パソコン相談会で使用しているパソコンがウィルスに感染しました。
USBメモリーを通じて感染が広がりました。このウィルスは、次の名前で、ウィルス対策ソフトで検出されます。
(King Soft) : Win32.hack.NSAnti.ge
(ウイルスバスター) : W32.Gammima.AG
(ウイルスセキュリティ): Rookit.Win32.Vanti.ft
このウィルスは、いったん感染すると、CからZまでのすべてのドライブに自分自身(ファイル [ドライブ文字]:\n*delect.com) * いろいろな文字)とオートラン( [ドライブ文字]:\autorun.inf)ファイルを作ります。そのドライブがアクセスされるとこのオートランが実行されます。このオートランは、インターネットに接続し、uu.rarをダウンロード→tempにrbt.exeを作成、レジストリ改変(mmvo.exe、kavo.exe)、実行プログラム(mmvo0.dll,mmvo1.dll等)をシステムフォルダに作成しています。このウィルスは、実行されるまでウィルス対策ソフトでの検出が難しいとのことで、実行されていない時点でスキャンしても何も出てこないようです。
(キャノンのウィルス対策ソフト NOD32 は検出できるとのことです。余裕のある方は、キャノンシステムソルーションのサイトより、NOD32をダウンロードして、利用してみてください。30日間無料の体験版があります)
このウィルスは、オンラインゲームの情報を盗むものとの報告がありますが、その他に以下の現象も報告されています
・隠しファイルが表示できない
・マイコンピュータのCドライブやDドライブのアイコンをダブルクリックすると、ファイルを開くプログラムの選択画面が出て、参照でwindowsフォルダから、explorer.exeを起動すると開く(文字化けのケースも報告されています)
(これはntdelect.comファイルが上書きまたは作成されてプログラムの関連付けができていないからです)
感染しているパソコンでUSBメモリーを使用すると、簡単に他のパソコンに感染しますので、確実に駆除しておく必要があります。
まず、このウィルスに感染しているか確認してみましょう。
<全般ご注意>
(1) 作業中 explorer(エクスプローラ)で多くのファイルの確認をします。ファイルの表示には、必ずexplorerを 使用し、絶対にダブルクリックで開かないようにしてください。(ダブルクリックすると、ウィルスが活動を始めます)
エクスプローラの表示 マイコンピュータを開いて、「表示」→「エクスプローラバー」→「フォルダ」をクリックします。左に表示されるフォルダで確認したいドライブ・フォルダ・リムーバブルディスクを選択します。右側にその内容が表示されます。
スタート → 右クリック → エクスプローラ all user も利用できます。
(2) フォルダオプションの設定
マイコンピュータをexplorerを開き、ツール→フォルダオプション→全般タブ クリック方法
シングルクリックで選択し、ダブルクリックで開く設定にしてください。
(3) ウィルスが検出されたら、ウィルス対策ソフトの指示に従い、駆除・隔離した後、再度チェックして、検出されないことを確認してください。
リムーバブルディスク(USB・デジカメメモリー・ポータブルハードディスク等)の感染チェック
(1) ウィルスチェックし、ウィルスが検出されないことを確認してください。
(2) リムーバブルディスクをexplorerで開き(ダブルクリックしない)、
autorun.infがあれば、メモ帳でファイルを開きます(ダブルクリックしない)。そこに以下の記述がありますか?
(autorun.infがなければOK)
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com
この記述のみである場合には、このファイルを削除してください。(選択 → shift+deleteキーで) その後、(必要ファイルを外部に移動した上で)フォーマットしてください。
その他の記述がある場合には、この記述のみを削除して、上書きしてください。
(くれぐれもダブルクリックで開かないように。開くとまたパソコンが感染します)
パソコンの感染チェック あなたのパソコンは感染しているか?
以下の項目をチェックしてください。
A 隠しファイルは表示できますか?(フォルダオプションですべて表示を設定)
マイコンピュータをexplorerで開き(マイコンピュータで右クリック → エクスプローラで開く ダブルクリックしない) ツール→フォルダオプション
表示タブの表示→ファイルとフォルダの表示で
「すべてのファイルとフォルダを表示」にチェック
「システムフォルダの内容を表示する」をチェック
「登録されている拡張子は表示しない」のチェックをはずす
「保護されたオペレーティングシステムファイルを表示しない」のチェックをはずす。確認メッセージがでますが「はい」をクリック
最後にOKをクリック
これでローカルディスクCをexplorerで開き(ドライブを選択 ダブルクリックしない)、右にAUTOEXEC.BATファイル(vistaでは bootmgr)が表示されていますか?表示されていない場合には、隠しファイルが表示されていません。(フォルダオプションを見ると元に戻っています)
隠しファイルが表示できないとウィルスに感染しています。
B 表示できたら、ドライブを見てください。
ドライブをexplorerで開き(ドライブを選択 ダブルクリックしない)、
autorun.infがあれば、メモ帳でファイルを開きます。そこに以下の記述がありますか?(autorun.infがなければOK)
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com
各(C・D・E)その他接続されているドライブで確認してください。
C システム構成のスタートアップにkavoやmmvoがありますか?
スタート→ファイル名を指定して実行 →名前に「msconfig」と入力(「」は入力しません) →システム構成ダイアログが表示されますので、スタートアップタブをクリック →スタートアップ項目(一覧表)を見てください。この一覧表の中に、kavo.exeやmmvo.exeがありますか?
D レジストリにmmvo.exe、kavo.exeがありますか?
セーフモードで起動してください。
起動後、スタート→ファイル名を指定して実行
名前のところに「regedit」と入力(「」は入力しません)→ レジストリの階層が左側に表示されますから一番上から2つ目の+HKEY CURRENT USER の左端の+をクリックして、その下のSoftwareの+をクリックして、その下のMicrosoftの+をクリックして、その下のWindowsの+をクリックして、その下のCurrentVersionの+をクリックして、その下のRUNをクリックする。右側に名前と種類とデータが表示されています。このデータの中にmmvo.exe、kavo.exe がありますか?
E C:\windows\system32に、KAVO.exe・KAVO[0].dll・KAVO[1].dll・その他kavo2.dll類似のファイル、ローカルドライブCやDの直下に nldelect.com nsdelect.com rsdelect.com(ntdetect.comは正常です)などのファイルがありますか?
隠しファイルやシステムファイルも含めて検索してください。
上記いずれかの状況にあれば、あなたのパソコンはウィルスに感染しています。
