Der Mond Das Meer



レジストリ編集の緊張感は異常

前記事の続き


検出されたウィルスは『MAL_OTORUN1』
感染ファイルの場所は『C:\autorun.inf』
(ちなみに外付けHDDとiPodにも感染していました)

しかし肝心の感染ファイルが、(当然だが)隠しファイル扱いで
コマンドプロンプトからは開けるのに、見えない。

ツール→フォルダオプション→隠しファイルの表示
にチェックを入れても、ウィルスの妨害で自動的に
表示しないに戻されてしまう。厄介なウィルスです。


自分で色々ググったり、友人からのアドバイスで
どうも『mmvo.exe』という実行ファイルが問題である事が判明。
まぁ俺のPCに感染していたのは、mmvo.exeではなく
亜種の『revo.exe』でしたが。
他には、kava.exe、kavo.exeとかがあるみたいです。

revo.exeは色々ググってた時に目にしたファイル名。
てっきりautorun.infを削除すればいいだけだと思っていたので
スルーしてしまっていましたが、こっちを先に片付けないと
autorun.infは削除できない
ようです。

というわけで、処理手順が分かればこっちのモノ。

これから、もしやらかした人は、こんな記事があった事を
思い出して、少し長いですが、参考にどうぞ。



~autorun.infの削除手順~

1.LANケーブルを引っこ抜く(無線も切る)

2.マイコンピュータを右クリック、プロパティを開き
  システムタブから、システムの復元を無効にする

3.IEを開いて、ツール→インターネットオプションから
  一時ファイルを全て削除(オフラインコンテンツを含む)
  IEを閉じる

4.Windows+Rから『msconfig』と打ち込んでOKを押す

5.スタートアップタブに、kavo,mmvo,tavo,revoなどが
  あったらチェックをはずす。

6.BOOT.INIタブをクリックして、/SAFEBOOT(F)に
  チェック→OK→再起動

7.確認画面が出たらYESを押して、Windows+Rを押し
  『regedit』と打ち込んで、レジストリエディタを起動

8.HKEY_CURRENT_USER>Software>Microsoft>Windows>
  CurrentVersion>Explorer>Advanced
  の"Hidden"と"ShowSuperHidden"

  HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>
  CurrentVersion>Explorer>Advanced>Folder>Hidden>
  SHOWALL の"CheckedValue"

  以上3つのレジストリの値を『1』にする。
  違うファイルを変更するとヤバいことになるらしいので注意。
  レジストリエディタを終了

9.スタートメニューを右クリック、エクスプローラーを起動

10.アドレスに『C:』と入力→移動。
   決して右の窓のアイコンはダブルクリックしないこと。

11. 以下のファイルがあるかを目を皿にして確認し
    見つけ次第、『Shift+Delete』で削除

    C:\\autorun.inf
    C:\o6mhfog.com
    C:\q83iwmgf.bat
    C:\t2yev.com
    C:\uvg.com
    C:\8e9gmih.bat

    C:\Windows\Prefetch\O6MHFOG.BAT-"*".pf
    C:\Windows\Prefetch\Q83IWMGF.BAT-"*".pf
    C:\Windows\Prefetch\UU.EXE-"*".pf
    C:\Windows\Prefetch\8E9GMIH.BAT-"*".pf

    "%System%\\\\kava.exe"
    "%System%\kavo.exe"
    "%System%\kavo0.dll"
    "%System%\kavo1.dll"
    "%System%\kavo2.dll"
    "%System%\mmvo.exe"
    "%System%\mmvo0.dll"
    "%System%\mmvo1.dll"
    "%System%\revo.exe"
    "%System%\revo0.dll"
    "%System%\revo1.dll"

  "%System%~~ってのは、XPなら『C:\Windows\System32』のこと。
  Vistaは…不明。


12.再度Windows+Rから、regeditを起動
   「編集」の「検索」から、kava、kavo、mmvo、revoを検索して
   単独キーワードで引っかかったら全部削除(↑と同様)

13.regedit終了、msconfig起動、SAFEBOOTのチェックを外し再起動

14.ポップアップが出てきたら、チェックを入れてOK

15.スタートメニュー→エクスプローラーを起動
   ツール→フォルダオプションで隠しファイルを表示にチェック。

16.再度同じ事をやって、元に戻されていないか確認する。

17.隠しファイルが見えるようになった所で
   肝心のautorun.infと、f.exe(あれば)をキッチリ削除する。




かなり長くなってしまいましたが、以上で駆除が完了しているはずです。

リムーバブルの方も当然(?)感染しているので
こっちも駆除してやりましょう。
ただ重要な事は、Shiftキーを押しながら差し込まないと
autorun.infが起動してしまう
ので、注意。

参考ページ


とまぁ、長々と書きましたが、これで無事にPCが正常に戻りました。
ちなみにこのウィルス、ネトゲのパスを盗むなんて事も
あるそうですが、どうも俺が感染したウィルスでは
リネージュ専門(1か2かは知らない)だったようで…

あぶねぇ…('A`;;)

本当に不幸中の幸いでした。
エルダサングラスとか盗られたらシャレにならんw

んで、突然落ちの原因は、外部に情報を送信しようとしていたのを
nProtectが検知して、クラを落としていたのかな?と。

普段全然意識してなかったけど、ちゃんと仕事してるのね、nProw
[PR]
by SKAD_LTA | 2008-11-06 11:30 | Diary
<< 納税? PCウィルスに感染しました。 >>


あぶないよ!
S M T W T F S
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
カテゴリ
以前の記事
お気に入りブログ
LINKS
最新のトラックバック
メガてりやき
from みんなが注目してるコトとは?
ベホマの矛盾点(ドラクエ..
from 2ちゃんねる@ニュー速VIP..
ライアーゲーム
from ライアーゲーム
ライアーゲーム
from ライアーゲーム
YouTube動画そのま..
from YouTube動画芸能界の000
10/07(土) ツイン..
from リーマンスロッターの憂鬱
歴史問題、永遠に言い続け..
from 湘南のJOHN LENNON..
自動車税を徹底解説!車の..
from 自動車税を徹底解説!車の税金..
漫画づけ
from KA.ZA.MI流 弱くても..
やべーハイセンス
from 空もよう
検索
その他のジャンル
ファン
記事ランキング
ブログジャンル
画像一覧