2008年1月アーカイブ

感染したパソコンの修復です。

修復手順は複雑ですので、リカバリ（購入時の状態に戻す）が確実で早いとの感触です。
しかし、慣れていないとリカバリに時間がかかりますので、以下の手順が理解できる方は修復作業を試みてください。（手順がよくわからない方は、リカバリを実施してください。リカバリ手順は、購入時の取扱説明書に説明があります）
ただし、この作業はレジストリを変更するので自己責任で実施してください。

（０）　作業の前に
大事なデータはバックアップをとってから実施してください。
レジストリに変更を行います。必ずレジストリのバックアップを作成してください。
　　　　　　　　　　　レジストリのバックアップ

（１）　インターネットオプションから一時ファイルを削除してください。
　　　　　　　　　　インターネット一時ファイルの削除手順
Cookie・ファイルともに削除してください。ついでに履歴も。

（２）　ウィルス定義を最新版に更新します。

（３）　インターネットを「オフライン作業」とする。
ファイル　→　「オフライン作業」をチェックする
念のため、パソコンのネットワーク回線を停止してください。（LANカードを取り外す等）

（４） システム全体のウィルスチェックし、ウィルスが検出されないことを確認してください。

（５） システムの復元オプションを無効にしてください。（Windows Me/XP/Vista）
Windows Me/XP/Ｖｉｓｔａ では、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。コンピュータがウィルス、ワーム、またはトロイの木馬に感染した場合、ウィルス、ワーム、またはトロイの木馬のバックアップファイルがf復元ファイル _RESTORE 内に作成されている可能性があります。
Windows XP のシステムの復元機能を有効/無効にする方法
 注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。
Vistaのシステム復元機能を無効にする方法
マイコンピュータ　右クリック　→　プロパティ　→　システムの保護　→　利用できるディスクのチェックを外す　→　適用　チェックがなくなったことを確認して　OK

（６）　スタートアップからkavoやmmvoを起動しないようにしてください。
スタート→ファイル名を指定して実行　→名前に「msconfig」と入力(｢｣は入力しません)　→システム構成ダイアログが表示されますので、スタートアップタブをクリック　→スタートアップ項目(一覧表)
スタートアップにkavoやmmvoがあれば、一覧表のチェックを外してください。
その他、起動時に不要なプログラムのチェックを外してください。(例　picasa、adobeなどインストールしたプログラム)

チェックを外した後、再起動してください。パソコンの再起動が完了するところで、「システム構成ユーティリティを使って Windows の開始方法を変更しました。」と表示されます。「Windows の開始時にこのメッセージを表示しない、またはシステム構成ユーティリティを起動しない」にチェックを付け、OKをクリックしてください。

（７）　セーフモードで起動してください。　セーフモードでの起動

パソコン相談会で使用しているパソコンがウィルスに感染しました。

USBメモリーを通じて感染が広がりました。このウィルスは、次の名前で、ウィルス対策ソフトで検出されます。
（King Soft）　　　　　　 ：              Win32.hack.NSAnti.ge
（ウイルスバスター）　　：　 　　　 　W32.Gammima.AG　
（ウイルスセキュリティ）：　　　　　　Rookit.Win32.Vanti.ft　
このウィルスは、いったん感染すると、CからZまでのすべてのドライブに自分自身（ファイル　[ドライブ文字]:\n*delect.com）　*　いろいろな文字）とオートラン（　[ドライブ文字]:\autorun.inf）ファイルを作ります。そのドライブがアクセスされるとこのオートランが実行されます。このオートランは、インターネットに接続し、uu.rarをダウンロード→tempにrbt.exeを作成、レジストリ改変（mmvo.exe、kavo.exe）、実行プログラム（mmvo0.dll,mmvo1.dll等）をシステムフォルダに作成しています。このウィルスは、実行されるまでウィルス対策ソフトでの検出が難しいとのことで、実行されていない時点でスキャンしても何も出てこないようです。
（キャノンのウィルス対策ソフト　NOD32 は検出できるとのことです。余裕のある方は、キャノンシステムソルーションのサイトより、NOD32をダウンロードして、利用してみてください。30日間無料の体験版があります）

このウィルスは、オンラインゲームの情報を盗むものとの報告がありますが、その他に以下の現象も報告されています
･隠しファイルが表示できない
・マイコンピュータのCドライブやDドライブのアイコンをダブルクリックすると、ファイルを開くプログラムの選択画面が出て、参照でwindowsフォルダから、explorer.exeを起動すると開く（文字化けのケースも報告されています）
（これはntdelect.comファイルが上書きまたは作成されてプログラムの関連付けができていないからです）

感染しているパソコンでUSBメモリーを使用すると、簡単に他のパソコンに感染しますので、確実に駆除しておく必要があります。
まず、このウィルスに感染しているか確認してみましょう。

＜全般ご注意＞

（１）　作業中　explorer（エクスプローラ）で多くのファイルの確認をします。ファイルの表示には、必ずexplorerを 使用し、絶対にダブルクリックで開かないようにしてください。（ダブルクリックすると、ウィルスが活動を始めます）

   エクスプローラの表示　マイコンピュータを開いて、「表示」→「エクスプローラバー」→「フォルダ」をクリックします。左に表示されるフォルダで確認したいドライブ・フォルダ・リムーバブルディスクを選択します。右側にその内容が表示されます。
スタート　→　右クリック　→　エクスプローラ　ａｌｌ　user　も利用できます。

（２）　フォルダオプションの設定
マイコンピュータをexplorerを開き、ツール→フォルダオプション→全般タブ　クリック方法
シングルクリックで選択し、ダブルクリックで開く設定にしてください。

（３）　ウィルスが検出されたら、ウィルス対策ソフトの指示に従い、駆除・隔離した後、再度チェックして、検出されないことを確認してください。