【ウイルス】手間かけやがってー(#・∀・)

PC,お仕事,備忘録xvassdf.exe,ウイルス

皆様こんにちわ、ここ一週間くらい実はウイルスと格闘していたけーすけで、御座います。
いかがお過ごしでしょうか。

WindowsのTempフォルダから何度も同じdllを検出している状態で、眉根に皺寄せてた。
XPでいうと
C:\Documents and Settings\【USER】\Local Settings\temp
直下からInfostealerとかBackdoor.Trojanを検出し続けてる状態。
4tddfwq0.dll
のような名称のファイルで。

で、こうなってくると本体が別の場所に居るのがセオリーだから、いつも通りコマンドプロンプトで探してみたが。。。

居ない。
見当たらない。
C:\Windows\System32\
をじーっと見てみたけど居ないっす。

あっれーおっかしーなー思って別の感染したVista端末見てたら・・・スタートアップに不審物発見。
"xvassdf.exe"
おまえかーっっ!!!

ようやく見つけた。
HijackThisのログにも出てきた。

O4 – HKCU\..\Run: [54dfsger] C:\【USER】\【USER】\AppData\Local\Temp\xvassdf.exe

こんなとこに居たとは・・・くそぅ。
マッピングされたドライブ直下にも
9npxi.bat
autorun.inf

が綺麗に作成されとる。
こうなってくるとウイルスを運んだUSBメモリも探さなくっちゃならんわね( ´Д`)=3
隠しファイル及びフォルダを表示させてもこいつらが出てこない。
システムファイルとして存在するのかもしれないけど、無論コマンドプロンプトで探せばしっかり出てくる。
dir /ah
てっきりsystem直下に本体が居ると思ったんだけどなぁ・・・まだまだあまいなぁ・・・。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden"

の値を改変される前の状態に戻して完了。