- 締切済み
USBに感染するウィルスについての情報
昨日、我が家のPCがUSBに感染するウィルスに感染しました。 対応OSは、Windows XP(SP2) のようです、Vist未確認 2000感染しません。 状況としては、USBメモリがウィルスに感染すると、直下に desktop.exe autorun.inf folder.exe desktop2.exe の4つの隠しファイルを作成します。 ・感染したPCで今のところわかっていることは、USBをフォーマットしてもフォーマット後に上記4つのファイルが作成されます。 ・ファイルのオプションで「すべてのファイルを表示する」に変更しても自動的に「隠しフォルダを表示しない」に変更される。 ・C:\WINDOWS\system32\wuauserv.exeが自動起動して、ファイヤーウォールに TCP Telnet Tftp という名前の穴を開ける。 ・感染後再起動1・2回目で、Automatic Updates と言う名前でファイヤーフォールのブロックを解除するかどうかの警告が出る。 MRT.exe(悪意のあるソフトウェア削除ツール 2007年9月)で、完全スキャンをしましたが感染していないと言われました。 どなたか、対策法をご存知の方、教えてください。よろしくお願いします。m(_ _)m
- GleeForce
- お礼率9% (1/11)
- ウィルス・マルウェア
- 回答数11
- ありがとう数50
- みんなの回答 (11)
- 専門家の回答
みんなの回答
- helpert4
- ベストアンサー率0% (0/1)
USBウイルスが流行ってるみたいですね。 一般的なソフトでは検知できない場合も多いみたいですが こちらのソフトはUSBウイルスに強いみたいですよ。 http://www.eset-smart-security.jp/feature/usb.html 駆除する際に体験版で使ってみるいいと思います。
- Tonji_W
- ベストアンサー率26% (36/136)
今日現在までの戦い?の結果です。 ・システムの復元を無効にします ・インターネットのテンポラリーファイルを削除します ・msconfigのスタートアップで「mmvo,mmva,revo,reva,kavo,kava」またはこの類似のチェックをはずす ・セーフモードで立ち上げる ・最後に添付した情報によって作ったbatファイルの実行 ・再起動 ・ウイルス対策ソフトの更新(とまってたものが動き出す?) ・avastの場合はサイトからリムーブツールでアンインストールして再度インストール ・システムのフルスキャン ・システムの復元の有効化 これで何とかなってる感じです。 batファイルの内容 以下をコピペしてbatファイルとして保存 ********* rem disable autorun.inf rem system 復元 Off rem Internet temp >clean rem safemode rem 覚書 **隠しファイル・システムファイルの有視化** rem regedit HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced の"Hidden"と"ShowSuperHidden" >1 rem regedit HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Advanced>Folder>Hidden>SHOWALL の"CheckedValue" >1 rem 覚書 **自動起動の無効化** rem 「ファイル名を指定して実行」で「gpedit.msc」を実行 rem 「コンピュータの構成→管理用テンプレート→システム→自動再生機能をオフにする」 rem プロパティを開く(ダブルクリック) rem 「自動再生機能をオフにする」で「すべてのドライブ」を選択 rem 有効をチェック rem C drive del /f /a c:\autorun.inf mkdir c:\autorun.inf attrib +h c:\autorun.inf del /f /a c:\06mhfog.com del /f /a c:\1aq1obb.bat del /f /a c:\68.exe del /f /a c:\8e9gmih.bat del /f /a c:\9rhtx.bat del /f /a c:\a.bat del /f /a c:\a0fr.bat del /f /a c:\add.sys del /f /a c:\ampfrb.cmd del /f /a c:\as.bat del /f /a c:\awqlpyrd.com del /f /a c:\c.cmd del /f /a c:\cxx6qa8t.exe del /f /a c:\desktop.exe del /f /a c:\desktop.ini del /f /a c:\desktop2.exe del /f /a c:\dp.cmd del /f /a c:\eipctcc.bat del /f /a c:\f.exe del /f /a c:\folder.exe del /f /a c:\g.com del /f /a c:\h8i.com del /f /a c:\hbs.exe del /f /a c:\i2p.bat del /f /a c:\INFO2 del /f /a c:\ipy.cmd del /f /a c:\jix9a.bat del /f /a c:\k.com del /f /a c:\l1lyxiy1.exe del /f /a c:\lgnaqil.exe del /f /a c:\mka.bat del /f /a c:\mxuclt.exe del /f /a c:\n6j6pc0.com del /f /a c:\o.exe del /f /a c:\o0s.cmd del /f /a c:\o6hfog.com del /f /a c:\o6mhfog.com del /f /a c:\p3th8wb.cmd del /f /a c:\pg102ga.com del /f /a c:\q83iwmgf.bat del /f /a c:\rbt.bat del /f /a c:\Recycled\desktop.ini del /f /a c:\Recycled\Df2.exe del /f /a c:\Recycled\Dh35.dll del /f /a c:\Recycled\Dh35.exe del /f /a c:\Recycled\Driveinfo.exe del /f /a c:\Recycled\INFO2 del /f /a c:\Recycled\voinfo.dll del /f /a c:\rht.bat del /f /a c:\spxgfwg.bat del /f /a c:\sq.com del /f /a c:\swfu.exe del /f /a c:\sxs.exe del /f /a c:\t2yev.com del /f /a c:\t2yev.exe del /f /a c:\uvg.com del /f /a c:\uwlmj.com del /f /a c:\vmhr.bat del /f /a c:\w3dn9f.bat del /f /a c:\wm93r0.com del /f /a c:\wm93r0.exe del /f /a c:\wuauserv.exe del /f /a c:\wvusvigl.bat del /f /a c:\x0.com del /f /a c:\xa2c.exe del /f /a c:\xhlhmbw.exe del /f /a c:\y1.bat del /f /a c:\y1.exe del /f /a c:\y3032.bat del /f /a c:\yfog8p.exe del /f /a C:\Windows\Prefetch\8E9GMIH.BAT-"*".pf del /f /a C:\Windows\Prefetch\hbs.exe"*".pf del /f /a C:\Windows\Prefetch\O6MHFOG.BAT-"*".pf del /f /a C:\Windows\Prefetch\Q83IWMGF.BAT-"*".pf del /f /a C:\Windows\Prefetch\UU.EXE-"*".pf del /f /a c:\WINDOWS\SYSTEM32\kava.* del /f /a c:\WINDOWS\SYSTEM32\kava"*".* del /f /a c:\WINDOWS\SYSTEM32\kavo.* del /f /a c:\WINDOWS\SYSTEM32\kavo"*".* del /f /a c:\WINDOWS\SYSTEM32\mmvo.* del /f /a c:\WINDOWS\SYSTEM32\mmvo"*".* del /f /a c:\WINDOWS\SYSTEM32\revo.* del /f /a c:\WINDOWS\SYSTEM32\revo"*".* del /f /a c:\WINDOWS\SYSTEM32\reva.* del /f /a c:\WINDOWS\SYSTEM32\reva"*".* rem D drive del /f /a d:\autorun.inf mkdir d:\autorun.inf attrib +h d:\autorun.inf del /f /a d:\1aq1obb.bat del /f /a d:\68.exe del /f /a d:\8e9gmih.bat del /f /a d:\ampfrb.cmd del /f /a d:\as.bat del /f /a d:\awqlpyrd.com del /f /a d:\c.cmd del /f /a d:\desktop.exe del /f /a d:\desktop.ini del /f /a d:\desktop2.exe del /f /a d:\dp.cmd del /f /a d:\f.exe del /f /a d:\folder.exe del /f /a d:\g.com del /f /a d:\h8i.com del /f /a d:\hbs.exe del /f /a d:\i2p.bat del /f /a d:\INFO2 del /f /a d:\ipy.cmd del /f /a d:\jix9a.bat del /f /a d:\k.com del /f /a d:\l1lyxiy1.exe del /f /a d:\lgnaqil.exe del /f /a d:\mka.bat del /f /a d:\mxuclt.exe del /f /a d:\n6j6pc0.com del /f /a d:\o.exe del /f /a d:\o6hfog.com del /f /a d:\o6mhfog.com del /f /a d:\p3th8wb.cmd del /f /a d:\q83iwmgf.bat del /f /a d:\Recycled\desktop.ini del /f /a d:\Recycled\Df2.exe del /f /a d:\Recycled\Dh35.dll del /f /a d:\Recycled\Dh35.exe del /f /a d:\Recycled\Driveinfo.exe del /f /a d:\Recycled\voinfo.dll del /f /a d:\spxgfwg.bat del /f /a d:\sq.com del /f /a d:\swfu.exe del /f /a d:\sxs.exe del /f /a d:\t2yev.com del /f /a d:\t2yev.exe del /f /a d:\uvg.com del /f /a d:\uwlmj.com del /f /a d:\vmhr.bat del /f /a