Hatena::ブログ(Diary)

crazyuplog このページをアンテナに追加 RSSフィード

2008-07-26

WORM_ONLINEG.SNLを消そう。

※物騒なタイトルだったので変更しました。(改変:2009/04/06)

恥ずかしいことですが、X31ウイルス感染しました。

片っ端から調べた結果&avast!からの結果をふまえると

どうもWORM_ONLINEG.SNLであると断定。

なので以下の手順で削除した。

1: ネットワークから遮断。

2: C:\autorun.infメモ帳等で開いて****.batのファイル名をどっかにメモっとく。

3: avast!の完全スキャンを行った。

4: Windows XPセットアップディスクから回復コンソールを起動し、以下の手順を行う。

以下のファイルの削除

  • revo.exe →c:\windows\system32\revo.exe
  • revo0.dll →c:\windows\system32\revo0.dll
  • vga.sys →c:\windows\system32\dllcache\vga.sys
  • autorun.inf →c:\autorun.inf
  • 先ほどメモった****.bat(ここでは仮にA.batとする。)→c:\A.bat
  • LastGoodフォルダ →c:\windows\LastGood

詳しくは Worm - 脅威データベース を参照のこと。

太文字が打ち込んだ部分です。

c:\ > cd windows\system32

c:\windows\system32\ > attrib -H -S -R revo.exe

c:\windows\system32\ > attrib -H -S -R revo0.dll

c:\windows\system32\ > del revo.exe

c:\windows\system32\ > del revo0.dll

c:\windows\system32\ > cd dllcache

c:\windows\system32\dllcache > attrib -H -S -R vga.sys

c:\windows\system32\dllcache > del vga.sys

c:\windows\system32\dllcache > cd c:\

c:\ > attrib -H -S -R autorun.inf

c:\ > attrib -H -S -R A.bat

c:\ > del autorun.inf

c:\ > del A.bat

c:\ > exit

5: Windows XPを起動し、↓を参考にしながらレジストリを修正する。

Worm - 脅威データベース

これは隠しファイルが表示できないようにレジストリ改ざんされているのでそれの修正。

6: 隠しファイルが表示できない問題が解消されているかを確認しながら消したファイルが残っていないか確認。

残っていたらそのまま削除。(コマンド部分で権限とか殺してあるのでそのまま消せるはず)

7: ネットワークに接続し、avast!以外のオンラインスキャンでチェック。

打ったコマンドについて

attrib -H -S -R ファイル名 ・・・ 隠しファイル、システムファイル、読み取り専用属性の解除

del ファイル名 ・・・ 削除

cd 移動場所 ・・・ 移動場所に移動。

exit ・・・ 終了

参考資料

Worm - 脅威データベース

コマンドプロンプト dir - [ファイル・ディレクトリの情報を表示する]

コマンドプロンプト attrib - [ファイル属性を管理する]

最後に。

と、まあ書いてみましたけどもあまり利口なやり方じゃないし、

これでうまくいく保証は当然ながらありません。

なんのこっちゃわからんひとは分かる人に相談した方がいいと思います。

最近のウイルスはシステムファイルに偽装することが多いので下手にやると起動しなくなるかもしれんし。

また、本当に駆除できたか怪しいと自分ではみています。オンラインスキャン次第かなと思っています。

これで削除できないのであればあきらめてリカバリーでもしようかなと思っております。

まあ、問題ないっぽいです。



あと、こんな情報もありました。感染源からシャットアウトすることも大事だよねーということで。

USBドライブ等感染型ウィルスについて(花まるっ教育ネットkna)秋田県総合教育センター

Copyright © crazyup. All rights reserved.