USB経由でのウイルス駆除


今回は、手動でウイルスを駆除していきます。

貰ったウイルスを今回は適当に実行して駆除して遊ぼうということで・・・。

駆除実験を行いたいと思います。未だに大手のセキュリティーソフトも検知しないのが現実です。駆除も自分で行いましょう。

今回はUSBウイルス。世界的にはあまり広まっていないようですが日本では流行っているらしい記事がネットで見た記憶が薄っすらある様なないようなということで

感染してお困りの方に少しでも駆除の参考になればと思います
ウイルスを実行する際は必ずネットワークから隔離し実行してください。
このサイトを参考にしてのなんらかの被害を受けましても一切責任を取りません。




ウイルスを実行したい!!
ウイルスを貰っても実行しないと何も感染しません。
まず遊ぶために貰ったウイルスを実行する必要があります。
実験のため今回は使われていないPCを使うことにまずクリーンな環境から実行したかったのでOSを入れるところからスタート
と思ったら実験に使いたいPCがHDDが入っていないことが判明実験に使うPCは何世代も前のPCですがSSDを装着でOSを入れることにしました。

やっとウイルスの実行!!そして感染!!!
今回は古いPCなのでWindowsXPを導入しウイルスを実行することにしました。
ウイルスを実行する際は念のためネットワークから切断させて置くことを忘れずに。

まずは「Shift」キーを押しながらUSBをPCにさします。
このキーを押すのはオートランが勝手に実行されないようにする為の行動です。
これをしないと感染済みUSBにオートランがあると感染です。おめでとうございます。



ウイルス君を確認。
貰った段階ではオートランが作成されていなかったので「Shift」を押すのは今回は無意味でした。
貰ったときはMacのPCだったので
しかしオートランが入っている場合はこの方法は有効なので感染している場合はどうぞ。

さてウイルスを実行!!(しっかりとウイルスもバックアップ取りました。)
・・・・
ここで重大なミスが発覚しました。ファイルを監視するソフトを立ち上げていない。
しかし、ウイルスは実行してしまいましたので焦っても仕方ないと。
実行するとウイルスが消えた????ん?違う!!

おめでとうございます!!
ウイルス感染です!!!

髑髏マークが画面に!!!なんて事はないか・・・・。

消えているというより設定が非表示に変更されているではないですか。
なんと面白い。ウイルスとオートランファイル隠し感染していてもわからなくする面白い!
フォルダオプションから表示設定にもどします。
フォルダオプションの表示から「ファイルとフォルダ」の「表示を全てのファイルとフォルダを表示する」にチェック。
保護されたオペレーティングシステムを表示しないをチェックをオフに!!
!!!!!!!!!!!
表示されない!!




もう一度設定を確認します。
「表示を全てのファイルとフォルダを表示する」にチェックが入っていない!!
何度やってももう一度戻ると設定が変わっていない!!

面白い!!!これでウイルスを隠すということですか!!!

驚いてみて。
アドレスバーに「E:\autorun.inf」と入力メモ帳で表示されました。
「E:\」は今回のUSBのパスです。

[AutoRun]
open=hkkfs.exe
shell\open\connabd=hkkfs.exe

ウイルス本体は「hkkfs.exe」ということがわかりました。
というかわかっていました。
「C:\autorun.inf」をアドレスバーに入力
表示された!!
Cドライブまで感染!!
手が早いな
刺しっぱなしのSDカードまで感染していました。

ここでUSBメモリを抜く!!
このUSBを他のPCに指すとかドジをしないでください。



ウイルス駆除してみようか
ウイルス駆除開始?
ウイルスで困っている方がいるので残念ですがウイルスの駆除を行います。
どんなことをするウイルスか調べたかったのですがそれは後でネットで探すことにします。
駆除を先にネットを見たら楽しみがなくなります。

ここから長くなると思いますのでお急ぎの方は流してください。
駆除が成功するかもまだわかりませんが。

スタートアップでウイルスが実行されるとと面倒なので「F8」セーフモードで起動します。
セーフモードで起動してからセーフモードですが念のためマイコンピュータ等からUSBメモリやHDDなどを開かないでください。
ウイルスが実行されてることがあります。

 

さくっと駆除したい場合。

スタートアップから最小限で起動してウイルスを削除してください。

ウイルスが立ち上がってないので増殖することはありません。
「autorun.inf」「hkkfs.exe」がUSBやHDD等いろいろなところにあるはずです。

2009/10/31  09:03    57    autorun.inf
2009/10/28 13:12    111,267  hkkfs.exe

ウイルスをこのPCに感染させた日時は 2009/10/31  09:03ですね。
しかし2009/10/28 13:12にウイルス本体があるのでこのウイルスの持ち主はこの時間に感染したのか?

本体のサイズは111,267KB




これは後回しにしてまずは、ウイルスがレジストリ上に自動起動のための設定がないか確認します。
操作は慎重に行ってください。関係のないデータを削除変更するとコンピュータが起動しなくなる恐れがあります。
スタートから「ファイル名を指定して実行」を開き[regedit」と入力してOK!

