Kavoウイルス・・・再び

先日駆除したKavoウイルスが復活してしまったそうで、再訪しました。
パソコン3台とすべてのリムーバブルメディアが再感染したようです。
駆除作業は↓ここを参考にしましたが、
http://sturnus.net/mt/2008/01/kavo-mmvo-1.html
検出したウイルス名に若干違いもあるので念の為、全作業を記録します。
今回の作業PC、WindowsXP SP2 3台。
1)インターネットオプションから全ての一時ファイル・Cookie・履歴を削除
[スタート]-[コントロールパネル]-[ツール]-[インターネットオプション]-全般タブ-インターネット一時ファイル項目の「ファイルの削除」をクリック。
「すべてのオフラインコンテンツを削除する」にチェックを入れてOK。
同画面で、「Cookieの削除」「履歴のクリア」

2)「Canon NOD32 アンチウイルス」のアップデート
3)無線LANをOFFにし、ネットワークから切り離し。
4)システム全体のウイルスチェック(詳細な検査)。
→感染無し。
5)システムの復元を無効にする。
マイコンピュータを右クリック→[プロパティ]-システムの復元タブ、
「システムの復元を無効にする」にチェック-[適用]-[OK]

6)スタートアップからウイルス起動のチェックを外し、自動起動を止める。
[スタート]-[ファイル名を指定して実行]→「msconfig」と入力してOK。
スタートアップタブでウイルスと思われる項目のチェックを外す。

再起動後、「システム構成ユーティリティを使って Windows の開始方法を変更しました。」と表示されるので、「Windows の開始時にこのメッセージを表示しない、またはシステム構成ユーティリティを起動しない」にチェックを付け、OKをクリック
→こちらでは「kavo」と「tavo」だった。
7)セーフモードで起動。
パソコンの電源を入れ、メーカーのロゴマークが出ている間、[F8]を連打。
8)レジストリの修正
[スタート]-[ファイル名を指定して実行]→「regedit」と入力してOK。

参考にしたサイトでは、次のレジストリエントリへ移動して削除であるが、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
kava = "<%System%>\kavo.exe"
mmva = "<%System%>\mmvo.exe"
こちらではこれらは無かった。
次のレジストリサブキーのレジストリエントリを確認し、変更されていたら、それらを復元。(エントリを選択し右クリック → 修正 → 値のデータ)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"
値0を1に修正。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden"
値2なので、修正無し。(0でなければ修正不要)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden"
値0を1に修正。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" 値を091とする
9)フォルダオプションを変更、隠しファイル・システムファイルをすべて表示できるようにする。
マイコンピュータを右クリック→エクスプローラで開く(絶対にダブルクリックしない)
[ツール]-[フォルダオプション]、表示タブ→ファイルとフォルダの表示で、
「すべてのファイルとフォルダを表示」にチェック
「システムフォルダの内容を表示する」をチェック
「登録されている拡張子は表示しない」のチェックをはずす
「保護されたオペレーティングシステムファイルを表示しない」のチェックをはずす。
OK。

C・Dドライブ直下に、「nldelect.com」「nsdelect.com」「rsdelect.com」「ntdelect.com」などがあれば削除ですが、こちらにはどれも無し。もちろん「ntdetect.com」はありますが、絶対に間違って消さないと心に誓う。
こちらでは、「autorun.inf」「cubp.bat」「mrsne.bat」が見つかりました。
「autorun.inf」をメモ帳で開くと「open=cubp.bat」の記載があります。
これらを削除。
ひとつづつファイルをクリックして、[Shift]+[Deleate]
10)再起動
11)フォルダオプションの変更が元に戻されていないか確認。
この設定が元に戻されていたら、まだ感染です。
今回はOK。
12)感染ファイルの検索及び削除。
ファイル検索で、検索場所を「マイコンピュータ」、詳細設定オプションで、「システムフォルダの検索」、「隠しファイルとフォルダ」、「サブフォルダの検索」にチェックを入れて、「検索ファイル名を「kavo or mmvo or uu or tavo」で検索。
疑わしいファイルをすべて削除(ここは自己判断になります)。
こちらの場合は、
kavo.exe、kavo.dll、kavo0.dll、tavo.exe、tavo.dll、tavo0.dllが検索されました。
13)インターネットをオンラインにする。
14)再度、ウイルス定義を最新を確認して、ウイルスチェック。
感染0!
15)感染の無いことを確認。
スタートアップに「kavo」「tavo」はまだあるが、チェックが外れているのでOK。
でも、気持ち悪いのでレジストリで削除。
[スタート]-[ファイル名を指定して実行]→「regedit」と入力してOK。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig
の下の、「startupreg」「startupfolder」「services」の3つを削除。

16)システムの復元を有効に戻し、復元ポイントを作る。(手順は5へ)
17)フォルダオプションを元に戻す。(手順は9へ)
「保護されたオペレーティングシステムファイルを表示しない」のチェックをつける。
18)CDやUSBの自動取り込みを禁止。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" 値を091からb5に変更する
19)予防策として、ドライブすべてに「autorun.inf」フォルダを作成。
絶対にひとつも間違えないよう慎重に作業して、約2時間でした。
このウイルス、亜種が増えつづけているようなので、今後も注意が必要です。

No Comments - Leave a comment

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA