mixiでは書かないようなアングラな感じ・・・か?
×
[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
※[2009.01.31]全体的にわかりにくかったり間違ってたりしたためいろいろ変更しました。
********************************************************************************************
■主な症状■
①PCに接続されている各ドライブに、「autorun.inf」を作成され
削除してもすぐに生成される。
②Cドライブ、Dドライブなどのウィンドウを開こうとすると [ファイルを開くプログラムの選択] がでる。
③「すべてのファイルとフォルダを表示」の項目にチェックを入れても
隠しファイルが表示されない。
④上記の②を回避するために、レジストリ・エディタでレジストリの
書き換えをおこなっても、すぐにウイルスによって書き換えられる。
********************************************************************************************
こんな症状が確認されたらあなたのパソコンはウィルスに感染しています。
①の症状は「autorun.inf」が隠しファイルなため、GUIではみることができない。
コマンドプロンプトで隠しファイルも表示するコマンドを打たないとあるかどうか確認できません。
オレのPCは②の症状がなかったんだがね。
なんでだろか。
③を確認してみたら まさにその通りだったのでこれから削除します。
設定を何度変えても元にもどるという。
これからはUSBメモリの取り扱いは注意しましょう。
とりあえうずオレはフォーマットしました。
([2009.01.31]追記:PC内のウィルス削除した後でないと、フォーマットしても意味がありません)
さて、駆除方法ですが有効なページを教えてもらったのでリンク紹介しますよ。
http://spjpuw.bay.livefilestore.com/y1pLcDW9cYudIPsaQatmaC9Sbli1OPktUwGtVWrdAjOCmuoTpm-7cG5kR7CIZHZgxFANUIYfuX_Zpp9lO_gQfA2nA/revo.exe%E7%B3%BB%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E9%A7%86%E9%99%A4%E6%96%B9%E6%B3%95.txt
テキスト形式なのでDLして読んでもOKです。
このページ消えたらいやなんで[(゚Д゚)つづく]にはコピペ載せておきますね。
ちょっとPCのことがわかる人なら自力で削除できるでしょう。
ディレクトリ?ハァ?ってひとは乙です。
パソコンショップやらセキュリティソフトに会社にでも連絡して消してもらうか
セキュリティソフトの更新をまつといいです。
実害はネトゲしてなければ少ないので。
何人の人がみて、救われるかはしらないけど。
それでは。
以下、追記。
■感染ルートについて。
感染したUSBフラッシュメモリなどが自動再生されることにより広まる。
とりあえず自動再生しない方法は二つ。
1.自動再生を手動で阻止
2.自動再生しないように設定
1.はSHIFTを押しながらメモリを差し込むことで実現。
2.は以下のリンクよりどうぞ。
よりセキュリティを高めるための設定: 自動再生を無効にする
┗http://www.st.ryukoku.ac.jp/security/windows/autorun.html
実際、PCに慣れた人は自動再生とか面倒な設定なだけだからとめておいていいと思います。
********************************************************************************************
■主な症状■
①PCに接続されている各ドライブに、「autorun.inf」を作成され
削除してもすぐに生成される。
②Cドライブ、Dドライブなどのウィンドウを開こうとすると [ファイルを開くプログラムの選択] がでる。
③「すべてのファイルとフォルダを表示」の項目にチェックを入れても
隠しファイルが表示されない。
④上記の②を回避するために、レジストリ・エディタでレジストリの
書き換えをおこなっても、すぐにウイルスによって書き換えられる。
********************************************************************************************
こんな症状が確認されたらあなたのパソコンはウィルスに感染しています。
①の症状は「autorun.inf」が隠しファイルなため、GUIではみることができない。
コマンドプロンプトで隠しファイルも表示するコマンドを打たないとあるかどうか確認できません。
オレのPCは②の症状がなかったんだがね。
なんでだろか。
③を確認してみたら まさにその通りだったのでこれから削除します。
設定を何度変えても元にもどるという。
これからはUSBメモリの取り扱いは注意しましょう。
とりあえうずオレはフォーマットしました。
