遮蔽空間

モバイル系のサイトやコンテンツ制作のお仕事をしてます。最近は自分用メモになってたり(・ω・)

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

autorun.exeとautorun.inf

会社の人から「USBメモリの中に変なファイルがある」
言われ、仕事でつかっているサブPCに繋げ中身を見てみたところ
autorun.exe」と「autorun.inf」の2つのファイルが入ってました。
ただのUSBメモリになんでオートラン?と思った瞬間、ウィルスかも!
と気づいたものの時既に遅し。

・・・マルウェア感染orz

なんとPCがautorun.exe製造機になっちゃいました(´・ω・`)


ま、ウィルスバスターのコーポレートエディションが入ってるし
駆除してくれるのだろう、と高を括りウィルスの検索を実行したものの
「脅威は見つかりませんでした」とかフツー表示されて終了。

一回入っちゃったウィルスって検出できないのか;;
(ただしSDの中に作成されるautorun.infはブロックしてくれる模様)


MAL_OTORUN
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=Mal_Otorun1

MAL_OTORUN2
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=Mal_Otorun2


とりあえずググってみたところいくつか対処法は書いてあるものの、
どのサイトでも「サービス停止して原因のファイルとレジストリ削除すれ」
しか書いおらず、根本的な解決に導いてくれたサイトは見つけられず。
だんだん面倒になってきた・・・。

あ、そういえばマイクロソフトって駆除ツール出してなかったっけ?
と思いつき↓を試してみたのですが・・・

悪意のあるソフトウェアの削除ツール - 2009年3月
http://www.microsoft.com/downloads/details.aspx?FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=ja

9時間かかったのに発見できなかった…orz


で、結局いろいろ回り道をした挙句、手動での削除に戻ってきました(´・ω・`)


メモリ上に常駐している不正プログラム(ウイルス)を終了する方法
http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-29037

行う作業の流れはわかったけど、肝心のウィルスがどのサービスなのかわからず。
どんなexeに偽装するのか、レジストリのどのあたりに書き込まれるのかが
書いててくれたらありがたいんだけど…ぬぅ。

とりあえず、どのサイトを見ても大抵初めは「セーフモードにしてから対応」と
書いてあるので 再起動→F8キー連打 でセーフモードを起動。
で、セーフモードで立ち上げればウィルスは動作しないだろうと思ってたら…ぎゃ!
なんとセーフモード中でもUSBメモリにファイルが作りやがる…怖えぇ~(((゚Д゚;)))


くそ!何としてもウィルスのサービス停止しなきゃ!!

「サービス停止」 → 「USBのファイルを消す」 → 「ファイルが作られるか確認」

をひたすら行ったところ幾つかヒントになりそうなことを発見しました。

 ・どのsvchost.exeも停止するとOS再起動のカウントダウンが始まる。

 ・ただし停止するとUSBメモリににファイルが作成されないsvchost.exeが1つある。

さらに

 ・妙な(5秒に1度、リズムよく)通信してるヤツがいる。

と、ここまではたどり着き、何とかサービスを停止するところまでは辿り着いた
ものの、レジストリから見つけられずについにギブアップ。
素人としてはよく健闘したほうだと思うんだが・・・(´Д`;)
いいよもう、潔く再インストールするさ。





・・・とPCを放置プレイにしてから数日後。




会社の同僚からカスペルスキー先生なるものを教えてもらいました。

https://www.justmyshop.com/app/servlet/cb35?sg=dsggl0222_44&e=dsggl0222_44

なんでもスゴイ検出率を誇るソフトなのだそうだ。

でもウィルスバスターで見つからなかったしなー、などと自分のの使う製品を
贔屓しつつためしに実行してみると・・・出るわ出るわ!!
悪いexeがあちこちにいっぱい!!! これ本当!?ってくらい検出されます。

もうどれが良くてどれが悪いのかわかんないので全部消してみたところ
おおお!autorun.exeが自動生成されなくなりました!ヒーホー!!
念のため、もうひとつの有名なソフト G DATA を使って検出するも
まったく引っかからず。


カスペルスキー先生ありがとう!
偉大なカスペルスキー先生




ふー、感染から1週間が経過してようやく完全に駆除できました。
それなりにPCの知識もあるほうだと思っていたし、ウィルス対策もちゃんと
していたからこんなに大事になるなんて夢にも思わなかった(;つД`)

こんなの作ってる人は何が楽しいんだろうと、ソフトを教えてくれたシステム系の
同僚に愚痴をたれたら

「まぁ作ってる人たちも仕事だからね」

と言われました・・・。なるほどね。



今後プロの仕事には気をつけることにますわい(´・ω・`)

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバックURLはこちら
http://sarosuke.blog88.fc2.com/tb.php/114-95a4f3ac
この記事にトラックバックする(FC2ブログユーザー)

FC2Ad

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。