ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« STOP:c0000139 Unknown Hard Error のその向こうに…。 | トップページ | 感染したUSBメモリの対処。 »

2009年5月22日 (金)

USBメモリ感染のautorun.infウイルスの駆除方法。(mmvo.exe ierdfgh.exe revo.exe sfwypsy.exe ksahqgbi.exe r0so.exe afmain0.dll pytdfse0.dll )

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

ConfickerとかDownadupと呼ばれるこのウイルスは、もう新型インフルエンザなどの比じゃないぐらいに蔓延しています。
1年ほど前から猛威を振るっていますが、亜種が続々発生し、各ウイルス対策ソフトベンダーが対策ツールを出していたりしますが、検出できてなかったり駆除できていなかったりですので、過信すると痛い目に遭います。
やはりある程度は手動でやらなければダメなようです。
今回は、手動による発見と駆除の方法を提示しておきます。
もうあちこちで同じようなまとめ記事があったりはしますが、一応、改めて。

■感染手法

基本的に、ほとんどはUSBメモリによる「接触感染」なのですが、LANで共有ディスクやファイルサーバーを使っていたりすると、そこを経由して感染する場合もありますし、共有設定していなくてもねじ込まれたりします。これらは内部的な接触感染です。
また、PPPoE接続(光やADSLで「接続ツール」「広帯域接続」を使った「1台のみの接続」で、グローバルIPアドレスがパソコンに割り振られる接続)の場合、USBメモリを使っていなくても、ホームページやメールを利用しなくても、接続しているだけで外部からねじ込まれて感染してしまう場合もあります。これは外部からの接触感染ですね。
外部からの接触感染は、(有線・無線問わず)ルーターを使えば、相当高い確率で防ぐことができます。
ただし、Windows95/98/Meは、改変するレジストリが違うようで、どうやら感染しないようですが、油断はできません。


■感染後の動作

このウイルスは、実行されると、全てのドライブのルート(最上位)にautorun.inf と、そこに記述された実行ファイル(ウイルス本体)をコピーしようとします。
エクスプローラーでドライブを開くたびに、autorun.inf に記述された実行ファイルを起動し、autorun.inf と実行ファイルを、全てのドライブとシステムフォルダにコピーします。
そして起動項目に、システムフォルダに置いてあるウイルス本体を記述し、パソコンを起動するたびに感染動作を実行します。
各場所にウイルス本体を常に再配置、隠しファイルやフォルダを表示させないレジストリをONにする、など。
そして、もしautorun.inf とルートにある実行ファイルが削除されても、他のドライブに残っていたり、システムフォルダの実行ファイルが残っていると、また復活するようになっています。
たまにウイルス対策ソフトがこれを検出して、延々検出を繰り返す場合があるのですが、そのためです。
そして…新たに刺されたUSBメモリやフロッピーなど「リムーバブルメディア」と「接続されているドライブ」全てにファイルをコピーするようになっています。

つまり、本来ハードディスクのルートにあるはずのないautorun.inf がある時点で「おかしい!」となります…。
このウイルスの大きなポイントのひとつはここなのです。

もうひとつのポイントは、msconfigコマンドでチェックできる起動項目。
起動項目に、mmvo.exe とか ierdfgh.exe とか revo.exe があれば、間違いなく感染してます。


■感染したらどうなる?

