.cmd
・f.exe
・i2p.bat
・mxuclt.exe
・o6mhfog.com
・spxgfwg.bat
・swfu.exe
・t2yev.exe
・wm93r0.com
・wvusvigl.bat
・xhlhmbw.exe
・yfog8p.exe
※上記のファイルが表示されている場合は感染しています
下記のコマンドを実行し駆除を行う
3.コマンド実行(autorun.infを削除する場合)
> attrib -r -h -s e:\autorun.inf
> del e:\autorun.inf
※autorun.infの箇所を削除するファイル名にする
4.ウイルスソフトでスキャンをかける
5.USBメモリを抜き、再度差込む(Shiftキーは押さなくてOK)
6.コマンドプロンプトを開く
・ファイル名を指定して実行
・名前に「cmd」と入力しOKボタンをクリック
> dir e:\ /a (eの箇所は適宜変えること)
[怪しいファイルたち]
・autorun.inf
・c.cmd
・f.exe
・i2p.bat
・mxuclt.exe
・o6mhfog.com
・spxgfwg.bat
・swfu.exe
・t2yev.exe
・wm93r0.com
・wvusvigl.bat
・xhlhmbw.exe
・yfog8p.exe
※上記のファイルが削除されているか確認してなければ駆除が完了です!!

USBメモリから拡散するウイルスの駆除方法2


★revoウイルス駆除方法について
※注意!
Cドライブを開く場合は、マイコンピュータからCドライブをダブルクリックしないでください。ダブルクリック=ウイルス起動されます。下記の作業を行うには、ファイル名を指定して実行(c:)からCドライブを開いてください。
▼確認
[感染しているかどうかの確認]
①「ツール」>「フォルダオプション」>「表示タブ」をクリックします。
②「すべてのファイルとフォルダを表示する」にチェックをいれOKをクリックします。
③もう一度「フォルダオプション」を開き、「隠しファイルおよび隠しフォルダを表示
しない」にチェックがされていたらそのパソコンは感染しています。
このウイルスの特徴は、オンラインゲームのIDとパスワードを盗み出して中国のサーバーに送るトロイの木馬に属されるウイルスです。重要度は低いですが、亜種も数多く存在しているので感染していないと思っているパソコンでも確認したほうが良いと思います。
▼駆除するための準備
(1)システムの復元を無効にする
「マイコンピュータ」を右クリック>「プロパティ」>「システムの復元」タブ>「すべてのドライブでシステムの復元を無効にする」にチェックをする。
(2)InternetExplorerを起動し、ファイルの削除を行う
[InternetExplorer7の場合]
「ツール」>「インターネットオプション」>「全般」タブ>「削除」>「すべての削除」>「アドオンによって格納されたファイルや設定も削除する」にチェックをして「はい」をクリック
(3)ファイル名を指定して実行(msconfig)
「スタートアップ」タブにあるスタートアップ項目に下記のファイルにチェックがある場合はチェックをはずします。(このファイル達がウイルスの親玉です)
kava
kavo
mmvo
tavo
revo
(4)パソコンを再起動をしセーフモード(起動時にF8キーを連打)「セーフモードとネットワーク」で起動します。
(1)~(4)までの準備が完了したら、下記(5)からの駆除作業にとりかかります。
▼駆除開始!
(5)ファイル名を指定して実行(regedit)
下記のすべて値を「1」に訂正
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Hidden
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\ShowSuperHidden
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
※感染したウイルスの亜種によって、レジストリが表示されない場合があります。
その場合は次に進んでください。
※レジストリの変更には十分に注意してください。
(6)ファイル名を指定して実行(cmd)
> cd c:\ [移動]
> dir . /a [c:\内の一覧を表示する]
※一覧の中に下記のファイルがある場合は削除します。
・autorun.inf
・f.exe
・yfog8p.exe
・wm93r0.exe
・o6hfog.com
・t2yev.com
・uvg.com
・awqlpyrd.com
・q83iwmgf.bat
・8e9gmih.bat
