2010年03月07日

マルウェア駆除2【保守】

今回確認したクライアントPCはUSBメモリを媒介しウイルスに感染した結果、右クリックメニューの一部文字化け、OSのパフォーマンス低下・動作不安定の症状が発生していました。

C:ドライブ直下に autorun.inf ファイルと runauto..(隠し属性)フォルダが作成されていますから間違いなさそうです。

スキャンソフトでウイルスの実行ファイルは特定しましたがプロセスにも見当たらずメモリにロードされたままでは削除もできません。

この時点で regedit は起動しましたからスタートアップエントリなども確認しますが該当する記述はなさそうです。
また実行サービスにもそれらしいものは見当たりません。

セーフモードで起動しても該当ファイルを削除することができませんから中々巧妙になっているようです。

この実行ファイルは vistape のブータブルディスクを使用して強制的に削除し再起動しました。

そうすると次は regedit regsvr32 コマンドプロンプト が起動不可能になりました。
これは regedit.exe をリネーム後起動後し、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
のエントリから上記ファイルに該当するキーを削除することで対処します。

最後に runauto.. フォルダですがwindowsのファイルシステムでは作成できない名称なので削除、リネームにもエラーが発生します。

これは ubuntu のブータブルディスクを使用して削除しました。

再度スキャンソフトを実行し問題がないことを確認し完了とします。
posted by ishikawa at 10:58| OS・ソフトウェア