« メロン入りメロンパン(ゆっぴさんに捧ぐ) | Main | SF作家のアーサー・C・クラーク死去(90歳) »

Feb 17, 2008

USBメモリに「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えるウィルスに注意(追加:8e9gmih.bat、o0s.cmd)/kavo・mmvoの駆除・予防・復旧

※08.09.22(月)07:24追記:
関連記事を掲載しました:
USBメモリ/autorun型ウィルス(kavo/revo/mmvo/i2p.bat/uu.exeなど)に感染したPCはリストア(OSの再インストール)せずに復旧します!

※08.05.09(金)21:00追記:
くる太郎さんよりメールをいただき、ご自身による詳細なウィルス分析の記事をご紹介いただきました。次のリンクを是非ご覧ください。
 →mmvo.exeとの格闘-まとめ
執念深く分析し駆除するだけでなく、同様に困っている方のためにその過程を公開なさっています。くる太郎さんに敬意を表し、冒頭に追記します。(追記ここまで)

USBメモリをPCに接続したとき、「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えたらウィルスに感染しているかもしれないので要注意だ。このウィルスはUSBメモリを介して感染が拡大する(Web経由でも感染する)。

先日このウィルスにやられた。ファイル削除など直接的な危害をもたらすウィルスではなかったが、手動駆除に相当の時間を取られた。

USBメモリを接続した瞬間、「q83iwmgf.bat」という不審なファイルが現れたので即座にテキスト・エディタで捕獲した。このファイルを見ていると、次の瞬間にはこのファイルが消え、今度は「autorun.inf」が現れた。こちらは捕獲に失敗し、すぐ消えてしまった。ショックだったのはこのウィルスをavast!が検出してくれなかったことだ。この瞬間に気づかなかったらウィルス感染に気づかないままだった可能性が高い。

●症状:
・USBメモリをPCに接続したとき、「q83iwmgf.bat」「autorun.inf」が一瞬現れて消える。
・「ファイルとフォルダの表示」を「すべてのファイルとフォルダを表示する」に設定しても勝手に「隠しファイルおよび隠しフォルダを表示しない」に戻ってしまう。
・オンラインゲームのパスワードを盗むらしい(08.02.18(月)01:33追記:シマンテックのサイトに「各種のオンラインゲームのパスワードを盗み取ります」とあった)。
・感染したドライブが開かなくなる(08.03.19(水)11:30追記)
※参考:
Trojan-PSW.Win32.OnLineGames.qwz(Viruslist.com)(英語サイト)
http://pan0t.wordpress.com/2008/02/13/q83iwmgfbat/(英語サイト)

●手動駆除:
・セーフモードにして関連ファイルと関連レジストリを削除することで駆除できる。詳細は下記の参考サイトにあるが、私の場合は下記の方法だけでは駆除できなかった。私の場合は下記を参考に、さらに関連ファイルを探し出して削除した。反響があれば具体的な手順を整理してこの記事に追記したい。

※参考:
WORM_ONLINEG.TCZ - 概 要(トレンドマイクロ)(英語のみ)
・コンピュータ・ウィルスとの戦い -いまそこにある危機- その1(ひとり親方のみかた)
・コンピュータ・ウィルスとの戦い -いまそこにある危機- その2(ひとり親方のみかた)
mmvo.exe kavo.exe 関連で困っている方 -ウィルス退治まで(まとめ)-(ひとり親方のみかた)

※08.02.17(日)07:57追記:
USBメモリでなくとも、接続する物理ドライブ全てに感染するので、外付けHDDなどの接続にも注意が必要だ。

※08.02.18(月)01:33追記:
シマンテックでは「W32.Gammima.AG」と定義されている。シマンテックの駆除手順は上記のどのサイト役に立つと思う。このウィルスは「kavoウイルス」とも呼ばれているようだ(参考:kavo ウィルス感染・駆除体験記)。このウィルス、現在 avast! では検出できない(他のウイルスソフトでも検出しないものがあるようだ)。これについては avast! にメールで問い合わせ中。トレンドマイクロのサイト(USB接続機器を介して拡散するウイルスの被害報告が急増)に「リムーバブルドライブのルートフォルダに予め「Autorun.inf」フォルダを作成しておく」という予防方法が書いてあったが、現時点では一番現実的な対策だと思う。私は早速、手持ちのメディア全てのトップに「autorun.inf」フォルダを作成した。また、トレンドマイクロのサイトには書いていなかったが、手動駆除の体験から考えて、PCのローカルドライブ全てのトップにも「autorun.inf」フォルダを作成した。これで一時しのぎにはなるが、早急な根本対策が必要だと思う。

※08.0.18(月)23:55追記:
この記事に対し、それなりに反響があった。感染ファイル名からキーワード検索でやってくる方も多い。これらを考慮し、ここ数日の手動駆除で得られた知見から kavo.exe の簡易的な手動駆除・予防方法を下記に整理しておく:


下記はUSBメモリを介して感染が拡大するウィルス kavo.exe を簡易的に手動駆除・予防する方法です。一部の大手ウィルス対策ソフトが検出しないため、止む無く緊急に作成したものです。

この説明は利用者の利便を考えて作成したものであり、完全な効果を保証するものではありません。この説明によって生じるいかなる損害に対しても、当方はその責を負いません。あくまでも自己責任でご利用下さい。

私がこの数日に数十回の手動駆除を行った結果から、効果のあった手順をまとめたものです。効果の出るケースも出ないないケースもあり得ます。特に、感染ファイル名は新手が出たらその都度対応を変えなければなりません。ウィルスの亜種が出た場合などはこの手順では恒久的な効果が保証されません。ご了承下さい。

手動駆除に入る前に、本当にkavo.exeに感染しているか、下記手順で確認して下さい。

フォルダのメニューから>ツール>フォルダオプション>表示>ファイルとフォルダの表示
を表示し、「すべてのファイルとフォルダを表示する」を選択し、OKを押します。

再度、同じ操作で「ファイルとフォルダの表示」の設定を確認してください。
「すべてのファイルとフォルダを表示する」のままであればkavo.exeには感染してないと思われます。
いつの間にか「隠しファイルおよび書くし隠しフォルダを表示しない」に変わっていたら、kavo.exeに感染していると思われます。

以下、kavo.exeに感染したファイルをPCから手動駆除する手順です。

まず最初に「7z 形式」という圧縮・解凍ソフトを下記からダウンロードしてください。
 http://www.7-zip.org/ja/7z.html

※08.09.29(月)03:51追記:
 7zの日本語版は9月からアクセスできない状態が続いているようです(原因不明)。現時点では下記から英語版がダウンロードできます。
http://www.7-zip.org/
(追記終わり)

7z は高圧縮率を誇る新しい書庫形式です。このソフトは隠しファイルを確認する目的で使用します。
kavo.exeはファイル表示の設定を変更してしまうため、通常の方法では隠しファイルを確認することができないからです。

ダウンロードしたら、7zをインストールしてください。

この説明は事前に印刷して参照できるようにしておいてください。

ここまで準備ができたら、下記手順で msconfig を起動します。

スタート>ファイル名を指定して実行>msconfig>OK

mscofig が起動したら、下記手順でセーフモードで再起動します。

BOOT.INI>/SAFEBOOT(F)にチェック>OK>再起動

再起動したらセーフモードで作業を続けるか確認する画面が出ますので「はい(Y)」を押してください。

この状態で「7z 形式」を起動してください。

下記のファイルがないか探し出し全て削除してください:

C:\autorun.inf
C:\q83iwmgf.bat
C:\8e9gmih.bat
C:\Windows\Prefetch\Q83IWMGF.BAT-"*".pf
C:\Windows\Prefetch\8E9GMIH.BAT-"*".pf

"%System%\kava.exe"
"%System%\kavo.exe"
"%System%\kavo0.dll"
"%System%\kavo1.dll"
"%System%\kavo2.dll"
"%System%\mmvo0.dll"
"%System%\mmvo1.dll"

ここではシステム起動ドライブをC:としています。異なっている場合は適宜読み替えてください。

"*" には "18CFD98E"、"2771A1FE" などの文字列が入ります。

OSによってこれ以外のフォルダの場合もあります。適宜読み替えてください。

"%System%" はシステムフォルダーですOSにより異なりますが通常は下記のようになります。
 C:\Windows\System(Windows 98 と ME)
 C:\WINNT\System32(Windows NT と 2000)
 C:\Windows\System32(Windows XP と Server 2003)

これらのファイル以外のファイル名が新たに生成される可能性もありますが、全ては把握していません。

各自の判断であやしいファイルがあれば削除してください。作成日やファイル名から推測できます。ただし、必要なシステムファイルを削除した場合、システムが起動しなくなるなど深刻な事態となる危険があります。あくまで自己責任で慎重に作業してください。

さて、これで感染ファイルは除去されたはずです。

次に、下記手順でレジストリエディタを起動し、レジストリの編集を行います。
レジストリの編集では、操作を誤ると最悪の場合はシステムが起動しなくなる危険性があります。十分な知識と経験がない場合、下記の作業は絶対にやらないでください。

スタート>ファイル名を指定して実行>regedit>OK

下記のレジストリを削除してください:

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run>kava = "%System%\kavo.exe"

"%System%" はシステムフォルダーですOSにより異なりますが通常は下記のようになります。
 C:\Windows\System(Windows 98 と ME)
 C:\WINNT\System32(Windows NT と 2000)
 C:\Windows\System32(Windows XP と Server 2003)

下記の3個のレジストリの値を全て「1」に変更してください:

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced>Hidden

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced>ShowSuperHidden

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Advanced>Folder>Hidden>SHOWALL>CheckedValue

これでレジストリの編集は終わりです。レジストリエディタを閉じてください。

下記手順で msconfig を起動し、通常モードで再起動します。

スタート>ファイル名を指定して実行>msconfig>OK

mscofig が起動したら、下記手順でセーフモードを外して再起動します。

BOOT.INI>/SAFEBOOT(F)のチェックを外す>OK>再起動

再起動すると「システム構成ユーティリティ」画面が表示されます。
「Windows の開始時にこのメッセージを表示しない、またはシステム構成ユーティリティを起動しない」にチェックを入れて「OK」を押してください。

エクスプローラーを起動し、冒頭の感染確認の手順で感染していないか確認してください。

フォルダの表示が「すべてのファイルとフォルダを表示する」になっていれば、手動駆除は終了です。

簡易的な感染予防措置、感染したUSBメモリの復旧方法についても手順を確立しています。反響を見てこの記事に追記するかもしれません。

以上が簡易的な手動駆除の手順です。


なお、本件については昨日(08.02.17)の午前 avast! のサポートに問い合わせをしたところ、夜になって捕獲したサンプルを送って欲しいとの要望があり、先ほどまとめて送っておいた(現在 avast! のサポートは英語のみ!)。もしかしたら速やかにパターンアップが行われるかもしれない。対応があったらすぐにこの記事に追記してご報告したいと思う。

上記手順についてのコメント・ご質問などはメール t-naka@techpr.jpもしくはこちらからどうぞ。

※08.02.19(火)01:00追記:
参考になるブログ記事:mmvo.exe関連ウイルス - ex

※08.02.19(火)05:12追記:
大手ウィルス対策ソフトの関係者の方からご要望がありましたら私が捕獲した検体をお送りさせていただきます。ご連絡ください。

※08.02.20(水)02:10追記:
その後もこの記事へのアクセス数が非常に多く、それなりにお役に立っているようなので、
・簡易的な予防処置
・感染したUSBメモリの復旧方法
について説明しておきます。例によって、お断りしておきますが、以下の手順は自己責任でご利用をお願いします。私が試行錯誤した範囲では効果がありましたが、亜種があったら効果はなく、感染は拡大します。その場合は、新たに手動駆除が必要となります。悪質な亜種であればそれ以上の損害が発生する危険性もあります。


●簡易的な予防処置
原理的には手動駆除で述べた感染ファイルのうち下記のものについて、同じ場所に同じ名前のダミー(空フォルダ)を読み取り専用で配置しておくだけです:
C:\autorun.inf
C:\q83iwmgf.bat
C:\8e9gmih.bat
"%System%\kava.exe"
"%System%\kavo.exe"
"%System%\kavo0.dll"
"%System%\kavo1.dll"
"%System%\kavo2.dll"
"%System%\mmvo0.dll"
"%System%\mmvo1.dll"
亜種には対応できませんが、同じファイル名であれば感染を防ぐことに成功しました。私が使用して効果のあった簡易予防キット(ダミーの詰め合わせ)を公開しますので、各自の自己責任でご利用いただければ幸いです。三種類の圧縮ファイル(exe、zip、lzh)はどれも同一内容ですので、どれか一つ選んでダウンロードしてください。

・簡易予防キット:
→08.03.08(日)13:35 末尾に更新版を追記:
→08.03.14(金)06:32 下記は「旧版」です。この記事の末尾に最新版を追記して行きますのでそちらをご利用下さい:
 kavo.exe-protection-080220.exe(40.6KB)
 kavo.exe-protection-080220.zip(2.69KB)
 kavo.exe-protection-080220.lzh(1.44KB)

●感染したUSBメモリの復旧方法
感染したUSBメモリの復旧方法は下記の手順となります:
・上述の簡易予防キットを導入したPCに挿してみる。
・重要:PCに挿したらすぐマイコンピュータからドライブを開き、感染ファイルとその動きを追跡する。
・しばらく待ってみる。
・予防キットのダミーと同じファイル名のファイルが存在し、いつまでも見え続けるようであれば、予防に成功していると思われる。そのまま上述の簡易予防キットを導入しておく。
・新たな感染ファイルが見つかり、すぐ消えてしまった場合、感染してしまったと思われるので、また感染ファイルの手動駆除が必要です。
・簡易予防キットにない新たな感染ファイル名が発生していた場合、そのファイル名の表示が消えてしまう前にしっかり覚えておくこと(おそらく数秒で消えます)。頭の何文字かだけでも分かれば、作成日時から探し出せます。
・感染してしまった場合、残念ですが、上述の手動駆除手順に従い、また手動駆除を繰り返してください。予防キットにその新たな感染ファイル名のダミーを追加してください。

【お願い】これらの作業中に新たな感染ファイル名を発見なさった方はそのファイル名をお知らせいただけませんでしょうか。いただいた情報をもとに、この記事や簡易予防キットの内容を追記・修正したいと思います。メールかコメント欄をご利用ください。

【注意】繰り返しになり恐縮ですが、この説明を読んで作業された結果について、当方は一切その責を追いません。あくまで自己責任でお願いします。ご質問などはメールでお受けしております。なお、正式に業務としてご依頼いただいた場合はこの限りではございません。


これらの手順は一時しのぎだ。全ての大手のウィルス対策ソフトがこれらの検知と駆除に対応した後は、そちらに任せることになる。

※08.02.21(木)03:35追記:
avast! から返信があった。パターンを更新して Win32:OnLineGames [Trj] および INF:Autorun [Trj] として検知するようになった、とのことだった。しかし、更新してもやはり検知しない。再度の問い合わせを掛けている。かなり深刻な問題だ。検知しないようなら他のウィルス対策ソフトへの乗換えを検討しなければならない。これまでのところNOD32 アンチウイルス V2.7(キヤノンシステムソリューションズ)が有力候補だ。今回のウィルスに対して一番最初に検知しているとの情報があるからだ。経過はまたこの記事に追記してゆく。

※08.02.22(金)02:45追記:
avast! からまた返信があった。週末まで待ってパターンを更新してくれとのことだ。やはり本件はそれなりに深刻な問題だと思う。他の大手ウィルス対策ソフトの状況も整理してみようと考えている。情報をお持ちの方は是非ご一報下さい。

※08.03.01(土)07:45追記:
さきほど検査したところ avast! のウィルス定義ファイル(080228-0, 2008/02/28)に下記の通り追加されていた:

○トロイの木馬として検出:
ウィルス名   検出されたファイル名
Win32:OnLineGames-CLQ [Trj]   kavo.exe
Win32:OnLineGames-CLR [Trj]   8e9gmih.bat
Win32:OnLineGames-CLS [Trj]   kavo0.dll  kavo1.dll
Win32:OnLineGames-CLT [Trj]   kavo2.dll  kavo3.dll
Win32:OnLineGames-CLU [Trj]   q83iwmgf.bat

○ウイルス/ワームとして検出:
ウィルス名   検出されたファイル名
BV:Malware-gen   autorun.inf
VBS:Malware-gen   autorun.inf

上記は領域を選択してスキャンして検出したものだ。実際に感染を防止できるかどうかは確認していない(余裕のあるときにやってみたい)。avast! の担当者(ALWIL Software a.s. のエンジニア)にはメールでお礼を言っておこう。

※08.03.08(土)13:35追記:
コメント欄に書き込みのあったまささんの情報に基づき簡易予防キットを下記の通り更新しました。

・簡易予防キット(更新版):
 kavo.exe-protection-080308.exe(41.7KB)
 kavo.exe-protection-080308.zip(3.77KB)
 kavo.exe-protection-080308.lzh(1.96KB)

※08.03.10(月)00:06追記:
コメント欄に書き込みのあったko-nekoneさんの情報およびあみさんの情報に基づき簡易予防キットを下記の通り更新しました。ついでに、記事が長くなったので解説部分を「続き」に引越しました。

・簡易予防キット(更新版):
 kavo.exe-protection-080309.exe(44.0KB)
 kavo.exe-protection-080309.zip(6.09KB)
 kavo.exe-protection-080309.lzh(3.05KB)

※08.03.14(金)06:32追記:
コメント欄に書き込みのあったまささんの情報に基づき簡易予防キットを下記の通り更新しました。

・簡易予防キット(更新版):
 kavo.exe-protection-080314.exe(44.9KB)
 kavo.exe-protection-080314.zip(6.90KB)
 kavo.exe-protection-080314.lzh(3.49KB)

※08.03.17(月)02:52追記:
コメント欄に書き込みのあったまささんの情報に基づき簡易予防キットを下記の通り更新しました。

・簡易予防キット(更新版):
 kavo.exe-protection-080317.exe(45.3KB)
 kavo.exe-protection-080317.zip(7.36KB)
 kavo.exe-protection-080317.lzh(3.71KB)

※08.03.18(火)10:50追記:
検索「o0s.cmd」から大量にアクセスが来ているため、件名にこのファイル名を追記した。ここにたどり着いた人のウィルス駆除に役立てば幸いだ。

※08.03.19(水)11:30追記:
えこ(えこーず)さんのブログ(ねじりぱん、たべたいな)で「メモ帳などでautorun.infを開いて、shellopenCommand=ファイル名となってる部分に書かれたファイル名をメモしておき、ファイルスキャナで参照⇒ローカルディスクのルート⇒全てのファイルを表示にしてファイル名の所にメモしたファイル名を打ち込めば良し。」(改行位置変更)という手順が使われていた(引用元:新しいのが幾つか出てました)。USBを挿した瞬間の挙動を見逃してしまった場合はこの手でOKだろう。

それにしてもこの記事、コメント欄も含めてかなり長くなってしまった。分割して新規記事にしようかとも思ったが、今朝もあいかわらず検索「o0s.cmd」から大量にアクセスが来るているし、日本語の情報が少ない(というか、「o0s.cmd」だとこの記事しかヒットしない)状態なので、閲覧者の利便を考えてこのままにしておく。

