ierdfgh.exe ウイルス (usbメモリ感染ウイルス)
■ USBメモリタイプのウイルス は、
USBメモリ内の autorun.inf と そこに記述された実行ファイルがウイルス。
Windowsの自動実行機能が仇になって、USBメモリを挿しただけで感染する。
■ ierdfgh.exe ウイルス は、
ローカルドライブ(c:等)にautorun.infを作って、そこからもウイルスを起動できるようにされてしまう。
autorun.infとウイルスの実体はシステム属性+隠し属性を持ってる。(c:ドライブ直下にあった。c:\9max.cmd)
スタートアップにウイルスが登録されてしまう。(ierdfgh というエントリだった)
スタートアップから起動されるウイルスの実体もシステム属性+隠し属性。(システムドライブにあった。c:\windows\system32\ierdfgh.exe)
autorun.inf がエクスプローラから見えない。
エクスプローラで全てのファイルを表示するオプションが設定しても直ぐに元に戻る。
attrib -s -h -r autorun.inf で見えるように変更は出来るが、しばらくすると元に戻る。
attrib -s -h -r autorun.inf で解除後、削除もできるが、しばらくすると復活する。
msconfig でスタートアップを解除しても、直ぐに新しく登録されてしまう。
■駆除手順
厄介な事きわまりないので、バッチファイルを作って一気に対応する。
再作成される前のスキに対処。セーフモードで対応してもOK。
○delvirus.bat
attrib -r -s -h autorun.inf
rename autorun.inf autorun.bak
mkdir c:\autorun.inf
attrib -r -s -h 9max.cmd
rename 9max.cmd 9max.bak
msconfigでierdfghスタートアップから解除する。
実体ファイルを削除する。c:\windows\system32\ierdfgh.exe
再起動する。
レジストリエディタでエントリを修正する。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
checkedvalue エントリを 1にする。
レジストリエディタを閉じる。
もう一度レジストリエディタを開く。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
checkedvalue エントリを確認する。1になっていればOK
エクスプローラのフォルダオプションで全てのファイルを表示するオプションを有効にする。
一回閉じて、そのオプションが元に戻ってい無い事を確認する。
これで、ウイルスの起動はひとまず止まってます。
最後に、ウイルスのレジストリエントリを削除する。
パスはmsconfigで無効にした場所にある。(HKCUはHKEY_LOCAL_USERの事です)
☆ウイルスには亜種が多いので、駆除したつもりでもWindows内にうじゃうじゃ潜んでいるかも・・・。 早めにクリーンインストール(リカバリー)をお勧めします。
■予防策
・http://jp.trendmicro.com/jp/threat/solutions/usb/
・ローカルドライブ(c:とかd:)やUSBメモリの中に「autorun.inf」のフォルダを作っておくと、
USBメモリ経由のウイルス感染を防げるようだ。
・自動実行を止めておく。
パッチがあるのでよく読んで対処する事。
http://internet.watch.impress.co.jp/cda/news/2009/02/26/22598.html