[PR]
×
[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
リムーバルメディア経由で感染拡大する「revo.exe」対処法
2008.11.18 Tuesday 21:54 | 雑記
さてさて、わが部活内で話題騒然、w.exeの対処法です。f.exeとかrevo.exeとかhbs.exeとかが亜種でいるらしい。
しかも物によってはウイルス対策ソフトで反応しない優れもの!(違っ)
うちで愛用しているavast!も一部の亜種にしか反応しませんでした。
感染しているパソコンに、USBメモリなどのリムーバルメディア(SDカードとかも)を接続すると、即座に上記の~.exeファイルとAutoRun.infが作成されます。そのメディアを他のパソコンに接続すると・・・
いとも簡単に感染拡大するわけです。。
ネトゲのパスワードを盗むウイルスだそうですが、実際はどうなんでしょうね。
自分はネトゲやらないから関係ない~なんて言わずに以下の項目をチェックしてみてください。
<感染拡大を防ぐために>
あらかじめUSBメモリなど全てのメディアに「AutoRun.inf」というフォルダ(←重要)を作成し、右クリック→プロパティから、読み取り専用にチェックを入れます。
これで、ウイルスを自動実行してしまうAuroRun.infが上書きされることがなくなるため、万が一感染しているパソコンに接続してしまっても大丈夫(たぶん)です。
また、怪しいUSBメモリをPCに挿すときはシフトを押しながら。これでウイルスを自動実行するAutoRun.infの機能が働きません。
<症状例>
ドライブ(マイコンピュータでC:とかD:とか)が開けない
隠しフォルダが表示されない
インターネットに繋ごうにも「ページが開けません」と表示されてしまうインターネットに接続する速度が驚異的に遅い
添付ファイルが開けない
<感染しているかの確認>
「マイコンピュータ→ツール→フォルダオプション→表示」の、「すべてのファイルとフォルダを表示する」をチェック。「保護されたオペレーティング・・・」のチェックを外す。
OKを押して、もう一度フォルダオプションの表示を見てみる。さっきチェックしたのが元に戻っていたらアウト。やつらが働いてます。
USBメモリ類は、Macや健康なWindowsにシフトを押しながら接続した後、ルートフォルダ(開いてすぐのところ)に~.exeやAutoRun.infが無いか確認する。あったらシフト+Delで削除してください。
<感染していたときの対処法>
こちらからの引用です。
///////////////////////////////////////////////////
(1) マイコンピュータを右クリックしてプロパティをクリックします。
(2) システム復元のタブをクリックして「システム復元を無効にする」をチェックしOKをクリックします。
(3) インターネットエクスプローラーを開いて「ツール」から「インターネットオプション」をクリックします。
(4) 「全般」タブの「インターネット一時ファイル」から「ファイルの削除」をクリックし、ポップアップから
「すべてのオフラインコンテンツを削除する」にチェックを入れてOKをクリックします。
(5) インターネットエクスプローラーを閉じます。
(6) 下記手順で msconfig を起動します。
(7) ウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して実行に「msconfig」を入れて
OKします。
(8) mscofig が起動したら、下記手順でセーフモードで再起動します。
(9) 「スタートアップ」タブをクリックして中にkavo,mmvo,tavo,revoなどがあったらチェックをはずします。
(10) 「BOOT.INI」タブをクリックし、/SAFEBOOT(F)にチェック>OK>再起動します。
(11) 再起動したらセーフモードで作業を続けるか確認する画面が出ますので「はい(Y)」をクリックします。
(12) セーフモードの画面になったらウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して
実行に「regedit」を入れてOKします。
(13) 下記の3個のレジストリの値を全て「1」に変更してください。
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced の"Hidden"と"ShowSuperHidden"
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Advanced>
Folder>Hidden>SHOWALL の"CheckedValue"
(14) レジストリエディタを閉じます。
(15) スタート>【スタートメニューが表示されます】>すべてのプログラム(P)>アクセサリ>エクスプローラ
をクリックします。
