« 美味しそうなPC | トップページ | 複雑、の2 »

2010年2月27日 (土)

複雑、の1

今日はUSBメモリからウイルスに感染したのを放置したままガンブラー攻撃にやられてしまったPCをお預かりしています。現時点でまだ完全には復旧していませんが、ポイントがたくさんありそうなので何回かに分けて記事にしてみます。

最初にやる必要がるのは、autorun.infの削除ですね。
コマンドプロンプトを起動して、dir□c:\□/ah(□はスペース)と入力してエンターキーを押すと現れるautorun.infと今回の犯人のtel.xls.exeを削除します。
コマンドプロンプトで、attrib□-h□-s□-r□c:\autorun.infと入力してエンター、
続いて、del□c:\autorun.infと入力してエンター、
同じ手順で、attrib□-h□-s□-r□c:\tel.xls.exeと入力してエンター、
更に続いて、del□c:\tel.xls.exeと入力してエンター、で再起動します。

ーで、次にUSBメモリからウイルスにやられてしまっていますので、代表的な症状として「すべてのファイルとフォルダを表示する」が有効にならなくなっています。今回のPCはこんな感じです。

20100227

初期の頃と違って、項目ごと削除されてしまってますねぇ。これを見た段階で心が折れてしまうことを狙っているんでしょうか?

改変されたレジストリを修正するポイントは以前から変わらず、

HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Explorer¥Advancedーにある
Hidden の値を2から1に修正

HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Explorer¥Advanced
ーにある
ShowSuperHidden の値を0から1に修正

HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Explorer¥Advanced¥Folder¥Hidden¥SHOWALL
ーにある
CheckedValue の値を0から1に修正

ーなんですが、今回は項目自体が削除されてしまっていますので、

HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Explorer¥Advanced¥Folder¥Hidden¥SHOWALL
ーに
CheckedValue をDWORD 値1で新規作成

ーで「すべてのファイルとフォルダを表示する」の項目も表示されて選択もできるようになりました。

20100227-2 
この続きは、何もなければ明日に…。

|

« 美味しそうなPC | トップページ | 複雑、の2 »

ウイルス・スパイウエア」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/118959/47676947

この記事へのトラックバック一覧です: 複雑、の1:

« 美味しそうなPC | トップページ | 複雑、の2 »