STAP STAP

STAP = (動詞)スタップする、カシャカシャする(造語)
 

スポンサーサイト 

No. : --/--/--(--) --:--:--
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

revo.exe や hbs.exe について 

No.303 : 2008/11/13(Thu) 23:59:27
最近我が校において、ウイルスが蔓延しているようです。
そのウイルスってのが、revo という名前のウイルスらしい。
USB フラッシュメモリなどを介して他人のパソコンに次々感染していきます。
近年、大容量の USB フラッシュメモリが急速に普及したことと、デジタルデータのやりとりが増えたことで、
あっという間に広まっていったものと思われます。

先日友達から「ウイルス駆除を手伝って欲しい」といわれ、手伝いました。
今流行のウイルスでした。PC玉手箱のサイトを参考にしてるみたいですが、初心者には難しすぎて怖いとのこと。
以下、俺がやった作業です。

参考ページ→http://www.cyber-concierge.co.jp/pc_tama/other/revo.html

----------------------------------------------------------------

まず、ウイルスの本体(実行ファイル)の名前は mmvo,kavo,tavo,revo ではなく、hbs.exe でした。
なんか名前変わってますね。revo.exe は System32 の下にいました。

まず、友達が既に実施したこと。

(1) ネットワークからの遮断(有線・無線両方)…PCをスタンドアロン(孤立状態)にします。基本。
(2) システム復元の無効化…ウイルスごとバックアップされないように
(3) IEの一時ファイル(キャッシュ)の削除…一応ね


<ここから俺の手順>


(1) msconfig を立ち上げて、「スタートアップ」タブに移動

(2) revo とか kavo とか「なんとかvo」みたいなファイル名がついてるやつはチェックをはずす。
 ここには revo が来ることが多いはず。友達の場合は revo でした。

(3) 「OK」で msconfig 終了。

(4) 再起動。BIOS起動画面あたりで F8 連打してセーフモードで起動

(5) regedit (レジストリエディタ)を「ファイル名を指定して実行」から起動して以下のエントリを修正

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 2 から 1 へ
ShowSuperHidden = 0 から 1 へ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL
CheckedValue = 0 から 1 へ

(6) revo,tavo,kavo,mmvo,hbs というキーワードでレジストリ内を検索。発見されたキーや値を削除。
 見つかったのは C:\hbs.exe や D:\hbs.exe などと文字列(パス)を保持しており、全て削除しました。

(7) レジストリエディタを終了

(8) コマンドプロンプト起動

(9) 以下のファイルを「del FILENAME /a h」で削除

C:\autorun.inf
C:\hbs.exe
C:\Windows\Prefetch\HBSなんちゃら.pf
C:\Windows\System32\revo.exe
C:\Windows\System32\revo0.dll

その他、USB フラッシュメモリや D ドライブがあればそちらも見てください。
コマンドプロンプトだと、ファイルとディレクトリの一覧は「dir . /a dhs」で見れます。
隠しファイルやシステムファイルを表示するために「/a dhs」というオプションをつけています。
autorun.inf や hbs.exe があれば「del FILENAME /a h」で削除してください。
なお、参考ページにあるように、エクスプローラからでもできますが、「マイコンピュータ」から各ドライブのアイコンをダブルクリックしてアクセスしないようにしてください。
autorun.inf が残っている場合はまたウイルスにやられます。

(10) 再起動

(11) 「隠しファイルを表示する」にチェックを入れてみて、元に戻らなければ駆除完了

*

上記の操作で多分大丈夫です。
今回、実行ファイルの名前は hbs.exe でした。mmvo,kavo,tavo という名前のファイルは一切出てきませんでした。
関係ないですが、デジカメの SD カードにもウイルスがいました。RavMonE.exe というファイル名で、調べてみると限りなくクロだったので削除しました。

パソコンが感染している状態でリムーバルメディアなどを接続すると、ソッコーで感染します。
explorer のプロセスを殺して接続すると感染しませんでした。

*

Windows XP では、リムーバルメディアだと autorun.inf の「open=」に書かれているプログラムは自動実行されないようです。なのでどこからどうやって起動させてるのかわからないのですが、「shell\open\command=」に続けてプログラムのファイル名を記述すると、マイコンピュータからリムーバルメディアのアイコンをダブルクリックして開くとプログラムが実行されます。
まぁこれはまずいかな…

あと f.exe なんてのもありますね。こいつはなんなのかな。似たようなものだとは思いますが。

「ウィルス対策ソフトでは検出されません」とありますが、そんなに広範囲に言っては駄目でしょう。検出率はソフトによって大きく変わります。AntiVir では hbs.exe も f.exe も検出できましたが、友達のパソコンに入ってたウイルスキラーでは検出できませんでした(パターンが最新でなかった可能性もありますが)。

*

ウイルスによって対処方法は変わってきます。ここでは hbs.exe が悪さをする場合について書きました。hbs.exe なんて無い場合、参考ページの PC玉手箱さんの記事を読んでみてください。

あ、この方法を試してみて不具合がおきても俺はなんの責任もとれないのであしからず(お決まり)。
スポンサーサイト
SLだ! | HOME | 痛Gふぇすた

COMMENT

COMMENT FORM


TO SECRET
 

TRACKBACK URL to this Entry

TRACKBACK to this Entry

| HOME |

calendar

S M T W T F S
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -
09« 2017/10 »11

Profile

エイチム

Author:エイチム
programmingに
興味を示す高専生

Diary

Recent Comments

Archives

Category

Link

このブログをリンクに追加する

RSS


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。