ウィルスに感染しました kavo mmvo 続き

2008年1月 2日 17:38 パソコン応援隊 | | コメント(5) | トラックバック(0)

感染したパソコンの修復です。

修復手順は複雑ですので、リカバリ(購入時の状態に戻す)が確実で早いとの感触です。
しかし、慣れていないとリカバリに時間がかかりますので、以下の手順が理解できる方は修復作業を試みてください。(手順がよくわからない方は、リカバリを実施してください。リカバリ手順は、購入時の取扱説明書に説明があります)
ただし、この作業はレジストリを変更するので自己責任で実施してください。

(0) 作業の前に
大事なデータはバックアップをとってから実施してください。
レジストリに変更を行います。必ずレジストリのバックアップを作成してください。
           レジストリのバックアップ

(1) インターネットオプションから一時ファイルを削除してください。
          インターネット一時ファイルの削除手順
Cookie・ファイルともに削除してください。ついでに履歴も。

(2) ウィルス定義を最新版に更新します。

(3) インターネットを「オフライン作業」とする。
ファイル → 「オフライン作業」をチェックする
念のため、パソコンのネットワーク回線を停止してください。(LANカードを取り外す等)

(4) システム全体のウィルスチェックし、ウィルスが検出されないことを確認してください。

(5) システムの復元オプションを無効にしてください。(Windows Me/XP/Vista)
Windows Me/XP/Vista では、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。コンピュータがウィルス、ワーム、またはトロイの木馬に感染した場合、ウィルス、ワーム、またはトロイの木馬のバックアップファイルがf復元ファイル _RESTORE 内に作成されている可能性があります。
Windows XP のシステムの復元機能を有効/無効にする方法
 注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。
Vistaのシステム復元機能を無効にする方法
マイコンピュータ 右クリック → プロパティ → システムの保護 → 利用できるディスクのチェックを外す → 適用 チェックがなくなったことを確認して OK

(6) スタートアップからkavoやmmvoを起動しないようにしてください。
スタート→ファイル名を指定して実行 →名前に「msconfig」と入力(「」は入力しません) →システム構成ダイアログが表示されますので、スタートアップタブをクリック →スタートアップ項目(一覧表)
スタートアップにkavoやmmvoがあれば、一覧表のチェックを外してください。
その他、起動時に不要なプログラムのチェックを外してください。(例 picasa、adobeなどインストールしたプログラム)

チェックを外した後、再起動してください。パソコンの再起動が完了するところで、「システム構成ユーティリティを使って Windows の開始方法を変更しました。」と表示されます。「Windows の開始時にこのメッセージを表示しない、またはシステム構成ユーティリティを起動しない」にチェックを付け、OKをクリックしてください。

(7) セーフモードで起動してください。 セーフモードでの起動

(8)  レジストリから、以下の手順で、値の削除・変更をしてください。
(A)  [Start(スタート)]、[ファイル名を指定して実行]の順にクリックします。
    Vista スタート → すべてのプログラム → アクセサリー → ファイル名を指定して実行
(B)  regedit と入力します。
(C)  その後、[OK]をクリックします。
注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。 こちらの対策
(D)  次のレジストリエントリへ移動して削除します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
kava = "<%System%>\kavo.exe"
mmva = "<%System%>\mmvo.exe"
※:<%System%>はWindowsの種類とインストール時の設定などにより異なります。標準設定では、
 Windows 95/98/Me の場合
<Windowsシステムフォルダ> = C:\Windows\System
 Windows NT/2000 の場合
<Windowsシステムフォルダ> = C:\WinNT\System32
Windows XP/Server 2003 の場合
<Windowsシステムフォルダ> = C:\Windows\System32
です。

(E)  次のレジストリサブキーのレジストリエントリを確認し、変更されていたら、それらを復元します。(エントリを選択し右クリック → 修正 → 値のデータ)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\(続く)
      CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"
    値 0 の場合には 1 とする(0でなければ修正不要です)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\(続く)
     CurrentVersion\Explorer\Advanced\"Hidden" 
    値 0 の場合には 1 とする(0でなければ修正不要です)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\(続く)
    CurrentVersion\Explorer\Advanced\"ShowSuperHidden"
    値 0 の場合には 1 とする(0でなければ修正不要です)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\(続く)
   CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" 値を091とする
(F)  レジストリエディタを終了します(×で閉じる)
これでとりあえず隠しファイルが表示されますが、(9)以降の作業を完了してください(その他の作業をすると元に戻る可能性があります)