([2009.01.31]追記:PC内のウィルス削除した後でないと、フォーマットしても意味がありません)
さて、駆除方法ですが有効なページを教えてもらったのでリンク紹介しますよ。
http://spjpuw.bay.livefilestore.com/y1pLcDW9cYudIPsaQatmaC9Sbli1OPktUwGtVWrdAjOCmuoTpm-7cG5kR7CIZHZgxFANUIYfuX_Zpp9lO_gQfA2nA/revo.exe%E7%B3%BB%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E9%A7%86%E9%99%A4%E6%96%B9%E6%B3%95.txt
テキスト形式なのでDLして読んでもOKです。
このページ消えたらいやなんで[(゚Д゚)つづく]にはコピペ載せておきますね。
ちょっとPCのことがわかる人なら自力で削除できるでしょう。
ディレクトリ?ハァ?ってひとは乙です。
パソコンショップやらセキュリティソフトに会社にでも連絡して消してもらうか
セキュリティソフトの更新をまつといいです。
実害はネトゲしてなければ少ないので。
何人の人がみて、救われるかはしらないけど。
それでは。
以下、追記。
■感染ルートについて。
感染したUSBフラッシュメモリなどが自動再生されることにより広まる。
とりあえず自動再生しない方法は二つ。
1.自動再生を手動で阻止
2.自動再生しないように設定
1.はSHIFTを押しながらメモリを差し込むことで実現。
2.は以下のリンクよりどうぞ。
よりセキュリティを高めるための設定: 自動再生を無効にする
┗http://www.st.ryukoku.ac.jp/security/windows/autorun.html
実際、PCに慣れた人は自動再生とか面倒な設定なだけだからとめておいていいと思います。
################################################################################### 『revo.exe系マル・ウェア駆除方法』 2009.01.21 by: Takashi ################################################################################### ■主な症状■ ①PCに接続されている各ドライブに、「autorun.inf」を作成され 削除してもすぐに生成される。 ②「すべてのファイルとフォルダを表示」の項目にチェックを入れても 隠しファイルが表示されない。 ③上記の②を回避するために、レジストリ・エディタでレジストリの 書き換えをおこなっても、すぐにウイルスによって書き換えられる。 ■駆除できないファイル■ C:\autorun.inf C:\3u.cmd (接続している他のドライブにも同ファイル有り) ■確認できた元凶ウイルス■ ・uu[1].rar ・ierdfgh.exe ・pytdfse0.dll ・pytdfse1.dll ■削除手順■ ウイルスの手動削除には、すべてコマンドプロンプトを使いました。 後でわかったことですが、このウイルスは「ダブル・クリック」に反応して 起動する可能性が大なので、CUI(キャラクターユーザーインターフェース… ようするにコマンドプロンプト)での処理が効果的だと考えられる。 以下の処理は、セーフモードで行ったほうが良い。 PCを起動させてすぐ「F8」を押し、セーフモードにする。 ********************************************************************************** ●レジストリを、すぐに書き換えられるのは「Prefetch (プリフェッチ)」といわれる フォルダ内にあるPFファイルを削除することから、若干の時間稼ぎができると思われる。 尚、このPFファイル削除は、ウイルス駆除に直接効果があるかわからないが 試しにやってみる価値はあると共に、ウイルスの痕跡を消すという意味では効果があると 考えられる。 ---------------------------------------------------------------------------------- コマンドプロンプトの起動手順から…(XPでの操作) 注:GUIでの、普通のファイル操作でも削除できると思います。 ①「windowsキー」+「R」で「ファイル名を指定して実行」を表示。 ②「cmd」を入力してエンター。 これでコマンドプロンプトが起動したと思います。 ③まずは「C:\windows\prefetch」を開きます。 ディレクトリ操作は、「cd..」でひとつ上のディレクトリに移動。 「C:\>」のディレクトリ(Cドライブ・ルート)に移動したら 「cd windows」と入力する。 C:\>cd windows エンターを押すと、「C:\windows>」となり、カレントディレクトリが「windows」になる。 同じ手順で、「cd prefetch」と入力し、「C:\windows\prefetch>」の状態にする。 そして次はPFファイルの削除。 ④「dir」と入力して、prefetchフォルダ内のファイル一覧取得。 以下のファイルを消してみる。 ・UU.EXE-********.pf ・3U.CMD-********.pf ・RUNDLL32.EXE-********.pf (*の部分は色々な英数字になっています。上記の名前がつくものは全て削除) ⑤「del UU.EXE-********.pf」のように入力して、エンター。 ⑥同じ手順で、他のファイルも削除しておく。 ********************************************************************************** ●ここからの作業でも、大丈夫だと思います。 隠しファイルになっている、ウイルスファイルを削除していきます。 実際に行った作業手順を書いていきます。 ---------------------------------------------------------------------------------- ①【uu[1].rar】の削除 C:\Documents and Settings\****\Local Settings\Temp\Temporary Internet Files\Content.IE5\MNU3M30X\uu[1].rar (*はユーザー名) 上記の「UU[1].rar」を削除する。 これにより「Spybot」で何度駆除しても現れる「Win32.Rungbu.a」というレジストリキーがなくなりました。 再度スキャンすると、代わりに「DoubleClick」というクッキーが出てきたので、とりあえず削除。 (このクッキーがダブルクリックに反応して、いたかどうかはわかりません) ②【ierdfgh.exe】【pytdfse0.dll】【pytdfse1.dll】の削除 C:\windows\system32 上記のディレクトリに移動し、「dir /a:h」で隠しファイルの表示一覧をする。 目的のファイル・同じ名前や似た名前のexe・dllは削除した方が良いと思われる。 隠しファイルになっているので、「del」だけでは削除できないので、属性を変更。 「attrib -s -h -r ierdfgh.exe」というふうにすれば、隠しファイル属性がキャンセルされる。 【実際にはこんな感じ】 C:\windows\system32>attrib -s -h -r ierdfgh.exe これでエンターを押せば、属性キャンセル。 あとは「del」で削除していく。 ③再起動し、通常モードで起動。 ④「autorun.inf」「3u.cmd」を削除してみる。 「attrib -s -h -r autorun.inf」で属性キャンセル。 「del autorun.inf」で削除。「3u.cmd」も同様の手順で。 ⑤「dir /a:h」で隠しファイルに、上記のファイルが再生成されていなければ、一応駆除成功。 ********************************************************************************** ●最後に「すべてのファイルとフォルダを表示」の項目にチェックを入れたら、 隠しファイルが表示できるようにレジストリを書き換えます。 ---------------------------------------------------------------------------------- ①「スタート」→「ファイル名を指定して実行」→「regedit」と入力。 ②レジストリ・エディタが表示されたら、以下3箇所のレジストリを書き換え。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ "CheckedValue"の値を⇒1 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ "Hidden"と"ShowSuperHidden"の値を⇒1 ③以上で作業は終了です。最終チェックをしてみてください。 ドライブをダブルクリックしてみたり、またレジストリが書き換えられていないか「すべてのファイルとフォルダを表示」を してみて、隠しファイルが表示されるか試してみてください。 ④色々試してみて、問題がなければ無事駆除成功です!!お疲れ様でした(^-^)/ ********************************************************************************** ■まとめ■ 【ierdfgh.exe】 このウイルスが「3u.cmd」を生成していたのだと思われる。 【pytdfse0.dll】【pytdfse1.dll】 このウイルスが「autorun.inf」を生成していたのだと思われる。 それとレジストリの書き換えも、このウイルスのせいだと思われる。 **********************************************************************************
PR
Comment
プロフィール
HN:
hutaba
年齢:
37
性別:
男性
誕生日:
1988/01/01
職業:
不死
趣味:
Civ
自己紹介:
IRCの匿名紳士チャンネルたのしいれす^q^
リンク
フリーエリア
pass : hutaba
ブログの評価 ブログレーダー