これもウイルスが自動的にPCを起動するとウイルスが起動するようによく設定されている場所です。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ここまで開いてください

はい!!ウイルス君いました!!!
わかりやすいです。
一時的フォルダの「%temp%」にいるってことですね。

のさっき見つけたウイルス名が記録されているものを削除します。
これはスタートアップ時に起動されるように設定されているものです。

コンピューターが起動するとウイルスを立ち上げる為のものです。
54dfsgerこれを消してしまいます。

ウイルスのファイル名は「xvassdf.exe」名前を変えてもわかりやすいです。
ファイルサイズと作成日がまったく同じです。

通常モードだと自動的にウイルスも立ち上げてしまう恐れがあるので。
そしてコマンドプロンプトを立ち上げました。まずは基本的な操作で削除します。
まずはウイルスを確認しましょう。

C:\>dir %temp% /ah
%temp%へ行きます。隠しファイル等を開きます。

2009/10/31  09:01    73,015   4tddfwq0.dll
2009/10/28 13:12    111,267   xvassdf.exe
もう一匹いましたウイルス君!!
名前は「4tddfwq0.dll」君!!
1匹は名前を変えても作成日やファイルサイズが同じなのでわかりますね。
もうひとつのファイル!これは名前からして怪しい。
ネットで検索するとやはりUSB感染のウイルス。駆除しましょう。
C:\>del autorun.inf 削除してみます。
C:\autorun.infが見つかりませんでした 

削除できませんでした。下のコマンドを実行してみてください。
C:\>attrib -h -s -r %temp%\4tddfwq0.dll
C:\>attrib -h -s -r %temp%\xvassdf.exe
隠しファイルやシステムファイル読み取り専用を解除します。
文句言われませんでしたので成功
※ここでドライブを開かないでください。
オートランが実行され意味がなくなります。
C:\>del c:\4tddfwq0.dllC:\>del c:\xvassdf.exe2つのウイルスを削除します。
C:\>dir /ah
再確認します
さっきの2つのファイルがないか確認してください。

 

さっきメモ帳でみたオートランのファイル。

[AutoRun]
open=hkkfs.exe
shell\open\connabd=hkkfs.exe

※このウイルスは違う名前の場合があります。その際は置き換えて実行してください。

CとEにウイルスはオートラン用のファイルは「autorun.inf」ウイルス本体は「hkkfs.exe」だということがわかったので。

C:\なんとかかんとか>cd c:\  「cd c:\」でCドライブに移動します。
C:\>dir /ah             
「dir /ah」で隠しファイルを表示します。
 ドライブCのボリューム ラベルがありません。
ボリューム シリアル番号は ????です
C:\のディレクトリ
2009/10/31  09:03    57      autorun.inf
2009/10/28 13:12    111,267  hkkfs.exe
いっぱいデータ出てきますが省略。
見覚えのあるファイルが2つ!!C:\ドライブにウイルスがいます。
C:\>del autorun.inf 削除してみます。
C:\autorun.infが見つかりませんでした 削除できませんでした。
C:\>attrib -h -s -r c:\autorun.inf
C:\>attrib -h -s -r c:\hkkfs.exe
隠しファイルやシステムファイル
読み取り専用を解除します。
文句言われませんでしたので成功
※ここでドライブを開かないでください。
オートランが実行され意味がなくなります。
C:\>del c:\autorun.infC:\>del c:\hkkfs.exeウイルスを削除します。文句を言われませんでしたの成功
C:\>dir /ah
再確認します
さっきの2つのファイルがないか確認してください。なければ消えました。

あ~消えた~。
こんどはUSBからウイルスを消します。
セーフモードですが念のためUSBが認識するで「Shift」を押し続けます。
絶対にUSBメモリーを開かないでください。「autorun.inf」が読み込まれウイルスが実行されまた初めからやり直しになります。
これで引っかかったら負けだ。気づいてよかった。
USBメモリーがe:\ドライブだということ前提に進めています。

C:\>dir e:\ /ah
今回はE:¥へ行きます。
 ドライブEのボリューム ラベルがありません。
ボリューム シリアル番号は ????です
C:\のディレクトリ
2009/10/31  09:03    57      autorun.inf
2009/10/28 13:12    111,267  hkkfs.exe
お馴染みのファイルがいます。C:\>attrib -h -s -r c:\autorun.inf
C:\>attrib -h -s -r c:\hkkfs.exe
消せるように解除します。
C:\>del c:\autorun.inf
C:\>del c:\hkkfs.exe
ウイルスを削除します。
C:\>dir /ah
再確認します
さっきの2つのファイルがないか確認してください。

USBからウイルスが消えました。残念です。
感染の確認です。
はい。C:\にはいません。USBを指し確認。いません。
はい
通常モードで起動。
ドライブを開いてみます。

さっきから使っていたコマンドを使ってみてUSBやHDDをウイルスがいないか再確認を行ってください。

dir e:\ /ah
dri c:\ /ah

このコマンドを実行してさっきのファイルがなければ成功です。

スタートアップも確認。
スタートから「ファイル名を指定して実行」を開き「msconfig」と入力してOK!
一番初めに削除しました「xvassdf.exe」の名前がスタートアップにないか確認してみてください。
タスクマネージャーでもいなければウイルスは起動されていません。

たぶんこれで終了だろう。
ウイルスは稼動していない。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です