ＧＯ－ＶＩＮＥ

ウィルスバスターｃｏｐ．があるＰＣでウィルスをふたつ見つけましたと
報告してきました。

BAT_KILLFILE.AK 感染ファイル名fjhdyfhsn.bat　がふたつ。

ちょっと前までusbメモリでうつるやっかいなウィルスがいたので、
それかなと思ったら、なんとこいつはガンブラーでした。

珍しい。流行りのウィルスにやられるとは。

さっそく対策を調べてみると、どうも一網打尽とはいかないようみたい。

スタートアップに潜り込み、消しても復活するうえ、あちこちに怪しいファイルを
作ってこれがウィルスバスターにひっかからないとくる。

怪しいファイルを検索してひとつひとつ手動で消していきました。

このとき参考になったブログが
「Gumblar.8080系感染してみました7月9日版」-smilebanana　　さんでした。
このサイトはわざわざかいざんされたサイトへいって、感染したらどうなるかを
レポートしてくれたありがたいところなのです。

だいたいこんなふうに進むとか。
サイトにアクセス、タスクバーのjavaのアイコンが更新を促す。（これはひっかかりそう）
ヘルプトサポートが一瞬開き「Security Tool successfully installed!」のダイアログ。
それで、自身がウィルスのくせに、ウィルスがみつかりました。お金を払って正式版の
Security Toolをいれてください。という一方、ＰＣ内部の情報を外へ流すという凶悪で
盗人猛々しいやつらしいのです。

らしい、というのはウィルスの見つかったＰＣはそこまで感染しなかったようなので。

でも、ガンブラーが追加したらしいファイルとレジストリの改変は確認できました。

一般ユーザーでは削除できないケースがあるので、ＰＣ再起動。「ようこそ」前にF8連打で、
セーフティーモードを選んでログインします。

フォルダオプションですべてのファイルを表示するにしておきます。

そのあと、隠しファイルの検索するオプションをつけて、怪しいファイルを探します。

Application Data ,Local Service\Application Data ,\Windows\System32 あたりがよく
潜んでいるところ。

ちなみに、くだんのＰＣでは、
avdrn.dat fjhdyfhsn.bat srvklw32.exe が見つかりました。即、削除。
ファイル名を指定して実行で　regedit　とうってレジストリエディタを呼び出し、
上のキーワードを検索して、でてきたら、キーを削除。

msconfig　とうってスタートアップに怪しいファイルがないか確認。　

いったんログアウトし、一般ユーザーになってウィルスバスターをかけてみます。ＯＫ。

ただ、ガンブラーに関しては、解析が終了しておらず、影響もはっきりしないので、
あくまで暫定措置ということで、自己責任でどうぞ。

職場でPrimoPDFを使って、ExcelファイルをPDFに
変えているのだけど、ローテーション表をPDFにしたら、
ところどころ文字が抜けて訳がわからないことになりました。

マネージャー会がマ　　ジ　　　のように。

以前は問題なかったとのこと。

調べてみると、元の表に縦書き部分があること。ーの長音
を使っていること。XPのsp3を導入していること。でおこる
らしい。

サービスパック3に含まれるポストスクリプトのdllに問題が
あるようでした。ためしにsp3を削除してsp2に戻したところ
解決したという強者もいましたが、それはしたくないので。

引き続き調べたところ、燈台もと暗し。PrimoPDFの掲示板に
ヒントがありました。

http://www.xlsoft.com/jp/products/activepdf/support.html

にいって、下のほうの「Postscript ドライバを更新するファイルの
ダウンロード」リンクからダウンロード。
zipファイルを解凍して、そのなかの　PSCRIPT5.dll PS5UI.dll　を

XPなら
C:\WINDOWS\system32\spool\drivers\w32x86\3

の中の同じ名前のファイルと入れ替えます。念のためもとのは
名前を変えて保存しておくと、万が一のときには安心かも。

コピー前に、コントロールパネルの管理ツールのサービスを開いて
Print Spooler を停止しておき、コピー後に開始してください。

あとは問題のファイルをPDF化して問題ないか確かめます。
これで私のところではばっちり治りました。