(16) アドレスに「c:」を入れます。この時マイコンピュータに触らないでください、レジストリが元に戻ってしまい
ます。また、ほかにドライブが有る場合はそちらも同様に以下のチェックをしてください。
(17) 一度ディレクトリに入ってから戻ると隠しファイルが表示されます。詳細表示にして下記のファイルがないか
探し出し全て削除してください。但し、これらのファイル以外のファイル名が新たに生成される可能性もあり
ます。削除はシフトキーを押しながら「DEL」キーで削除してください。
C:\\autorun.inf
C:\o6mhfog.com
C:\q83iwmgf.bat
C:\t2yev.com
C:\uvg.com
C:\8e9gmih.bat
C:\Windows\Prefetch\O6MHFOG.BAT-"*".pf
C:\Windows\Prefetch\Q83IWMGF.BAT-"*".pf
C:\Windows\Prefetch\UU.EXE-"*".pf
C:\Windows\Prefetch\8E9GMIH.BAT-"*".pf
■ 以下にあります"%System%" はシステムフォルダーです。
OSにより異なりますが、通常は下記のようになります。
C:\Windows\System(Windows 98 と ME)
C:\WINNT\System32(Windows NT と 2000)
C:\Windows\System32(Windows XP と Server 2003)
たとえば、ご使用されておりますOSが『Windows XP』または『Server 2003』の場合は、"%System%" の
文面を「C:\Windows\System32」に読み替えて下さい。
"%System%\\\kava.exe"場合
↓
C:\Windows\System32\\kava.exe と読み替えます。
この読み替えたファイルを(15)で起動したエクスプローラにより存在を確認し、あった場合には、該当
ファイルを選択した状態で【Shift】キーを押しながら、 【DEL(Delete)】キーを押して、ファイルを 削除します。
※【Shift】キーを押さずに削除すると、『ごみ箱』へ移動するだけとなり、ウィルスファイルの物理的な削除が
なされませんので、ご注意ください。
"%System%\\\\kava.exe"
"%System%\kavo.exe"
"%System%\kavo0.dll"
"%System%\kavo1.dll"
"%System%\kavo2.dll"
"%System%\mmvo.exe"
"%System%\mmvo0.dll"
"%System%\mmvo1.dll"
"%System%\revo.exe"
"%System%\revo0.dll"
"%System%\revo1.dll"
■ (17)についての補足
エクスプローラの【アドレス(D)】の入力欄には、「c:\\autorun.inf」などPC玉手箱へ記載されているものを
入力しないで下さい。
※入力すると、ウィルスが起動してしまいます。
(17)は、「(16)で移動したファイル内に、(17)に記載しておりますウィルスが在るか否かを調べ、 あった
場合は削除する」という工程です。
(18) 削除が終わったら、ウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して実行に
「regedit」を入れてOKします。
(19) 「編集」の「検索」でkava、kavo、mmvo、revoを検索して単独のキーワードになっている部分を右クリックして
削除します。F3キーを利用して検索するとスムーズです。
(20) レジストリエディタを閉じます。
(21) ウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して実行に「msconfig」を入れて
OKします。
(22) mscofig が起動したら、下記手順で通常モードで再起動します。
(23) 「BOOT.INI」タブをクリックし、/SAFEBOOT(F)にチェックをはずす>OK>再起動します。
(24) システム構成ユーティリティのポップアップが出るので、チェックしてOKします。
(25) 起動したらエクスプローラーでフォルダを開きます。
(26) 「ツール」の「フォルダオプション」を選びます。
(27) 「表示」タブを選択します。
(28) 「ファイルとフォルダの表示」の「すべてのファイルとフォルダを表示する」を選択して、OKで閉じます。
(29) 再度、同じことをして「ファイルとフォルダの表示」が「隠しファイル~」にチェックが変わっていないことを
確認します。
以上で、作業終了です。
///////////////////////////////////////////////////
また、(17)の作業を自動で行うソフトを公開してくださっている方がいました。こちら
では、お気をつけて~