 ブラウザーによっては、上記レジストリーの表示が途中で途切れるとの指摘がありました。
 (続く)で、次行に続いていることを表示しました。

(9) フォルダオプションを変更して、隠しファイル・システムファイルをすべて表示できるようにしてください。
マイコンピュータをexplorerで開き(マイコンピュータで右クリック → エクスプローラで開く  ダブルクリックしない) ツール→フォルダオプション
表示タブの表示→ファイルとフォルダの表示で
「すべてのファイルとフォルダを表示」にチェック
「システムフォルダの内容を表示する」をチェック
「登録されている拡張子は表示しない」のチェックをはずす
「保護されたオペレーティングシステムファイルを表示しない」のチェックをはずす。確認メッセージがでますが「はい」をクリック  最後にOKをクリック これで隠しファイルが表示されます。
エクスプローラバーで、C・Dその他ドライブをクリックして、ドライブ直下のファイルを見てください。
ここにnldelect.com nsdelect.com rsdelect.com ntdelect.comなどがあれば、すべて削除してください。(ひとつづつ、クリックして選択→shift+deleteキーにて削除 Ctrlで複数選択するとウィルスが活動し元に戻ります)
間違ってもntdetect.com(NTDETECT.com)は削除しないように
autorun.inf があった場合には、メモ帳で開き、open= の記述があれば、open=XX のXXをメモしてください。
autorun.inf と、メモしたファイルXXを削除してください。例 open=a0fr.bat があれば、a0fr.bat を削除する。

ご注意 autorun.inf を開くと、ウィルスが動き出す場合があります。(隠しファイルが突然消える) この場合には、もう一度最初からやり直し、(9)では、無条件にautorun.inf を削除してください。その後、ルートに残っているファイルを確認し、不要なものは削除してください。(不要か否かは、インターネットで調べてください。わからない場合には、そのまま残してください) 

(10) セーフモードを終了し再起動(スタートからシャットダウン→再起動)

(11) 隠しファイルが表示されていることを確認してください。
(9)を再度実行し、隠しファイルが表示されることを確認してください。ここで隠しファイルが表示されない(設定変更しても元に戻る)状態の場合には、(1)から再度実行してください。

(12) 感染ファイルを削除してください。
マイコンピュータをexplorerで開いてください(マイコンピュータで右クリック → エクスプローラで開く  ダブルクリックしない)
(A) 検索場所を「マイコンピュータ」にして、検索ファイル名 kavo or mmvo or uu*  として検索してください。なお、検索の前に、詳細設定オプションをクリックし、「システムフォルダの検索」、「隠しファイルとフォルダ」、「サブフォルダの検索」にチェックを入れてください。発見されたkavo,mmvo等は、すべて削除してください。(クリックして選択→shift+deleteキーにて削除) 次々と新しいファイル名で作成されるようです。KAVO[0].dll・KAVO[1].dll・その他kavo2.dll類似のファイルがあれば、すべて削除してください。
発見されたuu*(ファイル名の上2桁がuuで始まるファイル) uu.rar やuu[1]など  類似ものがあれば削除してください。
(B) 同じ設定で、検索ファイル名 rbt or pod* で検索してください。 検索結果、rbt.exe pod8tq.dll があれば、削除してください。

(13) インターネットをオンライン作業とする。
ファイル → 「オフライン作業」のチェックを外す

(14) もう一度ウィルス定義を更新してからパソコン全体のウィルスチェックをしてください。(できればNOD32での実施がよいようです)

(15) 「あなたのパソコンは感染しているか?」のチェックをして、感染していないことを確認してください。
スタートアップに、mmvoやkavoがあっても、スタートしない(チェックが入っていない)設定であればOKです。
もし、感染が確認できた場合には、手順を再確認して再度実行してください。手順に誤りがない場合には、今回のウィルス以外の問題点がありますので、リカバリしてください。

(16) システムの復元を元に戻して復元ポイントを作成してください。

(17) フォルダオプションを変更してください。
マイコンピュータをexplorerで開き(マイコンピュータで右クリック → エクスプローラで開く  ダブルクリックしない) ツール→フォルダオプション「保護されたオペレーティングシステムファイルを表示しない」のチェックをつける。


