2005年06月06日

山田ウイルスの駆除2

どんどん亜種が出てきているので、前に書いた古い記事じゃダメっぽいです。
感染者も、このブログに来ているようなので新たに書き直しておきます。
駆除できずに帰って行くようで、ちょっと責任感じました(汗)
ただ、自分は知識乏しいです。間違いだらけかもしれません。
PCがおかしくなっても知りません。あくまで自己責任で…。

【感染確認法】
かつてはhttp://127.0.0.1/をクリックして、ページが表示されなければセーフだった。
しかし、亜種にはこの確認法は使えないようです。
串での確認方法を試してみてください。

また、ニュイルス日誌で山田チェックツールなるものが配布されています。作者様の懸命な努力により日々バージョンアップしていますが、どんどん新しい山田ウイルスが出回るのでチェックツールをすり抜けてしまう場合もあるようです。ただ、ほとんどの山田は検出できると思いますので作者様に感謝しつつチェックしてみて下さい。

【駆除方法】
ウイルスの本体は、初期の山田ではyoujo(空白).exeだったが、今の主流はsvchost.exeというファイル名のものです。他にもrundll32.exe、mdi.exeだったという情報もあるようです。

タスクマネージャーのプロセスで、NETWORK SERVICEやLOCAL SERVICEで動いているC:\WINDOWS\System32\svchost.exeは、もともとあるものなので大丈夫です。というか消してはいけません。
環境によってはC:\WINDOWS\PrefetchやC:\WINDOWS\SoftWareDistributionにもある場合があるそうですが、これも大丈夫とのこと。
あとC:\WINDOWS\ServicePackFiles\i386にあったり。SYSTEMで動いていたり…。
ほんと人によって様々みたいです。

上記の場所と違うところにあって、ユーザー名で動いているsvchost.exeがウイルスの本体っぽいです(どこにウイルス本体が作成されるかは、はっきりしていません。ランダム?)
今後の亜種はわかりませんが、今の所は「ユーザー名」がポイントのようです。
使用者のユーザー名でsvchost.exeが動いてたら、感染している可能性が高いです。
作成日等をチェックして新しければ疑わしいでしょう。
とりあえず、そのプロセスを終了させて削除。

次に、hostsファイルが改竄されている場合は、それの修正。
※HOSTSファイルは通常以下のいずれかの場所にあります。
<Windowsシステムフォルダ>\drivers\etc\hosts
<Windowsフォルダ>\hosts
普通は、#でコメントアウトされた行と「127.0.0.1 localhost」という行しかありません。
身に覚えがないのに他の行があれば、それを削除。

あとは、ウイルスのフォルダを削除です。
このフォルダ名はmellpon、fusianasan、kawaisosu、yamada、tanaka等様々です。
C.html等のハードディスク内のファイルインデックスが入っているはずです。
フォルダごと削除。

最後に、レジストリ又はスタートアップが書き換えられている場合もあるので、それを修正しておしまい。
ウイルスやスパイウェアによって作成されたレジストリの削除方法
スタート→すべてのプログラム→スタートアップ、順番に右クリックしてプロパティを確認。
そのリンク先がウィルスになっていたら削除。

注意)亜種が出続けているので、新種の場合上記のことでは通用しないかもしれません。
って書いてるうちに続々と新種報告が…コワイス

参考:
山田ウイルスとは(kawaisosu @Wiki)
Uploader-X(マカフィー)
TROJ_MELLPON.A(トレンドマイクロ)
TROJ_MELLPON.B(トレンドマイクロ)
TROJ_MELLPON.D(トレンドマイクロ)
TROJ_MELLPON.E(トレンドマイクロ)
TROJ_MELLPON.F(トレンドマイクロ)
TROJ_MELLPON.L(トレンドマイクロ)
TROJ_DROPPER.BT(トレンドマイクロ)
Backdoor.Trojan (シマンテック)
山田ヲチスレ(ダウンロードソフト板内)

関連サイト:
kawaisosu @Wiki(まとめサイト)
http://www2.atwiki.jp/kawaisosu/
ニュイルス日誌 (山田ウイルスチェックツールあり)
http://blog.livedoor.jp/antiny_virus/
ヤマイモ木から生えてくる観察ブログ
http://nemoba.seesaa.net/article/2891535.html
posted by きみ at 23:03 | Comment(0) | TrackBack(5) | くだらん雑記

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。