« 村上春樹氏エルサレム賞受賞演説 | Main | ヤリイカ仕掛け作成請負中 »

2009年2月17日

【ウイルス対応】mmvo*ファミリー備忘録

コンピュータウイルス対応備忘録。

mmvo

kavo

ファミリー対応。

主にUSBメモリ等のリムーバブルメディアから感染。メディア挿入時に起動し、マッピングされた全てのリムーバブルドライブ直下にautorun.inf 及び、参照する.com.batファイルの作成。

%System%mmvo.exe

%System%mmvo0.dll

%System%mmvo1.dll

同kavo.exe .dllファイルの作成。レジストリへの追記。

隠しファイル及びフォルダの表示無効の為レジストリ3箇所変更。

 

 

という、こ・と・で。

【対応手順覚書】

・システムの復元機能OFF

・セーフモードにて起動(気休め)

・コマンドプロンプトで感染ファイル確認(※バックスラッシュは半角¥マーク)

C:\>dir /ah

C直下隠しファイル表示

autorun.infの参照ファイル確認

C:\more /a autorun.inf

↑これで参照している.comもしくは.batファイル特定(同じ階層みたい)

両ファイル削除

del /a /f autorun.inf

del /a /f ***.bat

 

cd \WIndowws\System32\

dir /ah

del /a /f mmv*

ここで.exeが消えない場合はregeditにで検索→削除→再起動で削除。

kavoの場合は置き換える(kavo*.*、mmvo*.*)。

 

 

んが、ちと違うけどsecpol.exeの場合は隠しファイルになってないケースが見られるみたいだ。

【レジストリメモ】

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun"

 

【追記】

レジストリ操作 不可視ファイルメモ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden"

これら3つのレジストリの値を全て1に。

タグ:

Category : PC, お仕事, 備忘録 | Comments [10] | Trackbacks [0]

トラックバックURL

このエントリーのトラックバックURL:
http://www.keisuke-remix.com/mt/mt-tb.cgi/32

コメント[10]

DOSで起動してformat c:すれば最短だと何回言えば

Posted by hiro Author Profile Page at 2009年2月17日 09:40 | 返信

No.118のhiroさんのコメントへの返信

format c:\Documents and Settings\hiro\

Posted by けーすけ Author Profile Page at 2009年2月17日 10:01 | 返信

このコマンド通らないだろ

Posted by hiro Author Profile Page at 2009年2月17日 10:02 | 返信

No.120のhiroさんのコメントへの返信

del だったべさ

Posted by けーすけ Author Profile Page at 2009年2月17日 10:21 | 返信

del windirもなかなかいいと思うんだ

Posted by hiro Author Profile Page at 2009年2月17日 12:52 | 返信

素直に消えるか?

Posted by けーすけ at 2009年2月17日 19:23 | 返信

たぶんムリw

Posted by hiro Author Profile Page at 2009年2月17日 22:19 | 返信

/a /f
とかやっても無理かなー

Posted by けーすけ Author Profile Page at 2009年2月17日 22:36 | 返信

dosで起動すればOK
Windowsからだとシステムが使ってるからムリ

Posted by hiro Author Profile Page at 2009年2月18日 09:42 | 返信

ムリとわかっていても実行する気にならないとこがミソ

Posted by けーすけ Author Profile Page at 2009年2月18日 10:35 | 返信

コメントする