しかも物によってはウイルス対策ソフトで反応しない優れもの!(違っ)
うちで愛用しているavast!も一部の亜種にしか反応しませんでした。
感染しているパソコンに、USBメモリなどのリムーバルメディア(SDカードとかも)を接続すると、即座に上記の~.exeファイルとAutoRun.infが作成されます。そのメディアを他のパソコンに接続すると・・・
いとも簡単に感染拡大するわけです。。
ネトゲのパスワードを盗むウイルスだそうですが、実際はどうなんでしょうね。
自分はネトゲやらないから関係ない~なんて言わずに以下の項目をチェックしてみてください。
<感染拡大を防ぐために>
あらかじめUSBメモリなど全てのメディアに「AutoRun.inf」というフォルダ(←重要)を作成し、右クリック→プロパティから、読み取り専用にチェックを入れます。
これで、ウイルスを自動実行してしまうAuroRun.infが上書きされることがなくなるため、万が一感染しているパソコンに接続してしまっても大丈夫(たぶん)です。
また、怪しいUSBメモリをPCに挿すときはシフトを押しながら。これでウイルスを自動実行するAutoRun.infの機能が働きません。
<症状例>
ドライブ(マイコンピュータでC:とかD:とか)が開けない
隠しフォルダが表示されない
インターネットに繋ごうにも「ページが開けません」と表示されてしまうインターネットに接続する速度が驚異的に遅い
添付ファイルが開けない
<感染しているかの確認>
「マイコンピュータ→ツール→フォルダオプション→表示」の、「すべてのファイルとフォルダを表示する」をチェック。「保護されたオペレーティング・・・」のチェックを外す。
OKを押して、もう一度フォルダオプションの表示を見てみる。さっきチェックしたのが元に戻っていたらアウト。やつらが働いてます。
USBメモリ類は、Macや健康なWindowsにシフトを押しながら接続した後、ルートフォルダ(開いてすぐのところ)に~.exeやAutoRun.infが無いか確認する。あったらシフト+Delで削除してください。
<感染していたときの対処法>
こちらからの引用です。
///////////////////////////////////////////////////
(1) マイコンピュータを右クリックしてプロパティをクリックします。
(2) システム復元のタブをクリックして「システム復元を無効にする」をチェックしOKをクリックします。
(3) インターネットエクスプローラーを開いて「ツール」から「インターネットオプション」をクリックします。
(4) 「全般」タブの「インターネット一時ファイル」から「ファイルの削除」をクリックし、ポップアップから
「すべてのオフラインコンテンツを削除する」にチェックを入れてOKをクリックします。
(5) インターネットエクスプローラーを閉じます。
(6) 下記手順で msconfig を起動します。
(7) ウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して実行に「msconfig」を入れて
OKします。
(8) mscofig が起動したら、下記手順でセーフモードで再起動します。
(9) 「スタートアップ」タブをクリックして中にkavo,mmvo,tavo,revoなどがあったらチェックをはずします。
(10) 「BOOT.INI」タブをクリックし、/SAFEBOOT(F)にチェック>OK>再起動します。
(11) 再起動したらセーフモードで作業を続けるか確認する画面が出ますので「はい(Y)」をクリックします。
(12) セーフモードの画面になったらウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して
実行に「regedit」を入れてOKします。
(13) 下記の3個のレジストリの値を全て「1」に変更してください。
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced の"Hidden"と"ShowSuperHidden"
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Advanced>
Folder>Hidden>SHOWALL の"CheckedValue"
(14) レジストリエディタを閉じます。
(15) スタート>【スタートメニューが表示されます】>すべてのプログラム(P)>アクセサリ>エクスプローラ
をクリックします。
(16) アドレスに「c:」を入れます。この時マイコンピュータに触らないでください、レジストリが元に戻ってしまい
ます。また、ほかにドライブが有る場合はそちらも同様に以下のチェックをしてください。
(17) 一度ディレクトリに入ってから戻ると隠しファイルが表示されます。詳細表示にして下記のファイルがないか
探し出し全て削除してください。但し、これらのファイル以外のファイル名が新たに生成される可能性もあり