※08.03.28(金)09:49追記:
メールでの相談が何件か来ているので、参考になりそうなものを1件ご紹介する。相談者の個人名は仮にTさんとした。以下、メールの概略を抜粋(誤字・改行位置など適宜修正している):

(1)Tさん→中村
はじめまして、Tと申します。このたび当方のPCも感染し中村様のHPのおかげでなんとか駆除することができ大変感謝しております。ところでひとつ教えていただければと思いメール差し上げました。簡易予防キットの中にあるドライブのルートに配置するダミーというのは具体的にはどちらのフォルダーに入れればよいのでしょうか。ご多忙のところ恐縮ですが、ご教授いただければ幸いです。

(2)中村→Tさん
お問い合わせありがとうございます。私の記事で駆除ができたとのことでうれしく思います。さて、お問い合わせの件ですが、ルートというのはトップフォルダのことです。エクスプローラーのアドレス欄に「C:\」などと表示されている状態の場所です。「C:\」フォルダ内には普通は「C:\WINDOWS」などが存在しています。なお、ネットワークドライブを除く全てのローカルドライブに感染の可能性がありますので、内蔵・外付け問わず、それら全てのドライブが対象になります。普通はC:がシステム、D:がデータ、などとなっています。

(3)Tさん→中村丁寧なご回答ありがとうございました。つまり「C:\」のところに「WINDOWS」や「Program Files」などとならべておいておけばよいということですね。
実は昨日の駆除でCドライブは開けるようになったのですが、Dドライブを開こうとするとまだ「ファイルを開くプログラムの選択」のウィンドウが開いてしまい直接開くことができませんでした。原因がよくわからないのですがCドライブの駆除だけではだめということなのでしょうか。

(4)中村→Tさん
大変恐縮ではありますが、ご質問の状況から判断すると、そのPCはまだウィルスに感染した状態であると思われます。kavo.exe の特徴の一つに、USBメモリなどを介して感染するときはその時点で有効になっている全てのローカルドライブに瞬時に感染させてしまう、というものがあります。おそらく、システムドライブであるCドライブから駆除したことで症状は消えたけれど、Dドライブの感染が放置されていたため、Dドライブを開こうとした時点でまた症状が発生したものと思われます。この場合、当然ながら、Dドライブを開いて以降に接続していた(接続した)全てのローカルドライブ(USBメモリなども含めて全て!)が再度の感染をしている危険が高いです。また最初から同じ駆除手順を繰り返し、Dドライブを含む全てのドライブからウィルスを駆除する必要があります。

(5)Tさん→中村
ありがとうございます。がんばってすべてのドライブの駆除をしたいと思います。また何かわからないことがあったらお世話になることもあるかと思いますがその節はよろしくお願いいたします。

※08.03.29(土)07:50追記:
未感染のPCに感染しているUSBメモリを接続する場合、SHIFTキーを押しながら挿すと自動実行が止まるのでPCへの感染を予防できるとのことです。エクセルのマクロを止めるときにも使う手なので有効なんだろうと思いますが、私の方では確認実験していません。この手で予防に成功した方がいらっしゃいましたらお教え下さい。

※08.04.08(火)00:50追記:
コメント欄に書き込みのあったharinezumiさんの情報およびまささんの情報に基づき簡易予防キットを下記の通り更新しました。

・簡易予防キット(更新版):
 kavo.exe-protection-080408.exe(45.8KB)
 kavo.exe-protection-080408.zip(7.82KB)
 kavo.exe-protection-080408.lzh(3.93KB)

※08.04.09(水)01:02追記:
コメント欄に書き込みのあったまささんの情報に基づき簡易予防キットを下記の通り更新しました。

・簡易予防キット(更新版):
 kavo.exe-protection-080409.exe(46.0KB)
 kavo.exe-protection-080409.zip(8.06KB)
 kavo.exe-protection-080409.lzh(4.05KB)

※08.04.19(土)08:53追記:
コメント欄に書き込みのあったまささんの情報あっきぃさんの情報および卯月さんの情報に基づき簡易予防キットを下記の通り更新しました。

・簡易予防キット(更新版):
 kavo.exe-protection-080419.exe(47.1KB)
 kavo.exe-protection-080419.zip(9.19KB)
 kavo.exe-protection-080419.lzh(4.63KB)

※08.04.22(火)06:45追記:
コメント欄に書き込みのあったまささんの情報に基づき簡易予防キットを下記の通り更新しました。

・簡易予防キット(更新版):
 kavo.exe-protection-080422.exe(47.6KB)
 kavo.exe-protection-080422.zip(9.64KB)
 kavo.exe-protection-080422.lzh(4.84KB)

※08.09.09(火)11:16追記:
レジストリの記載で「ShowSuperHidden」が抜けていたので追記。

|

« メロン入りメロンパン(ゆっぴさんに捧ぐ) | Main | SF作家のアーサー・C・クラーク死去(90歳) »

セキュリティ」カテゴリの記事

Comments

解決しました。大変助かりました!ありがとうございます。

Posted by: halo | Feb 19, 2008 at 12:15 PM

私が知っているこのウイルスは、システムのAutorunを無効にしていても、自分で有効にしてしまうとんでもないウイルスです。
対処法が無くて困ってましたが、あらかじめ「autorun.inf」フォルダを作っておくというのは名案ですねぇ。他のUSBを媒体とするウイルスでも有効なアイデアです。
大変参考になりました。

Posted by: 所長 | Feb 23, 2008 at 12:27 AM

haloさん、お役に立ったようで幸いです。

所長さん、「autorun.inf」フォルダを作っておくアイディアはトレンドマイクロのパクリです。このウィルスに対応していなウィルス対策ソフトを使っているPC本体の予防に関しては私のオリジナルです。

状況に変化があれば追記しますのでまた見に来てください。

Posted by: 中村友一 | Feb 23, 2008 at 10:54 PM

ここのページを参考に何とか自分のPCは駆除できましたが、どうやら会社のPCからもらったらしく社内のPCも調べたところ、感染しているようです。。。
会社はソースネクストのやつを入れてますが、完全にスルーしてます。

私の環境ではautorun.infとともに3o32.batというファイルが作られていました。
また、C:\Documents and Settings\ユーザー名\Local Settings\Tempフォルダの中に、g8g.dll、dc1.exe、dc2.dll、dc3.dllといった怪しいファイルが出来てました。


Posted by: まさ | Mar 08, 2008 at 12:59 PM

まささん、コメントありがとうございます。ご提供いただいた情報に基づき簡易予防キットの更新版を記事本文の末尾に追記させていただきました。

Posted by: 中村友一 | Mar 08, 2008 at 01:39 PM

情報大変参考になりました。ありがとうございます。
autorun.infのダミーファイルは作ってみたのですが消されてしまいました。フォルダで作るというのは盲点でした。
自分はSymantecのNortonを使っておりウイルスには侵入されませんでしたが職場で大繁殖していました。
トレンドマイクロのウイルスバスターが入っていたのですがウイルスの一部のバリエーションにしか対応しておらず延々autorun.infを消し続けていました。
2月半ばから追いついたらしく沈静化の方向に向かっています。
オンラインスキャンではKasperskyが検知率が良かったです。

当方で見つかったウイルスのファイル名を挙げておきます。
p3r1ud.exe、ntdeiect.com、g2p3s.exe、t.exe、8u.com、8ot8y86.exe、ntdelect.com、copetttt.com、3g08.batです。
このファイルの他、autorun.infと
%System%にkavo.exe、kavo0.dll、kavo1.dllを作成してました。Local Settings\Tempフォルダに作られるdllファイルは毎回名前が異なっており把握しきれませんでした。NortonではこれらはすべてW32.Gammima.AG、W32.Gammimaで認識されます。
どうもこのウイルスは定期的にインターネットで新しいタイプに自分を更新して行っているようです。
Local Settings\Temporary Internet Files\Content.IE5\の中に時々zz[1].exeといったファイルを作って(ダウンロードして)います。([]内の数字は変わります。)
みんなが一斉に駆除しないと一定期間で名前が変わって再流行するみたいです。
(長文になり申し訳ありません。)

Posted by: ko-nekone | Mar 08, 2008 at 04:59 PM

昨日からこのウイルスに悩まされて格闘し続けて先程ようやく駆除したところです。此方には大変お世話になりました。初心者なので該当する話なのかよく分かりませんが、私のパソコンでは最近起動後にmmvo.exeエラーとK7TSSplh.exeエラーの二種類が出てました。早く各種セキュリティソフトも対応してくれるといいですね。

Posted by: あみ | Mar 09, 2008 at 02:46 PM

ko-nekoneさん、あみさん、情報提供ありがとうございます。早速ですが簡易予防キットの更新版を作成しました。長文コメントは大歓迎です。

Posted by: 中村友一 | Mar 10, 2008 at 12:16 AM

>>ko-nekoneさん

7TSSplh.exeはソースネクストのウイルスセキュリティのプログラムファイルです。

このプログラムにエラーが出てるということは、ウイルス防御が機能していないということなんでしょうかね。。。

>>中村友一さん

ですので、予防キットには入れなくて良いと思われます。

そして、新たにドライブルートに現れるファイルを確認しました。

2yeyce82.exe
o0s.cmd
agtlh8e.com
bm.bat
a0hr.(拡張子不明)
pq1o2ga.(拡張子不明)

昔に感染したものほどファイルの種類が多いようで、どうやら定期的にランダムに新しいファイル名に切り替えているようです。キリがないですね。。。

インターネットのキャッシュファイルについては
uu.exe
uu.rar
といったものがうちの環境で作られておりました。

Posted by: まさ | Mar 12, 2008 at 01:23 PM

>>あみさん

>起動後にmmvo.exeエラーとK7TSSplh.exeエラーの二種類が出てました。

そのエラーはファイルが見つからないと言うエラーではないでしょうか?
もしそうでしたらそれはスタートアップに登録されたプログラムが見つからないためのエラーだと思います。ウイルス本体は駆除されたけれどレジストリのrunの記述が削除されていないと出てきます。
このホームページに記載されている方法でレジストリを削除すれば消えると思います。(ここではkavo.exeですが)
K7TSSplh.exeについては知りませんでしたがまささんのコメントからするとウイルスセキュリティーのファイルのようですのでウイルス防御が停止している可能性が高いと思います。ご注意下さい。
レジストリのHidden関連の修正をするとひょっとしたら消えるかも知れません。


>>まささん

おっしゃられる通りこのウイルスのファイル名は途中で切り替わるようですね。ただ、全くのランダムではなくいくつかのパターンで変化しているのか、ネットを通じて更新されているのかも知れません。
またはよく似たウイルスが混在しているのかも知れませんが。
まささんの報告されたファイル名で検索すると同じと思われるウイルスに感染した方のホームページが複数引っかかりますが全く同じではなく6個のうちの何個かと別のファイル名とが載っています。僕が報告したものも同様のようです。両方含まれているのもあるので同じウイルスと思いますが。
またキャッシュファイルですがうちの方でもzz[1].rarありました!
情報ありがとうございます。

Posted by: ko-nekone | Mar 12, 2008 at 11:23 PM

まささん、ko-nekoneさん、たびたびの情報提供ありがとうございます。遅くなりましたが簡易予防キットの更新版を追記しました。


まささん
「7TSSplh.exe」はさきほど出した更新版で簡易予防キットから外しました。
・拡張子不明のもの
・インターネットのキャッシュファイル
は(とりあえず)入れていません。

ウィルスのファイル名はほんとに「キリがない」ですが、当面は継続するつもりです。アクセス解析によると「ウィルスのファイル名」の検索で数十件/日(多い日は百件超)のユニークアクセスがあることから、世の中の役には立っていると思います。
・大手ウィルス対策ソフトが対応しない
・皆様からウィルスのファイル名の情報が入る
という状況が変化したら更新は停止します。


ko-nekoneさん、
ネットを通じて更新というのは私も思い当たる節があります。通常はネット接続を切断(LANケーブルを抜いて無線LANも無効にする)してから駆除作業を行いますが、たまたまこのことを忘れたまま作業した端末には新たなファイル名のウィルスが多く発生して余計な手間がかかった記憶があります。そのへんの記録が残っていませんので確証はありませんが「可能性あり」です。「駆除作業はネット接続を切断して行う」ことを「強く推奨」します。

Posted by: 中村友一 | Mar 14, 2008 at 06:43 AM

拡張子不明のものは
a0fr.bat
pq1o2ga.cmd
でした。
どちらもドライブルートに現れてました。

私の環境ではmmvo系ばかりでkavo系のものは一切出てこないので、タイプの違う亜種が出回ってるんでしょうかね?

思ったより駆除が難航してます。
autorun.infフォルダは全PCに作成しましたが、ドライブルートに現れるもので新たな名前のものが出てくると再感染してしまう始末です。たぶんUSBメモリー利用者の自宅のPCなどが感染してしまっているのでしょう。

・USBドライブの自動実行機能をレジストリで停止させる。
・USB記憶装置の使用を禁止する。
といった対応をしなければいけないんでしょうか・・・・

Posted by: まさ | Mar 15, 2008 at 11:34 AM

まささん、度々ありがとうございます。ツール更新しました。

>思ったより駆除が難航してます。

ウィルス対策ソフトが検知しないようであればベンダーに報告して対策を要望した方が良いと思います。対応が悪ければソフトを変更せざるを得ないでしょう。全端末のソフト変更が不可能なら、とりあえずチェック用に1台だけ導入し、USBはまずその端末に挿してからでなければ使用しない、という運用でなんとかなるでしょう。

USBをいきなり禁止するのは困難でしょうね。最近は運用環境を整備して外部メディア接続を全面禁止にする企業も増えてきましたが、封印しちゃうかシン・クライアントに移行しなければ完全に防ぐことは出来ないと思います。

Posted by: 中村友一 | Mar 17, 2008 at 03:01 AM

o0s.cmdでこのページにたどりつきました。
Symantec Endpoint Protectionでは、感染したUSBメモリを挿すと %userprofile%\Local Settings\Temp\ に作成したファイル X.dll uveyg.dll を Bloodhound.Packed.Jmp と検知しました。※ウィルス定義ファイル:20080325 Rev.22
しかしながら、皆さんの情報にある autorun.infやo0s.cmd、mmvo*等のファイルは作成されているものの、Safeモードスキャンでも検知しないため、亜種かもしれません。
またUSBメモリの内容が隠れる前に、Infフォルダが表示されていました。

USBメモリを差し込んだときに検知しないと、SEPを導入した意味がないよ...sad

Posted by: シルフィ | Mar 26, 2008 at 09:00 PM

シルフィさん、情報ありがとうございます。

相変わらず全国で流行しているようです。私のところには個人の方からの相談メールや大手ウィルス対策ソフト企業からの検体提供依頼など問い合わせが多数ありますが、シルフィさんと同じ症状で悩んでいる方が全国的に多発してるようです。また情報がありましたら是非コメントしてください。

Posted by: 中村友一 | Mar 27, 2008 at 11:53 AM

USBメモリ内の「Inf」フォルダについて、拡張子 INF、PNF、ADM などの1377ファイルが存在していました。これらは感染PCに存在していない、存在してもサイズが異なるなどしています。とても不気味な感じがします。

「防御」には NOD32 が有効なようで、o0s.cmdを隔離し、Tempフォルダ内に生成するファイルに対してWin32/Rootkit.Vanti.NBJを検知しました。

もし今回のウィルスで悩んでいるなら試してみる価値はあると思います。ただし、既に感染しているPCでは動作確認していません。

Posted by: シルフィ | Mar 27, 2008 at 02:12 PM

シルフィさん、度々の情報提供ありがとうございます。NOD32はこの件に関しては評判がいいようですが、全般にいいとは言いがたいため、この記事ではあまり紹介していませんでした。本件のための限定的な使用であれば確かに試す価値はあるかもしれません。

Posted by: 中村友一 | Mar 28, 2008 at 09:54 AM

まことに恐れながら、情報提供させていただきます。
USB感染するagtlh8e.comについては私も苦労しました。symantec関連のウイルス対策ソフトでスキャンがスルーする現象が3/11に会社で発見されました。駆除できず、最新製品で最新定義ファイルでもスルー・・・。ネットでも情報がなく、どうしようかホトホト困ってました。
これをなんとかしようと試みたのですが、自分の業務パソコンがやられてしまいました。
そこで、このプログラムをSymantecでワクチンを作ってもらうように試みたところ、その2日後に世界リリースされましたよ。スキャンすれば検出してくれます・・・。
W32.Gammima.AGはいろんなプログラムに化けている??用ですね。
もし、企業の方でウイルスをインターネットで送付できるライセンスで契約していらっしゃる方は、MACやLinuxを使って分析していただいてみてはどうでしょうか?
ちなみにブラウザが使えれば問題ないと思います。

Posted by: 通りすがりです。 | Mar 28, 2008 at 08:42 PM

通りすがりです。さん、情報提供ありがとうございます。

W32.Gammima.AGは亜種も含めた総称のようですね。感染USBメモリのチェック方法についてはさきほど追記した「SHIFTキーを押しながら」という手がお勧めですが、MACやLinuxで確認するというのは思いつきませんでした(可能だと思いますが、うまくいった方がいらっしゃいましたらお教え下さい)。

Posted by: 中村友一 | Mar 29, 2008 at 08:37 AM

検索してこちらのブログにたどり着きました。

管理人さん有力な情報提供ありがとうございます。

感染していると思われるPCにUSBメモリを繋ぎ、linux機にさすとルートに、
・9rhtx.bat(106.2KB)
・uevr.cmd(108.0KB)
・autorun.inf
を確認しました。

autorun.infのコードは以下のようになっています。コメントらしきコードは、文字列の羅列で意味不明でしたので省かせていただきます。
----------
[AutoRun]
open=9rhtx.bat
shell\open\Command=9rhtx.bat
shell\open\Default=1
shell\explore\Command=9rhtx.bat
----------
(\は"\"の英文字の方です)

おそらく実行ファイルをautorun.inf介して実行させ、加えてすべての記憶媒体に上記の実行ファイル(名前は変えて^^;)とautorun.infをコピーしさらなる感染を狙うといった感じでしょうか。
クリアなusbメモリをさしただけで感染しましたので、常駐プロセスも含まれていると思います。

根本的な解決になるかもしれないので、先の.batや.cmdのバッチファイル等のコードがわかる方がいらっしゃれば、どこかにupさせていただきます。

いやはや本当に困ったウイルスですね^^;
情報を消したり送信したりはしないのが不幸中の幸いといったところですが…

Posted by: harinezumi | Apr 02, 2008 at 12:07 AM

harinezumiさん、ご丁寧にご報告ありがとうございます。これだけ流行しているのに未だに根本対策が普及していないようで、この記事には連日数百件のアクセスがあります。

Posted by: 中村友一 | Apr 02, 2008 at 08:29 AM

すっごい助かりました!!
いつどこでもらったのかわかりませんでした。
シマンテック、トレンドマイクロ、avastどれもだめでここに行き着いて助かりました。
ありがとうございました。

