ウイルス感染⇒駆除 (kavo, mmvo)
CPRMを解除したいが為に、色々なサイトを転々とネットサーフィンした結果、どこかでウイルス喰らったらしい(涙)。あまりにもパソコンが重いので、色々調べてみたらKavoと言うウイルスにやられていると判明。やられた~・・・と思った時には既に遅かったワケで。感染してしまったものは仕方がない。そこで悩まず腐らず対処するのが僕の流儀。早速調べてみた。
検索の結果、結構同じ問題を抱えている人が多いらしく、数多くのブログで助けを求めているのがわかった。僕は最終的に解決まで辿り着き、事なきを得た。僕のようにWEBで検索を掛けて解決方法を探す人の為に、以下に詳細を転載しておく(リンク元には無断だが・・・、お許し頂きたい)。
*** 以下、対処方法詳細 ***
この作業はレジストリを変更するので自己責任で実施してください。
(0) 作業の前に
大事なデータはバックアップをとってから実施してください。
レジストリに変更を行います。必ずレジストリのバックアップを作成してください。
レジストリのバックアップ
(1) インターネットオプションから一時ファイルを削除してください。
インターネット一時ファイルの削除手順
Cookie・ファイルともに削除してください。ついでに履歴も。
(2) ウィルス定義を最新版に更新します。
(3) インターネットを「オフライン作業」とする。
ファイル → 「オフライン作業」をチェックする
(4) システム全体のウィルスチェックし、ウィルスが検出されないことを確認してください。
(5) セーフモードで起動してください。 セーフモードでの起動
(6) システムの復元オプションを無効にしてください。(Windows Me/XP/Vista)
Windows Me/XP/Vista では、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。コンピュータがウィルス、ワーム、またはトロイの木馬に感染した場合、ウィルス、ワーム、またはトロイの木馬のバックアップファイルがf復元ファイル _RESTORE 内に作成されている可能性があります。
Windows XP のシステムの復元機能を有効/無効にする方法
注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。
(7) レジストリから、以下の手順で、値の削除・変更をしてください。
(A) [Start(スタート)]、[Run(ファイル名を指定して実行)]の順にクリックします。
(B) regedit と入力します。
(C) その後、[OK]をクリックします。
注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。 こちらの対策
(D) 次のレジストリエントリへ移動して削除します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"kava" = "<%System%>\kavo.exe"
※:<%System%>はWindowsの種類とインストール時の設定などにより異なります。標準設定では、
Windows 95/98/Me の場合
<Windowsシステムフォルダ> = C:\Windows\System
Windows NT/2000 の場合
<Windowsシステムフォルダ> = C:\WinNT\System32
Windows XP/Server 2003 の場合
<Windowsシステムフォルダ> = C:\Windows\System32
です。
(E) 次のレジストリサブキーのレジストリエントリを確認し、変更されていたら、それらの以前の値へ復元します。(エントリを選択し右クリック → 修正 → 値のデータ)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" 値を1とする
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\"Hidden" 値を1とする
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\"ShowSuperHidden" 値を1とする
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies
\Explorer\"NoDriveTypeAutoRun" 値を91とする
(F) レジストリエディタを終了します(×で閉じる)
これでとりあえず隠しファイルが表示されますが、(8)以降の作業を完了してください(その他の作業をすると元に戻る可能性があります)
(8) 感染ファイルを削除してください。
これからが肝心なところです。
マイコンピュータをexplorerで開いてください(マイコンピュータで右クリック → エクスプローラで開く ダブルクリックしない)
(A) C:\windows\system32にあるKAVO.exeとKAVO[0}.dllとKAVO{1}.dllその他kavo2.dllみたいなファイルがあればそれらも削除します。
mmvo.exe mmvo0.dll mmvo1.dllをそれぞれ個別にクリックしてからshift+deleteキーにて削除(絶対にドラッグで複数のファイル選択をしないでください)
(B)C:\windows\prefechの中にuu.exe-***みたいなファイルがあったらこれも削除してください。
(C) 次に、ローカルディスクCの直下にあるautorun.inf nldelect.com nsdelect.com rsdelect.comなどを同じくクリックしてからshift+deleteキーにて削除
同じようにローカルディスクDの直下にも同じファイルをコピーしているので同様に削除します。
間違ってもntdelect.comは削除しないように
(9) セーフモードを終了し再起動(スタートからシャットダウン→再起動)
(10) インターネットをオンライン作業とする。
ファイル → 「オフライン作業」のチェックを外す
(11) もう一度ウィルス定義を更新してからパソコン全体のウィルスチェックをしてください。(できればNOD32での実施がよいようです)
(12)「3-1 あなたのパソコンは感染しているか?」のチェックをして、感染していないことを確認してください。
もし、感染が確認できた場合には、手順を再確認して再度実行してください。手順に誤りがない場合には、今回のウィルス以外の問題点がありますので、リカバリしてください。
(13)システムの復元を元に戻して復元ポイントを作成してください。
(14)フォルダオプションを変更してください。
マイコンピュータをexplorerで開き(マイコンピュータで右クリック → エクスプローラで開く ダブルクリックしない) ツール→フォルダオプション「保護されたオペレーティングシステムファイルを表示しない」のチェックをつける。
これで、パソコンのウィルス駆除ができました。お疲れ様でした。
最後に、このような被害を防ぐため以下の設定をお願いします。
(15) パソコンの設定を変更してください。
・ パソコンを守る最低限のセキュリティ対策を確実に実行してください
。
・ ウィルス対策ソフトの設定変更
ウィルスを検出したときダイアログが表示されます。このダイアログが短時間で消える設定になっているパソコンがありますので設定を変更してください。
・ 自動取り込みの解除
リムーバブルディスクが接続されると自動的に取り込みを始めるソフトがあります。(elements、picasaその他画像関係のソフト)
自動取り込みになっていると、ウィルスのチェックができませんので、その設定を、オプション・環境の設定などで、変更してください(ダウンローダーの自動起動などのチェックを外す)
・ その他
Adobeアップデータがインストールされていたらアンインストールしてください。
(16)USBメモリーについて
安価で使いやすいUSBメモリーですが、今回のような問題が簡単に発生しますので、取り扱いには注意が必要です。
・データの長期保存用媒体には使わない。(データの持ち運び用の媒体と割り切ってください)
・プログラムは入れない。
・他人のUSBを接続する場合には、自動再生せず、explorerからウィルスチェックを行う。
<自動再生させない方法>
自動起動ダイログが出た場合には、「何もしない」 を指定
XP Shiftを押しながら挿入(その他の方法
)
Vista コントロールパネル → 「ハードウェアとサウンド」 → 自動再生 → 何もしないに
*** 転載終了 ***