ざつたま

「雑」のブログ版。今後はここを使います。 過去ログやデータは「雑」を参照(時々更新してます)。 タイトルの”ざつたま”は、「雑」と「たまけり」をあわせました。 単純で失礼)

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
このページのトップへ

Bloodhound.Packed.Jmp駆除成功?

なんとか駆除出来ました
一昨日書いたHDDが認識されないというのもウィルスのせいだったようです

今回の件は中村友一さんのblogが大いに役立った
(リンク許可ありがとうございます)

結局このウィルスの特徴は

・各ドライブのルートにautorun.infを作られる(当然隠しファイル)
・隠しファイルを表示が出来なくなるので、普通じゃ発見出来ない
・system32にmmvoとかkaboとか、それに類するファイルを作られる
・ルートとsystem32にそれに付随したbat、dll、exe、comファイルなど作られる
 (mmvoなどと日付がほぼ同じなので見つけやすい)
・少なくともシマンテックのアンチウィルス4/13パッチでは駆除出来ない

駆除方法は
とにかく、隠しファイルやロックされてるウィルスファイルを削除しまくって
レジストリ上にあるウィルス実行部も削除
で直るはずだが、それが大変であった

自分は最初Macがあるので、それにドライブをつなぎ
上記のファイルを駆除しようと試みたが
消せるファイルもあれば、ロックがかかって消せないファイルもあった
この消せないファイルは、どうも権限の問題のようだが
一応管理者権限でMac起動してるのだが・・・・
しかも、誰に権限があるのか不明という扱い
この場合どうしたら良いんだろう?

ってことであきらめ

次にコマンドプロンプトで行ってみるが
隠しファイル属性を解除までは出来るが、やはり消せない

この段階で上記blogを見つけ
そこを参考に7zipをダウンロードした

7zipは隠しファイルも見えるので比較的簡単にウィルスを見つけられる
手動でファイルをさくさく消すが、
それでも消えないファイルがあった
mmvo1.dllというファイルで、どうしても消せない
ダメもとでPC再起動したら、ウィルス起動せずに
再度7zipを使うことで消すことが出来た
どうも使用中だから消せなかったようだ
ウィルス起動しなかったのはautorunを消したおかげ??
この辺のからくりはあくまで推測

あとはレジストリをいじってあげて完了
無事ウィルス駆除出来ました

格闘すること、のべ3日
あーづがれた・・・・

そうそう感染ルートはやはり外部からのUSBメモリーからでした
今後この手のウィルスが蔓延するとやっかいだな
一応自分はレジストリいじって、リムーバブルディスクの自動起動をoffにした
予防策でウィルスと同じ名前のフォルダを読み込みのみ属性で作る
という手もあるようだが、
システムフォルダが煩雑になって、ちょっと嫌かも
Macのように簡単にフォルダの色とか変えれたら区別しやすいのだが・・・

それよりも、アンチウィルス側でオートプロテクトしてくれると助かる
今のところシマンテックは沈黙してるようだが・・・・
(何度も書くが駆除レベル:易だからね)
結構困ってる人多いと思うんですけどね
なんの対策もしないのかな?


テーマ:ウィルス・スパイウェア - ジャンル:コンピュータ

このページのトップへ

コメント

気をつけようっと

なんか大変なウィルスだね。
自分も気を付けるよ。
Winユーザーなので・・・。

  • 2008/04/16(水) 12:27:32 |
  • URL |
  • 太郎 #-
  • [編集]

予防策

それも書いてあるから参考にどうぞ
用心にこした事は無いと思う

  • 2008/04/17(木) 21:47:15 |
  • URL |
  • けんたろー #-
  • [編集]

本当に大変

7台やられました。別アカウントを作って自動復旧を切り再起動。ここから元アカウントを削除し(本体が設定ファイル内にいたため)ノートンで削除成功。元のアカウントに戻して一応おしまい。7zipとどっちが早いのですかねぇ。レジストリをいじるのはこれからです。

  • 2008/04/19(土) 07:11:18 |
  • URL |
  • Teasan #-
  • [編集]

↑ アカウント→ユーザー

「アカウント」を「そのPCのユーザー」に読み替えてくださいね。
元ユーザーを削除後、再起動したかも?(忘れた)とりあえず本体はいなくなったので、レジストリは後回しになっています。仕事に支障が出て急がされているので・・。感染源はUSBメモリでした。感染機にさすとどんどん増殖します。

  • 2008/04/19(土) 07:36:03 |
  • URL |
  • Teasan #rlHhita6
  • [編集]

情報ありがとうございます

teasan様コメントありがとうございます
結構厄介ですよね。
7zip方式はインストールしなければならないという煩わしさがあります
ただ私は慣れたので楽です(こんなの慣れたくもありませんが)

ところでノートンで削除との事ですが
念のため、system32と各ドライブのルートに本体以外の怪しいファイルが無いか確認した方が良いと思います

というのは、ノートンで駆除出来たと思われた別マシンが
再発しまして・・・・

手動根絶が一番確実なようです
あと、レジストリもいじった方が確実でしょう
でもこんなのに時間をとられるのも腹ただしいですね
私も仕事に支障がでて今週は大変でした・・・

  • 2008/04/19(土) 13:59:23 |
  • URL |
  • けんたろー #-
  • [編集]

そうですか!

けんたろー様、ご教示ありがとうございます。
再発もありですか・・・。PACKEDの中身は数種あるようですね。
今回は全部同じものですので、1台を抽出してよ~くチェックしてみます。

  • 2008/04/19(土) 18:13:35 |
  • URL |
  • Teasan #rlHhita6
  • [編集]

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバックURLはこちら
http://zatu.blog10.fc2.com/tb.php/1147-af29b678
この記事にトラックバックする(FC2ブログユーザー)

USBメモリに「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えるウィルスに注意(追加:8e9gmih.bat、o0s.cmd)/kavo・mmvoの駆除・予防・復旧

USBメモリをPCに接続したとき、「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えたらウィルスに感染しているかもしれないので要注意だ。このウィルスはUSBメモリを介して感染が拡大する(Web経由でも感染する)。(追加:8e9gmih.bat、o0s.cmd)/kavo・mmvoの駆除・予防...

  • 2008/04/15(火) 19:34:33 |
  • できない、困って→問題解決
このページのトップへ

FC2Ad

ざつたび

日本全国1725市町村
1390制覇(80.58%)
あと335市町村(2017/1/30現在)
詳細はざつたび参照

Calendar

09月 « 2017年10月 » 11月
Sun Mon Tue Wed Thu Fri Sat
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

Recent Entries & Comments

Recent Trackbacks

Categories

Links

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。