Posted by: domo | Apr 07, 2008 at 02:53 PM

お世話になっております。まさです。

いったん収まってたのですが、またヤラレてしまいました。

harinezumiさんと同じファイル
9rhtx.batとuevr.cmdが新たに発生。
少し感染してしまいました。

各種ダミーファイル群によって、mmvo.exeや、autorun.infの作成は食い止められたんですが、なぜかしっかりとuu.exeとuu.rarをIEキャッシュにダウンロードしてました。恐ろしい。

msconfigのなかにも起動項目としてmmvo.exeが登録されて、起動時にmmvo.exeフォルダー(ダミーの)が開くようになってました。


そして、NOD32の試用期限も切れてしまいました。仕方がないのであまり効き目のないウイルスセキュリティーに戻します。。。

Posted by: まさ | Apr 07, 2008 at 08:57 PM

domoさん、お役に立ててうれしい限りです。私の記事は先人の知識と皆様のコメントなどを整理したものですので、いただいた感謝の言葉は関連した全ての皆様にそのまま捧げたいと思います。

Posted by: 中村友一 | Apr 08, 2008 at 12:42 AM

まささん、重ねての情報提供ありがとうございました。harinezumiさんからご報告のあったファイルをキットにいれていませんでしたので、追加版を本文末尾に追記しました。

ネットに接続していない状態であれば新たな感染ファイル名はダウンロードされないようです。

ということで、あやしいUSBメモリをテストしたい場合、
(1)簡易予防キットを導入したPCを用いる。
(2)挿す前にネット接続を切断する。
(3)SHIFTキーを押しながら挿す。
とやっておけば感染することなく確認ができるのではないかと思います。

上記手順でテストされた方がいらっしゃいましたら是非結果をお知らせ下さい。

Posted by: 中村友一 | Apr 08, 2008 at 01:03 AM

また、新たなファイル名です。

fudtnmje.bat

ルートに作成されてました。感染PCのautorun.infにも記述されていたので最新の名前かもしれないです。
ファイルサイズは108KB(111,085バイト)

ソースネクストのウイルスセキュリティーは相変わらず無反応

Posted by: まさ | Apr 08, 2008 at 10:40 AM

kavo、mmvo関連の調べ物をしていてこちらにたどり着きました。有益な情報を有難うございました。

お礼代わりに、3つのレジストリキーを1にセットするレジストリファイルの内容を公開いたします。

以下の行をメモ帳などにはり、
for_mmvo.reg
などというファイル名で保存してください。これを実行すればレジストリが書き換わります。手順は楽になると思います。

XP Pro SP2で動作を確認しています。
---この下から---
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"ShowSuperHidden"=dword:00000001
---この上まで---

Posted by: おくの | Apr 08, 2008 at 04:36 PM

まささん、新たな情報ありがとうございます。簡易予防キット更新しました。新たな感染ファイル名を追加すると、すぐさまそのファイル名のキーワード検索からこの記事へアクセスがつきます。その時点でキーワード検索しても他のページはヒットしないことから、この記事は困っている皆様にとって大いに役に立っているようです。結果として、ここ2ヶ月ほど連日数百件のアクセスが来ています。kavo.exeに関してはおそらく国内では最も多くの情報が集まっていると思います。

Posted by: 中村友一 | Apr 09, 2008 at 01:08 AM

おくのさん、レジストリファイルの情報ありがとうございます。次に駆除作業を行う時に試してみたいと思います。

他の皆様でこのレジストリファイルをお使いになった方がいらっしゃいましたら、是非結果を報告下さい。

Posted by: 中村友一 | Apr 09, 2008 at 01:10 AM

4月10日に感染したようです。職場ではPCおよびUSBメモリを共用しており,感染が分かった4月11日から,PC使用禁止となり,現在印刷が一切できず困っています。私は4月10日自宅のパソコンで仕事をしてしまったために,自宅にもウイルスを運んでしまったのです。ウイルスセキュリティが入っていたのになぜ?と言う疑問が解決しました。なんとか,自宅パソコンは,除去しました。が,たまたま,4月10日(まだ,感染に気づかぬうち)に一度使ったSDカードにも,ウイルスが入っており,そこで初めて,一瞬だけ,fudtnmje.batを見ました。あっという間に消えましたが。SDカードにはいるとしたら,初歩的な質問で申し訳ありませんが,フロッピーディスクはどうなんでしょう?パソコン2台プリンター2台を20数名が共用して使っている職場で,たった2日間使用禁止でも困っているのに,月曜から仕事再開できるのか非常に心配しています。また,各自私用のパソコンも使っていると思うのですが,私みたいに,職場のUSBは一切使えないとなると,自宅のプリンターで印刷もできません。どうしたらよいのでしょうか?

Posted by: 桃屋乾物店 | Apr 13, 2008 at 09:45 AM

桃屋乾物店さん、コメントありがとうございます。

フロッピーでは未確認ですが、理論上はSDメモリと同様の挙動となるはずです。

USB禁止というのは現実的では在りませんので、確認用のパソコンを1台決めておき、そのPCでSHIFTキーを押しながら挿し、ウィルスの確認と除去をする、といった防衛策で慎重に確認しながら作業するしかないでしょう。

ウィルス対策ソフトを変える事もご検討なさるべきでしょう。

Posted by: 中村友一 | Apr 13, 2008 at 09:52 AM

早速,ご回答ありがとうございました。明日,職場で対策を検討します。

Posted by: 桃屋乾物店 | Apr 13, 2008 at 10:22 AM

>桃屋乾物店さん

いまだに会社で現役のUSB接続のMOには感染してました。
外付けのCDRドライブなどにも感染するという話を聞いたことがあります。

>中村さん

ベンダーに検体を送ったりして、ウィルス対策ソフトで検出できるようになりました。検出できているのは自分が捕獲したウイルスです。
感染したPC上で検出や駆除ができるのかについては時間もなく試していませんが、どうなんでしょうか?

Posted by: | Apr 15, 2008 at 12:46 PM

>外付けのCDRドライブ

CD-Rそのものは書き込みソフトで焼くまでコピーされません。しかし、準備ファイルに潜り込むことがあるということでしょうか?

>感染したPC上で検出や駆除ができるのか

私も直接確認していません。しかし、私に来ている問い合わせメール等によると、少なくとも一部の大手のウィルス対策ソフトがまだ対応していないようです。このページに毎日大量に来るアクセスはそれを裏付けているようです。

Posted by: 中村友一 | Apr 15, 2008 at 12:58 PM

中村さま,メールもありがとうございました。おくのさんのレジストリファイル試させていただきました。ありがとうございました。初心者の私でも,できました。職場では,業者の方が,職場のPCを夕方までかけて,ウイルス対策をし,確認用のパソコンを一台置くことになりました。近い将来,ランでとばして直接プリントアウトできるようになることになりました。でも,本日は,同様のウイルスにやられた,別のところに,業者さんが呼ばれてしまい,各自私用のPCは自分で,ウイルスバスターでスキャンしてます。これで,大丈夫といえる日はまだ遠いかも。私は,NOD32を入れました。

Posted by: 桃屋乾物店 | Apr 15, 2008 at 10:12 PM

桃屋乾物店さん、コメントありがとうございます。NOD32は「このウィルス」には効果があるようですが、全般的な性能については色々あるようですのでお気をつけ下さい。

その他ご覧の皆様へ:
ざつたまさんのトラックバック先の経過報告になさんが知りたかった内容が満載です。ご参照下さい。大手のウィルス対策ソフト会社がスルーしているのはなぜなのかが次の疑問です。

Posted by: 中村友一 | Apr 16, 2008 at 08:13 AM

system32フォルダに作成されるファイルですが、新たに

mmvo2.dll
mmvo3.dll

を確認しました。
また出てきそうなので、末尾0~9までとりあえずフォルダを作っておきました。

ウイルスセキュリティーは当然スルーです。

また、mmvo0.dll,mmvo1.dllについては、ファイル名は同じで中身の違うものが出てきてるようで(ファイルサイズが違いました。)、今までウイルス対策ソフトで検出可能だったものが、スルーされました。

ベンダーの対応よりウイルスの進化の方が早いです。

弱毒性のウイルスでよかった。これが鳥インフルエンザみたいに致死率60%とかだったら、、、


Posted by: まさ | Apr 16, 2008 at 09:30 PM

マイコンピューターのドライブ(C/D)を開くと毎回BloodHound.Packed.Jmpを検知し、自動的に削除しましたと出ます。
nortonを使用しています。
ウイルスの詳細を見ると、
ウイルス名はBloodHound.Packed.Jmp
ファイル名:fucz.dll今はsj.dllと変更します・・・
ヒューリスティックという種類
場所:C:/Documents and Settings/ユーザー名/Local Settings/Temp/
通常モードで検索を行ってもsj.dllなどのファイルは発見されないのですが、セーフモードで検索を行うと、隠しファイルで出てきます。そのファイルを右クリックで、nortonでスキャンをすると、ウイルスを検知し永久に削除しましたと出るのですが、再度通常モードにするとまた感染しています。
処理には削除と書いてあるのですが、このような症状の対処方法はありますか??

Posted by: あっきぃ | Apr 18, 2008 at 12:21 PM

悲しいことに,再感染です。職場のPCのうち,片方がまた,やられました。今度はいったいどうして感染したのやら。ウィルスバスターのスキャンで,続々増え続けるウィルスの数にぞっとしました。レジストリのRUNの中にmmvaが入っており,削除したら増加はストップしました。明日,業者さんがまた来ます。まだ,3日ぐらいしかたってないのに。慎重に使ってなかったと言うことでしょうね。ところで,同僚は自分のフロッピーディスクに大量にウィルスを発見したそうです。今のところ,20数名の職場でFDに入っていたのはその1例だけですが....。当分,職場では混乱が続きそうです。

Posted by: 桃屋乾物店 | Apr 18, 2008 at 09:31 PM

初めまして。私の職場でもmmvo.exeウイルスが大流行して対処に苦慮しています。それで、いくつか教えてもらえればとてもうれしいのですが。
フロッピーディスクを読み込んだ場合、autorun.infを実行してウイルスをインストールすることってあるのでしょうか?感染防止策としてUSBメモリルートにautorun.infフォルダを作ってもらうようには呼びかけているのですが。
それから、現在のところXPの感染は確認しましたがVistaでは症状が見られないようです。感染しているという情報はあるのでしょうか?
あと、ダミーのファイルいただきました。システムファイルをいじるのはすごく恐いので、ウイルスファイルをある程度特定できるのはありがたいです。早速試してみます。
私のところで確認されたautorun.infは、コメント行を除けば

[AutoRun]
open=fudtnmje.bat
shell\open\Command=fudtnmje.bat
shell\open\Default=1
shell\explore\Command=fudtnmje.bat

となっていました。uevr.cmdと9rhtx.batをLinuxのGnomeのエディタで開いてみようとしたところ開けませんでした。batなどという拡張子がついててもバイナリ(プログラム)ファイルのようですね。それからntdelect.comがいつのまにかnldetect.comになっていました。ファイル容量の比較はしていませんが新しくなったようです。
駆除したと思っても復活していたという事例も多いようなので根本的な解決法を切望しています。応援しています。

Posted by: 卯月 | Apr 18, 2008 at 10:25 PM

まささん、情報提供ありがとうございます。まささんの所は大量に出るようですね。

キットには「mmvo2.dll」と「mmvo3.dll」を追加しました。4~9は追加していません。どうすべきか根拠が薄弱ですが、データベース的な意味もあるので当面は実際に発見されたもののみにします。

>弱毒性のウイルスでよかった。

弱毒性だから大手ベンダーも後手に回っているのでしょう。

Posted by: 中村友一 | Apr 19, 2008 at 09:04 AM

あっきぃさん、ご回答が遅くなって申し訳ありません。コメントおよび情報提供ありがとうございます。ご指摘のファイル名のフォルダを簡易予防キットに追加し、記事本文末尾に掲載しています。

>このような症状の対処方法はありますか??

大手ウィルス対策ソフトの検知・駆除が中途半端で役に立たないのがこのウィルスの特徴です。昨年の発生から1年近く経つというのにいまだに根本的な対策がありません。私の知る限り、この記事の本文に記載の手動駆除しか駆除方法はありません(自動駆除ツールはありません)。

Posted by: 中村友一 | Apr 19, 2008 at 09:21 AM

桃屋乾物店さん、コメントありがとうございます。このウィルスの感染源は、
1.Web閲覧
2.USBメモリ
3.FDD
4.外付けHDD
5.内蔵HDD
6.CD-R(おそらく準備ファイル?)
※その他あらゆる物理ドライブ装置
なので、要するになんでもありです。この記事への大量アクセスやメールでのお問い合わせも当分続きそうです。いずれ大手ベンダーが根本対策を出すと期待していますが、いつになるやら。

Posted by: 中村友一 | Apr 19, 2008 at 09:30 AM

卯月さん、はじめまして。ご回答が遅くなって申し訳ありません。コメントおよび情報提供ありがとうございます。ご指摘のファイル名のフォルダを簡易予防キットに追加し、記事本文末尾に掲載しています。

>フロッピーディスクを読み込んだ場合、autorun.infを実行してウイルスをインストールすることってあるのでしょうか?

この記事のコメント欄をお読みになると同じご質問がありますが、答えは「ある」です。挙動としてはUSBメモリの場合と同じになると思われます。

>現在のところXPの感染は確認しましたがVistaでは症状が見られないようです。感染しているという情報はあるのでしょうか?

Vistaについては私も確認していません。ただし、Vistaで感染しないという保証はできません。

>batなどという拡張子がついててもバイナリ(プログラム)ファイルのようですね。

バイナリの実行ファイルだと思われます。

>それからntdelect.comがいつのまにかnldetect.comになっていました。

「nldetect.com」「ntdelect.com」「ntdeiect.com」の3個はウィルスファイルですが、「ntdetect.com」はWindowsのシステムファイルですので誤って削除しないでください。紛らわしい名前なので注意が必要です。

>応援しています。

私にも根本対策を出す能力はありません。他力本願ですが、大手ベンダーの対応待ちです。

Posted by: 中村友一 | Apr 19, 2008 at 09:43 AM

「mmvo.exe」で検索してこのサイトを見つけた者です。

ウチの場合は1週間前、神奈川県内の某ネットカフェでUSBメモリにbutファイルとautorun.infが生成され、自宅PCが感染してしまいました。

実はこのことについて問題のネトカに抗議の電話をして担当者の確認の末、後日謝罪があって、一応は解決したと思いきや、、、
今日、そのネトカに行ったらまたUSBにbutファイルとかが生成されてしまったんですよ。
(二回目は感染を広げることなくUSBのファイルも駆除しました)

今度は即店員に抗議して、ひとまず別の部屋に案内されたんですが、、、
msconfigで調べたところ、なんとそのPCにもmmvoが入ってたんです。
これは酷い…

あきれ果てた私は色々いじって調べた結果、、、

・ウイルス対策ソフトがインストールされてない!!!
(Symantecがインストール「されてた跡」はあれど…)

・PCを再起動してもあらゆる履歴やファイルが残りまくり!!!
(リカバリーソフトが機能してない?)

・コンパネやregeditやmeconfigにアクセスできる!!!
(普通ネトカだったらアクセス制限かけるでしょうに)

要は、ネトカのPCのセキュリティが皆無だったために、被害にあったわけです。

ネトカに感染が広まってると、企業とかよりも不特定多数に感染が広がって大変ですよね!

で、今日の店員の対応にもガックリでした。
PC使える店員が一人も居ず、すぐに何の対策もできないとのこと、、、

というわけで、私は代金を返してもらい、帰りました。

現在も何事も無いように普通に営業しているのが腹立ちますな。

Posted by: ひぢ | Apr 20, 2008 at 10:57 PM

>まささん、情報提供ありがとうございます。まささんの所は大量に出るようですね。

某国の鶏と豚と人間が一緒にくらしているような場所同様、ウイルスの進化に手を貸してしまっているかもしれません(^^;)

そして、rootに出現する新たなファイルを発見。

as.bat
eipctcc.bat

今日は違う支社に出向いてきて、発見いたしました。

Posted by: まさ | Apr 21, 2008 at 06:58 PM

いろいろ教えていただきありがとうございます^^

最近のアップデートした奴じゃないですが、少し情報を提供できると思います。整理していますので2~3日待ってください。

Posted by: 卯月 | Apr 22, 2008 at 12:31 AM

ひぢさん、コメントありがとうございます。

ネットカフェはセキュリティがいい加減な店も多いようですね。ウィルスだけではなくスキミングソフトなど悪質な仕込みが入っていることもあるので注意が必要です。残念ながら「その程度のもの」と割り切って使うしかないのかもしれません。

Posted by: 中村友一 | Apr 22, 2008 at 07:01 AM

まささん、度々ありがとうございます。早速キットを更新しました。このキット、どこまで世の役に立っているのでしょうか?

この記事をご覧の皆様へ:
簡易予防キットをお使いになった感想もしくは「これ使えねぇ」などありましたら是非お知らせ下さい(役に立っていないようなら更新は中止)。

Posted by: 中村友一 | Apr 22, 2008 at 07:05 AM

卯月さん

>整理していますので2~3日待ってください。

お待ちしております。

Posted by: 中村友一 | Apr 22, 2008 at 07:26 AM

少し長くなります。すみません。まず、データだけを書き込ませていただき、次回に残りのデータと私のいくつかの仮説を述べさせてください。

まず、NOD32で検索できたウイルスファイル名と場所、わかるものについてはサイズを報告します。nldetect.comタイプでmmvo1以降を生成しないmmvo0.dllのみのタイプです。
C:\Document and Setting\ユーザー名\Local Setting\Temp\ に
e.dll o4h5r.dll snxxs87p.dll x.dll xi2l.dll(26030bites)
C:\DOCUME~1\ユーザー名\LOCALS~1\Temp\ に
6vgw7.sys hd8iuctu.sys (共に21775bites)
C:\WINDOWS\system32\ に
mmvo0.dll(64512bites) wincab.sys(21775bites) mmvo.exe
C:\ に
nldetect.com(111193bites) 作成日:2007/12/9
D:\RECYCLER\途中省略\Dd2.com(111193bites) いわゆるゴミ箱の中です。
C:\System Volume Infomation\restore省略\省略\ に
A0039307.com(dll)等 いわゆる復元ポイントの中です。ぞろぞろあります。

『シッカリ記録アクセスログ』というソフトを使ってファイルアクセスの様子を調べてみました。なお、ドライブルートのnldetect.comとautorun.inf、system32内のmmvo.exe以外はWindowsのファイルっぽいので、絶対に消去しないでください。同日時で、初めの数字は分:秒です。f:はUSBメモリで、autorun.infフォルダが作ってあります。
32:27,「explorer.exe」が「F:\nldetect.com」にアクセスしました
32:27,「explorer.exe」が「C:\WINDOWS\system32\mmvo.exe」にアクセスしました
32:27,「explorer.exe」が「F:\nldetect.com」にアクセスしました
32:27,「explorer.exe」が「D:\autorun.inf」にアクセスしました
32:27,「explorer.exe」が「D:\nldetect.com」にアクセスしました
32:27,「explorer.exe」が「C:\WINDOWS\system32\mmvo.exe」にアクセスしました
32:27,「explorer.exe」が「D:\nldetect.com」にアクセスしました
32:27,「explorer.exe」が「C:\autorun.inf」にアクセスしました
32:27,「explorer.exe」が「C:\nldetect.com」にアクセスしました
32:27,「explorer.exe」が「C:\WINDOWS\system32\mmvo.exe」にアクセスしました
32:27,「explorer.exe」が「C:\nldetect.com」にアクセスしました
32:43,「explorer.exe」が「C:\WINDOWS\system32\shell32.dll」にアクセスしました
32:52,「explorer.exe」が「F:\nldetect.com」にアクセスしました
32:52,「explorer.exe」が「C:\WINDOWS\system32\mmvo.exe」にアクセスしました
32:52,「explorer.exe」が「F:\nldetect.com」にアクセスしました
32:52,「explorer.exe」が「D:\autorun.inf」にアクセスしました
32:52,「explorer.exe」が「D:\nldetect.com」にアクセスしました
32:52,「explorer.exe」が「C:\WINDOWS\system32\mmvo.exe」にアクセスしました
32:52,「explorer.exe」が「D:\nldetect.com」にアクセスしました
32:52,「explorer.exe」が「C:\autorun.inf」にアクセスしました
32:52,「explorer.exe」が「C:\nldetect.com」にアクセスしました
32:52,「explorer.exe」が「C:\WINDOWS\system32\mmvo.exe」にアクセスしました
32:52,「explorer.exe」が「C:\nldetect.com」にアクセスしました
32:52,「explorer.exe」が「C:\WINDOWS\system32\HAL.DLL」にアクセスしました
起動時にmmvo.exeを起動しているのに常駐プログラムの中にmmvoがないのは、Windowsのファイル管理ソフトexplorer.exeを介在させているからみたいです。2ターン分ほど書き込ませてもらいましたが、これを延々と繰り返しています。25秒ごとにexplorer.exeで各ドライブを探る様子が見て取られます。USBメモリのnldetect.comを消してもこのタイミングで書き込まれました。

長くなりましたのでつづきは次回へ。

Posted by: 卯月 | Apr 23, 2008 at 08:28 PM

一ヶ月ほど前から、このウイルスに悩まされています。
仕事上どうしても外部データを持ち込まなくてはいけないので、駆除しても駆除してもいつの間にか感染しています。
NOD32は入れてあるのですがスルーしてしまうのがあるようですね。
ひとつ質問があるのですが、USBメモリにautorunファイルがあったとして、その実行ファイルは何処にあるのでしょうか?
USBメモリを調べても実行ファイルが見当たらないのですが・・・。
感染していないPCにメモリを使った場合autorunのみで感染してしまうのでしょうか?

