【ウイルス】手間かけやがってー(#・∀・)
皆様こんにちわ、ここ一週間くらい実はウイルスと格闘していたけーすけで、御座います。
いかがお過ごしでしょうか。
WindowsのTempフォルダから何度も同じdllを検出している状態で、眉根に皺寄せてた。
XPでいうと
C:\Documents and Settings\【USER】\Local Settings\temp
直下からInfostealerとかBackdoor.Trojanを検出し続けてる状態。
4tddfwq0.dll
のような名称のファイルで。
で、こうなってくると本体が別の場所に居るのがセオリーだから、いつも通りコマンドプロンプトで探してみたが。。。
居ない。
見当たらない。
C:\Windows\System32\
をじーっと見てみたけど居ないっす。
あっれーおっかしーなー思って別の感染したVista端末見てたら・・・スタートアップに不審物発見。
"xvassdf.exe"
おまえかーっっ!!!
ようやく見つけた。
HijackThisのログにも出てきた。
O4 – HKCU\..\Run: [54dfsger] C:\【USER】\【USER】\AppData\Local\Temp\xvassdf.exe
こんなとこに居たとは・・・くそぅ。
マッピングされたドライブ直下にも
9npxi.bat
autorun.inf
が綺麗に作成されとる。
こうなってくるとウイルスを運んだUSBメモリも探さなくっちゃならんわね( ´Д`)=3
隠しファイル及びフォルダを表示させてもこいつらが出てこない。
システムファイルとして存在するのかもしれないけど、無論コマンドプロンプトで探せばしっかり出てくる。
dir /ah
てっきりsystem直下に本体が居ると思ったんだけどなぁ・・・まだまだあまいなぁ・・・。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden"
の値を改変される前の状態に戻して完了。