最近、不審な挙動をするPCを処置した。
その時の手順を書き残す。
ただし、スクショとか、記録を撮り忘れたので、うろ覚えで書いていきます。

さて、具体的な不審な挙動としては、
・PC起動時に何かを圧縮ファイルを作成しようとする
・PC起動時にメーラーが立ち上がる事がある

かなりヤバイ気配を感じますね。

で、起動時に不審な挙動ということで、
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
この辺を見てみると、
start.lnk
とか言うショートカットが見つかりました。
このリンク、どうやら、
%userprofile%\6r8i36y6rfd59m\80679.vbs
とかいう怪しげなスクリプトに繋がっている。

さらに、regeditで、
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
を眺めて見ました。
結果、これまた怪しげなスクリプトファイル
%userprofile%\6r8i36y6rfd59m\80679.vbs
をキックするキーが存在しました。

で、このスクリプトの中身をみようとした所・・・
エクスプローラで「システムファイルを表示」「隠しファイルを表示」しても見えない。
コマンドプロンプトで「dir」コマンドを叩いても見えない。
そんな感じで、エクスプローラやコマンドプロンプトからは見えないように巧妙に隠されている模様。
幸い、ファイルがシェル上からは見えなくても、
「type %userprofile%\6r8i36y6rfd59m\80679.vbs」
のコマンドで読めたので、なんとなく中身を把握。(ちなみに、先に見つけたstart.lnkを経由すれば、普通のテキストエディタでも読めました)
どうにも、このスクリプトでは、
%userprofile%\6r8i36y6rfd59m
に移動して、そこからさらに同じディレクトリにあるバッチファイルを叩いている模様。
そのバッチファイルから更にアヤシイexeファイルをキックしている。

で、このディレクトリ内には重要なファイルが無いようなので、疲れたし後腐れなく
%userprofile%\6r8i36y6rfd59m
を削除することにしました。
で、やっぱりここでも躓く。
そもそも、このディレクトリ、コマンドプロンプトからすら見えない。
つまりdelコマンドが使えない。

で、困ったときのcygwin先生でlsしてみる。
みえる、うまくいく。
トドメの
rm -rf 6r8i36y6rfd59m
でディレクトリまるごとザックリ削除。(cygwin嫌いならWindowsPEとかLinux系とかで対処するといいかもね)
あと、先にみつかった
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk
も気持ち悪いので削除。


これで一件落着。
起動時の不審な挙動がなくなりました。

それにしても、6r8i36y6rfd59m\80679.vbsをぐぐってもまともな情報でてこないし、一体何者なのか。

みんなも気をつけてね。
ばいばい。