素人質問で申し訳ありませんが、教えていただけると助かります。

Posted by: poteto | Apr 25, 2008 at 01:12 PM

うちの会社のPCに,NOD32がはいっているのですが,どうやらスルーして常駐しているようです.(少し前は,駆逐できたのですが・・・)
 以前は,レジストリーの変更(HKEY_LOCAL_MACHINE  それから,ここのURLに勝手にアクセスしています.参考までに
 http://www.gamesrb.com/rbv/uu.exe

Posted by: もうすぐ五月 | Apr 25, 2008 at 04:32 PM

 すみません.記入失敗したので
もう一度記入します.
うちの会社のPCに,NOD32がはいっているのですが,どうやらスルーして常駐しているようです.(少し前は,駆逐できたのですが・・・)
 以前は,レジストリーの変更(HKEY_LOCAL_MACHINE <SHOWALL 隠しファイルをOPENできたのですが,
それが邪魔されてできなくなっています.
このような症状は,ウイルスの進化もしくは,
バージョンアップによるものなのでしょうか?
 それから,ここのURLに勝手にアクセスして
います.
 http://www.gamesrb.com/rbv/uu.exe

Posted by: もうすぐ五月 | Apr 25, 2008 at 04:35 PM

卯月さん、詳細な解析データ提供ありがとうございます。

USB挿してデバイス認識してファイルをコピー、、、最低でも1分くらい必要でしょう。数秒間隔とか頻繁にやると動作が重くなる。それで25秒という時間設定にしたのでしょう。

次回コメントお待ちしております。

#ところで、来月は皐月さんになるのでしょうか?

Posted by: 中村友一 | Apr 26, 2008 at 10:23 PM

poteto さん

>NOD32は入れてあるのですがスルーしてしまうのがあるようですね。

NOD32が検出できないという情報はもし詳細が分かったらお教え下さい。

>USBメモリにautorunファイルがあったとして、その実行ファイルは何処にあるのでしょうか?
>USBメモリを調べても実行ファイルが見当たらないのですが・・・。
>感染していないPCにメモリを使った場合autorunのみで感染してしまうのでしょうか?

それは隠しファイルになっているから見えないのだと思います。記事本文とコメントを一通りお読みになり、手動で駆除することは可能です。やってみてわからなければ再度お尋ねください。自信がなければ詳しい方に依頼した方が良いと思います。

Posted by: 中村友一 | Apr 26, 2008 at 10:29 PM

もうすぐ五月さん、情報提供ありがとうございます。

>NOD32がはいっているのですが,どうやらスルーして常駐しているようです.(少し前は,駆逐できたのですが・・・)

上記potetoさんのコメントでも同様の事例があるようです。詳細が分かったら是非お知らせ下さい。

> http://www.gamesrb.com/rbv/uu.exe

上記URLの実行ファイル(132KB)をダウンロードしてavast!で検査しました。
こちらでは何も検知できませんでした。
○検査条件:
 ・avast! version 4.8
 ・Build: Apr2008(4.8.1169)
 ・VPSのバージョン: 080425-1

※上記URLは危険なファイルだと思われますので、絶対にアクセスしないで下さい。
※この記事のコメント欄はリンクを設定していませんのでクリックする危険はありませんが、URLをアドレスバーに直接入力すると危険です。絶対にやめてください。
※私は特殊な方法で慎重にダウンロードしています。

Posted by: 中村友一 | Apr 26, 2008 at 10:51 PM

>このような症状は,ウイルスの進化もしくは,
>バージョンアップによるものなのでしょうか?

進化した可能性はあると思いますが、レジストリーの変更で隠しファイルを云々は手順の問題ではないかと思います。

Posted by: 中村友一 | Apr 26, 2008 at 10:57 PM

職場の女性(針小棒大タイプ)が第一発見者で、担当者が慌ててチェックしたところ、最初はGammicaあたりから発見され、mmvo,kavo,autorun.inf,as.batなどに感染しまくってました。
残念ながら我が社はPCに余り関係ない業務内容ですので、PC台数が多い割にはみんな全く気づかず。
担当者も決して詳しくないので、非常に困りました。

職場内で駆除を3~4回しましたが、それでも消えず。
本当にこの駆除方法であってるのか?と疑問に思ったもので、こちらのページにたどりついて確認をしてみました。

ほぼ同じような駆除方法で安心しました。ただ、我が社はPC知識ないのに全員でHKEY_CURRENTあたりを書き換えましたが・・・ちょっと心配になりました。
誰か間違ってたらどうすんだろ。

ちなみに、symantecがインストールされているのですが、反応していなかったです。家庭のPCには感染していなかったのか、Nortonが駆除してくれたのか、何も問題はなかったです。

こちらのページはとても詳しくて参考になりました。ありがとうございました。

Posted by: まるとつ | Apr 29, 2008 at 02:39 PM

 すごく忙しいので、また改めてコメントします。as.batになってからの動作が少し変化していましたので。
 それから、uu.exeとuu.rarをダウンロードしてくるのはWin起動時の1回だけなんじゃないでしょうか?uu*を削除して数分待ってもダウンロードされませんでした。トレンドマイクロでwww.gamesrb/にurlフィルタをかけたらダウンロードが阻止できました!このウイルスに関してはよくスルーするトレンドマイクロにしては快哉を叫びたい。もっとも当たり前っていえば当たり前で、IEが起動する前にフィルタが起動すればいいだけなんですけどね^^;
午後から職場で依頼されたパソコンのウイルス除去を2台。2時から始めたのに8時の今まだ終わらない。実験とかもしてたからだけど、Winアップデートとか、たまっていて時間がかかる。1台はウイルス対策ソフトも入れずにインターネットをしている。俺の貴重な休日を返せ~(悲痛な叫び)

#皐月になる前のコメントでした^^

Posted by: 卯月 | Apr 29, 2008 at 08:25 PM

まるとつさん、コメントありがとうございます。

>職場内で駆除を3~4回しましたが、それでも消えず。

完全な予防はできませんが、全てのUSBメモリと物理ドライブのルートに autorun.inf のダミーフォルダを置いておくだけで被害の拡大をある程度抑制できるはずです。お試し下さい。簡易予防キットはファイルの数が多すぎて煩雑なのでどこでも使う訳には行かないと思いますが、 autorun.inf だけなら問題は少ないと思います。

>PC知識ないのに全員でHKEY_CURRENTあたりを書き換えましたが・・・ちょっと心配になりました。

上のほうにあるおくのさんコメントでレジストリを自動的に修正させる方法が紹介されています:
http://techpr.cocolog-nifty.com/nakamura/2008/02/usbq83iwmgfbata_e848.html#comment-30904658
素人に手動でレジストリ編集をさせるより安心できるかもしれません。ご参照下さい。ただし「これで安全」と保証するわけではありませんので、あくまで自己責任でご利用下さい。

>ちなみに、symantecがインストールされているのですが、反応していなかったです。

同様の指摘が多数あります。大手ウィルス対策ソフトは未だに完全対応していないようです。

>こちらのページはとても詳しくて参考になりました。

この記事が役に立っているようでうれしい限りです。

Posted by: 中村友一 | Apr 29, 2008 at 09:39 PM

卯月さん、お忙しい中、わざわざコメントありがとうございます。ご指摘のドメインは中国ですね。下記に Whois の結果を貼っておきます:

(ここから Whois の結果)

Domain Name:gamesrb.com

Registrant:
chengxiaowu
shanghailonghuaqydongnanjie2200hao
510000

Administrative Contact:
cheng xiaowu
chengxiaowu
shanghailonghuaqydongnanjie2200hao
shanghai Shanghai 510000
China
tel: 86 021 8883728
fax: 86 021 8883728
keier@avl.com.cn

Technical Contact:
cheng xiaowu
chengxiaowu
shanghailonghuaqydongnanjie2200hao
shanghai Shanghai 510000
China
tel: 86 021 8883728
fax: 86 021 8883728
keier@avl.com.cn

Billing Contact:
cheng xiaowu
chengxiaowu
shanghailonghuaqydongnanjie2200hao
shanghai Shanghai 510000
China
tel: 86 021 8883728
fax: 86 021 8883728
keier@avl.com.cn

Registration Date: 2007-02-14
Update Date: 2007-02-14
Expiration Date: 2009-02-14

Primary DNS: ns2.xinnetdns.com 210.51.170.48
Secondary DNS: ns2.xinnet.cn 210.51.170.67

(ここまで Whois の結果)

また新たなコメントお待ちしております。

Posted by: 中村友一 | Apr 29, 2008 at 09:46 PM

やはり噂通り中国産でしたか。もうひとつの噂のオンラインゲームパスワードを盗むというのもなにやら本当っぽいですね。
あと、urlフィルタかけたのはwww.gamesrb.com/の誤りでした。すみません。追加情報ですが、このサーバのIPアドレスは60.169.2.226です。最初は「何かのトラップか?」と思ったほどたくさんのポート(1697個)があいていました。一台で大活躍といったところですね。セキュリティ上「開きポートの数は極力少なく」が原則なのでかなりずさんなサーバ管理のようです。
ついでに、使用OSはWindowsみたいですね。本当ならこういう情報を集めるのは良くないことなのでしょうが自衛のためやむを得ずということで。それにしてもさすが攻めのLinux。
Linuxといえば、mmvoウイルスに感染しないので駆除に大変重宝しています。OSが異なる機種を共存させておくというのもいいものだと心から思えました。ただ、このウイルスのファイルはroot所有扱いになっているのでroot権限で削除しなくてはいけません。他人にはいじらせたくないですね。

やっと駆除終わった。かなりヤケになっている卯月でした^^;

Posted by: 卯月 | Apr 29, 2008 at 11:33 PM

卯月さん

上のWhoisを見ての通り、このドメインは昨年の2/14(バレンタインデー!)に登録されています。

>Registration Date: 2007-02-14

Googleで調べたところ、このウィルスは昨年8/15にベトナムで発見されたのが最古の記録でした。下記に記録されています(英文ページ):
http://www.prevx.com/filenames/X182125554630368588-X1/KAVO.EXE.html

つまり、ドメイン登録して半年後にウィルスをばら撒き始めたということになります。

メモなどを確認したところ、私が最初にこのウィルスに感染したのが今年の2/15なので、ドメイン登録から1年後です(何か因縁があるのか?)。

ウィルス発見から半年も経っているのにドメインが潰されずに継続しているとは驚きですね。

Posted by: 中村友一 | Apr 30, 2008 at 07:31 AM

現在の会社の状況です.
前回,レジストリーをいじってもすぐ改ざん
されてしまうと記入しましたが,
セーフティーモードでレジストリーHKEY_LOCAL
できました.

ただし,XPの方はまた再度感染いたしました.

隣のWIN2000では,NOD32がきちんと駆逐
しているようです.

XPで,再度①セーフティーモード
②レジストリー:HKEY_LOCAL・・・
       CheckedValue(1)にして
       フォルダーで、
すべてのファイル・フォルダー表示しました。
そうしたら、Dドライブにいました。
だいたい10秒ぐらいだと思います。
すぐにレジストリをいじられてきえてしまいました。その後そのままのセーフティーモードでは、やはりレジストリーは変えられません。
もう一度再起動させて再びセーフティーモード
をしないとだめなようです。
前回は、Dドライブに1匹でしたので
駆逐できたのですが、今回は、Cドライブにも
いるらしくとても10秒では駆逐できません.

なんとか健闘してみます.

Posted by: もう五月 | May 07, 2008 at 11:47 AM

↑の投稿のものです。

やはりNOD32はスルーしております。
セーフティーモードで、
3つのレジストリーを1にするパッチを
した直後、すぐにすべてのファイル・フォルダーを表示にすると

Dドライブにautorunのファイルがみえました。すぐに削除したのですが、どっかにいるようでしばらくすると隠しファイル表示しない・レジストリーももとにもどり消えてしまいます。

NODがスルーしてしまいますので対処のしようがありません。

厳しい状態です。

Posted by: 今は皐月 | May 07, 2008 at 03:56 PM

>>今は皐月さん

セーフモードでCドライブやDドライブを開くときにダブルクリックをするとウイルスが活動開始します。
ドライブを右クリックして、エクスプローラーを立ち上げて、sutorun.infなどのファイルの削除を行ってください。

autorun.infのウイルスよる勝手な作成を抑止する方法として、このページの上にもありますが、空フォルダーを作成しフォルダーの名前を"autorun.inf"にしておけばよいようです。

Posted by: | May 09, 2008 at 06:02 PM

コメントいただいた皆様へ

多くの皆様にこの記事をご覧いただいただけでなく、コメントまでいただき大変感謝しております。さきほど、この記事の冒頭に追記しましたが、「くる太郎」さんの詳細解説ページを是非ご覧ください。これまでの皆様の情報も含めて良く調べ上げています。まだお困りの方の参考になるかと思います。


今は皐月(もう五月)さん
返信が遅くなって申し訳ありません。私が返信する前に名無しの方が解説なさってくいる通りで付け加えることはありません。うまくいかないようでしたらまたご質問下さい。

名無しさん
フォローのコメントありがとうございます。

Posted by: 中村友一 | May 09, 2008 at 09:18 PM

対策レポートを掲載いただいた、くる太郎です。
対策にあたっては皆様の記事、コメントに助けていただきました。ありがとうございました。

新しい情報として。
本日、ウィルスセキュリティZEROがmmvo関連ファイルを検出しました。

対策中に、autorun.inf と rbt.exe を別名保存(拡張子を txt に変更)しておいたのを忘れていました。
本日、ハードディスク全体にウィルス検査をかけたところ、この二つのファイルが検出されました。
検出内容は下記のようになっています。
  autorun.txt : Worm.Win32.AutoRun.AE
  rbt.txt : Trojan-PSW.Win32.OnlineGames.acyr

現在のウィルスセキュリティZEROは下記の状態です。
  バージョン :9.5.0094
  アップデート:2008/5/9

格闘中の4/29~5/3は検出していませんでしたので、最近のバージョンアップでなんらかの対応がされたのかもしれません。

Posted by: くる太郎 | May 10, 2008 at 04:05 PM

ありがとうございました!色々と参考になりました。
数日前に職場のUSBメモリから感染し、ウイルスセキュリティZEROで削除したはずが何度も再発して困っておりました。幸い、AVG Free 7.5で削除できていたようです。お恥ずかしながら、感染確認の方法など全く分からずにいたので、とても助かりました。
もう一台はZeroのまま放置しております。くる太郎さんの上記コメントを参考に、Zeroでの駆除が可能か試してみたいと思っています。
ありがとうございました!

Posted by: かずさのすけ | May 10, 2008 at 05:35 PM

くる太郎さん

コメントありがとうございます。各社このウィルスに即応するようになってきたのでしょうか。

、、、って、ブログ記事のコピペ(笑)。トラックバックいただければすぐ承認しますよ!

Posted by: 中村友一 | May 12, 2008 at 05:13 AM

かずさのすけさん

コメントありがとうございます。お役に立てば光栄です。

この記事も掲載して間もなく3ヶ月で、このブログのコメント数はこれも含めて72件となり過去最多記録を更新中です。。

Posted by: 中村友一 | May 12, 2008 at 05:17 AM

中村さん

実はまだブログに慣れてなくて、トラックバックがよくわからなかったんです(^^;

昨日ちょっとした知り合いからメールが来たのですが、添付されていたファイルがmmvo関連ファイルっぽいです。(拡張子がcmd)
時間がとれる時に、試しに発症させてみようと思ってます。

その経過をブログに書いたら、今度はトラックバックさせていただきますのでよろしくお願いします。

Posted by: くる太郎 | May 13, 2008 at 08:28 PM

くる太郎さん

>試しに発症させてみようと思ってます。

そういう危険な作業は専門家のみなさんがやっていますので、個人がやるのはお止めになった方が良いでしょう。

知らずに感染した人の貴重な体験を共有することは社会的な意義があるのですが、あえてやることはないと思います。

「ネタとしてやってみたい!」ということならその勇気は買いますがあくまで自己責任で!

Posted by: 中村友一 | May 14, 2008 at 04:02 AM

初めまして、中谷と申します。
私もautorun.infで困っていました。このサイトの書き込みが大変参考になりました。
私の周辺PCで検索されたファイルは以下の通りです。
m.exe xa2c.exe y1.exe as.exe bm.bat eipctcc.bat o0s.cmd y3032.bat pg102ga.com 9rhtx.bat fudtnmje.bat uevr.cmd
今のところ、再発はありません。

Posted by: ナカタニ | May 14, 2008 at 10:36 AM

自宅の複数のPC(XP)がmmvoに感染し、こちらの記事を参考にさせていただきました。
どうもありがとうございました。

私が感染に気づいたのは4月上旬で、仮想ドライブを設けてisoイメージをマウントしているPCの起動時に、「mmvo.exeを実行できませんでした」というエラーが表示されるようになりました。
仮想ドライブにファイルを書き込むことができなかったために発生したエラーと考えて良さそうです。

「Vistaでの発症は不明」とのことですので、既に何度も抜きさししてしまっているVistaノートに、感染したUSBメモリをさして挙動を調べてみたのでレポートいたします。

まず「フォルダオプション」で隠しファイルを表示する設定にしてみたところ、隠しファイルは何も表示されませんでした。ファイル検索で該当ドライブの「autorun.inf」を検索してみましたが、やはり何もヒットしませんでした。
Vistaでもautorun.infやntdelect.comは隠蔽化されてしまうようです。
どうして隠蔽化されるのかは私にはわかりません。Vistaマシンが感染するとこのようになるのか、あるいは別の理由で不可視になってしまうのでしょうか?

