WebDiary

autorun.infウィルスキタ━━━━(ﾟ∀ﾟ)━━━━ !!!!!(revo.exe AhnRpta.exe hbs.exe) ◆ 2009,01,18, Sunday どうやら一ヶ月ほど前に感染していたようです。 気づいたのが昨日なんで、家にある3台のPC、パーティション数にして5台が感染。USBメモリー×1とSDカード×3と外付けHDD×2がやられていました。 と、言うのもこのウィルスは非常に大人しいために、感染していることに気がつきません。 私が確認できた唯一の症状は『隠しファイルを表示させる機能を無効にする』だけでした。エクスプローラから「ツール-フォルダオプション-表示タブ」で「すべてのファイルとフォルダを表示する」と「保護されたOSシステムファイルを表示しない」の機能が殺されちゃうんですね。 なので、コレが標準で表示されていないPCでは気がつくことがありません。強いて言うなら未使用のSDカードの残り容量が少し減ってる？と気がつくかどうか。たぶん気がつかないでしょうね。 今回、駆除で役立ったのはトレンドのツールでもMicrosoftのツールでもなんでもない、7-zipという圧縮・解凍ソフトです。トレンドマイクロのツールとかも試してみたんですが、役に立ちませんねぇ。ちなみにこのウィルスにはウィルスバスターもほとんど役立たずなので、えらい蔓延したらしいです。って、人の事笑えませんね(^^; #先日のPC不調は恐らく関係ないっぽい。。。 今回、実行型ファイル(感染媒体)として認識したのは下記のファイルたち。 これらが一つ～複数個、「autorun.inf」と一緒に、ディスクドライブのルートに作成されていました。大きさはおよそ100kb超くらいでした。 （感染源） 「2j.cmd」 「3u.cmd」 「ampfrb.cmd」 「hbs.exe」 「s2.com」 「f.exe」 「w.com」 そして、これ以外にも下記のようなファイルが確認されました。 （ウィルス本体） c:\windows\フォルダ 「AhnRpta.exe」 c:\windows\system32\フォルダ 「ierdfgh.exe」 「revo.exe」 「revo0.dll」 「revo1.dll」 「ddl.exe」 駆除方法としては、（感染源）は消してもすぐ作られてしまうので、最後に対処します。 なので、（ウィルス本体）から処置します。 そのまえに、駆除に便利なツールをインストールしておきます。他の方も使用されていましたが、「7 Zip」というツールはファイラーとしても十分な機能を持っており、隠しファイルをそのまま見せてくれるので、感染の危険があるエクスプローラは使わずに、このソフトで駆除をしていきましょう。 ツールのダウンロードはこちらです。 [7-Zip] 「.exe」の左にある「Download」をクリックし、保存せずに実行すれば勝手にインストールしてくれるのでOKです。 さて、始めに実行中のウィルスを止めなければ話になりませんが、今すぐタスクマネージャで止めても、上手く止まってくれない事が多いので、再起動時に動かないようにします。 その為、「スタート　-　ファイル名を指定して実行」から「msconfig」と入力して、「システム構成ユーティリティ」を立ち上げます。 「スタートアップ」タブを開き、上記のファイル名を見つけたらチェックを外します。それ以外のものは触らない方が安全です。 もちろん、亜種が発生して、上記ではカバーできないかもしれません。他にも「kava.exe」「mmvo.exe」というファイルもあったそうです。 これで次回起動時にはウィルスは動きません。しかし、またすぐに感染することになるので、次にウィルス本体を取り除きます。 「システム構成ユーティリティ」でチェックを外して「OK」を押すと、再起動する旨のダイアログが出るので、そのまま再起動しましょう。 再起動するとちょっとメッセージが出てからデスクトップが表示されるので、チェックを入れて「OK」をクリックしておきましょう。 これで駆除の準備が出来上がりました。 先程インストールした「7-Zip」をスタートメニューから立ちあげて下さい。 エクスプローラの似たようなソフトなので、使い勝手はすぐに分かると思います。 消すファイルは上に記しましたが、もう一度記すと下記の通りです。 （感染源） 「autorun.inf」 「2j.cmd」 「3u.cmd」 「ampfrb.cmd」 「hbs.exe」 「s2.com」 「w.com」 （ウィルス本体） c:\windows\フォルダ 「AhnRpta.exe」 c:\windows\system32\フォルダ 「ierdfgh.exe」 「revo.exe」 「revo0.dll」 「revo1.dll」 「ddl.exe」 （感染源）は各ドライブのルート(一番上のフォルダ)に、（ウィルス本体）はそれぞれのフォルダにあるはずです。 これらのファイルを消去すれば完了ですが、消去した先からまた新しくファイルが作られてしまう場合には、まだ駆除されていないので、また「システム構成ユーティリティ」でチェックを外すところからスタートです。 そして念のため、各ドライブのルートには「autorun.inf」というフォルダ(ファイルではない)を作成しておきましょう。こすることで、今後は感染媒体として使われることを防ぎます。これは、感染していないひとも事前に行っておくと予防になります。(ファイルだと簡単に上書きされるようです) これでひとまず駆除は終りです。 そして、駆除しても隠しファイルなどが表示されないので、下記のようにレジストリをいじりましょう。(レジストリをいじるのは結構危険な作業なので、自信が無い人はここでストップ) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced の中にある "Hidden" "ShowSuperHidden" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL の中にある "CheckedValue" この三つを「1」に書き換えます。 以上で終了です。 しかし「1」に書き換えても3秒ほどしたら勝手に「0」などの値に書き換わってしまう場合には、まだ駆除されていないので、また「システム構成ユーティリティ」でチェックを外すところからスタートです。 今回、ウィルスにかかっていることが分かってから、Webで検索して先人の知恵を拝借…と思ったのですが、Blogなどに書いてあるファイル名は私のパターンだと余りヒットしなかったので、だいぶ時間が無駄になりました。この記事を読んでも鵜呑みにせず、「もしかしたら亜種かもしれない」との気持ちを持って対処すればきっと大丈夫です。 では、検討を祈ります。 | デジタル | 02:56 PM | comments (2) | trackback (x) |

コメント sugariさん 素人なりにまとめた情報ですが少しは役に立った様でよかったです。 お互い気をつけましょう(^^; | いっしー | EMAIL | URL | 2009/02/25 07:21 AM | eIe6LoE. | autorun.inf検索で辿り着きました 自分はierdfgh.exeを拾ったようでしたが こちらのお陰で削除できました 有難うございました | sugari | EMAIL | URL | 2009/02/25 07:18 AM | WeSa7yNU | コメントする name: email: URL: comments: Cookieに登録