これで、パソコンのウィルス駆除ができました。お疲れ様でした。

最後に、このような被害を防ぐため以下の設定をお願いします。

(18) パソコンの設定を変更してください。
・ CDやUSBの自動取り込みを停止する
レジストリエディタを開いて、以下の変更をしてください。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" 値を091からb5に変更する
・ パソコンを守る最低限のセキュリティ対策を確実に実行してください
・ ウィルス対策ソフトの設定変更
 ウィルスを検出したときダイアログが表示されます。このダイアログが短時間で消える設定になっているパソコンがありますので設定を変更してください。
・ 自動取り込みの解除
リムーバブルディスクが接続されると自動的に取り込みを始めるソフトがあります。(elements、picasaその他画像関係のソフト)
自動取り込みになっていると、ウィルスのチェックができませんので、その設定を、オプション・環境の設定などで、変更してください(ダウンローダーの自動起動などのチェックを外す)
・ その他
Adobeアップデータがインストールされていたらアンインストールしてください。

(19) USBメモリーについて
安価で使いやすいUSBメモリーですが、今回のような問題が簡単に発生しますので、取り扱いには注意が必要です。
・データの長期保存用媒体には使わない。(データの持ち運び用の媒体と割り切ってください)
・プログラムは入れない。
・他人のUSBを接続する場合には、自動再生せず、explorerからウィルスチェックを行う。

カテゴリ:

トラックバック(0)

このブログ記事を参照しているブログ一覧: ウィルスに感染しました kavo mmvo 続き

このブログ記事に対するトラックバックURL: http://sturnus.net/mt/mt-tb.cgi/4

コメント(5)

おたさん :

よい情報をありがとうございます。私も感染して困っています。参考にさせていただいて対処しておりますが,(13)が途中で切れているようで,困っております。正しい書式を教えていただけますでしょう。よろしくお願いいたします。

2008年2月16日 22:29
墨田銭湯 :

非常に参考になりました。


自分のノートパソコン(Panasonic Let's Note CF-W2)からウィルスを駆除できたようなのですが、駆除後に「あなたのパソコンは感染しているか?」のチェックをすると、項目C(システム構成のスタートアップ)にて[システム構成ユーティリティ]>[スタートアップ]>の一覧表のなかにまだ mmvo.exe が残っています(チェックタグは外れているのですが)。これはまだ駆除が終わっていないということでしょうか?

ちなみに今のところ、他の再感染の兆候はないようです。

<回答>
一覧表にあってもチェックが外れていたらOKです。

2008年2月22日 01:04
guangzhou0419 :

こんにちわ!初めまして!
今回キングソフトFREE版を搭載しておりましたが、ウィルスは察知し、削除したと表示はされますが、完全に削除することは不可能でした。上記にある通りにし完全削除することが出来ました、非常に助かりました!大感謝です!個人的には個人的にリカバリに戻すというのは想像を絶する作業になるので、必死にレジスト変更を強行しました、その結果問題解決しましたので言うこと無しです!今後もがんばってください

2008年3月 9日 01:16
aia :

はじめまして。
今このウイルスに悩まされており、早速上記のとおりで駆除を試みようと思っています。(リカバリは最悪の時の手段で)

一つ質問なのですが、メディアを媒介するウイルスではありますが、感染している時に焼いたCD-Rなども感染してしまうんでしょうか?
ご存知であれば、ご回答よろしくおねがいします。

<回答>
感染している可能性はあります。
CDをエクスプローラで開き調べてみてください。中にUSBの感染と同じにautorun.infがあればその可能性があります。(通常のデータや写真を焼いたCDにはありません)
なお、CDを差し込み時には、自動起動を止めてください
方法 CDの自動起動を止める http://support.microsoft.com/kb/880207/ja
以上

2008年3月20日 00:17
yoshi :

こんばんは。はじめまして。
私もmmvoに手を焼き、大変困っていました。そんな折、この記事を拝見し、大変助かりました。
ここまで丁寧に解説していただけると、私のような素人でも迷うことがありませんでした。記事にあるとおりに実行し、どうやら完全に駆除できたようです。
本当にありがとうございました。

2008年4月11日 22:41

コメントする

このブログ記事について

このページは、パソコン応援隊が2008年1月 2日 17:38に書いたブログ記事です。

ひとつ前のブログ記事は「ウィルスに感染しました kavo mmvo」です。

次のブログ記事は「写真をメールで送ろうとしましたが、メールソフトが立ち上がりません(vista)」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

Powered by Movable Type 4.01

検索