次にUSBメモリの最上層に「新規フォルダ」を作って、autorun.infやntdelect.comという名前に変更しようとすると、同名ファイルがあって作成できないという警告が出ました。
隠れて見えはしませんが、やはりautorun.infとntdelect.comが存在しているということを確信しました。

メモ帳→「開く」→ファイル名を入力 でUSBメモリ最上層のautorun.infとntdelect.comを開いてみると、お馴染みのautorun.infファイルや文字化け(バイナリファイルのためですね!)したntdelect.comが登場してきました。
この手法は、感染したマシンを利用してUSBメモリカードの感染の有無を確認する簡易な検査方法として利用できるかもしれませんね。

実はこのUSBメモリカードには最初からパーティションが切ってあって、2つ目のパーティションには元からautorun.infとUSBNB.exeという可視ファイルが入っていました。
両ファイルともmmvoやkavoによって書き換えられていないところを見ると、「autorun.inf」という空ファイルを置いておくだけでかなりの感染予防効果が期待できるように思います。


さて、捕獲したファイルのプロパティを見てみると、ntdelect.comの更新日時は2007年10月03日12:20:30、autorun.infの作成日時は2008年3月25日18:31:47となっていました。
ウイルスが作成されたのが2007年10月03日12:20:30で、感染したのは2008年3月25日18:31:47ということなのでしょうか?

感染した自宅のPCは、先週末にクリーンインストールしてmmvoを駆除しました。
必要なデータは、ネットワーク経由で他の感染しているPC(XP)に一旦飛ばしておき、クリーンインストール後に再びネットワーク経由で戻すという操作をしました。
いまのところ再発していません。

昨日・今日と職場のPCを確認してまわってみたところ、かなり広範囲にmmvoとkavoが蔓延していることがわかりました。
やはり職場からもらって帰ってしまったようですね。

今日のところは以上です。

Posted by: take | May 14, 2008 at 07:52 PM

お世話になります。Vistaマシンでの挙動の続編です。

Vistaマシン(mmvoに感染したUSBメモリカードを何度も抜き差ししたことのあるデスクトップ)のフォルダオプションを「すべてのファイルとフォルダを表示する」に設定してローカルディスク(C:)を覗いてみました。
「ProgramData」という不可視のファイルフォルダが可視化されたものの、「bootmgr」が表示されていません。

「新規フォルダ」をして「bootmgr」に名前を変更しようとすると「指定されたフォルダ名と同じ名前のファイルが既に存在します。別の名前を指定してください。」という警告が表示されました。

再度フォルダオプションを見てみると、「すべてのファイルとフォルダを表示する」のままで元には戻っていません。

USBメモリカードにautorun.infやntdelect.comが書き込まれているような徴候もありません。

やはり一部のファイルが隠蔽化されているような気がします。

Vistaの感染例なんでしょうか?

Posted by: take | May 14, 2008 at 10:37 PM

中谷さん、はじめまして。情報提供ありがとうございます。

ご指摘のファイルのうち、「xa2c.exe」「y1.exe」「y3032.bat」「pg102ga.com」の4個は未発見でウィルスの可能性が高いのですが、発見場所は覚えていらっしゃいますでしょうか?分かりましたら是非お教え下さい。

また、「as.exe」「m.exe」も未発見ファイルでしたが、こちらは慎重な対応を要します。市販アプリケーションに同名ファイルが存在している(ウィルスではない可能性がある)からです。したがって「as.exe」「m.exe」については、削除する前に本当にウィルスかどうか判断する必要があります。ウィルスであった場合、正常なファイルが上書きされて削除されているかもしれません。

他のファイルは既知のものでした。

Posted by: 中村友一 | May 15, 2008 at 06:24 AM

takeさん、Vista のレポートありがとうございます。


>隠しファイルは何も表示されませんでした。

この状況からは Vista に感染しているかどうかはっきりしません。隠しファイルを表示する設定にして設定ウィンドウを閉じ、再度開いたときに設定が勝手に戻っていななかったでしょうか?戻っていなければ感染していないと思われます。


>どうして隠蔽化されるのかは私にはわかりません。

「保護されたオペレーティングシステムファイルを表示しない(推奨)」にチェックが入っていませんか?設定をご確認ください。


>USBメモリカードの感染の有無を確認する簡易な検査方法

感染ファイル名が分かっている場合は有効だと思います。


>「autorun.inf」という空ファイルを置いておくだけでかなりの感染予防効果が期待できるように思います。

これまでの情報からもUSBメモリ側の予防効果は高いように思います。


>感染したのは2008年3月25日18:31:47ということなのでしょうか?

手元の感染ファイルを確認しましたが、やはり更新日が作成日より古い状態でした。作成日が感染日になっているものと思われます。


>「新規フォルダ」をして「bootmgr」に名前を変更しようとすると

「bootmgr」は Vista のブートローダです。削除すると Vista が起動しなくなりますので何もしない方がいいですよ(^_^;

「ProgramData」は Vista 管理する環境変数なので普通はいじらない方がよいでしょう。


>「すべてのファイルとフォルダを表示する」のままで元には戻っていません。
>USBメモリカードにautorun.infやntdelect.comが書き込まれているような徴候もありません。

これらの症状から総合すると、やはり Vista には感染しないと考えて良いようです。上述の「保護されたオペレーティングシステムファイルを表示しない(推奨)」をご確認ください。

Posted by: 中村友一 | May 15, 2008 at 08:05 AM

続いてお世話になります。
迅速なアドバイス、どうもありがとうございましたm(__)m

> 隠しファイルを表示する設定にして設定ウィンドウを閉じ、再度開いたときに設定が勝手に戻っていななかったでしょうか?

戻っていませんでした。

> 「保護されたオペレーティングシステムファイルを表示しない(推奨)」にチェックが入っていませんか?

チェックが入っていました。
チェックをはずすと不可視ファイルがたくさん見えるようになりました。(Bootフォルダもbootmgrも...)

「現時点ではVistaには感染しない」と考えて、USBメモリカードの感染の有無の判定や初期化などにVista搭載機(Linux搭載機も簡単に準備できますね)を利用してみようと思います。
どうもありがとうございました。


Posted by: take | May 15, 2008 at 11:37 PM

takeさん

>USBメモリカードの感染の有無の判定や初期化

この目的であれば(この記事のコメントですでに何度も出ていますが)、SHIFTキー押しながらUSBを挿し、SHIFTキーを押しながらドライブを開く、という手もあります。ルートキットが動作しないので感染しないはずです。

#あくまで自己責任で実行してください。

Posted by: 中村友一 | May 16, 2008 at 06:01 AM

自己レスです。

さきほどあるところで「autorun.inf」+「Windows.scr」のセットで感染しているUSBメモリについて駆除依頼があり、ついでにShiftキーを押しながら挿す実験をしました。

結果は失敗のようです。というより、はっきり分からなかった、というべきでしょうか。

Shiftキーを押しながらUSBメモリを挿してみたところ、ドライブを認識するまで8秒以上かかったためShftキーにより「フィルタ キー機能」が働きました。

そして、止む無くUSBが起動する前にShiftキーを離してしまいました。

そのため autorun.inf が起動したようで、avast! が止めました。検出ウィルス名は「Win32:AutoRun-U」(VPS:080518-1, 2008/05/18)でした。

次回また実験する機会があったら「フィルタ キー機能」は解除してから実施したいと思います。

同ウィルスはAVGで「PSW.OnlineGames.ADVC」として検出されていました。

ちなみに、夜になって私が呼ばれたときには、感染PC本体はすでに別の方がリストアした後でした。ユーザさんのデータは全部消されてました。

作業なさった方は全国的に有名な大手のシステム・インテグレータ認定企業のエンジニアさんでしたが、駆除作業はあっさり断念してしまったようです。

もう少し早く私に依頼があればデータは救えたかもしれないのですが、残念です(USBのデータだけでも救えたのがせめてもの慰め)。

Posted by: 中村友一 | May 19, 2008 at 11:26 PM

現在は、各ドライブとシステムにダミーファイルを配置することで、社内でのウイルスの蔓延を防ぐことに成功しております。
自宅でウイルスを飼育されている方がおられるので、今後また入ってきそうですが、USBメディアは一応検閲を受けてから使用することになりました。

個人的に使用していたウイルス対策ソフトですが、このウイルスに全然対応しないので文句を言ったらあっさり返金となりました。。。
対応の目処すら立たない状況なんでしょうか。。

Posted by: まさ | May 24, 2008 at 01:47 PM

まささん

>USBメディアは一応検閲を受けてから使用

検疫体制はMac/Linuxでしょうか?このウィルスへの根本対策はWindowsからMac/Linuxへ移行することぐらいしかないのかもしれません。

それにしても、これだけ長い期間に渡って根本対策の出ないウィルスはこれが最初ではないでしょうか?

しかも、あえて深刻な破壊活動をせず、ゲームのパスワード抜くだけというのは、もしかしたら何らかの「実験」の一環ではないかという気がします。これだけの感染力の強いウィルスが作れるなら本気を出せばもっと恐ろしいウィルスが作れます。ひょっとして、すでに仕込まれているけど発現していない「スリーパー」という可能性もあります。

このウィルスは不気味です。

Posted by: 中村友一 | May 26, 2008 at 07:44 AM

こちらのHPを見させてもらって、kavoとm.exeを駆除しようと思っておりますが、なかなか敵もやるもので、駆除できません。一応、トレンドマイクロでも文句を言ってパターンをあげて検知はできるようになったようですが、他のソフトでは相変わらずほかのウイルスが潜んでいるようです。あるお客さんにUSBで蔓延していたるところでkavoとm.exeが潜んでいるようですが、どうしたらいいのでしょうか?
海外のソフトで対処できそうな物をご存知ありませんか?

Posted by: hiko | May 27, 2008 at 09:54 PM

hikoさん、コメントありがとうございます。

ウィルス対策ソフトが検知しても、感染してしまったPCから自動駆除する方法は私の知る限りまだ出ていないようです。

ひとまず丁寧に手動駆除し、検知してくれるウィルス対策ソフトをインストールするしかありません。

USBメモリには autorun.inf という名前のダミーフォルダを作成しておくと予防効果があります。

MacかLinuxがある職場なら、まずそっちに挿して感染ファイルを除去するという手が使えるようです。

個別の状況が分からないので一般的な流れを書きました。詳細が分かればもっとアドバイスできるかもしれません。

Posted by: 中村友一 | May 28, 2008 at 04:26 AM

プロの人の頭の中には、既存の設定やデータを残したまま、ウイルスを駆除するといった考え方はないようです。
感染してしまったのがわかった時点で、完全に直るかどうかわからない駆除作業を時間の無駄と考え、システムの再インストールを選択するみたいです。

なんにせよ、データのバックアップが大事ですね。

Posted by: まさ | May 29, 2008 at 11:47 AM

>完全に直るかどうかわからない駆除作業を時間の無駄と考え、システムの再インストールを選択

状況によっては正しい対応かもしれませんが、ほとんど機械的にやっているならちょっと乱暴です。プロの範疇には入りません。

Posted by: 中村友一 | May 29, 2008 at 02:16 PM

ウイルスバスターでも,駆逐出来るようです.
ただ,1回目スキャンでも,SYS32に残っているので,隠しファイルをオープンにして,つまんで削除した方がいいようです.
隠しファイルオープン状態では,USBメモリーでは,容赦なく怪しいファイルが消せますので,”このやろう!!”という感じで削除できますので,圧巻です!
ちなみに,先ほどUSBメモリーからPCにウイルスが入る瞬間を目撃しました.
USBメモリーから一瞬でいなくなったと思ったら,ウイルスバスターで検知削除されました.
既出ですが,ダミーファイルは,ウイルスソフトが駆除できる時間稼ぎができるようで,効果があるようです.

Posted by: さきほど・・・ | Jun 17, 2008 at 05:49 PM

>このやろう!!

駆除するまで相当ご苦労があったようですね(^_^;

>入る瞬間を目撃しました.

それは珍しいものを目撃されました。注意して見ていないと見逃しますからね。

>ダミーファイルは,ウイルスソフトが駆除できる時間稼ぎができる

色々レポートありがとうございます!

Posted by: 中村友一 | Jun 18, 2008 at 06:00 AM

5月にmmvoに感染しました。こちらのサイトを参考にしmmvoについては完全駆除。
ただ、、、、6月に、うちではないのですが出入りの人がUSBにautorun.infがあり、同様にautorun.infフォルダーを作成するまでいきました。がその人は見慣れないRUNAUTOというフォルダーがあり(結局もとパソコン、近くの人のデータやりとりしたパソコンすべてに感染)それがあるものは数秒後にautorun.infフォルダーを消し去ってしまいました。
RUNAUTO自体は検索をかけたら駆除方法は乗っているようなものなのですが、autorun.infフォルダーを作れてもほかのVirusのせいで安心はできないんだなあと思いました。

Posted by: あき | Jun 19, 2008 at 06:15 PM

あきさん、情報提供ありがとうございます。

RUNAUTOは未体験ですが、調べた限りではよく似たワームですね。しかも昨年からあるようです。

今後は進化した亜種が現れたらどうなるか予断を許しません。

Posted by: 中村友一 | Jun 20, 2008 at 04:22 AM

すみません.
ウイルスバスター,全然バスターできませんでした!

Posted by: 4つ前の投稿人 | Jun 21, 2008 at 09:54 AM

最近は検知できるようになったようですが、、、検知しても駆除しないということでしょうか?

Posted by: 中村友一 | Jun 22, 2008 at 11:19 PM

訂正です.
ウイルスバスターでも大丈夫です.
慣れてないので,スキャンの結果を間違えていました.

ところで,
ttp://news.goo.ne.jp/article/yomiuri/life/science/20080623-567-OYT1T00722.html
読売オンラインにのりましたねー!

Posted by: 訂正です. | Jun 24, 2008 at 12:04 PM

読売オンライン見ました!このブログが紹介されたかと思って慌てて見ちゃいました(^_^; ふつーにウィルスの記事ですね。「不正ファイルの種類別の順位では4か月連続1位。」ということなので、まだまだ流行が続いているということですね。

Posted by: 中村友一 | Jun 24, 2008 at 11:34 PM

2月程前に「mmvo.exe]に感染しました。ウィルス対策ソフトは、symantec AntiVirusを使用しているのですが、駆除できず、こちらを参考に解決させていただきました。
その後、2週間毎に「Packed.Generic.61」や「Bloodhound.Packed.Jmp」.Jmp」に感染しましたが、こちらは、AntiVirusで駆除することができました。これらは、「mmvo.exe]に関連があるものでしょうか。
フォルダの表示は、「すべてのファイルとフォルダを表示する」の状態で、確認出来ており問題無い思いますが、「mmvo.exe]関連がまだ残っているのでしょうか。

Posted by: やま | Jun 28, 2008 at 01:53 PM

「Packed.Generic.61」は初耳で判断できません。「Bloodhound.Packed.Jmp」はこれまでに報告された症状が類似していることから同系統のワームだと思われます。

関連ワームが残っているとしたら、ご自分の機器だけではなく、取引先などのPCやUSBや外付けHDDの感染が考えられます。自分だけ駆除しても繰り返し感染することになります。

他の方の機器をチェックすることが困難な場合、このコメント欄で他の方がやっていらっしゃるように、検疫専用のPCを準備し、外部メディアはそっちで確認するように徹底するしかありません。

また、一部のホームページからも感染する可能性がありますので、ホームページを見たときの挙動も注意が必要です。

Posted by: 中村友一 | Jun 29, 2008 at 11:09 AM

こんにちは
一昨日くらいに感染を確認してからいろいろ試行錯誤してウイルスを手動駆除しようとしているんですがなかなかうまくいきません…

まず自分の状況から…
初めにSymantec AntivirusによってW32.Gammima.AGやTrojan.Packed.NsAntiというリスクが発見されてから、このウイルスがやっかいなものだと知り、いろいろなサイトを訪問してこのウイルスの駆除を試してみたのですがなかなかうまくいきません…
検索でkavo.exeやmmvo.exeなどを探しても見つからず、セーフモードでもkavo,mmvoは見つかりません。セーフモード時にautorun.infとそれに関する.bat(自分の場合i2p.batでした)というのを削除して、regeditから変更された値を0から1に直して再起動を行っているんですが、それでも通常モードに戻した後はフォルダオプションで隠しファイルやシステムファイルを見る設定にしようとしても、変えられません…

その後このサイトを知り、中村さんが行ったような対処法をやってみたのですが、セーフモードから通常モードに再起動するまではうまくいくのですが、通常モードで再起動してもフォルダオプションで隠しファイルやシステムファイルを見る設定にしようとしても、変えられない状態のままです。
そこで通常モードで7z形式を使用してみて、C:/やD:/を見てみたところautorun.infやi2p.batがありました。とりあえずこれらを削除したのですが、すこし経つとどちらも自動的に同じ場所にまた作成されてしまいます。また自分はsymantecを使用していたのですが、現在はNOD32の体験版を使用しています。検査をしてみても感染0でどうもウイルスをスルーしているようです。

突然の質問で恐縮ですが、もしなにかわかることがありましたら教えていただけないでしょうか?
よろしく御願い致します。

Posted by: 放浪者 | Jul 14, 2008 at 05:34 AM

放浪者さん、お問い合わせありがとうございます。

「autorun.inf」や「i2p.bat」の中に実行ファイル名が記載されているはずです。削除する前にテキストエディタで開き、内容を確認してください。

実行ファイル名が分かればそれを検索して削除できます。

できましたら、今後他の方の参考ため、そのファイルを削除する前にファイル名を変えて(拡張子をtxtにするなど)保存し、その内容をこちらに貼り付けてください。

Posted by: 中村友一 | Jul 14, 2008 at 05:41 AM

早速の返信ありがとうございます。

まず「autorun.inf」をメモ帳で開いてみたところ

;Dkrai4mJJroef2kCwlaKA1l2dier0s3KHq4d1s3iKscSoaX2oalLfeA5aw0A93okd5sZLwikdK9dSek3ld45ajq7ja2LrlrU9
[AutoRun]
;jowaqi9wD4L37lA8sj32oCkAellS2ok4rdSS71i4s
open=i2p.bat
;AwLD1SCDDlD5S52scAlkk413ifqK5ej44Kjqi0q3JK3lZdkj8kjaoifAiw0sALdraLXeK4oa1Aas4a
shell\open\Command=i2p.bat
;qweU3wfiA17D3dJ32ff2w2asoSX0K5AKLOsi4pwi3LsKo1Ki3iaKjfo2Fkqrc3rdD44AkklrqlKk0K84KkwK6DiiJdrwraersA2SkC
shell\open\Default=1
;LKs433eAkpkoi
shell\explore\Command=i2p.bat
;2m41e9Dk3iLkDi9qAa3okrakdrKa7FDsdda24k5sl1di

となっていてどうやらi2p.batが関係しているということしか自分にはわかりません。

またi2p.batのほうなんですが、こちらの実行ファイル名はどのように知ることが出来るのでしょうか?

