【ウイルス対応】mmvo*ファミリー備忘録
コンピュータウイルス対応備忘録。
mmvo
kavo
ファミリー対応。
主にUSBメモリ等のリムーバブルメディアから感染。メディア挿入時に起動し、マッピングされた全てのリムーバブルドライブ直下にautorun.inf 及び、参照する.com.batファイルの作成。
%System%mmvo.exe
%System%mmvo0.dll
%System%mmvo1.dll
同kavo.exe .dllファイルの作成。レジストリへの追記。
隠しファイル及びフォルダの表示無効の為レジストリ3箇所変更。
という、こ・と・で。
【対応手順覚書】
・システムの復元機能OFF
・セーフモードにて起動(気休め)
・コマンドプロンプトで感染ファイル確認(※バックスラッシュは半角¥マーク)
C:\>dir /ah
C直下隠しファイル表示
autorun.infの参照ファイル確認
C:\more /a autorun.inf
↑これで参照している.comもしくは.batファイル特定(同じ階層みたい)
両ファイル削除
del /a /f autorun.inf
del /a /f ***.bat
cd \WIndowws\System32\
dir /ah
del /a /f mmv*
ここで.exeが消えない場合はregeditにで検索→削除→再起動で削除。
kavoの場合は置き換える(kavo*.*、mmvo*.*)。
んが、ちと違うけどsecpol.exeの場合は隠しファイルになってないケースが見られるみたいだ。
【レジストリメモ】
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun"
【追記】
レジストリ操作 不可視ファイルメモ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden"
これら3つのレジストリの値を全て1に。