通常の使用においては、感染していても気付かないことがほとんどです。
目立った症状は全く現れず、こっそりとUSBメモリなどに感染させ、隠しファイルを非表示のままにします。
USBメモリを刺した時に、ウイルス対策ソフトが検出をして初めて気付いた、ということがほとんどです。
あるいは、感染の副作用的な部分で、動作が変に鈍かったり、パソコンの起動ができなくなったり。

以前は書き込み禁止されたUSBメモリでエラーが出たら感染が検知できましたが、最近のものは書込み禁止ドライブは無視するものが主流となり、エラーは出なくなりました…。

さて、その駆除方法ですが…。

-----

■駆除方法

特にソフトは用意しません。パソコンがまともに起動するなら標準のソフトのみで対処できます。

▼まずはLANケーブルを抜く。

これをしないと、駆除中に感染を広げたり、駆除後に他から飛んできたりする場合があります。

▼セーフモードでの起動。

再起動をかけて、メーカーロゴ画面が出たところで、キーボードの「F8」キーを連打。
黒い画面に白い文字で「セーフモード」などの文字が出ている画面になれば成功。
それが出ずに、通常の起動画面が出たら、再起動してやり直し。
上下矢印キーで「セーフモード」を選び、Enterキー。
ユーザー名を選ぶ画面になったら、「Administrator」を選択。なければ管理者権限のあるユーザー名。

▼autorun.infの無効化。

※ここはコマンドプロンプトからの操作となります。
この時点で、マウス操作でマイコンピューターからCドライブを開いたりするとウイルスが発動しますので、必ずコマンドプロンプトから。
コマンドプロンプトでの操作に自信のない人はやめておきましょう。

スタートボタンから「ファイル名を指定して実行」。
半角で「CMD」と入力。大文字小文字は関係なし。
おそらく「c:\」で始まるアルファベットがあり、最後に「>」で四角いカーソルが点滅してるはず。
そこに「cd \」(しーでぃー半角スペース円マーク)を入力し、Enterキー。
「attrib -s -h -r autorun.inf」と入力し、Enterキー。(隠しファイル属性などを外して見えるようにする)
「ren autorun.inf *.txt」と入力し、Enterキー。(ファイル名を変更して発動しないようにする)
※ここでエラーが出るようなら、実は感染していないか、入力のタイプミスの可能性があります。

あとは、autorun.inf を再作成されにくいように、
「md autorun.inf」
「cd autorun.inf」
「md autorun.inf」
「attrib +s +h +r autorun.inf」
「cd \」
「attrib +s +h +r autorun.inf」
と順番に入力。
これで「autorun.inf」という名前の隠しフォルダが作成され、さらにその中に隠しフォルダが作られるので、簡単には削除や上書きはできなくなります。
とはいえ、名前の変更をされたら同じですが…。

追記:フォルダを作成したからといって、絶対にやられないという保証にはなりません。

もしCドライブ以外にハードディスクがあるなら、そちらも同様の操作が必要です。
Dドライブがあるなら、「D:」と入力し、Enterキー。
「D:\>」と表示されるはずですので、先の2行のコマンドを実行。
Eドライブがあるなら、「E:」と入力し、Enterキー…と繰り返します。
これでエクスプローラーでドライブを開いても問題ない状態になります。

「exit」と入力し、Enterキーでコマンドプロンプトが閉じます。

▼隠しファイルを表示できるようにする。

autorun.inf自身は単なる引き金に過ぎません。
ウイルス本体は、別に存在して、隠しファイルとして見えない状態になっています。
まずはエクスプローラーで隠しファイルを表示できるようにします。
※重要:ここから先はレジストリをいじります。間違えると起動しなくなることもあります。初心者は熟練の人か業者に任せましょう。

スタートボタンから「ファイル名を指定して実行」。
半角で「REGEDIT」と入力。大文字小文字は関係なし。
以下のレジストリキーを書き換えます。

● HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
   \CurrentVersion\Explorer
    \Advanced\Folder\Hidden\SHOWALL

    ここにある"CheckedValue"の値を"1"に変更。

これをしないと、隠しファイルは表示できません。
変更後、もう一度"CheckedValue"の値を確認し、1のままかどうか確認です。
いきなり1以外の値に変わってしまっていたら、以上の操作のどこかでウイルスが発動しています。
最初から慎重にやり直してください。
(それでもダメなら、新種ですので、以下の作業は続行できません)
1のままであることが確認できたら、いったんレジストリエディタを閉じます。