それと質問ばかりで申し訳ないのですが、これらの作業はセーフモードでやったほうがいいのでしょうか?
セーフモードではフォルダオプションで隠しファイルやシステムファイルを見る設定にしてももとに戻ることは無く正常な動作を示します。
またrevo.exeというファイルがあるのですがこれはウイルスではないのでしょうか?
なんとなく怪しいなと思って気になっているのですが…

よくわからないことが多くて質問が多く、申し訳ないのですが、宜しく御願い致します。

Posted by: 放浪者 | Jul 14, 2008 at 05:56 AM

失礼しました。「i2p.bat」が実行ファイルですね。

「revo.exe」
の方はウィルスの可能性が高いと思います。下記に情報がありました(英文):
http://www.prevx.com/filenames/1642260805045508803-X675950468/DPTRAI~1.EXE.html

これも参考になるかもしれません。

作業は基本的にセーフモード必須です。

念のため申し上げますが、「システムの復元」はオンにしていませんか?「システムの復元」はオフにしてから作業してください。

Posted by: 中村友一 | Jul 14, 2008 at 06:05 AM

ウイルスの駆除ができたようです!

どうやらrevo.exeが原因だったと考えられます。
またtavo1.dll,revo1.dllなどのファイルも同じ場所にあり、それらも怪しいので削除しました。
またregeditからkavo.exeがあると書かれている場所に/revo.exeがあったのでそれも削除しました。
その後再起動すると隠しファイルもちゃんと見れるようになりました!

ありがとうございます!


ただこのウイルスがNOD32でもすり抜けてしまうというのがとても気になりました。一体どのアンチウイルスソフトを使えばいいのか…なんて考えてしまいます。オススメのアンチウイルスソフトなんてありますか?

この後は予防キットを導入しようと思います!

Posted by: 放浪者 | Jul 14, 2008 at 07:16 AM

早朝からお疲れ様です。お役に立てたようで幸いです。

NOD32については初期のころ「たまたま」検知できたというだけで、NOD32が宣伝しているように「ヒューリステックが優れている」ということではないと思います。

そもそもウィルス対策ソフトに100%はありえません。過剰な期待をせず、リテラシを高める不断の努力が必要だと思います。

最近はAVGかavast!がお勧めです(個人的にはavast!が好きです)。ただし、定番とされたウィルス対策ソフトがいつのまにか全然だめになっていた、ということがしばしば起こっていますので、最新情報には常にご注意下さい。

Posted by: 中村友一 | Jul 14, 2008 at 07:25 AM

中村さんのおかげで無事ウイルス駆除をすることが出来ました。
ありがとうございます。
ぜひavast!を使ってみようと思います!
コメントの返信がはやくて、とても助かりました。
このウイルスのせいでここ数日寝不足で大変でした…
最後には業者に高いお金を払おうかと思っていたところでした…


ウイルス駆除の手助けをしていただき本当にありがとうございました。

またトラブルが起きたときは質問させていただくかもしれませんが宜しく御願いします!

Posted by: 放浪者 | Jul 14, 2008 at 08:10 AM

>またトラブルが起きたときは質問させていただくかもしれませんが宜しく御願いします!

またどうぞ。

Posted by: 中村友一 | Jul 17, 2008 at 09:47 PM

私のパソコンもウイルスがいつのまにか入ってしまっていろいろなサイトの方法を試したのですが駆除しても再起動するたびに元に戻ってしまっていました。
そしてここを見てrevoも関係あることを知ってmsconfigの中にmmvoと一緒に入っていたな~と思い出して検索したらrevo.exe、tavo1.dll,revo1.dllが全部出てきたので削除してみたら無事に駆除できました!ありがとうございました!!

Posted by: かなこ | Jul 20, 2008 at 04:33 PM

かなこさん、コメントありがとうございます。

>検索したらrevo.exe、tavo1.dll,revo1.dllが全部出てきた

3個ともすぐ上のコメントで放浪者さんが報告されたファイル名ですので放浪者さんの功績です。

このウィルスはどんどんファイル名を変化させて行くのですが、同様にして先人の皆さんがこのコメント欄に蓄積して来ました。コメントしていただいた全ての方のおかげでもあります。

今後、他の方の役に立つかもしれませんので、もしもまだここに記載のない関連情報をご存知でしたら是非ご報告ください。

Posted by: 中村友一 | Jul 21, 2008 at 01:47 AM

久しぶりにこのHPにやってきました。ウイルスはまだまだ変化を続け感染し続けているようですね。
中村さんご苦労様です。

たいしたものではありませんが追加情報がありましたので上げておきます。

まず、一部の環境でしか確認できていませんが(できませんが)Shiftキーを押しながらUSBを差し込むとこちらで見かけるウイルスは感染しませんでした。ただ、autorun.infファイルはあるのでUSBのドライブをダブルクリックすると感染します。右クリックから開くを選ぶとウイルスファイルが確認できます。1時間くらいそのまま様子を見ましたが感染しませんでした。しかし、USBドライブでファイルの検索を行ったり、そのウイルスを検知できないウイルススキャンソフトで検索を行った所、突然感染してしまいました。どうもウイルスファイルをreadしようとすると発症するようです。削除はできるみたいですので。ゴミ箱の中から感染するかは未確認です。

僕自身はNortonの2008を使っているのですが毎日定義ファイルを更新しているからかウイルスには今のところ感染していません。僕のPCにUSBを挿すと検知するので同僚や職場のPCを多数駆除して回ることにはなってしまいましたが。
1998年からNortonを使い続けています。Norton2008の注意事項としてこのウイルスに対応するにはオプションで「システム起動中にAuto-protectをロードする」、「リムーバブルメディアの挿入時にスキャンしてブートウイルスがいないかを調べる」にチェックをしておく必要があるようです。また、定義情報更新前に「rootkit」ウイルス(NortonでGammima.AGとして検出されるkavo系ウイルスの感染で一緒に感染します。)に感染しているとそれが駆除されるまでほとんどウイルスを検出しなくなります(これはウイルスバスターやMcAfeeでも同様のようです)。更新やNortonを再インストールしてもだめでした。その他、初期設定としてSystem Volume Infomationフォルダは手動スキャンでも検索しないようになっているためシステムの復元を有効にしていると検索、駆除しきれなくなります(そこから復元を実行しなくても再感染するのかどうかは不明ですが)。また、現在ログオン中のアカウントでアクセスできない設定のファイルやフォルダはウイルススキャンできていないようです。
そこで感染してしまっているPCではNorton ghostやsave&restoreについてくるRecoveryディスクを使いCD-ROMからPCを起動しウイルスを検索しています。書き込み禁止にできるUSBに最新の定義情報を入れてこの定義を元に検索するとこちらで行った限り一発ですべてのウイルスを駆除できました(最高で300個のウイルスファイルを検出したPCもありました)。ただ、この方法の場合、レジストリの修正は手動で行う必要があること、autorun.infファイルだけ残る事があること(autorun.infはシンプルなファイルだけに機械的にはウイルスかどうかの判断が難しく、登録されたパターンのもの以外は消さない方針のようです)、感染ファイルはすべて削除されてしまうので誤認で検出されたファイルも消えてしまうこと、Recoveryディスクで起動できないPCや起動してもantivirusが起動しないPCがあること、Norton gobackなどパーティションを変更するようなソフトがインストールしてある場合、フリーズしたりクラッシュしたりするおそれがある(インストールしてあってもうまくいくPCもありましたが)と言った問題点があります。

幸い当方では上記方法とそれができないPCでは手動で削除し、4月以降散発的に外部からの持ち込みは有りますがおおむね駆除できているようです。

Posted by: ko-nekone | Aug 18, 2008 at 11:39 PM

ko-nekoneさんお久しぶりです。新たな情報提供ありがとうございます。いまだにこの記事に対するアクセス数が連日数十件あります。感染しても放置し続ける方々が多数いるため、だらだらと感染が続くのでしょう。数年前に大流行したNetskyの時と状況が同じです。Netskyは足掛け3年くらい出回っていたように思います。

Posted by: 中村友一 | Aug 24, 2008 at 11:45 PM

USBでのautorun.infに感染して困っておりました。ウイルスバスター2008は入れており、検知はするけど具体的対策方法の記載がなく、途方に暮れていたところ、このWebに出会い、手順をふんで解決できました。
本当に感謝感謝です。

Posted by: さかちゃん | Aug 25, 2008 at 07:34 PM

さかちゃんさん、お役に立てて幸いです。何か他の方の参考になる情報があれば是非一言お願いします。

Posted by: 中村友一 | Aug 25, 2008 at 08:49 PM

中村様 大変有益な情報をありがとうございます。職場がmmvoにやられていて困っているところです。

一通り駆除をし、簡易予防キット080419を入れたPCにUSBメモリをつないだら、またやられてしまい、mmvo4.dllが確認されました!機会がありましたら、キットに追加願います。

また、未確認ながら、カスペルスキーで定義データベースの更新ができなくなる症状(更新のためのプログラムが一切起動しない)がみられると、mmvoに感染しています。簡易発見の目安になるかもしれません。

追伸:予防キット080422のサイトにリンクせず、ダウンロードできませんでした。ご報告まで。

Posted by: 山口崇 | Sep 08, 2008 at 10:09 PM

山口崇さん、コメントありがとうございます。

>mmvo4.dllが確認されました!機会がありましたら、キットに追加願います。

情報ありがとうございます。次回、もう少したまったら追加します。私は予防キットそのものよりも、このように感染ファイル名が公開される意義が非常に大きいと考えています。次に被害に遭って検索した人がこのページにたどり着き、情報を得るきっかけになるからです。また新たなファイルが見つかったら是非コメントをお願いします。

>簡易発見の目安になるかもしれません。

カスペルスキーでも油断できませんね。

>予防キット080422のサイトにリンクせず、ダウンロードできませんでした。

ファイルだけ作成してリンクも張って本体をアップロードしていませんでした。ご指摘ありがとうございます。

Posted by: 中村友一 | Sep 09, 2008 at 11:26 AM

中村様。早速のお返事をありがとうございます。
今日から、本格的に駆除をはじめ、以下のものがUSBメモリから見つかりました。
spxgfwg.bat, o6mhfog.com
トレンドマイクロのページによれば、いずれもrevo.exeに関するもので、2008.7.31と8.29が発見日となっています。

今日、不思議に感じたのは、c.cmdはautorun.infとセットで入っているのに、ntdelect.comは単独で入っていることが多いです。これは、何か理由があるのでしょうね。

感染により、カスペルスキーの定義ファイルが更新できなくなる件ですが、手動削除した後でも回復せずに、更新できませんでした。今日サポートに聞いたら、今のところ、有効な手だてはないそうです。どなたか、再インストール以外の方法がありましたら、紹介ください。

明日から、200本ほどのUSBメモリと70台ほどのPCの掃除です。ふぅ・・・

(追伸:簡易予防キットのフォルダは、隠しフォルダにして置いておいても大丈夫ですよね)

Posted by: 山口崇 | Sep 09, 2008 at 10:31 PM

山口崇さん、度々の情報提供ありがとうございます。

>spxgfwg.bat, o6mhfog.com

これは初見です。続々と新たなファイル名が出てくるのでキリがありません。

>c.cmdはautorun.infとセットで入っているのに、ntdelect.comは単独で入っていることが多い

興味深い観察情報ですね。

USBメモリが感染源となるためには「autorun.inf」が必須です。これが無ければUSBメモリからは発症しないと思います。何か分かったらまたコメント下さい。

>カスペルスキーの定義ファイルが更新できなくなる

この件は良く分かりませんが、カスペルスキーだけ狙い撃ちされているみたいですね。

>200本ほどのUSBメモリと70台ほどのPCの掃除です。

ご苦労様です。私も色々な対応依頼を受けますが一気に200本とかは無いですね。

ご存知かと思いますが、作業するPCはLANケーブルを抜いて、無線LANは無効にしておくことを強く推奨します。お気をつけ下さい。

>簡易予防キットのフォルダは、隠しフォルダにして置いておいても大丈夫ですよね

もちろん問題ありません(拡張子から判断されて自動的に隠しフォルダに化けてしまうと思います)。

ご健闘を祈ります。

Posted by: 中村友一 | Sep 09, 2008 at 10:45 PM

彷徨い続けてこちらにたどり着きました。
分かりやすい説明で簡単に駆除できました。
私の場合のファイル名を記載しておきます。

\system32
 revo1.dll
 revo.exe

c:\
 yfog8p.exe
 o6mhfog.com

ありがとうございました。

Posted by: さ | Sep 11, 2008 at 04:14 PM

ささん、お役に立って幸いです。情報提供ありがとうございます。revo.exe以外は初見でした。

Posted by: 中村友一 | Sep 11, 2008 at 04:40 PM

USBの駆除が一段落しましたので、初見報告です。すべてUSB内で発見したものです。
swfu.exe rrxf db.bat mn.bat qvimi.exe i2p.bat uvg.com mxucle.exe
あやしい隠しファイルをあげてみました。
もしかしたら、ウイルスに関係しないものもあるかも知れません。さすがに200本も見ると、出てきますね。

今回、SOD32試用版も併用しました。c.cmdはひっかからず手動で削除したとたん、USB内にゴミ箱ができ、その中にDF18.cmd等のファイルができ、それがSOD32に引っかかる現象がありました。
そのゴミ箱の中は、エクスプローラでは何も見えないのに、ファイル数は2とか3とかと表示され、7Zで覗くとINFO2等のファイルが現れます。INFO2を削除するとINFO3ができ、どんどんファイルが増えていきました。
理由はわかりませんが、不可思議な思いでした。
明日(もう今日?)はPCの駆除を終わらせねばです。アドバイス等、ありがとうございました。

Posted by: 山口崇 | Sep 12, 2008 at 12:13 AM

山口崇さん、度々の情報提供ありがとうございます。

初見報告についてこちらでも確認してみました。

「swfu.exe」は「Packer.Malware.NSAnti.BV」として報告がありました。
参照:
http://www.commentcamarche.net/forum/affich-7763178-au-secours-packer-malware-virus

「rrxf」は「rrxf.cmd」だったのでは?これは下記で報告がありました:
http://d.hatena.ne.jp/kisaragi5/20080821

「db.bat」は「WORM_AUTORUN.AIM」として報告がありました。

「mn.bat」は「WORM_AUTORUN.AOX」として報告がありました。

「qvimi.exe」は「WORM_AUTORUN.CEZ」として報告がありました。

「i2p.bat」はこの記事のコメント欄ですでに報告されています(放浪者 | 2008年7月14日 (月) 05時34分)。

「uvg.com」は下記で報告がありました(中国語):
http://zhidao.baidu.com/question/66049675.html

「mxucle.exe」は現時点では「情報なし」でした。

>INFO2を削除するとINFO3ができ、どんどんファイルが増えていきました。

この時点ではまだウィルスがメモリ上に生きていたものと思われます。ひょっとしてネット接続もしていたのではないでしょうか?

お疲れ様でした。貴重な情報ありがとうございました。

Posted by: 中村友一 | Sep 12, 2008 at 02:19 AM

中村様。補完情報ありがとうございます。消すべきファイルであったことが確認できて、うれしいです。

>ひょっとしてネット接続もしていたのではないでしょうか?
うちはスタンドアロンの集まりなので、接続はしていなかったですね。(それ故にUSBで広まってしまったわけです・・・)

セキュリティーソフトも様々でしたが、NOD32と共存できるか試してみましら、カスペルスキー、ウイルスバスター2007、2008、AVG、ZEROは共存できました(NOD32は最小限の機能でインストール)。mmvo,revo,kavo系がフィーバーしている環境では、しばらくNOD32試用版とダブルで利用するのが予防策としては有効かも知れませんね。ただし、自己責任でお願いします。必要はないと思ったのですが、ウイルスバスター2009とともに入れようとすると、ブートしない不具合が生じました。再現性の確認はしていませんが、うまくいかない可能性は高いのでご注意ください。

カスペルスキー社からの連絡が今週末には来る予定だったのですが、まだ来ていません。また連絡があったら報告します。

Posted by: 山口崇 | Sep 13, 2008 at 06:41 AM

>NOD32と共存できるか

大胆ですね。ウィルス対策ソフトの共存はいろいろな面から危険なので個人的にはお薦めできません。十分注意して運用して下さい。PCに余裕があるならば検疫用のPCを用意してUSBメモリは必ずそのPCに挿すようにすればいいと思います。Linuxにしておくとなおいいでしょう。

Posted by: 中村友一 | Sep 16, 2008 at 12:19 PM

はじめて投稿します。会社のパソコンがこのウイルスに感染していて、6月頃から駆除してます。キングソフトのウイルススキャンUで一時は駆除出来たのですが、一台はノートンのサーバーセキュリティが入っていて、駆除出来ませんでした。その為か、最近になってウイルススキャンUのパソコンも感染して、昨日からまた駆除作業です。このサイトを見て一通りやってみましたが、ウイルスの方が進んでいてセーフモードで活動しているらしく、ファイルは見えない。検索して見つけても使用中で削除出来ない状態でした。
ウイルスは1台が
xhlhmbw.exe,wm93r0.com,mxuclt.exe,yfog8p.exe の4種類
2台目は上の4種類に加えて
f.exe,l1lyxiy1.exe,06mhfog.com
の計7種類がルートディレクトリにありました。(おそらく見つけていないのが別の場所にもあるかもしれませんが...)削除出来ず、あきらめてリカバリーをしようと思ったのですが、ダメ元で最新のウィルスバスター2009体験版を入れてスキャンしたら、これらのファイルが無くなって隠しファイルも見れる様になりました。
ウイルスバスターの2008は自分のパソコンで使用していて、ウイルスファイルを除去出来ないけれどウイルスの侵入は防いでくれるので、それを利用して以前にこのウイルス検体を何体か送っていました。対応していないのかと思っていましたが、この最新版で、やっと対応してくれたようです。このウイルスで困っている方はインストールしてみてはいかがでしょうか?会社のサーバーセキュリティも停止させて無理やりインストールしたのですが、共存して
何故かまともに動いています。しばらくこのまま様子を見ようと思います。

Posted by: 山本隆博 | Sep 19, 2008 at 10:24 PM

こんにちは。
私も先日USBメモリから感染し、削除するにあたり参考にさせてもらいました。
どうやら、今はもうNortonでも察知して自動で消してくれるようになったようです。
しかし、消したと表示された後もドライバにautorun.infという名前のものが残っています。
これは中村さんが自己流でやったようなダミーファイルを、Notonが勝手に作ったと考えて良いのでしょうか?