ます。削除はシフトキーを押しながら「DEL」キーで削除してください。
C:\\autorun.inf
C:\o6mhfog.com
C:\q83iwmgf.bat
C:\t2yev.com
C:\uvg.com
C:\8e9gmih.bat
C:\Windows\Prefetch\O6MHFOG.BAT-"*".pf
C:\Windows\Prefetch\Q83IWMGF.BAT-"*".pf
C:\Windows\Prefetch\UU.EXE-"*".pf
C:\Windows\Prefetch\8E9GMIH.BAT-"*".pf
■ 以下にあります"%System%" はシステムフォルダーです。
OSにより異なりますが、通常は下記のようになります。
C:\Windows\System(Windows 98 と ME)
C:\WINNT\System32(Windows NT と 2000)
C:\Windows\System32(Windows XP と Server 2003)
たとえば、ご使用されておりますOSが『Windows XP』または『Server 2003』の場合は、"%System%" の
文面を「C:\Windows\System32」に読み替えて下さい。
"%System%\\\kava.exe"場合
↓
C:\Windows\System32\\kava.exe と読み替えます。
この読み替えたファイルを(15)で起動したエクスプローラにより存在を確認し、あった場合には、該当
ファイルを選択した状態で【Shift】キーを押しながら、 【DEL(Delete)】キーを押して、ファイルを 削除します。
※【Shift】キーを押さずに削除すると、『ごみ箱』へ移動するだけとなり、ウィルスファイルの物理的な削除が
なされませんので、ご注意ください。
"%System%\\\\kava.exe"
"%System%\kavo.exe"
"%System%\kavo0.dll"
"%System%\kavo1.dll"
"%System%\kavo2.dll"
"%System%\mmvo.exe"
"%System%\mmvo0.dll"
"%System%\mmvo1.dll"
"%System%\revo.exe"
"%System%\revo0.dll"
"%System%\revo1.dll"
■ (17)についての補足
エクスプローラの【アドレス(D)】の入力欄には、「c:\\autorun.inf」などPC玉手箱へ記載されているものを
入力しないで下さい。
※入力すると、ウィルスが起動してしまいます。
(17)は、「(16)で移動したファイル内に、(17)に記載しておりますウィルスが在るか否かを調べ、 あった
場合は削除する」という工程です。
(18) 削除が終わったら、ウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して実行に
「regedit」を入れてOKします。
(19) 「編集」の「検索」でkava、kavo、mmvo、revoを検索して単独のキーワードになっている部分を右クリックして
削除します。F3キーを利用して検索するとスムーズです。
(20) レジストリエディタを閉じます。
(21) ウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して実行に「msconfig」を入れて
OKします。
(22) mscofig が起動したら、下記手順で通常モードで再起動します。
(23) 「BOOT.INI」タブをクリックし、/SAFEBOOT(F)にチェックをはずす>OK>再起動します。
(24) システム構成ユーティリティのポップアップが出るので、チェックしてOKします。
(25) 起動したらエクスプローラーでフォルダを開きます。
(26) 「ツール」の「フォルダオプション」を選びます。
(27) 「表示」タブを選択します。
(28) 「ファイルとフォルダの表示」の「すべてのファイルとフォルダを表示する」を選択して、OKで閉じます。
(29) 再度、同じことをして「ファイルとフォルダの表示」が「隠しファイル~」にチェックが変わっていないことを
確認します。
以上で、作業終了です。
///////////////////////////////////////////////////
また、(17)の作業を自動で行うソフトを公開してくださっている方がいました。こちら
では、お気をつけて~
PR
- 中古パソコンショップ アイループさん URL 2009.09.09 Wednesday
- パソコン屋です。お客様のパソコンを修理していて、USB媒介ウイルスを発見しました。隠しファイルが表示されず、「アレ?」と思ったのが発見のきっかけです。このページの手順を追い、ウイルス駆除に成功するとともに隠しファイルを正常に表示できました。大変助かりました!
Trackback
Trackback URL:
Comment