d:\w3dn9f.bat del /f /a d:\wm93r0.com del /f /a d:\wm93r0.exe del /f /a d:\wuauserv.exe del /f /a d:\wvusvigl.bat del /f /a d:\x0.com del /f /a d:\xhlhmbw.exe del /f /a d:\yfog8p.exe rem E drive del /f /a e:\autorun.inf mkdir e:\autorun.inf attrib +h e:\autorun.inf del /f /a e:\1aq1obb.bat del /f /a e:\68.exe del /f /a e:\8e9gmih.bat del /f /a e:\ampfrb.cmd del /f /a e:\as.bat del /f /a e:\awqlpyrd.com del /f /a e:\c.cmd del /f /a e:\desktop.exe del /f /a e:\desktop.ini del /f /a e:\desktop2.exe del /f /a e:\dp.cmd del /f /a e:\f.exe del /f /a e:\folder.exe del /f /a e:\g.com del /f /a e:\h8i.com del /f /a e:\hbs.exe del /f /a e:\i2p.bat del /f /a e:\INFO2 del /f /a e:\ipy.cmd del /f /a e:\jix9a.bat del /f /a e:\k.com del /f /a e:\l1lyxiy1.exe del /f /a e:\lgnaqil.exe del /f /a e:\mka.bat del /f /a e:\mxuclt.exe del /f /a e:\n6j6pc0.com del /f /a e:\o.exe del /f /a e:\o6hfog.com del /f /a e:\o6mhfog.com del /f /a e:\p3th8wb.cmd del /f /a e:\q83iwmgf.bat del /f /a e:\Recycled\desktop.ini del /f /a e:\Recycled\Df2.exe del /f /a e:\Recycled\Dh35.dll del /f /a e:\Recycled\Dh35.exe del /f /a e:\Recycled\Driveinfo.exe del /f /a e:\Recycled\voinfo.dll del /f /a e:\spxgfwg.bat del /f /a e:\sq.com del /f /a e:\swfu.exe del /f /a e:\sxs.exe del /f /a e:\t2yev.com del /f /a e:\t2yev.exe del /f /a e:\uvg.com del /f /a e:\uwlmj.com del /f /a e:\vmhr.bat del /f /a e:\w3dn9f.bat del /f /a e:\wm93r0.com del /f /a e:\wm93r0.exe del /f /a e:\wuauserv.exe del /f /a e:\wvusvigl.bat del /f /a e:\x0.com del /f /a e:\xhlhmbw.exe del /f /a e:\yfog8p.exe rem F drive del /f /a f:\autorun.inf mkdir f:\autorun.inf attrib +h f:\autorun.inf del /f /a f:\1aq1obb.bat del /f /a f:\68.exe del /f /a f:\8e9gmih.bat del /f /a f:\ampfrb.cmd del /f /a f:\as.bat del /f /a f:\awqlpyrd.com del /f /a f:\c.cmd del /f /a f:\desktop.exe del /f /a f:\desktop.ini del /f /a f:\desktop2.exe del /f /a f:\dp.cmd del /f /a f:\f.exe del /f /a f:\folder.exe del /f /a f:\g.com del /f /a f:\h8i.com del /f /a f:\hbs.exe del /f /a f:\i2p.bat del /f /a f:\INFO2 del /f /a f:\ipy.cmd del /f /a f:\jix9a.bat del /f /a f:\k.com del /f /a f:\l1lyxiy1.exe del /f /a f:\lgnaqil.exe del /f /a f:\mka.bat del /f /a f:\mxuclt.exe del /f /a f:\n6j6pc0.com del /f /a f:\o.exe del /f /a f:\o6hfog.com del /f /a f:\o6mhfog.com del /f /a f:\p3th8wb.cmd del /f /a f:\q83iwmgf.bat del /f /a f:\Recycled\desktop.ini del /f /a f:\Recycled\Df2.exe del /f /a f:\Recycled\Dh35.dll del /f /a f:\Recycled\Dh35.exe del /f /a f:\Recycled\Driveinfo.exe del /f /a f:\Recycled\voinfo.dll del /f /a f:\spxgfwg.bat del /f /a f:\sq.com del /f /a f:\swfu.exe del /f /a f:\sxs.exe del /f /a f:\t2yev.com del /f /a f:\t2yev.exe del /f /a f:\uvg.com del /f /a f:\uwlmj.com del /f /a f:\vmhr.bat del /f /a f:\w3dn9f.bat del /f /a f:\wm93r0.com del /f /a f:\wm93r0.exe del /f /a f:\wuauserv.exe del /f /a f:\wvusvigl.bat del /f /a f:\x0.com del /f /a f:\xhlhmbw.exe del /f /a f:\yfog8p.exe