もしよろしければ中村さんのご意見をお聞かせください。

Posted by: 平 | Sep 20, 2008 at 02:47 PM

山本隆博さん、コメントと情報提供ありがとうございます。

>ウィルスバスター2009体験版を入れてスキャンしたら、これらのファイルが無くなって隠しファイルも見れる様になりました。

対応はいたちごっこです。あくまでも「現時点で」「その亜種で」対応できたということなので、その手がいつまで使えるか全く分かりません。根本的にはWindowsの設計思想が問題なのでしばらく解決しないと考えています。


>共存して何故かまともに動いています。

大変興味深い事例で参考になりましたが、ウィルス対策ソフトは競合すると恐ろしい事態になることがあるのでお薦めできません。気をつけて運用なさってください。

Posted by: 中村友一 | Sep 20, 2008 at 03:19 PM

平さん、コメントおよびお問い合わせありがとうございます。

>消したと表示された後もドライバにautorun.infという名前のものが残っています。

検出しても駆除し切れていない可能性があります。可能でしたらその autorun.inf をテキストエディタ(メモ帳など)で開いてその内容をこちらのコメント欄にコピーしてみてください(無茶苦茶に大きなファイルでなければ)。それから、ダミーで作成するのは「ファイル」ではなく「フォルダ」です(しかも属性を読み取り専用にします)。

>ダミーファイルを、Notonが勝手に作ったと考えて良いのでしょうか?

まず考えられません。ユーザーの同意無しに勝手にダミーファイルを作るようなウィルス対策ソフトはまともではないでしょう。

Posted by: 中村友一 | Sep 20, 2008 at 03:25 PM

早速の返答ありがとうございます。
駆除し切れていないかもしれないのですね・・・・・・まだまだ長い戦いになりそうです。
それ程、大きなファイルではなかったので中村さんの指示の通り autorun.inf をテキストエディタで開いてみました。
以下がその内容です。

;aqek20qKwf50lJKa
[AutoRun]
;K3d02dsJwdje3a4o141rwq9AAfk3iws7kDsIwdkaKjA
open=jix9a.bat
;S0oHf5L08as4aDid1AkkSkeaiO4LDJ3wq0wa0KAo12d2F9srk83ksopwl9jiAsfjckwKkfD2KUli3we1kfKiZa1LjwDJ4eilps3ej03
shell\open\Command=jix9a.bat
;4AAdkqdDii547a2SaC5a4wpiDOrwkk2fwql
shell\open\Default=1
;4eDDLJaqqfaw2J2w23kl5Ajook8rD8klakkk014HiAiZfrlDarXkiLaeloi03CdwA4Dd2cIw5l
shell\explore\Command=jix9a.bat
;72KA0Z2kka84ds3oqKsop6s2e3SDLK8kklikAaAkkC9ww0qiolLKiilS9i5aalKoDidfrw7skk7da3Sk25f9skeJJi4LJaic1adDwd1s

Posted by: 平 | Sep 20, 2008 at 06:31 PM

平さん、早速ありがとうございます。

>autorun.inf をテキストエディタで開いてみました。

その内容の autorun.inf が読み出せているのでウィルス本体(実行ファイル)は削除されて活動を停止していると思われます。その autorun.inf は削除してください。

「本体」は上記に出てきた jix9a.bat です。同名のファイルやレジストリを探して削除しておいた方が良いと思います。

Posted by: 中村友一 | Sep 20, 2008 at 06:44 PM

返信が遅くなって申し訳ありません。
autorun.infを全て消し、autorun.infという名前のフォルダを作っておきました。
肝心の「本体」ですが検索しても出てこないところを見ると、Nortonの方で削除してくれたようです。

しかし、ネットに繋ぐと時々Trojan.Packed.NsAntiというものをNortonがブロックするのでまだ中に何かが残っているようです。
隠しファイルは表示出来るようになったので、中村さんがここで取り上げられているウイルスは駆除出来たようですが・・・・・・
何か気持ちの悪い感じがします。

Posted by: 平 | Sep 23, 2008 at 08:50 PM

平さん、続報ありがとうございます。

>ネットに繋ぐと時々Trojan.Packed.NsAntiというものをNortonがブロックするのでまだ中に何かが残っているようです。

一部の痕跡(残骸ファイルとレジストリ)が残っているようです。システムフォルダの残骸を確認し、同名レジストリを削除すれば消えると思われます。

駆除方法など詳細はページ冒頭にリンクを貼っている「くる太郎さん」の解説をご参照下さい:
http://www.h4.dion.ne.jp/~kurutaro/mmvotaisaku.html

Posted by: 中村友一 | Sep 24, 2008 at 06:42 AM

カスペルスキーの定義ファイルが更新できない件についての続報です。

カスペルスキーバージョン7において、mmvoにより定義ファイルを更新できなくなる現象がカスペ社により正式に確認されたようです(なぜなら、カスペ社がバッチファイル配布によるmmvo事後対策を開始しています。内容は基本的にこのページにある対策をバッチファイルで行うような感じのようです)

カスペルスキー7.0をお使いの方で、急に定義ファイルが更新できなくなる現象が見られた場合は、要注意ですね。

カスペ社のHPには9.19付けでmmvo系の問い合わせが多く、定義ファイルを更新するようにと記入がありますので、この近辺で定義ファイルがmmvoに対応したと予想されます(勝手な憶測です)。

そして、感染後の対応としてはバッチファイル実行後、カスペ製品の再インストールしか無いようです。

カスペ社のHP内FAQの「定義ファイルが更新できない」項目に、mmvoによる影響であることの記述をお願いしたのですが、難しいようですね。(当たり前ですね・・・)

今のところ、ユーザーが「あれ?」と思い、サポートに有料電話をかけて、事後対策用のバッチファイルがもらえるという流れのようです。

9.25からカスペ社HPで2009バージョンをダウンロードできるので、バージョンアップを兼ねた再インストールが得策ですね。カスペ派の方には、早めのバージョンアップをおすすめします。

Posted by: 山口崇 | Sep 26, 2008 at 04:09 AM

山口崇さん、続報ありがとうございます。

カスペルスキーの対応は不親切ですね。

Posted by: 中村友一 | Sep 26, 2008 at 04:48 AM

こちらのサイトの手順でウィルス駆除できたようです。ありがとうございました。
ノートンがはいっているからと安易に考えていたら、USBメモリーから感染してしまったようです。USBを差し込んだ時にスキャンしたのですが、今年ノートンの更新キーを購入して、本体をバージョンアップせず、古いバージョンを使っていたのが悪かったのでしょうか・・・???

7Zの日本語サイトは9月初めぐらいからアクセスできないようなので、英語版からインストールしました。
レジストリを直した後、隠しファイルが表示された時には嬉しかったです。
感染したUSBメモリーはshitキーを押しながら差し込むと、ものすごい勢いでカスペルスキーが動いて駆除してくれました。

その後、カスペルスキーで完全スキャンすると、restoreフォルダにいっぱいウィルスが検知され、システムの復元ファイルを無効にするのを忘れてました。無効にしてもう一度スキャンすると大丈夫でした。念のため、トレンドマイクロのオンラインスキャンもしてみました。

子どもが学校から配給されたUSBメモリーに予防キットを隠しフォルダにして入れてやろうと思っています。
本当にありがとうございました。取り急ぎお礼まで(長文失礼しました)

Posted by: candel | Sep 26, 2008 at 10:21 PM

レジストリに一つ消し忘れがあり、改めて消しました。
消してから3日ほど様子を見たところネットから Trojan.Packed.NsAnti がダウンロードされるということは無くなりました。
ようやく、駆除出来たようです。
これも、パソコンに詳しく無い私に親切に教えてくださった中村さんのおかげです。
本当にありがとうございました。

Posted by: 平 | Sep 28, 2008 at 12:35 AM

>>candel さん

自分もNortonを使用しているのですが、オプション設定で「リムーバブルディスクの挿入時にスキャンしてブートウイルスがいないかを調べる」が有効になっていますでしょうか?これがOnになっていないと感染することがあるようです。また、感染したUSBを挿して再起動するとNortonは重たいのでNortonが起動する前にウイルスに感染します。
USBはNortonがしっかり起動したのを確認してから挿す必要があります。ご注意下さい。


>>平 さん

Nortonは既知のウイルスが作成したautorun.infは削除してくれますが新しい亜種だとautorun.infは消さずに残されますので手動で消す必要があります。この時ウイルスが感染していればautorun.infは消してもすぐ新たに作られてしまいます。
Nortonはパターンファイルに無いウイルスでも同じような活動をするウイルスは勝手に消してしまうことがありそういった時にウイルスが作ったautorunやDLLファイル(ウイルスが持ち込んだ正規のDLL)が取り残されていたりします。
逆にウイルスバスターは片っ端からautorun.infを消していきました。ウイルスファイルだけが残っていたりしました。
また、セキュリティ履歴の疑わしい活動の監視を見ればレジストリに変更を加えたプログラム、変更箇所がログされていますのでウイルスファイル名が分かれば変更を直すことができます。(すべてでは無いかも知れませんが)

Posted by: ko-nekone | Sep 28, 2008 at 12:01 PM

初めて投稿します。
僕も1カ月まえくらいからwm93r0.comとf.exeのウイルスに悩まされていろんなサイトを見てなんとか駆逐できました。山本さんのウイルスバスター2009で駆逐できるとの情報で試してみましたが、結局駄目でした。カスペルスキーの試用版は何故か試用版のライセンスキーが登録されず、更新ができないという状態でフリーズしてしまうのですが、これは、ここでも報告があるカスペルスキーの更新ができないという報告と関係があるのでしょうか?結局Prevxというウイルスソフトだけはちゃんと検出してくれて、削除しました。ただ、いろんなサイトを見て比べると、今回はrevo.exeがsystem32の中にいたのですが、その関連のファイルも全て隠しファイルになっていました。きっと亜種なのでしょうか?結局よく原因がわからないので、wm93r0.com、f.exe、revo.exeの隠しファイルを読み込み専用で作成して様子を見ようと思っています。

Posted by: 純 | Sep 29, 2008 at 12:22 AM

candelさん

>こちらのサイトの手順でウィルス駆除できたようです。ありがとうございました。

お役に立ち幸いです。

>7Zの日本語サイトは9月初めぐらいからアクセスできないようなので、英語版からインストールしました。

情報ありがとうございます。確かにアクセスできませんね。本文のリンクを英語版リンクにしました。


平さん

>これも、パソコンに詳しく無い私に親切に教えてくださった中村さんのおかげです。

この記事にコメントや情報提供をしていただいた全ての皆様のおかげです。


ko-nekoneさん

Nortonに関する詳細な補足コメント&情報提供ありがとうございました。

Posted by: 中村友一 | Sep 29, 2008 at 04:05 AM

純さん、コメントありがとうございます。

カスペルスキーについては直接分かりませんが、山口崇さんの下記タイムスタンプのコメントが参考になるかと思います:
・2008年9月 8日 (月) 22時09分
・2008年9月 9日 (火) 22時31分
・2008年9月12日 (金) 00時13分
・2008年9月13日 (土) 06時41分
・2008年9月26日 (金) 04時09分

>結局Prevxというウイルスソフトだけはちゃんと検出してくれて、削除しました。

Prevxはヒューリスティック型のようですね。Prevxについては体験情報が少ないので全般的な評価は留保します。今回は駆除できてもいつも駆除するという保障にはなりませんし、副作用があるかもしれません。気をつけてお使い下さい。

>関連のファイルも全て隠しファイルになっていました。きっと亜種なのでしょうか?

このへんの挙動は変化し続けているようですね。

>wm93r0.com、f.exe、revo.exeの隠しファイルを読み込み専用で作成して様子を見ようと思っています。

「ファイル」では上書きされるかもしれませんので「フォルダ」が良いでしょう。この対応は時間稼ぎにはなるようですが、新たなファイル名が次々に現れるので根本対策にはならないようです。

新たな情報があればまたコメント下さい。

Posted by: 中村友一 | Sep 29, 2008 at 04:22 AM

初めて投稿いたします。
このサイトを参考に駆除できました事のお礼を申し上げます。本当に助かりました。
7zの日本語版にアクセスできないとの事ですが、
http://cowscorpion.com/Compression/7zip.html
ここで日本語サイトが見れると思います。
これからも参考にさせていただきます。
よろしくお願いいたします。

Posted by: YOKOYOKO | Sep 29, 2008 at 08:14 PM

純 さん
当方、カスペルスキーが更新できなかった状況は、既にインストール後で更新可能な状態(正常な状態)からmmvoに感染すると、更新できなくなるものでした。ですので、純さんの状況とは少し異なりますので、直接的な原因かどうかは?です。

しかし、過去の経験から、カスペがインストールできなかった場合、以下の点を確認してみるのは一案かと思います。
①Windowsの時計が大幅に狂っていないか
②一度完全にアンインストールしてから再インストールする。(ソフトのアンインストーラによっても、しっかりアンインストールされない場合があるようです。その場合は、手動でc:\Program iles\Kaspersky Labフォルダと、c:Documents and Settings\All Users\Application Data\Kaspersky Lab の2つのフォルダを削除します。ちなみに、後者のフォルダは隠しフォルダになっています)
もう、その気はないかも知れませんが、ご参考まで。

中村さん他、皆様へ
あまり有益な情報ではありませんが、先週、ウイルスバスターコーポレートエディションのPCにmmvoが感染しました。今までうちのウイルスバスターCopはスルーしなかったのですが、どういう訳か感染してしまいました。手動スキャンでやっとひっかかり、ログによればc:\windows\system32\mmvo.exeとc:\c.cmdは削除されたのですが、system32\mmvo0.dllは「セキュリティ上の危険の可能性があるものを放置しました。」と・・・削除できないようです。
明日以降、手動での削除になりそうです。

Posted by: 山口崇 | Sep 29, 2008 at 09:06 PM

YOKOYOKOさん、お役に立ったようで幸いです。

>7zの日本語版にアクセスできないとの事ですが、
>http://cowscorpion.com/Compression/7zip.html
>ここで日本語サイトが見れると思います。

ご指摘のページは私も確認しております。しかし、記述に問題があるので本文には掲載しませんでした。ダウンロードページには「7-Zip 日本語版」とタイトルが出ているのにダウンロードできるファイルは結局は(現時点では)英語版(7z457.exe)です。スクリーンショットも日本語のままです。

Posted by: 中村友一 | Oct 03, 2008 at 09:42 AM

山口崇さん、ご丁寧に補足ありがとうございます!

>明日以降、手動での削除になりそうです。

またレポートをお願いします。

Posted by: 中村友一 | Oct 03, 2008 at 09:53 AM

>ko-nekoneさん
コメントありがとうございます。現在はノートンをアンインストールして、カスペルスキー2009試用版を使っています。この後、製品版はどれにするか、しばらく悩みそうです(苦笑)8年以上ノートンを使っていたので愛着はあるのですが・・・


>中村さま
感染源となりました私が所属しているクラブのPCも同じ方法で駆除してまいりました。本当に助かりました。

先日、携帯で撮った写真をカードリーダーでPCに取り込んだ事を思い出し、そのSDをShiftキーを押したままPCに差し込んでみました。
エクスプローラーで開いて、カスペルスキー2009でスキャンするとPacked.Win32.Krap.bが検出されましたが、autorun.infはカスペルスキーでは検出されませんでした。
その後、SDのエクスプローラーも使えなくなってしまったので、トレンドマイクロのオンラインスキャンでSDをウィルススキャンしたら、autorun.infが検出され削除しました。
再起動後は、SDのエクスプローラーも直っており、PCを完全スキャンしたところ、大丈夫でした。
ただ、カスペルスキーではautorun.infは検知しないのでしょうか・・・

Posted by: candel | Oct 03, 2008 at 01:46 PM

candelさん

昔は良かったんですが、残念ながら、現在のノートンは優良ソフトとは言い難い。家庭用ならAVGかavast!の無料版で十分ですね。

Posted by: 中村友一 | Oct 05, 2008 at 04:41 AM

USBメモリに感染したウイルスファイルの削除法ですが、Knoppixを使ってみてはいかがでしょうか。
Knoppixは、1CDリナックスで、CDから起動可能で、簡単に日本語GUI環境が利用できます。
当然Windowsではないので上記のウイルスは活動しません。
操作法もWindowsと大差ありません。
GUIが起動したら、USBメモリを挿入して、autorun.infなどを削除することで感染力をなくすことができます。
ネットから無料でイメージをDLできるのでご検討ください。
欠点としては、ディスクを焼くのが面倒、PCによってはCDから起動するようにバイオスを変更しなければならない、といったところでしょうか。
ちなみに、MACなども利用可能かもしれません。

Posted by: imo | Oct 13, 2008 at 04:46 PM

中村様

 私どもの職場でもこの手のウィルスが猛威をふるっておりまして、このホームページを大いに参考にさせていただきました。

私自身もいろいろ勉強させていただいて、少し詳しくなってきたつもりだったのですが、今日、また、感染したかもしれない現象を目にしました。そこで、中村様にご相談させていただきたく、書き込みいたします。
 
USBを使用するとき、必ずSHIFTを押し、Kasperskyでチェックをかけてから開くようにしていますが、今回、手動でチェックしようとしたまさにその瞬間、Kasperskyが勝手に反応し、「H:¥w0・・・には・・・トロイの木馬が・・・(詳細不明)」と表示されました。エクスプローラで表示されたUSBメモリの中には見慣れないあやしい隠しファイルがありました。

直後に「削除できませんでした」と表示され、目の前でウィルスのファイルと思われるアイコンは消滅しました。この間、私になすすべはありませんでした。

中村様は「USBメモリをPCに接続したとき、「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えたらウィルスに感染しているかもしれない」
と、お書きになっていますが、隠しファイルが表示できる場合、感染していないといえるのでしょうか?もう少し突っ込めば、私の今日の事例では、感染しているかどうか確かめる方法はあるのでしょうか。

・根本的な質問ですが、ウイルスを含んだファイルたちはなぜ、消えるのでしょうか?

お教えいただければ幸いです。

 

Posted by: pine | Oct 14, 2008 at 10:20 PM

imoさん、情報ありがとうございます。

Linuxブートならファイル削除が一発で全て終わってしまうので魅力的な選択肢だと思います。しかし、Windowsレジストリの修正も必要なので、セーフモード上で7zを使うのが現時点では最も合理的ではないかと思います。

理想的には、検疫用にLinuxマシンを1台常備しておき、全てのUSBをチェックしてからWindowsに挿す体制です。しかし、なかなかそんな贅沢な環境はないでしょうね。

Posted by: 中村友一 | Oct 14, 2008 at 10:35 PM

pineさん、コメントありがとうございます。

>隠しファイルが表示できる場合、感染していないといえるのでしょうか?

