USBメモリ感染型ウィルス。
久々の更新です。
本日のトラブルはウィルス駆除です。
最初ご依頼頂いたのはSONY VAIO特有のCドライブ容量不足の圧迫解消でパーティションのサイズ変更でお預かりしました。
ところが起動してみるとCドライブの空きがないのと別にインストールされているNTTのセキュリティーツールがウィルス警告を出しています。
Cドライブのパーティションサイズ変更はハードディスクを取り出しメンテPCに接続。Partition Magicで問題なくサイズ変更完了。
問題はウィルス駆除です。
外したハードディスクをメンテPCからそのままウィルススキャン。
CドライブをDドライブのルートにいくつかのウィルスファイルを検出しましたが駆除出来ません。
手動で削除しようとCドライブを開いてみましたがファイルがありません。
もしやと思い「フォルダオプション」からファイルの表示設定を確認してみるとやはり隠しファイルの表示設定が非表示になっています。
何度表示に設定しても戻ってしまいます。
どうやらメンテPCも感染してしまったようです。
レジストリが改ざんされたようなので調べてみました。
すると以下のレジストリが該当します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"Hidden"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"ShowSuperHidden"
上記エントリの値が0になっていれば1に変更。
確かにメンテPCのレジストリは0になっています。
すべて1に変更して終了。
しかしファイルの表示変更をしてもすぐに戻ってしまいます。
次にHijackThisでログをチェック。
すると起動項目に不審なログを発見。
ログを残すのを忘れてしまいましたがファイル名は「xvassdf.exe」です。
ユーザー¥local Stteings\AplicationDate内にあるようです。
早速ログをFix。
セーフモードで再起動して先ほどのレジストリを修正。
今度は隠しファイルが表示されました。
xvassdf.exeを削除しようとCドライブを開くとすぐにまた隠しファイルが非表示になってしまいました。
ここでやっと今流行のUSBメモリ感染型ウィルスだと分かりました。
今までになんどかこの手のウィルス駆除は行いましたが隠しファイルが非表示にされるのは初めてでした。
あとで調べたらUSBメモリ感染型は隠しファイルを非表示設定にするのが多いようですね。
しかし隠しファイルが表示されなければファイルを消せません。
コマンドプロンプトからコマンドで削除しようとしましたが該当ファイルは見つかりません。
ここで「xvassdf.exe」でググってみました。
すると以下のサイトが。
まさに今回の症状。
上記作業後にドライブをそのまま開くと感染するのでエクスプローラから開いて削除しろとの事。
エクスプローラから開くとウィルスが実行されないとは知りませんでした・・・。
早速HijackThisでログをFix。その後レジストリを修正して隠しファイルを表示しエクスプローラからドライブのルートを確認すると今回の原因ファイルを発見。
autruninfとum.exe
autruninfをテキストで開いてみると
[AutoRun]
open=um.exe
shell\open\Command=um.exe
um.exeが実行されるようになっています。
すべてのドライブのautruninfとum.exeを削除。
ユーザー¥local Stteings\AplicationDateのxvassdf.exeも削除。
今回メンテPCのsystem32フォルダにはxvassdf.exeなどの怪しいファイルはありませんでした。
そのままマイコンピュータからドライブを開いても問題ない事を確認して取りあえずメンテPCの駆除完了。
次にお客さんのハードディスクをメンテPCに接続してエクスプローラから各ドライブを確認するといくつかの隠しファイルがあります。その中に先ほどのautruninfとum.exeを確認。
すべてのドライブのautruninfとum.exeや怪しい隠しファイルを削除。
お客さんのハードディスクにはsystem32内にxvassdf.exeがしっかりいましたので削除。
再度メンテPCからウィルススキャンすると今度は駆除処理してくれました。
そしてハードディスクをお客さんのPCに戻してレジストリを修正。
HijackThisのログを確認するとfilemissingでログのみ残っていたのでFix。
マイコンピュータからドライブを開いて問題ないことを確認。
その後念のためトレンドマイクロのオンラインスキャンでスキャンするとメンテPCで見つからなかったウィルスを検出駆除。
system32内に1つだけ削除出来ないファイルがありましたがFileASSASSINで強制削除。
仕上げにシステムの復元ポイントとゴミ箱を空にして作業終了です。
USB感染型などのドライブを開くだけで感染するウィルスはエクスプローラから開けば実行されないと言うのはお恥ずかしながら知りませんでした。
今回のウィルス駆除は非常に勉強になりました。
人気blogランキングに登録しました。クリックご協力ください。
| 固定リンク
コメント