・p3th8wb.cmd
> attrib -r -h -s autorun.inf [属性の変更]
> del autorun.inf [削除]
※以下、繰り返し。
※上記のファイルを削除するとフォルダオプションが「すべてのファイルとフォルダを表示する」に変更できると思います。⇒設定の確認
また、変更できなくても(7)に進んでください。
(7)ファイル名を指定して実行(c:)
c:\windows\Prefetchに移動し、下記のファイルがある場合はShift+Deleteで削除します。また、コマンドプロンプト上でもc:\windows\Prefetchに移動し、削除することができますのでやり方がわかる方はコマンドプロンプト上で作業してください。
[ファイルを検索する]
①検索ボタンをクリック
②ファイルとフォルダのすべてをクリック。
③ファイル名のすべてまたは一部に下記のファイル名を入力
・ファイル名の出だしが(6)から始まるファイル
・頭文字が「UU」から始まるファイル
・kava
・kavo
・mmvo
・tavo
・revo
④探す場所にc:\windows\Prefetchを選択。
⑤詳細オプションを開き、次の項目にチェックをつける。
・システムフォルダの検索
・隠しファイルとフォルダの検索
・サブフォルダの検索
⑥検索開始!
(8)ファイル名を指定して実行(c:)
c:\Windows\system32に移動し、下記のファイルがある場合はShift+Deleteで削除します。また、コマンドプロンプト上でもc:\Windows\system32に移動し、削除することができますのでやり方がわかる方はコマンドプロンプト上で作業してください。
・ファイル名の出だしが(6)から始まるファイル
・kava
・kavo
・mmvo
・tavo
・revo
(9)ファイル名を指定して実行(regedit)
下記のファイルをCtrl+Fで検索し削除する。
・ファイル名の出だしが(6)から始まるファイル
・kava
・kavo
・mmvo
・tavo
・revo
(10)パソコンの再起動し通常モードで起動させます。
再起動後、表示されるダイアログはチェックを入れてOKで閉じます。
(11)「autorun.inf」という空フォルダをCドライブ直下に作成する。
(12)マカフィーでウイルススキャンの実施
ウイルススキャンは最低2回かけてください。
▼最終確認
(13)スキャン後、レジストリ(regedit)を確認します。
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Hidden
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\ShowSuperHidden
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
上記の値が表示されているか確認します。
(14)駆除できたかどうかの確認
①「ツール」>「フォルダオプション」>「表示タブ」をクリックします。
②「すべてのファイルとフォルダを表示する」にチェックをいれOKをクリックします。
③もう一度「フォルダオプション」を開き、「すべてのファイルとフォルダを表示する」のままであれば無事駆除されているはずです。
まだ、「隠しファイルおよび隠しフォルダを表示しない」に戻ってしまう場合はパソコン内にウイルスが存在しています。もう一度上記の手順で確認を行います。

USBメモリから拡散するウイルスの駆除方法1


先日、妻の会社のパソコンにウイルスが感染し、調査していました。経理業務とはまったく主旨が異なりますが、作業ログを残しておきます。
▼ウイルスの特徴
kavo、mmvo、tavo、revoなどの名前でオンラインゲームのIDとパスワードを盗み出して中国のサーバーに送ります。重要度は低いですが一度感染すると駆除するのに大変な労力を要します。
ウイルス名:VAnti.gen.a!sys、PWS-Gamania.gen.c など亜種多数・・
発症は、マイコンピュータからCドライブ、リムーバブルディスクをダブルクリックで開くすると発動します。私の自宅のパソコンは、感染したと思われるUSBメモリを差した瞬間に感染しましたので亜種が多数存在すると推測されます。
調べる限り、マカフィー、トレンドマイクロ、シマンテックなどのウイルス対策ソフトがパソコンにインストールされていてもすり抜けてしまいます。
感染経路は、USBメモリ、デジカメのメモリ、MOディスクなどです。私がサポートした中で、USBメモリ8本、デジカメのメモリ1枚、MOディスク10枚が感染していました。
次回に駆除方法をまとめます。