« ココログエディタ | トップページ | はみ出してます。 »

2010年3月 4日 (木)

順番とセーフモード

久しぶりに本日の作業分です。

リカバリをしたあと、USBメモリからデータを戻してネットに繋いだら画面がおかしくなってしまったというお話です。
今日のポイントはこの『リカバリ直後のUSBメモリ』ですね、とても危険です。

今回はPC本体をお預りとなったので少しのんびりです。『USBメモリ』でトラブルといえばーということで、まずはコマンドプロンプトを開いて、『dir□c:\□/ah』(□はスペース)と入力してエンター、でCドライブ直下にある隠しファイルが表示されます。出ました、
autorun.inf
qw6t0mpm.exe

ーしっかりウイルスにやられていますね、たぶんリカバリをした原因もこのあたりにありそうですね。続けてDドライブも確認してみます。さらに出ました、
autorun.inf
qw6t0mpm.exe
ーこの二つに加えて大変な数の実行ファイルがありますので、いちいち手動で消していられませんね。今回は先にツールを使うことにします。

ーで、今回はトレンドマイクロのウイルス駆除ツールの中から『WORM_DOWNAD.A 専用駆除ツール』とマイクロソフトの悪意のあるソフトウェアの削除ツールを使うことにします。

二つのツールで「127個の問題が削除されました」とでましたので、一旦シャットダウンをして、セーフモードで起動します。ここからはいつものUSBメモリから感染のウイルスの駆除方法と同じですね。

まずは、msconfigでスタートアップをチェック。『xvassdf.exe』という明らかに怪しい項目がありますので、レジストリエディタを起動して『xvassdf.exe』を検索して全て削除。

シャットダウンからセーフモードで起動のあと、レジストリエディタで、
HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Explorer¥Advancedーにある
Hidden の値を2から1に修正
HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Explorer¥Advanced
ーにある
ShowSuperHidden の値を0から1に修正

HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Explorer¥Advanced¥Folder¥Hidden¥SHOWALL
ーにある
CheckedValue の値を0から1に修正

ここでもう一度シャットダウンからセーフモードで起動をして、「すべてのファイルとフォルダを表示する」が有効になっているのを確認して、コマンドプロンプトを起動。
dir□c:\□/ah(□はスペース)と入力してエンターキーを押すと現れるautorun.infと今回の犯人のqw6t0mpm.exeを削除します。
コマンドプロンプトで、attrib□-h□-s□-r□c:\autorun.infと入力してエンター、
続いて、del□c:\autorun.infと入力してエンター、
同じ手順で、attrib□-h□-s□-r□c:\qw6t0mpm.exeと入力してエンター、
更に続いて、del□c:\tel.xls.exeと入力してエンター、
続いて、Dドライブでも同じように駆除をしたんですが、ツールでは削除できなかったものが残っているようなので全部削除します。ついでなので全部書いておくと、
9y.exe
2x2w.exe
ycmwc.exe
yinph.exe
uqr.exe
nt1a.exe
iqetrewq.exe
o02nya.exe
ce.exe
ettlwbon.exe ーで再起動します。

通常起動をして、毎度おなじみのAdobeReaderやFlashPlayerその他のアップデートをしながら何度か再起動して仕上げにオンラインスキャンを2度やって問題なさそうなので、今回も様子を見ながら使っていただくことになりました。今回の感染元はお勤め先のPCだと思われますので、現物がなくてお預かりできなかった問題のUSBメモリはお勤め先でPC担当の方に見ていただくようにお願いをして終了です。

WindowsUpdateをしっかりやっておけばUSBメモリでウイルスが暴れだしたりはしないハズなんですが、リカバリ直後は危険ですね。あと、スキャンをしている間に少し調べたところでは、今回のやつは順番を守ってセーフモードで作業しないと何度駆除しても復活するようです。手間を惜しんではいけないのですが、大変です。

追記:
リカバリ直後ならもう一度リカバリすれば済むのに、というツッコミを頂きましたので後出しで言い訳です。今回はリカバリしたのにリカバリ前と同じ症状(ブラウジングしているとモニタの色がおかしくなる)になったのでPCの故障ではないかというお客様の疑問を解消するために、ウイルスが原因であることを明確にする必要があったわけです。先日、「いろんなご要望に対応する」と書いたのもこのあたりのことがあってのことですね。
まぁ、リカバリをして正しい手順でアップデート作業をすれば問題ないことを見せても良かったのですが…。わかりにくかったですね、失礼しました。

|

« ココログエディタ | トップページ | はみ出してます。 »

ウイルス・スパイウエア」カテゴリの記事

コメント

もしかして ShowSuperHidden ではなくて SuperHidden なのではないですか?

投稿: | 2010年3月 9日 (火) 19時29分

名無しさんですね。

SuperHiddenは保護されたオペレーティングシステムファイルを表示する/しないーで、

ShowSuperHiddenが隠しファイル、隠しフォルダ、および隠しドライブを表示する/しないーであってると思います。

確かに検索するとどちらででも書かれているので紛らわしいですね。次の機会があったらよく見ておきますけど…。

投稿: pts. | 2010年3月 9日 (火) 20時55分

名無しですみません。
携帯から書き込んでいるので、よく画面を確認しないまま書き込んでしまいました。
じつは昨夜、このブログを頼りにパソコンを復旧しかけたのですが、ShowSuperHiddenが見つからなくて、SuperHiddenならあったので、それなのかなと思いまして。

投稿: 名無しのひと | 2010年3月10日 (水) 19時58分

いえ、どういたしまして。
あまりに短くてどういう状況なのかよく分かりませんでしたので、どうお答えしたものかと思いました。
ーで、トラブルは解決できたんでしょうか?実際には2時間以上かけてやる作業を記事にしているので、あれだけではわかりにくくて申し訳ないですけど…。

投稿: pts. | 2010年3月10日 (水) 21時51分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/118959/47723451

この記事へのトラックバック一覧です: 順番とセーフモード:

« ココログエディタ | トップページ | はみ出してます。 »