▼ 2009/03/03(火) ウィルス駆除を頼まれた
高校時代のかつての同級生から連絡があり、自宅のパソコンがウィルスに感染したようなので見て欲しいと頼まれました。
症状を聞くと、ウィルスバスターが入っているが、パターンファイルの更新がいっさい出来なくなってしまい、検索すると「隔離しました」というのがズラッと出てくるがよくわからないということでした。
とりあえず実際に見てみないとわからないと思い、行ってみました。
パソコンを見てみると、OSはWindows XP SP3で、ちゃんとWindowsUpdateもやってあります。ウィルスバスターも確かに入っており、動作はしていますが、パターンファイルの最終更新が2月10日となっていて、更新の実行をクリックしても、更新が実行されません。
サイバークリーンセンターからCCCクリーナーをダウンロードして持っていっていたので、とりあえずそれでスキャンしてみることにしました。
ちょっと古めのノートPCでしたので、スキャンに結構時間がかかります。
スキャンしている間に、職場からファイルを持ってきたUSBメモリが怪しいということでしたので、別途持参したノートPCでそのUSBメモリをチェックしてみました。
WORM_ONLINEGですね。やはりUSBメモリから感染しているようです。USBメモリの方はこれでウィルスは全部削除しておきます。
さて、2時間近くかかってCCCクリーナーの実行が終わりました。
WORM_ONLINEのファイルを削除したというメッセージは出ていましたが、よく見るとエクスプローラで「隠しファイルを表示」にしてもすぐに設定が戻ってしまうし、各ドライブ上のautorun.infも復活しています。どうも完全に駆除しきれていないようです。
CCCクリーナーの説明では、実行手順として、
ということで、検出されたウィルス名をもとに、トレンドマイクロのウィルスデータベースで対応方法を探してみます。
結局、WORM_ONLINE.HMGの対応方法が有効でした。
まず、セーフモードで起動し直して、レジストリエディタで記述されているとおりに修正します。autorun.infも手動で削除(コマンドプロンプトですべてのドライブに対し"DEL /A:H /F AUTORUN.INF"を実行)しました。
この状態でもう一度CCCクリーナーを実行してみたところ、もう検出されませんでした。PCを再起動しても、もうAUTORUN.INFは復活していません。
さて、ウィルスバスターのパターンファイル更新が出来ないというのは、ウィルスが削除されても復活しません。ということで、ウィルスバスターの再インストールが必要です。
ウィルスバスターの再インストールが終了して、パターンファイルを最新のものに更新した後、念のためにもう一度スキャンをしておきました。
このスキャンで、130余のファイルが検出され隔離されました。ファイルの場所を見ると、System Volume Informationの中でしたので、システムの復元ポイントの作成で作られたバックアップに入っていたのかもしれません。
と、いうことで、結構時間がかかりましたが、なんとか駆除できました。
それにしても、WORM_ONLINE.HMGの説明を見ると、パターンファイルが対応したのは2月22日なんですよね。この感染したPCのウィルスバスターの最終のパターンファイル更新の日付が2月10日なんで、感染したのはパターンファイルが公開される前ということです。
WindowsUpdateをちゃんとやっていて、ウィルス対策ソフトも入れてあるのに、恐いですね。
今回はUSBメモリ経由での感染のようです。OSの設定で、自動再生をしないようにした方がいいでしょう。
USBメモリを挿した時にシフトキーを押しておくと自動再生はされませんが、そんなの忘れてしまうので、ちゃんと設定した方がいいでしょうね。
症状を聞くと、ウィルスバスターが入っているが、パターンファイルの更新がいっさい出来なくなってしまい、検索すると「隔離しました」というのがズラッと出てくるがよくわからないということでした。
とりあえず実際に見てみないとわからないと思い、行ってみました。
パソコンを見てみると、OSはWindows XP SP3で、ちゃんとWindowsUpdateもやってあります。ウィルスバスターも確かに入っており、動作はしていますが、パターンファイルの最終更新が2月10日となっていて、更新の実行をクリックしても、更新が実行されません。
サイバークリーンセンターからCCCクリーナーをダウンロードして持っていっていたので、とりあえずそれでスキャンしてみることにしました。
ちょっと古めのノートPCでしたので、スキャンに結構時間がかかります。
スキャンしている間に、職場からファイルを持ってきたUSBメモリが怪しいということでしたので、別途持参したノートPCでそのUSBメモリをチェックしてみました。
WORM_ONLINEGですね。やはりUSBメモリから感染しているようです。USBメモリの方はこれでウィルスは全部削除しておきます。
さて、2時間近くかかってCCCクリーナーの実行が終わりました。
WORM_ONLINEのファイルを削除したというメッセージは出ていましたが、よく見るとエクスプローラで「隠しファイルを表示」にしてもすぐに設定が戻ってしまうし、各ドライブ上のautorun.infも復活しています。どうも完全に駆除しきれていないようです。
CCCクリーナーの説明では、実行手順として、
- データのバックアップ
- WindowsUpdateの実行
- ブラウザの一時ファイルの削除
- CCCクリーナーの実行
- ウィルス対策ソフトのインストール
ということで、検出されたウィルス名をもとに、トレンドマイクロのウィルスデータベースで対応方法を探してみます。
結局、WORM_ONLINE.HMGの対応方法が有効でした。
まず、セーフモードで起動し直して、レジストリエディタで記述されているとおりに修正します。autorun.infも手動で削除(コマンドプロンプトですべてのドライブに対し"DEL /A:H /F AUTORUN.INF"を実行)しました。
この状態でもう一度CCCクリーナーを実行してみたところ、もう検出されませんでした。PCを再起動しても、もうAUTORUN.INFは復活していません。
さて、ウィルスバスターのパターンファイル更新が出来ないというのは、ウィルスが削除されても復活しません。ということで、ウィルスバスターの再インストールが必要です。
ウィルスバスターの再インストールが終了して、パターンファイルを最新のものに更新した後、念のためにもう一度スキャンをしておきました。
このスキャンで、130余のファイルが検出され隔離されました。ファイルの場所を見ると、System Volume Informationの中でしたので、システムの復元ポイントの作成で作られたバックアップに入っていたのかもしれません。
と、いうことで、結構時間がかかりましたが、なんとか駆除できました。
それにしても、WORM_ONLINE.HMGの説明を見ると、パターンファイルが対応したのは2月22日なんですよね。この感染したPCのウィルスバスターの最終のパターンファイル更新の日付が2月10日なんで、感染したのはパターンファイルが公開される前ということです。
WindowsUpdateをちゃんとやっていて、ウィルス対策ソフトも入れてあるのに、恐いですね。
今回はUSBメモリ経由での感染のようです。OSの設定で、自動再生をしないようにした方がいいでしょう。
USBメモリを挿した時にシフトキーを押しておくと自動再生はされませんが、そんなの忘れてしまうので、ちゃんと設定した方がいいでしょうね。
- Windows XPの場合、GIGAZINE - USBメモリもCD-ROMもあらゆるドライブの自動再生をオフにする方法
- Windows Vistaの場合、Windows ヘルプと使い方 - 自動再生の設定を変更する
- TB-URL(確認後に公開) http://www.matsh.jp/d/0252/tb/
1: NonO_ 2009年03月05日(木) 午前11時50分
拡張子表示と自動再生を切るのは、
ウィルス感染には有効な対策ですね
以外にやっちゃうのは、
駆除中の「復元ポイント」の切り忘れ
便利な機能なんですが
駆除日以前を指定して「前の状態に戻す」と
ウィルスも一緒に復元しちゃうんですよね・・・SP3では対応済みなのかな?