あとは、「マイコンピュータ」を開き、「ツール(T)」メニューから「フォルダ オプション(O)」で、

「すべてのファイルとフォルダを表示する」にして、

「保護されたオペレーティング システム ファイルを表示しない(推奨)」のチェックを外します。

この2つの操作は、

● HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
   \CurrentVersion\Explorer
    \Advanced\Hidden

● HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
   \CurrentVersion\Explorer
    \Advanced\ShowSuperHidden

この2つのレジストリ値を"1"にすれば実現しますが、通常操作でできますので、あえてレジストリでいじることはしないでおきます。

「OK」ボタンでエクスプローラーに戻り、Cドライブを開きます。(この時点ではautorun.infファイルは存在しないので、ウイルスは発病しないようになっています)
半透明のファイルやフォルダがいくつか表示されていればOKです。

▼悪性ファイルを見つける。その1

半透明になっている実行ファイルの中にウイルス本体があるのですが、このままではどれだかわかりづらいので、特定します。
先ほどファイル名を変えたautorun.txtをダブルクリックで開きます。
単なるテキストファイルとなっているので無害です。
open=○○○.com
shell\open\Command=○○○.com
といった感じで実行ファイルが指定されています。
comではなく、exeやbatの場合もあります。
これらのファイルがウイルス本体です。
sfwypsy.exe ksahqgbi.exe s1.com f1.exe など。
これらのファイル名は一定していません。
とにかくautorun.infに記述されていればウイルス本体と言えます。
でも最近は、行間に無意味な文字をはめ込んで難読化されているものもあったりしますが、検索で「open」とかをキーワードに検索すればすぐに見つかります。
見つけたファイル名がCドライブの同じところにあるかどうかを確認して、半透明の実行ファイルでそれがあったら確定です。右クリックしてメニューを出し、Shiftキーを押しながら「削除」をクリック。
Shiftキーを押しながらの削除で、ゴミ箱に入れずに消去します。
削除したファイルはメモしておいてください。
もし念には念を、とおっしゃる向きには、もし悪性ファイルが「sfwypsy.exe」ならば、
「md sfwypsy.exe」
「cd sfwypsy.exe」
「md sfwypsy.exe」
「attrib +s +h +r sfwypsy.exe」
「cd \」
「attrib +s +h +r sfwypsy.exe」
と順番に入力。
これで「sfwypsy.exe」という名前の隠しフォルダが作成され、さらにその中に隠しフォルダが作られるので、簡単には削除や上書きはできなくなります。

あとは、同じ操作を他のドライブ(Dドライブなど)にも実施すればOK。

▼悪性ファイルを見つける。その2
Windowsが起動されるたびに自動起動されるウイルス本体を削除しなければなりません。
基本的には、エクスプローラーで、c:\windows\system32 の中にあるファイルを表示させ、「表示」メニューから「詳細表示」をクリックし、ファイル表示項目の「更新日時」をクリックすれば、更新日時順に表示されますので、一番新しいファイルを見れば、わりと一発で発見できます。
「wpa.dbl」が最新の日付になっている場合がありますが、これはシステムの重要なファイルなので削除してはいけません。
異常な動作が出始めた日付近辺のファイルで、隠しファイルであればかなり怪しいです。
ファイル名がmmvo.exe ierdfgh.exe revo.exe r0so.exe afmain0.dll pytdfse0.dll などであれば確実にウイルスです。有無を言わさず、右クリックからShiftを押しながら削除です。
削除したファイルはメモしておいてください。

※重要:ここから先はレジストリをいじります。間違えるとまともに起動しなくなることもあります。初心者は熟練の人か業者に任せましょう。

レジストリエディタを起動して、以下のレジストリキーを開きます。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
 \CurrentVersion\Run

ここにmmvo.exe ierdfgh.exe revo.exeなど、先ほどc:\windows\system32 で見た、比較的最近の日付の隠しファイルが記述されていたら、そのレジストリキーを右クリックで削除です。
削除できたら、レジストリエディタを閉じます。

ここで再起動してみます。
通常通りの起動をしてみて、マイコンピュータを開き、隠しファイルの表示をやってみて、Cドライブを開いたところできちんと半透明の隠しファイルが表示されれば、駆除は成功です。おめでとうございます。
隠しファイルが表示できない、設定変更が元に戻る場合は、駆除できていません。最初から慎重にやり直しです。
それでもダメなら新種ですので、別の対処が必要です…。

▼隠れた部分の掃除。
削除したファイルをメモしておいたと思うのですが、そのファイルをファイル検索で全てのドライブを対象に検索します。発見したファイルは全て削除です。
できればレジストリエディタででも同じく削除したファイル名で検索をかけ、レジストリキーを削除しておいたほうがいいでしょう。
再起動を繰り返したり、通常使っているソフトがきちんと動くことを確認できれば、復元ポイントも削除した方がいいでしょう。
システムの復元を全てのドライブにおいていったん無効にすることで、ウイルスがいた時点の情報を削除できますので、ほぼ完璧になります。

はい、お疲れ様でした。

もしLAN接続している他のパソコンがあるなら、それらも同様の作業をして感染がなくなったことを確認できるまでLAN接続はしないでください。
ルーターがない環境であれば、ぜひともルーターを追加してください。
(フレッツ光プレミアムやKDDIのADSL/光回線など、すでにルーターがある場合は不要です)
XPでSP1(もしくはそれ以前)のまま(起動時の「WindowsXP」ロゴの下に「HomeEdition」の文字がある)の場合は、すぐにSP2かSP3にしましょう。
できない方は、ぜひ当方にご依頼ください。営業区域内でしたらお伺いいたします。
遠隔地ででもパソコンをお送りいただいての対処が可能です。

-----

まぁ、autorun.infによる自動起動を完全に停めてしまう(参考:セキュリティホール memo - 2008.06他)というところまでやってしまえばUSBメモリを突っ込んでも感染させられることはないといえます。
しかし、このウイルスの怖いところは、感染の入り口がUSBメモリだけではないところ。
autorun.infを殺したからといって、感染しない保証にはならないのです。
また、初心者のパソコンのautorun.infを殺したら、周辺機器を増設した場合に、CD-ROMなどからインストーラーを起動できなくなります。
人のパソコンのautorun.infを殺すなら、そこまで責任を持って面倒を見なければなりません。
それができないなら、autorun.infを殺すことは推奨できません。ご自身のパソコンだけでやっておいてください。

次回は、ウイルスの媒介をしてしまったUSBメモリの感染を取り除くやり方をご紹介します。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2009年05月22日(金) 定番トラブル, ウィルス・スパイウェア関連, ウェブログ・ココログ関連, ソフトウェア不具合関連(セキュリティホール), ネットにつながらない・遅い, パソコントラブル, パソコン・インターネット, フリーズ・ブルースクリーン・再起動・電源切れる, 基本操作・便利技関連, 日記・コラム・つぶやき, 起動しない・起動が遅い |

« STOP:c0000139 Unknown Hard Error のその向こうに…。 | トップページ | 感染したUSBメモリの対処。 »

定番トラブル」カテゴリの記事

ウィルス・スパイウェア関連」カテゴリの記事

ウェブログ・ココログ関連」カテゴリの記事

ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事

ネットにつながらない・遅い」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

フリーズ・ブルースクリーン・再起動・電源切れる」カテゴリの記事

基本操作・便利技関連」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

起動しない・起動が遅い」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/45124366/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: USBメモリ感染のautorun.infウイルスの駆除方法。(mmvo.exe ierdfgh.exe revo.exe sfwypsy.exe ksahqgbi.exe r0so.exe afmain0.dll pytdfse0.dll ):

