職場のパソコン、みんな感染していた(泣)
というわけで、駆除作業。
だが、最新のパターンファイルを入れれば、ファイル自体は簡単に見つけてくれるのだが…
結構レジストリなんかもいじってくれていて、きちんと元に戻す方が大変だった。
悩んだあげくの、一応の解決策。
エクスプローラなどで、「隠しファイルを表示」に設定しても勝手に戻ってしまう人、怪しいかも。
ちなみに「ファイル名を指定して実行」でmsconfigを実行し、
スタートアップの中に「mmvo」があれば、感染確定です。
まずは感染したPCの方。
①システムの自動修復を止めておく。(Windowsに自動的に設定を戻されることがある)
…マイコンピュータを右クリック 「プロパティ」
(コントロールパネルの「システム」でもよい)
→ 「システムの復元」タブの「全てのドライブでシステムの復元を無効にする」をチェック
②Windowsを「セーフモード」で再起動。
電源を入れてすぐ、Windowsのマークが出る前に「F8」キーを連打し、セーフモードを選ぶ。
③ファイルの削除(対策ソフトが入っていたら、すでに削除されてるかも)
ウイルスソフトがあるなら、最新のパターンファイルで検索し削除。
ないなら、mmv*.*を検索(詳細オプションで隠しファイルも含む)し、
\Windows\System32にあるmmvo.exeやmmvo0.dll、mmvo1.dllを削除
④レジストリ編集(自己責任で!!)
「ファイルを指定して実行」より「REGEDIT」
トレンドマイクロ WORM_ONLINEG.AV
この他に、レジストリ内を「bm.bat」で検索し、関連の所を消しておく。
(このファイルは別名のこともあるので、環境に応じて対応を)
⑤エクスプローラで、HDD内のルートに作られた「autorun.inf」を削除
このファイルは、隠し属性+システムファイル属性を持っているので見つけにくい。
これが残っていると、この後マイコンピュータからHDDをクリックすると、
消されてしまった「bm.bat」を起動しようとしてエラーになる。
Cだけでなく、DやEなど、全て消しておく。
⑥再起動し通常モード。ウイルス検索。
マイコンピュータからHDDを開き、「bm.batがありませんエラー」も出ず、通常通り隠しファイル・システムファイルまで表示されればよい。
(システムファイルは表示しない設定に戻しておいた方が無難か、と)
あとは、利用したUSBメモリやMOなどをチェック。
基本的には隠し&システム属性でルートに「autorun.inf」と「bm.bat」が作られているので、削除です。
シフトを押しながら差せば、自動実行は回避できますよ。
これで再発がないよう、様子を見ることにする。