開かない。
代わりに「'resycled\boot.com'が見つかりません」などというエラーメッセー
ジが表示される。
そもそもドライブ名のアイコンをクリックしただけで、boot.comなんていう実行
ファイルが起動させられようとする時点でウイルスの挙動である。
セキュリティソフトのおかげでboot.comは既に削除されていて、怪しいプログラ
ムが実行されることはないのだが、レジストリが書き換えられているのは困る。
さっそくWinFDというプログラムでウイルスの痕跡を調べてみる。
痕跡発見!
Cドライブのルートにautorun.infとresycledというフォルダが作成されていた。
autorunは自動実行されるスクリプト。resycledはゴミ箱のフォルダに偽装した
のだろうが、スペルからして間違っている。
boot.comはもう削除されたし、autorun.infとresycledはいらないね、とWinFDで
削除。
このファイルとフォルダは隠し属性なのでエクスプローラーやコマンドラインか
らは見えない。だからWinFDを使う。
分割した他のドライブにもautorun.infとresycledがあったので、これも削除。
さぁ、これで安心。
と思いきや・・・
autorun.infとresycledが復活している!
それもすべてのドライブで・・・
まだウイルスプログラムが起動中だということだ。
タスクマネージャーを開く。
いったいどれがウイルスプログラムなのだろう?
それらしきプログラムを停止してみるが効果なし。
autorun.infとresycledをいくら削除しても復活してしまう。
ちなみにウイルスワクチンソフトのデータは最新、スパイウェア除去ソフトの
データも最新である。
つまり、それらでは完全駆除できないウイルスだということだ。
こうなるとやっかいである。
autorun.infとresycledでググってみた。
resycled/boot.com
http://www.precisesecurity.com/blogs/2008/09/20/resycledbootcom/
英語の書き込みだが、この掲示板に駆除方法が書いてあった。
すべてのboot.comファイルを削除。(これはセキュリティソフトが全部やってく
れた)
レジストリエディタを起動して「resycled」「boot.com」の記述をすべて削除。
すべてのautorun.infとresycledフォルダを削除。
「'resycled\boot.com'が見つかりません」という表示は出なくなったが、ドラ
イブの中身は開かない。
ファイルの関連づけがどうとかこうとか言っている。
再起動してみた。
直った。
関連づけのレジストリが再構築されたようだ。
ドライブアイコンをダブルクリックしたら、開くようになった。
とりあえず修復できたが、セキュリティソフトの方で早くちゃんと対応して欲し
いと思う。
0 件のコメント:
コメントを投稿