WORM_ONLINEG.SNLを消そう。
※物騒なタイトルだったので変更しました。(改変:2009/04/06)
恥ずかしいことですが、X31がウイルスに感染しました。
片っ端から調べた結果&avast!からの結果をふまえると
どうもWORM_ONLINEG.SNLであると断定。
なので以下の手順で削除した。
1: ネットワークから遮断。
2: C:\autorun.infをメモ帳等で開いて****.batのファイル名をどっかにメモっとく。
3: avast!の完全スキャンを行った。
4: Windows XPセットアップディスクから回復コンソールを起動し、以下の手順を行う。
以下のファイルの削除
- revo.exe →c:\windows\system32\revo.exe
- revo0.dll →c:\windows\system32\revo0.dll
- vga.sys →c:\windows\system32\dllcache\vga.sys
- autorun.inf →c:\autorun.inf
- 先ほどメモった****.bat(ここでは仮にA.batとする。)→c:\A.bat
- LastGoodフォルダ →c:\windows\LastGood
詳しくはWorm | 危険度: 低 | トレンドマイクロ:セキュリティ情報を参照のこと。
※太文字が打ち込んだ部分です。
c:\ > cd windows\system32
c:\windows\system32\ > attrib -H -S -R revo.exe
c:\windows\system32\ > attrib -H -S -R revo0.dll
c:\windows\system32\ > del revo.exe
c:\windows\system32\ > del revo0.dll
c:\windows\system32\ > cd dllcache
c:\windows\system32\dllcache > attrib -H -S -R vga.sys
c:\windows\system32\dllcache > del vga.sys
c:\windows\system32\dllcache > cd c:\
c:\ > attrib -H -S -R autorun.inf
c:\ > attrib -H -S -R A.bat
c:\ > del autorun.inf
c:\ > del A.bat
c:\ > exit
5: Windows XPを起動し、↓を参考にしながらレジストリを修正する。
Worm | 危険度: 低 | トレンドマイクロ:セキュリティ情報
これは隠しファイルが表示できないようにレジストリが改ざんされているのでそれの修正。
6: 隠しファイルが表示できない問題が解消されているかを確認しながら消したファイルが残っていないか確認。
残っていたらそのまま削除。(コマンド部分で権限とか殺してあるのでそのまま消せるはず)
7: ネットワークに接続し、avast!以外のオンラインスキャンでチェック。
打ったコマンドについて
attrib -H -S -R ファイル名 ・・・ 隠しファイル、システムファイル、読み取り専用属性の解除
del ファイル名 ・・・ 削除
cd 移動場所 ・・・ 移動場所に移動。
exit ・・・ 終了
参考資料
Worm | 危険度: 低 | トレンドマイクロ:セキュリティ情報
コマンドプロンプト dir - [ファイル・ディレクトリの情報を表示する]
コマンドプロンプト attrib - [ファイル属性を管理する]
最後に。
と、まあ書いてみましたけどもあまり利口なやり方じゃないし、
これでうまくいく保証は当然ながらありません。
なんのこっちゃわからんひとは分かる人に相談した方がいいと思います。
最近のウイルスはシステムファイルに偽装することが多いので下手にやると起動しなくなるかもしれんし。
また、本当に駆除できたか怪しいと自分ではみています。オンラインスキャン次第かなと思っています。
これで削除できないのであればあきらめてリカバリーでもしようかなと思っております。
まあ、問題ないっぽいです。
あと、こんな情報もありました。感染源からシャットアウトすることも大事だよねーということで。
USBドライブ等感染型ウィルスについて(花まるっ教育ネットkna)秋田県総合教育センター