- 2kaku34
- ベストアンサー率30% (101/329)
ソフトのインストールが面倒になりますが、autorunを無効にする。 「USBメモリを安易につながないで」 http://www.itmedia.co.jp/enterprise/articles/0707/04/news031.html OSとウィルス対策ソフトが次第です。(Antinnyも少しかかった) たまに、製品にウィルスが混在していることがあります。 ロジテック、3.5インチ外付けHDDにウィルス混入 http://pc.watch.impress.co.jp/docs/2007/0129/logitec.htm
- kanata1222
- ベストアンサー率0% (0/0)
まだ確定情報では無いのですが、あくまで参考という形で報告します。 感染したUSBメモリにメモ帳(作れれば何でもOK)より作成したautorun.infファイルをUSB上に入れ上書きした後、もう一度挿しなおすとオートランが実行されないので隠しファイルが表示されるようになります。 また、亜種は分かりませんが上書きされないことを自分も確認したので4種のファイルを自身で作り上書きすることにより再感染を防げると思われます。 私が使っているノートはVista(ウィルスバスター2007を入れてます)なのですが、感染したUSBメモリを読ませてフォーマットかけてコマンドプロンプトで確認したのですが再発している様子がありませんでした。
- KAI846
- ベストアンサー率0% (0/0)
私のUSBも同様の感染が確認されました. しかし,シマンテックをインストールしてあるPCですと,接続時に感染していることを教えてくれ,削除も同時に行います. そのPCでフォーマットを行うことで,そのUSBは使用可能となりました. 他の方法は試せていませんが,この方法なら確実に除去できると思います. 時間等の余裕がありましたら試してみると良いと思います.
- waros99
- ベストアンサー率29% (162/544)
#5です。 えっとですね、再セットアップとかやだったらVistaPEでも作成して、CDブートで該当ファイル、起動エントリ削除して下さい。 これを機に、正常時のシステムのイメージバックアップを取っておくといいですよ。ボクも昨日やったばっかりです。Acronis True Imageがお薦めです。
お礼
ご回答ありがとうございます。 結局、OSの再インストールになりました。 感染源は、職場のPCでした。職場の方の処理が大変でした。
- waros99
- ベストアンサー率29% (162/544)
こんにちは。 ボクはその筋のコミュニティーの潜入調査やVirtual Machine上でAVのスキャンやPFWの検知を欺くMalwareの動作解析みたいなことをやってます。 まあ、Trojan+Wormの複合タイプだと思いますんで、リカバリないしはシステムの再インストールが一番手堅いと思いますよ。
- ryu-fiz
- ベストアンサー率63% (2705/4228)
もう少し突っ込んで検索してみました。キーワードは、 usb desktop.exe autorun.inf folder.exe desktop2.exe 幾つかヒットしましたが…いずれも中国語のページでした。どうやらこの感染、中国製のようですね。中で最もそれらしいものをまずリンクしておきます。 http://www.tykes.tn.edu.tw/modules/news/article.php?storyid=1288 このままでは理解しにくいので、次のウェブ翻訳を使うことをお勧めします。 http://babelfish.altavista.com/ "Select from and to languages"は"Chinese-trad to English"を選んでください。 表示された英文を更に別のウェブ翻訳で日本語に約すと、理解が深まりそうに思われます。 個人的な理由で、私自身は今すぐこのページの内容を理解してアドバイスを差し上げることが出来ません。申し訳ありません。 ざっと見た感じ、マカフィーが提供している無償のウイルススキャナ、Stingerで駆除出来る、という記述のようですが。 http://www.mcafee.com/japan/security/stinger.asp Stingerの使い方は次のページで解説されています。 http://eazyfox.homelinux.org/SecuTool/Stinger/Stinger001.html あと、他にもウェブ検索でヒットしたページが幾つかありますが、そのうちの一つを追加でリンクしておきます。何かの参考になれば。 http://zhidao.baidu.com/question/15607426.html?fr=qrl3 バッチファイルを利用して、一気にかたをつける、という感じの手法が紹介されています。
補足
たくさん情報ありがとうございます。 こちらも、色々実験してみました。 ます、紹介していただいた Stringer (stng260.exe) を試してみましたが効果はありませんでした。 中国製というのはあたっていると思います。 autorun.inf の内容を見てみると [AutoRun] shell=verb1 shell\verb1\command=desktop.exe shell\verb1=打?(&O) shell=Auto となっていました 打(中国語)=クリック(日本語) ですよね~~ ちょっとだけ効果があったのは マイクロソフトの無料オンラインスキャンでした。↓ http://onecare.live.com/site/ja-JP/default.htm 完全には削除できないようです。 まだまだ、情報を募集中です。よろしくお願いします。
- ryu-fiz
- ベストアンサー率63% (2705/4228)
質問中にあるUSBメモリが新規に購入したものであり、これを挿したことが直接の感染の原因と考えられる場合には、すぐにメーカーに連絡すべきでしょう。場合によってはメーカーに既に感染に関する具体的な情報が存在する可能性があります。 >USBをフォーマットしてもフォーマット後に上記4つのファイルが作成されます。 PC本体に既に感染しており、それが原因でUSBメモリに再感染するようになっています。おそらく、別のUSBメモリを挿したり、あるいはフロッピーディスクやCD-Rなど他のメディアに新規にアクセスしても、同様な感染が発生するように思われます。 次のページを見つけました。 http://www.atmarkit.co.jp/news/200707/03/ipa.html W32/SillyFD-AAの別名であるWorm.Win32.VB.fwや、W32/LiarVB-Aの別名であるWorm.Win32.VB.dfに関してGoogleで検索したところ、a-squaredのアドバイザリページがヒットしましたので、a-squared Freeもしくはオンライン版であるa-squared Web Malware Scannerを利用すると改善される可能性があるように思われます。 http://www.emsisoft.jp/jp/software/free/ http://www.hippo.azimech.net/AtTheSpring/UsingA2WMS.html 当方もa-squared Freeを利用していますが…これを書いている少し前、言語を日本語にした状態ではオンラインアップデートが正常に行えないことを確認しています。その場合は、一旦英語表記に切り替えてアップデートをやり直してみてください。原因は分かりませんが…こちらでは英語表記の状態だとオンラインアップデートが正常に行えました。 なお、a-squared Freeは結構誤検出が多いようです。疑わしい検出があった場合には、かならずファイルのプロパティから素性を確認したり、ウェブ検索を利用して関連情報を探したりして総合的に判断されることをお勧めします。取り敢えず、以前から利用しているアプリケーションやPCにプレインストールされているアプリケーション関連のファイルが検出された場合は、一先ず誤検出を疑った方が良さそうです。
Ano.1氏の回答のようにまずオンラインスキャンを試すのがよいでしょう。 USBを使いまわしされていた場合は他のPC(VISTA,2000)もチェックの必要があります。 質問の内容をみるとかなりPCには詳しいようですので詳しい回答はいたしませんが、desktop.exe等のファイルはトロイの木馬ワームでよく見られるものです。 >C:\WINDOWS\system32\wuauserv.exeが自動起動して、ファイヤーウォールに TCP Telnet Tftp という名前の穴を開ける。 これは、PCをリモートで操作するためです、PCをのっとられている可能性があります。 >感染後再起動1・2回目で、Automatic Updates これはWindows Updateの自動更新のサービスです。自動更新を停止させた覚えが無ければ、ウィルスによってブロックされているかもしれません。 お話からすると、かなり悪質なウィルスに感染している様に伺えます。 やはりウィルス対策ソフトの利用がやはりお勧めと思います。
補足
回答ありがとうございます。 いろいろ調べました。 >>感染後再起動1・2回目で、Automatic Updates >これはWindows Updateの自動更新のサービスです。自動更新を停止させた覚えが無ければ、ウィルスによってブロックされているかもしれません。 ↑と安易にいえないようです。USBに作成されるdesktop2.exeをエディタで開いて中身を見ました。すると Automatic Updates Microsoft Corporation と書かれた署名を見つけました。偽装しているみたいです。 Vistaはわかりませんが Win-2000 は感染しません。 まだまだ、情報を募集していますよろしくお願いします。
- 1
- 2
補足
ご回答ありがとうございます。 お言葉なのですが、商用のウィルス駆除ソフトでは一度感染したものを、完全にクリーンにできないことを確認しています。それが、シマンテックかどうかはわかりません。 過去に流行ったウィルスの亜種なようで、追加された部分は残ってしまうようです。 感染したUSBは一見、何事もないように使用できますが、隠しフォルダは表示できないようになっていて、隠しファイルなのであるかどうかもわかりません。 Windows上ではわかりませんが、DOSコマンドでは確認できますので、コマンドプロンプトから、USBメモリーのパスに移動して dir /a:h と打ってみてください。 desktop.exe autorun.inf folder.exe desktop2.exe ↑が出たら、まだ感染しています。 一度感染したのであれば、これを機会に#5の方の言われたとおりOSの再インストールが確実です。 USBメモリーの方は、↑と同名のファイルを適当に作って中においておくと、上書きして感染しないことを確認したので、感染もウィルスを広めることもありません。 他にもチェックポイントがあるのですが、言葉で書くのは大変なので…… 色々調べましたが、中国系のウィルスは何されてるかわかりません…!! これも良く考えられてますよ。 時間があるのであれば、OS再インストールしてください。バックドア開けられて、何か入れられますよ。