ウィルスに感染しました kavo mmvo 続き
感染したパソコンの修復です。
修復手順は複雑ですので、リカバリ(購入時の状態に戻す)が確実で早いとの感触です。
しかし、慣れていないとリカバリに時間がかかりますので、以下の手順が理解できる方は修復作業を試みてください。(手順がよくわからない方は、リカバリを実施してください。リカバリ手順は、購入時の取扱説明書に説明があります)
ただし、この作業はレジストリを変更するので自己責任で実施してください。
(0) 作業の前に
大事なデータはバックアップをとってから実施してください。
レジストリに変更を行います。必ずレジストリのバックアップを作成してください。
レジストリのバックアップ
(1) インターネットオプションから一時ファイルを削除してください。
インターネット一時ファイルの削除手順
Cookie・ファイルともに削除してください。ついでに履歴も。
(2) ウィルス定義を最新版に更新します。
(3) インターネットを「オフライン作業」とする。
ファイル → 「オフライン作業」をチェックする
念のため、パソコンのネットワーク回線を停止してください。(LANカードを取り外す等)
(4) システム全体のウィルスチェックし、ウィルスが検出されないことを確認してください。
(5) システムの復元オプションを無効にしてください。(Windows Me/XP/Vista)
Windows Me/XP/Vista では、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。コンピュータがウィルス、ワーム、またはトロイの木馬に感染した場合、ウィルス、ワーム、またはトロイの木馬のバックアップファイルがf復元ファイル _RESTORE 内に作成されている可能性があります。
Windows XP のシステムの復元機能を有効/無効にする方法
注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。
Vistaのシステム復元機能を無効にする方法
マイコンピュータ 右クリック → プロパティ → システムの保護 → 利用できるディスクのチェックを外す → 適用 チェックがなくなったことを確認して OK
(6) スタートアップからkavoやmmvoを起動しないようにしてください。
スタート→ファイル名を指定して実行 →名前に「msconfig」と入力(「」は入力しません) →システム構成ダイアログが表示されますので、スタートアップタブをクリック →スタートアップ項目(一覧表)
スタートアップにkavoやmmvoがあれば、一覧表のチェックを外してください。
その他、起動時に不要なプログラムのチェックを外してください。(例 picasa、adobeなどインストールしたプログラム)
チェックを外した後、再起動してください。パソコンの再起動が完了するところで、「システム構成ユーティリティを使って Windows の開始方法を変更しました。」と表示されます。「Windows の開始時にこのメッセージを表示しない、またはシステム構成ユーティリティを起動しない」にチェックを付け、OKをクリックしてください。
(7) セーフモードで起動してください。 セーフモードでの起動
(8) レジストリから、以下の手順で、値の削除・変更をしてください。
(A) [Start(スタート)]、[ファイル名を指定して実行]の順にクリックします。
Vista スタート → すべてのプログラム → アクセサリー → ファイル名を指定して実行
(B) regedit と入力します。
(C) その後、[OK]をクリックします。
注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。 こちらの対策
(D) 次のレジストリエントリへ移動して削除します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
kava = "<%System%>\kavo.exe"
mmva = "<%System%>\mmvo.exe"
※:<%System%>はWindowsの種類とインストール時の設定などにより異なります。標準設定では、
Windows 95/98/Me の場合
<Windowsシステムフォルダ> = C:\Windows\System
Windows NT/2000 の場合
<Windowsシステムフォルダ> = C:\WinNT\System32
Windows XP/Server 2003 の場合
<Windowsシステムフォルダ> = C:\Windows\System32
です。
(E) 次のレジストリサブキーのレジストリエントリを確認し、変更されていたら、それらを復元します。(エントリを選択し右クリック → 修正 → 値のデータ)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\(続く)
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"
値 0 の場合には 1 とする(0でなければ修正不要です)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\(続く)
CurrentVersion\Explorer\Advanced\"Hidden"
値 0 の場合には 1 とする(0でなければ修正不要です)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\(続く)
CurrentVersion\Explorer\Advanced\"ShowSuperHidden"
値 0 の場合には 1 とする(0でなければ修正不要です)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\(続く)
CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" 値を091とする
(F) レジストリエディタを終了します(×で閉じる)
これでとりあえず隠しファイルが表示されますが、(9)以降の作業を完了してください(その他の作業をすると元に戻る可能性があります)
ブラウザーによっては、上記レジストリーの表示が途中で途切れるとの指摘がありました。
(続く)で、次行に続いていることを表示しました。
(9) フォルダオプションを変更して、隠しファイル・システムファイルをすべて表示できるようにしてください。
マイコンピュータをexplorerで開き(マイコンピュータで右クリック → エクスプローラで開く ダブルクリックしない) ツール→フォルダオプション
表示タブの表示→ファイルとフォルダの表示で
「すべてのファイルとフォルダを表示」にチェック
「システムフォルダの内容を表示する」をチェック
「登録されている拡張子は表示しない」のチェックをはずす
「保護されたオペレーティングシステムファイルを表示しない」のチェックをはずす。確認メッセージがでますが「はい」をクリック 最後にOKをクリック これで隠しファイルが表示されます。
エクスプローラバーで、C・Dその他ドライブをクリックして、ドライブ直下のファイルを見てください。
ここにnldelect.com nsdelect.com rsdelect.com ntdelect.comなどがあれば、すべて削除してください。(ひとつづつ、クリックして選択→shift+deleteキーにて削除 Ctrlで複数選択するとウィルスが活動し元に戻ります)
間違ってもntdetect.com(NTDETECT.com)は削除しないように
autorun.inf があった場合には、メモ帳で開き、open= の記述があれば、open=XX のXXをメモしてください。
autorun.inf と、メモしたファイルXXを削除してください。例 open=a0fr.bat があれば、a0fr.bat を削除する。
ご注意 autorun.inf を開くと、ウィルスが動き出す場合があります。(隠しファイルが突然消える) この場合には、もう一度最初からやり直し、(9)では、無条件にautorun.inf を削除してください。その後、ルートに残っているファイルを確認し、不要なものは削除してください。(不要か否かは、インターネットで調べてください。わからない場合には、そのまま残してください)
(10) セーフモードを終了し再起動(スタートからシャットダウン→再起動)
(11) 隠しファイルが表示されていることを確認してください。
(9)を再度実行し、隠しファイルが表示されることを確認してください。ここで隠しファイルが表示されない(設定変更しても元に戻る)状態の場合には、(1)から再度実行してください。
(12) 感染ファイルを削除してください。
マイコンピュータをexplorerで開いてください(マイコンピュータで右クリック → エクスプローラで開く ダブルクリックしない)
(A) 検索場所を「マイコンピュータ」にして、検索ファイル名 kavo or mmvo or uu* として検索してください。なお、検索の前に、詳細設定オプションをクリックし、「システムフォルダの検索」、「隠しファイルとフォルダ」、「サブフォルダの検索」にチェックを入れてください。発見されたkavo,mmvo等は、すべて削除してください。(クリックして選択→shift+deleteキーにて削除) 次々と新しいファイル名で作成されるようです。KAVO[0].dll・KAVO[1].dll・その他kavo2.dll類似のファイルがあれば、すべて削除してください。
発見されたuu*(ファイル名の上2桁がuuで始まるファイル) uu.rar やuu[1]など 類似ものがあれば削除してください。
(B) 同じ設定で、検索ファイル名 rbt or pod* で検索してください。 検索結果、rbt.exe pod8tq.dll があれば、削除してください。
(13) インターネットをオンライン作業とする。
ファイル → 「オフライン作業」のチェックを外す
(14) もう一度ウィルス定義を更新してからパソコン全体のウィルスチェックをしてください。(できればNOD32での実施がよいようです)
(15) 「あなたのパソコンは感染しているか?」のチェックをして、感染していないことを確認してください。
スタートアップに、mmvoやkavoがあっても、スタートしない(チェックが入っていない)設定であればOKです。
もし、感染が確認できた場合には、手順を再確認して再度実行してください。手順に誤りがない場合には、今回のウィルス以外の問題点がありますので、リカバリしてください。
(16) システムの復元を元に戻して復元ポイントを作成してください。
(17) フォルダオプションを変更してください。
マイコンピュータをexplorerで開き(マイコンピュータで右クリック → エクスプローラで開く ダブルクリックしない) ツール→フォルダオプション「保護されたオペレーティングシステムファイルを表示しない」のチェックをつける。
これで、パソコンのウィルス駆除ができました。お疲れ様でした。
最後に、このような被害を防ぐため以下の設定をお願いします。
(18) パソコンの設定を変更してください。
・ CDやUSBの自動取り込みを停止する
レジストリエディタを開いて、以下の変更をしてください。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" 値を091からb5に変更する
・ パソコンを守る最低限のセキュリティ対策を確実に実行してください。
・ ウィルス対策ソフトの設定変更