隠しファイルの中に autorun.inf があればその中味をテキストエディタで開いて実行ファイル名を確認することができます。実行ファイルが無ければ感染していないものと思われます。そこまで確認できれば、断言はできませんが、その時点のウィルスに関しては、Kasperskyが実行ファイルをブロックしているものと思われます。新たな亜種があった場合やその時点より前にすでに別の亜種に感染している場合など色んなことが考えられます。Kasperskyの検疫ログなどで詳細な状況を解析しなければ何も明言できません。

>私の今日の事例では、感染しているかどうか確かめる方法はあるのでしょうか。

Kasperskyのパターンを最新にした上で全ファイルのスキャンをかけると確認できるでしょう。少なくともKasperskyが検出したウィルスに関しては分かるはずです。

Posted by: 中村友一 | Oct 14, 2008 at 10:49 PM

いつもお世話になっております。自己レスです。
2008年9月12日 (金) 00時13分の書き込みで、「c.cmdはひっかからず手動で削除したとたん、USB内にゴミ箱ができ、その中にDF18.cmd等のファイルができ、・・・INFO2を削除するとINFO3ができ、どんどんファイルが増えていきました。」のくだりですが、理由と対応策がわかりました。
ゴミ箱はドライブのルートに「RECYCLER」隠しフォルダとして作成されますが、その中のファイルをただ単に削除しても、それがまたゴミ箱「RECYCLER」内に入るので、入れ子のような状態になるため、ファイルが増えていくのは、当たり前ですね。
 対応策ですが、c.cmd等のウイルスファイルを削除するときは、Shiftキーを押しながらDeleteキーを押すことで、ゴミ箱に入れずに直接削除できます。
 ウイルス退治の際には「RECYCLER」フォルダ内のものは全てShift+Deleteで消してしまえば、DF18.cmd等のあやしいファイルも消えて精神的にもすっきりするし問題もないと思いますが、いかがでしょうか?

Posted by: 山口崇 | Oct 15, 2008 at 06:44 AM

山口崇さん、情報ありがとうございます。

>USB内にゴミ箱

大変遺憾ながら、Windowsでは通常、USBメモリ内にゴミ箱はありません。リムーバブルメディアにゴミ箱を設置するフリーソフトなどもありますが、そういうケースで無いならば、そのゴミ箱はそれ自身がウィルス活動によって勝手に設置されたものです。

USB内にゴミ箱があった場合、そのゴミ箱を意図的に設置した記憶が無いのであれば、ゴミ箱を削除した方がよいです。ゴミ箱が削除できない場合、まだウィルスが活動している可能性があります。

Posted by: 中村友一 | Oct 16, 2008 at 07:53 AM

中村様
USB内ゴミ箱の件ありがとうございます。私の記述がごっちゃでした、中村さんのご指摘の通りです。

USB内のRECYCLER → フォルダごと削除

C:\RECYCLER → フォルダ内を削除(フォルダごと削除でも再び作られて問題は無いですね・・)

中村さんのおかげで、当方のウイルス対策が一段落しました。有益な情報をありがとうございました。また何かあったら報告させていただきます!


Posted by: 山口崇 | Oct 17, 2008 at 06:12 PM

初めて投稿します。

ウィルスなんて他人事と思っておりましたが、数日前自宅PCがrevoに感染していることに気づきました。
どうやら家内の仕事先からUSBメモリ経由で拾ってきた模様。このサイト他いろんなサイトを見てなんとか駆逐できました。貴重な情報ありがとうございます!

自宅PC/USBメモリの駆除作業完了後、「元を断たなきゃダメ」と思い、家内の仕事先に出向き、こちらも駆除してきました。
駆除後、もしや、と思い仕事先に置いてあったデジカメをUSB接続するとPCが再感染orz・・・(これに対しバスター君は何もしくれませんでした・・・)
調べてみるとやはりデジカメSDメモリもしっかり感染してました。

ちなみに、コマンドプロンプトから、対象ドライブを
dir /a:h
で調べると、レジストリ設定にかかわらず、隠しファイル(autorun.inf や F.exe)が表示されるので、(このウィルスに関しては)感染・非感染のチェックが比較的楽にできます。


いやぁ、しかしよく出来てるウィルスですねぇ・・・ある意味感心しちゃいます。

Posted by: mochome | Oct 27, 2008 at 12:40 AM

友達から autorun.infってウイルスに感染しているので注意との事

速攻キングソフトの無料版でチェック
何もなかったので 安心しまくり

ある日 ビスタにそのUSBを入れたら
autorun.infとw.exeがありました 写真↓
http://techpr.cocolog-nifty.com/nakamura/images/081202-virus4-modified.gif
あやしい! (! ──__──) ジトーッ!

この時点で 感染に疑いを持ちXPの
フォルダを表示にしたら しないに戻る

XPが2台感染してました
ビスタは感染してないのだろう たぶん

シロートの私は リスクのない方法で削除するしかないと思い
いくつかの方法を試しましたが ダメでした

ヤヴァイと思っていたところ
中村様のブログに出会い
他の方法ともにらめっこ^^

結局中村様のブログが 丁寧で優しく、分かりやすく書いてあったので
速攻やってみました 駆除成功。。。

中村様 (^人^)感謝♪です
本当にありがとうございました

それで大変お手数で申し訳ありませんが
1丁質問です

予防キットは DLしてそのまま展開すればいいのでしょうか

たとえば
D:\〇〇〇となっていたら 〇〇を消して
D:\として 展開すればいいのでしょうか

どうぞよろしくお願いいたします

※08.12.02(火)23:20 管理者注釈:
このコメントは個人情報保護の観点から問題があったため、管理者権限で一時的に非公開とし、個人情報を伏せた状態にして復元したものです。画像のURL部分は管理者が編集し、掲載しなおしたものです。

Posted by: スノー | Dec 02, 2008 at 09:11 PM

スノーさん

個人情報保護の観点から一時的にコメントを非公開とさせていただきます(削除した訳ではありません)。

このあと、私の方で個人情報を伏せた状態にして復元させていただきます。

あまりに無防備なので、念のための措置です。もしご不満があるようでしたらお知らせ下さい。

Posted by: 中村友一 | Dec 02, 2008 at 11:05 PM

いろいろ 御配慮いただきまして
誠にありがとうございます

お手数をおかけして申し訳ありませんでした

今後ともよろしくお願いいたします


Posted by: スノー | Dec 03, 2008 at 12:16 AM

スノーさん

ご返信が遅くなり申し訳ありません。年末にかけて色々立て込んでいるため後回しになってしまいました。

コメントについてはすでに記載の通り、復元完了しました。画像URLと画像そのものから個人情報を特定し得ると判断しましたので、急遽上記の措置を取らせていただきました。ご了承下さい。


>キングソフトの無料版でチェック
>何もなかったので 安心しまくり

「KINGSOFT Internet Security」は個人的(技術的)には非推奨です。ご参考までに下記レポートを引用しておきます。フリーをお使いになるならavast!かAVGを推奨します。ちなみに私の個人PCはavast!を使っています。

>検出率が劣ったのは「キングソフト インターネットセキュリティフリー」。遠藤氏によれば、主に最近出現したボット(パソコンを乗っ取るタイプのウイルス)を見逃したという。
(略)
>独自サンプル(1)と(2)のいずれについても、ソースネクストの「ウイルスセキュリティZERO」とキングソフトの製品は、他製品よりも劣った。

引用元:
http://itpro.nikkeibp.co.jp/article/COLUMN/20071215/289572/
ウイルス対策ソフトの実力診断
第2回 ウイルス検出テスト:独自サンプルの検出率に違い


>ある日 ビスタにそのUSBを入れたら
>autorun.infとw.exeがありました 写真↓

画像付きレポートありがとうございます。確かに感染していると思われます。最近VISTAに感染する例が他でも報告されています。新手の亜種でしょう。


>速攻やってみました 駆除成功。。。

お役に立って幸いです。


>予防キットは DLしてそのまま展開すればいいのでしょうか

予防キットは現在更新を停止した状態です。

PC側にこの予防策を施しても感染そのものが防げないこと、その後、avast!やAVGは確実にブロックするようになったこと、などから、手間の割りに意義が低下したためです。avast!やAVGを最新の状態でお使いのケースでは非推奨です。

この記事を立てた当初は、若干の時間稼ぎになる、感染したときに関連ファイルが変化するので発見が容易になるなど、ある程度の効果があったため紹介しました。

状況によっては意義のあるケースもあるかと思いますので自己判断でお使い下さい。

お使いになるという前提で、、、

>D:\〇〇〇となっていたら 〇〇を消して
>D:\として 展開すればいいのでしょうか

「%System%」のことをお尋ねになっているのだと思いますが、これはWindowsのシステムフォルダの名前をあらわすWindowsOSの環境変数です。XPの場合は「C:\Windows\system32」となります。

参考:
http://www-06.ibm.com/jp/domino04/pc/support/beginner.nsf/btechinfo/SYB0-00AF295


なお、USB側の予防策としては「F:\autorun.inf」など、トップフォルダに「autorun.inf」というフォルダを作成しておくと良いでしょう。これにより、USB側に実行ファイルがコピーされた(保菌メディアになった)場合でも「autorun.inf」がないため、ユーザーが誤って実行させない限り感染しません。

Posted by: 中村友一 | Dec 09, 2008 at 04:58 AM

以下、2ヶ月遅れで申し訳ありませんが、コメント2件につき、まとめて返信させていただきます。


山口崇さん

その後、いかがでしょうか?また新たな情報などあればお教え下さい。


mochomeさん

>dir /a:h

私もコマンド使いを併用していますが、作業の効率や確実性を考えると難があるため、結局は7zを用いた手順に落ち着いています。

>いやぁ、しかしよく出来てるウィルスですねぇ・・・ある意味感心しちゃいます。

まったく同感です。

Posted by: 中村友一 | Dec 09, 2008 at 05:07 AM

中村様 
いろいろご丁寧にありがとうございます 

ε=(・o・*) フゥ助かりました。。。

Posted by: スノー | Dec 17, 2008 at 08:27 PM

happy01
助かりました、このページに出会えて。

昨年末、あるベンダが持ち込んだPCをウィルスバスターで検索したら見事感染しており、一度送り返しました。

今年になって再度送られてきたので、もう無いだろうと安心しながらウィルスバスターをかけたらまたもや感染・・・
いったいあの会社はどうなってるんだ!という思いとこれは自分の力でなんとかしなければということで対処しました。

結果的には、revo.exe に感染し s2.com,autorun.inf が存在していたので、これを消す方法には苦労しましたがなんとかウィルスバスターでは検出しなくなりました。他のセキュリティ製品でも検索して問題なければリリースしようと思います。

システム管理者になって1年目ですが初めてのウィルス対策でした。でもとても勉強になりました。

中村さんありがとうございます。

Posted by: ムーミン | Jan 10, 2009 at 05:38 PM

初めまして、本当にありがとうございました。
先週の水曜日に職場のパソコンからウイルスが見つかり、同僚のUSBはほとんどが感染していました。NODを入れていたのですが、ネットにはつながず、更新もされていなかったのでこういう結果になってしまったのだと思います。

自宅のパソコンにはウイルスバスターが入っており、毎日更新されていたのですが、見事に感染しておりました。

ウイルスに感染したのが初めてなので、あせりましたが、中村さんに感謝感謝です。

さて、自分がこの駆除で気になったことを書き込みたいと思います。まず、ウイルスの名前ですが、様々なものに変わっているのか、探すのに一苦労でした。

C:\WINNT\system32\の中の
Pytdfsel.dll ierdfgh.exe mkfght1.dll mkfght0.dll rttrwq.exe kdfvmgr.exe kdfapi.dll Kdfhok.dll kdfmgr.exe kdfinj.dll

C:\ の中の
autorun.inf 3u.cmd il0byu3h.com

 本当にこれがウイルスかどうかも半信半疑でしたが、もうどうしようもないので、削除、中村さんの手順で隠しフォルダが見えるようになりました。

レジストリの削除も勇気がいりましたが、不自然なアルファベットの羅列を消して、現在にいたります。
もしかして、システムを削除してしまってはいないだろうかと不安ですが^^:

まずは、土日の成果がでたことが何よりも嬉しいです。

今後は職場のパソコンの駆除もありますが、怪しいファイルを削除することでシステム起動しなくなるのが恐いです。何かいい手はあるのでしょうか?

Posted by: ボス | Jan 18, 2009 at 10:22 PM

ボスさん

>怪しいファイルを削除することでシステム起動しなくなるのが恐いです。何かいい手はあるのでしょうか?

当初は私も全部の感染ファイルを駆除していましたが、現在ではそれは断念しています。他サイトでも色々な手順が紹介されていますので是非ご自分で探してみてください。

私が気をつけているのは下記です。改めて全部の手順は述べませんのでご了承下さい。

1.自動復元を切ること。これを忘れると何度でも復活します。

2.セーフモードで autorun.inf を確認する。削除せず、拡張子をtxtにして中身を読むのです。これで直接の起動は止まる上に、中身を読めば実行ファイル名が分かります。

3.msconfig を起動し、サービスとスタートアップにあるウィルスを探し、ウィルスの起動にかかるものだけ止めることです。ここまでの作業で、ウィルスの残骸は多数残っても、とりあえず本体の活動(新たな感染)は止まります。隠しファイルが見えないなどの症状はレジストリで直ります。

4.全部のファイルを手動で駆除するのではなく、この時点で再起動してウィルス対策ファイルのパターンを最新にして全スキャンをかけて駆除を図ります。亜種があまりに多すぎるため、手動での全削除は非常に困難です。

なお、これまでのコメントですでに何度も述べていますが、NOD32はある時期まで「これしか駆除できない」と言われていましたが、現在ではそうではありません。また、私の個人的な経験からすると、NOD32は現時点では非推奨です。

あくまで私の個人的意見ですが、ノートンもウィルスバスターも(すくなくとも現時点のバージョンは)非推奨どころか削除推奨で、サーバー管理のコーポレートエディションでないかぎり、削除して他のウィルス対策ソフトに変更するよう推奨しています。

移り変わりの激しい世界なので将来のことは保証できませんが、現時点では avast! か AVG が私のお勧めです。

Posted by: 中村友一 | Jan 18, 2009 at 11:29 PM

スノーさん
ムーミンさん

遅ればせながら、まとめてご返信します。

お役に立てて光栄です。分からないことなどあればこちらでご質問ください。

Posted by: 中村友一 | Jan 18, 2009 at 11:33 PM

早速の対応、ありがとうございます。

実は、やっと駆除できたと安心して仕事を始めていました。USBを使用しなければならなくなり、使用すると隠しフォルダにしておいたautorun.infが現れました。よく分からなかったのですが、再度感染したようです。

再度駆除し終わってからこちらにきて、案の定「自動復元を切ること」を忘れてました。後から切ったのですが、大丈夫でしょうか?
あと、自動復元はずっと切りっぱなしでもよいのでしょうか?

ウイルスバスターを使用していましたが、不具合等があり、 avast!の無料バージョンを利用しています。 今は検査中です。

分かりにくい文章で申し訳ありません。よろしくお願いします。

Posted by: ボス | Jan 19, 2009 at 12:22 AM

avast!はウイルスを発見しませんでしたが、また、ファイルが見えなくなりました。

もう一度駆除をしてみます。

Posted by: ボス | Jan 19, 2009 at 06:35 AM

ボスさん

徹夜作業だったようですね。お疲れ様です。

システムの復元は症状が落ち着いてから、会社や部署のセキュリティ方針に従って再度オンにしておくと良いでしょう。

駆除は「接続している全てのドライブ」について行いましたか?パーティションを切っているHDDはありませんか?外付けHDDはありませんか?

avast!は最新のパターンになっていますか?

手順に漏れが無ければ症状は治まるはずです。

慣れないと大変です、、、私はすっかり慣れてしまいましたが。

Posted by: 中村友一 | Jan 19, 2009 at 07:50 AM

こんばんは。ウイルスに悩まされながら、やっと駆除できたようです。

本当にありがとうございました。
また、何かありましたらよろしくお願いします。

明日から職場のパソコン、メモリ等等
一斉に駆除をしてきます。

職場の人の家のパソコンにも感染しているかもしれませんね。

Posted by: ボス | Jan 20, 2009 at 12:33 AM

始めまして、こちらのサイトの情報がとても参考になり感謝しております。

当方ではntdelect.com以外に
system.exe(autorun.infあり)1個
RavMonE.exe19個(autorun.inf13個)
が見つかりました。

ここでRavの方なのですが、バスタ2008、2009、AVG、NOD32でそれぞれUSBからは駆除できました。ただし、ノートPCのCドライブで理解できない現象が発生ました。

c:\windowsにあるRAVは正常に駆除できました。念のため、HDをはずし別のPCに接続しバスタ2008でチェックした結果感染なしと出ました。
元のPCに戻し、手動でフォルダをチェックしたところ、デスクトップとLocalSetting\tempにexeおよび同名のlogがありました。
なぜ、これがチェックされなかったのか不明です。この状況では他のPCのCドライブにも残っている可能性があります。

すべてのPCのフォルダを手動でチェックするのは台数が多いため無理なので、良い解決方法がありましたらアドバイス頂けないでしょうか?

よろしくお願いいたします。

Posted by: らるふ | Feb 06, 2009 at 09:37 PM

上記の補足です。
msconfigのサービス及びレジストリはチェックしてつぶしています。
ファイル検索でLocalsetting\tempは検出できませんでした。
起動することはないと思いますが、無知な人が多いので、削除できるものは削除したいと思い書き込みさせて頂きました。

Posted by: らるふ | Feb 06, 2009 at 10:21 PM

らるふさん

コメントありがとうございます。

確かに「理解できない現象」ですが、私は「バスタ2008」の所で理解できました(笑)。

すでに上のほうのコメントでも書いていますが再掲します:

>あくまで私の個人的意見ですが、ノートンもウィルスバスターも(すくなくとも現時点のバージョンは)非推奨どころか削除推奨で、サーバー管理のコーポレートエディションでないかぎり、削除して他のウィルス対策ソフトに変更するよう推奨しています。

>移り変わりの激しい世界なので将来のことは保証できませんが、現時点では avast! か AVG が私のお勧めです。

Posted by: 中村友一 | Feb 07, 2009 at 05:46 AM

中村様、コメントありがとうございます。

私も個人機はAVGですし、昔からノートンとバスタは信用していません。
なので、今回の手動検索を行いました。

ほとんどのマシンがバスタなので、これからの作業を考えるととってもブルーになってしまいます。

Posted by: らるふ | Feb 07, 2009 at 10:48 AM

お久しぶりです。その後しばらくは平穏な日々を過ごしておりましたが、最近になって
この手のウイルスの亜種と思われるものに出会いましたのでの報告いたします。
urretnd.exeです。

基本はrevoと同じようにレジストリを戻せば一部は駆除できましたが、System32やPrefetchに
f9cvum
urretnd
といった残骸がいっぱいありました。全部削除できたかどうか、よくわかりません。現状ではAVAST!は認識しないような気がします。

あまり情報がありませんが、urretnd.exeでぐぐると英語のサイトがいっぱい出てます。

Posted by: pine | Feb 23, 2009 at 06:47 PM

以前に、お客様のPCにてkavoの駆除して半年になりますが、ダミーで作成してあったautorun.inf(単なるフォルダです)がPC起動時に開くそうです。再度感染したものと思われます。明後日駆除しにいってきます。いつも参考にさせてもらってます。有難う御座います!

Posted by: 北海道の池田 | Jun 01, 2009 at 06:44 PM

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/50105/40152695

Listed below are links to weblogs that reference USBメモリに「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えるウィルスに注意(追加:8e9gmih.bat、o0s.cmd)/kavo・mmvoの駆除・予防・復旧:

» Bloodhound.Packed.Jmp駆除成功? [ざつたま]
なんとか駆除出来ました 一昨日書いたHDDが認識されないというのもウィルスのせいだったようです 今回の件はここのblogが大いに役立った 結... [Read More]

Tracked on Apr 15, 2008 at 07:19 PM

« メロン入りメロンパン(ゆっぴさんに捧ぐ) | Main | SF作家のアーサー・C・クラーク死去(90歳) »