» 運命を怖がる人は運命に食われてしまう。 トラックバック 私の道しるべ
USBメモリ感染のautorun.infウイルスの駆除方法 続きを読む

受信: 2009/11/05 15:51:01

コメント

お世話になっております。

とても参考になる資料を公開して頂き、感謝しております。

幸い、社内および自宅では今の所感染しておりませんが、この手のウィルスはいつ持ち込まれるか判らないので用心しております。(業務上、デジカメのメディアのやり取りが日常なので、かなりリスクがあります)

万一、感染が起きた場合は参考にさせて頂きます。
(数十台のPC全部の修復を考えると頭が痛いです)

投稿: しん@神戸 | 2009/05/27 14:05:31

いつも参考になる記事をありがとうございます。

ちょうどタイムリーに(汗)職場で発生してました。
参考にさせて頂いて駆除したつもりだったのですが
1台、再発生する端末が・・・・
別の人に確認すると、ウイルスファイルを削除するとき
2つ以上のファイルを一度に削除処理するとだめみたい
なことを言われました。?? 
そうなんでしょうかねえ~~

再度、駆除してとりあえずは終了

後はみんなが全部のUSBメモリーを提出してくれてる
ことを祈るだけです・・・・

おかげで素早く対応できました。ありがとうございました。

投稿: やま | 2009/05/28 22:36:17

すいません
先ほど書き忘れたのですが、

USBメモリーに教えて頂いたautorun.infフォルダーを
作成しておくとそのUSBメモリーはとりあえず安全になる。
(もちろんこのタイプのautorun.infで感染するものから)

と考えても良いのでしょうか?

投稿: やま | 2009/05/28 22:42:59

お世話になっています。
USBウィルス セーフモード 駆除
のキーワードでこちらにまいりした。
4月以降、数社の駆除ツール、対策ソフト試用版でも「隠しファイルを表示しない」からチェックがはずれなかった症状が、こちらの記事のおかげで無くすことができました。
コマンドプロンプトとレジストリーの作業はちょっと勇気がいりました。
本当に感謝しています。
ありがとうございました。

投稿: おとうさん@京都 | 2009/06/13 9:08:15

会社のPC3台がこのウィルスに感染して、非常に困っていたので、助かりました。
本当に、ありがとうございました。
この記事に記載されていなかったファイル名がありましたので、お知らせしておきます。
”xvassdf.exe”です。
これも、同じ症状が出ていたので、msconfigでスタートアップのチェックをはずして、削除したところ症状が治まりました。

投稿: まんぼう | 2009/07/10 15:33:47

参考にさせていただきました。ありがとうございました。

すでにコメント欄で報告されている方もいますが、私のところで悪さをしていたウイルスの実行ファイルは「xvassdf.exe」でした。
autorun.inf とそれに記述されているファイルを削除しても症状が改善しなかったので、レジストリのRunで記述されているものと、スタートアップにチェックが入っているものを照らし合わせてネットで検索、ウイルスを特定できました。
検索によるとCドライブのsystem32ではなく、一時フォルダに潜んでいました。

投稿: なべ@神戸 | 2009/09/06 12:07:48

途方にくれていたところ、ここにたどり着きました。
ありがたいことです。
ある意味では、”飯の種”ですから...どうもありがとうございました。

以後心を入れ替えて、ウィルス対策に心を向けていきます。

投稿: ひでちゃん、かずちゃん | 2009/11/05 15:45:16

ありがとうございます。参考にさせて頂きました。

投稿: 青ヤス | 2009/12/09 10:59:35

ren autorun.inf *txt後にautorun.infが再生成されるためmd autorun.inf ができません。
対策はありますでしょうか

投稿: ケンタ | 2010/10/25 11:28:16

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« STOP:c0000139 Unknown Hard Error のその向こうに…。 | トップページ | 感染したUSBメモリの対処。 »