【ウイルス対応】mmvo*ファミリー備忘録

コンピュータウイルス対応備忘録。

mmvo

kavo

ファミリー対応。

主にUSBメモリ等のリムーバブルメディアから感染。メディア挿入時に起動し、マッピングされた全てのリムーバブルドライブ直下にautorun.inf 及び、参照する.com.batファイルの作成。

%System%mmvo.exe

%System%mmvo0.dll

%System%mmvo1.dll

同kavo.exe .dllファイルの作成。レジストリへの追記。

隠しファイル及びフォルダの表示無効の為レジストリ3箇所変更。

 


 

という、こ・と・で。

【対応手順覚書】

・システムの復元機能OFF

・セーフモードにて起動(気休め)

・コマンドプロンプトで感染ファイル確認(※バックスラッシュは半角¥マーク)

C:\>dir /ah

C直下隠しファイル表示

autorun.infの参照ファイル確認

C:\more /a autorun.inf

↑これで参照している.comもしくは.batファイル特定(同じ階層みたい)

両ファイル削除

del /a /f autorun.inf

del /a /f ***.bat

 

cd \WIndowws\System32\

dir /ah

del /a /f mmv*

ここで.exeが消えない場合はregeditにで検索→削除→再起動で削除。

kavoの場合は置き換える(kavo*.*、mmvo*.*)。

 

 

んが、ちと違うけどsecpol.exeの場合は隠しファイルになってないケースが見られるみたいだ。

【レジストリメモ】

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun"

 


【追記】

レジストリ操作 不可視ファイルメモ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden"

これら3つのレジストリの値を全て1に。