ウィルスを検出したときダイアログが表示されます。このダイアログが短時間で消える設定になっているパソコンがありますので設定を変更してください。
・ 自動取り込みの解除
リムーバブルディスクが接続されると自動的に取り込みを始めるソフトがあります。(elements、picasaその他画像関係のソフト)
自動取り込みになっていると、ウィルスのチェックができませんので、その設定を、オプション・環境の設定などで、変更してください(ダウンローダーの自動起動などのチェックを外す)
・ その他
Adobeアップデータがインストールされていたらアンインストールしてください。
(19) USBメモリーについて
安価で使いやすいUSBメモリーですが、今回のような問題が簡単に発生しますので、取り扱いには注意が必要です。
・データの長期保存用媒体には使わない。(データの持ち運び用の媒体と割り切ってください)
・プログラムは入れない。
・他人のUSBを接続する場合には、自動再生せず、explorerからウィルスチェックを行う。
<補足>
以下の問い合わせがありました。
「手順12の検索してファイルを削除する際に
kavo0.dllというのが残り、これを削除しようとすると
削除エラー(ディスクがいっぱいか書き込み禁止・・・)
が発生し、削除できないのですが、
どのようにしたらよいのでしょうか?」
<回答>
削除エラーで
「ディスクがいっぱいか、書き込み禁止になっていないか またはファイルが使用中ではないか確認してください」
のメッセージが出たと思います。
これは最後の「使用中」が原因だと思われます。
対策 システムの復元が無効になっていますか?(手順5)
無効になっていたら、セーフモードで立ち上げて手順12を実行してみてください。
これで削除できます。
削除完了後、システムの復元を有効にしてください。(蛇足ながら)
トラックバック(0)
このブログ記事を参照しているブログ一覧: ウィルスに感染しました kavo mmvo 続き
このブログ記事に対するトラックバックURL: http://sturnus.net/mt/mt-tb.cgi/4
よい情報をありがとうございます。私も感染して困っています。参考にさせていただいて対処しておりますが,(13)が途中で切れているようで,困っております。正しい書式を教えていただけますでしょう。よろしくお願いいたします。
非常に参考になりました。
自分のノートパソコン(Panasonic Let's Note CF-W2)からウィルスを駆除できたようなのですが、駆除後に「あなたのパソコンは感染しているか?」のチェックをすると、項目C(システム構成のスタートアップ)にて[システム構成ユーティリティ]>[スタートアップ]>の一覧表のなかにまだ mmvo.exe が残っています(チェックタグは外れているのですが)。これはまだ駆除が終わっていないということでしょうか?
ちなみに今のところ、他の再感染の兆候はないようです。
<回答>
一覧表にあってもチェックが外れていたらOKです。
こんにちわ!初めまして!
今回キングソフトFREE版を搭載しておりましたが、ウィルスは察知し、削除したと表示はされますが、完全に削除することは不可能でした。上記にある通りにし完全削除することが出来ました、非常に助かりました!大感謝です!個人的には個人的にリカバリに戻すというのは想像を絶する作業になるので、必死にレジスト変更を強行しました、その結果問題解決しましたので言うこと無しです!今後もがんばってください
はじめまして。
今このウイルスに悩まされており、早速上記のとおりで駆除を試みようと思っています。(リカバリは最悪の時の手段で)
一つ質問なのですが、メディアを媒介するウイルスではありますが、感染している時に焼いたCD-Rなども感染してしまうんでしょうか?
ご存知であれば、ご回答よろしくおねがいします。
<回答>
感染している可能性はあります。
CDをエクスプローラで開き調べてみてください。中にUSBの感染と同じにautorun.infがあればその可能性があります。(通常のデータや写真を焼いたCDにはありません)
なお、CDを差し込み時には、自動起動を止めてください
方法 CDの自動起動を止める http://support.microsoft.com/kb/880207/ja
以上
こんばんは。はじめまして。
私もmmvoに手を焼き、大変困っていました。そんな折、この記事を拝見し、大変助かりました。
ここまで丁寧に解説していただけると、私のような素人でも迷うことがありませんでした。記事にあるとおりに実行し、どうやら完全に駆除できたようです。
本当にありがとうございました。
はじめまして。
息子のノートPCから両親のPCに感染して、息子勘当~っ、とパニックになっております。
レジストリは難しそうなので、やっぱりリカバリ…
リカバリにあたって、SDでファイルのバックアップをとりました。リカバリ後、このSDを差し込んだ途端にまた感染するのでしょうか?お忙しいとは思いますが、お返事お待ちしております。
<回答>SDでバックアップ
SDも感染している可能性が高いです。
以下のようにSDからウィルスを削除してください。
1 SDを差し込む 自動起動画面が開きますので、「何もしない」を指定
2 マイコンピュータを右クリック エクスプローラで開く
3 SDカード(リムーバブルディスク)を右クリック エクスプローラで開く
4 autorun.inf があれば、選択してシフトを押しながら削除キー
バックアップはユーザーのデータファイルのみと考えられますので4を済ましてから、必要なファイルのみをリストアしてください。
(たぶん)これでいいと思います。
こんばんは。はじめまして。
私もkavo.exeに悩まされましたがこのサイトで
駆除できました。ありがとうございます。
セーフモードでレジストリ変更、msconfigでkavoの
チェック外し・・など。
一つお聞きしたいのですがよろしいでしょうか?
C\windows\system32の中にはもうkavo.exeは無いのですが
kavo.exeがまだmsconfigでC\windows\system32にあると
表示されています。チェックが外れていればOKとの事ですが
これはショートカットアイコンと同じく表示はされているが
中身が無いファイル、という事なのでしょうか?
<回答>レジストリに残っています。
これを削除するには、こちらを参考にしてください。
http://journal.mycom.co.jp/column/winxp/215/index.html
はじめまして、こちらの情報のお陰で無事駆除ができました。
ありがとうございました。
検出されるウイルス名などが違うものもありましたので、引き続き注意は必要だと思います。
トラックバックさせていただきました。
私もこのウイルスに悩まされ 結果、次の方法が 一番てっとり早いようになってしまいました。フリーソフトのpc-cleanとシェアウェアのfilevisor(試用利用で)をネットでダウンロードし、まずpc-cleanでスタートアップからkava kavoを削除するmsconfigより簡単だし変なメッセージが出てこないですみます。次に隠しファイルを表示させないようなウイルスなのでfilevisorを起動させます。cやdのルートドライブにautorun.inf や変なバッチファイル .bat .com
を削除します。ただし、けっしてautoexe.batは消さないこと。そして、windows\system32\の中にkavo kavo0 kavo1等があると思います。それを削除します。ただし、使用中でkavo0あたりは削除できません。そこで再起動後すぐにkavo0を削除します。(スタートアップのkava と autorun.infを削除してあれば)再起動後はkavo0を削除できます。
はじめまして。
ウイルスに感染して、10ほどHPを回りましたが、
ここが一番順序通りに、かつ説明が行き届いていて(他では説明不足でそれを調べるために更に別HPへ…という感じで大変でした)大変助かりました。
私の場合は、原因はrevo.exeというものでしたが、同様の手順で全て駆除できました。
どうもありがとうございました!
はじめまして。
ウイルスに感染して、10ほどHPを回りましたが、ここが一番順序通りに、かつ説明が行き届いていて(他では説明不足でそれを調べるために更に別HPへ…という感じで大変でした)大変助かりました。
私の場合は、原因はrevo.exeというものでしたが、同様の手順で全て駆除できました。
どうもありがとうございました!
管理人より このウィルスの亜種がたくさんあるようです。ご注意ください。
作業9の項目で
ここにnldelect.com nsdelect.com rsdelect.com ntdelect.comなどがあれば、すべて削除してください。(ひとつづつ、クリックして選択→shift+deleteキーにて削除 Ctrlで複数選択するとウィルスが活動し元に戻ります)
間違ってもntdetect.com(NTDETECT.com)は削除しないように
と書いてますが、最後一行の「間違ってもntdetect.com(NTDETECT.com)は削除しないように」を見る前に削除してしまいました。
ntdelect.comと一字違いのため見落としました・・
Ctrl+Zでも戻らず、ゴミ箱にもなかったためPC再起動したところ、OS画面までいかずまったく立ち上がりません。
セーフモードも起動できません。
何か解決策ございますでしょうか?
よろしくお願いします。
はじめまして。
わたしも先日このウイルスの亜種と思われるものに感染してしまいました。
海外(アジア)ですが、データのやりとりを行った業者のUSBから進入したようです。
今はキングソフト社の無料ウイルスソフトを使用させていただいております。
例えばUSBのメモリーを挿入するとウイルスを察知して削除したと警告がでますが、どうも潜られるみたいで完全には削除しきれないようです。
どのようにしても「すべてのファイルとフォルダを表示する」が設定できずにいましたら、ここの方法で解決することができました。
本当にありがとうございました。
ちなみにわたしの記録媒体には全部感染していました。
デジカメのSDカードにまで感染していたことには驚きです。
出てきた怪しいファイルは次の通りでたくさんありました。
autorun.inf vnkucvv.com 39ysi89.com ntnq.exe
s9l.exe vmyphd.bat 2g.com
のファイルを全部削除しました。
遅ればせながら、revoウィルスと戦ってました。
削除方法については、大いに参考にさせていただきました。
私の場合は、shift+deleteでファイルを削除している最中に、他のファイルが突然不可視になってしまい、何度繰り返しても同じ。
結局、懐かしいDOS時代のファイル管理ソフトFDのお世話になり、メモリースティック上にあったデータファイル以外のファイル(20種類以上)をメモ書きしたうえで全て削除。
その上で、ハードディスク上の同じ名前のファイルを同じくFDで削除しまくりました。
その後、エクスプロアラー上で全てのファイルを可視化し、さらにmmv*といったファイルやその他怪しげなファイルもついでに削除。
windowsに変わってからは、OSには触らないようにしていましたが、今回は特別。10年ぶりぐらいですね。
ありがとうございました。