大連開発区生活
大連経済開発区に住んでいる筆者の生活模様を特異な視点でご紹介。 大連のありのままの姿を知っていただければ幸いです。
スポンサーサイト
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
ウイルスにやられた
マイコンピュータでCドライブのアイコンをダブルクリックしたが、ドライブが
開かない。
代わりに「’resycled\boot.com'が見つかりません」などというエラーメッセー
ジが表示される。

そもそもドライブ名のアイコンをクリックしただけで、boot.comなんていう実行
ファイルが起動させられようとする時点でウイルスの挙動である。
セキュリティソフトのおかげでboot.comは既に削除されていて、怪しいプログラ
ムが実行されることはないのだが、レジストリが書き換えられているのは困る。

さっそくWinFDというプログラムでウイルスの痕跡を調べてみる。
痕跡発見!
Cドライブのルートにautorun.infとresycledというフォルダが作成されていた。
autorunは自動実行されるスクリプト。resycledはゴミ箱のフォルダに偽装した
のだろうが、スペルからして間違っている。
boot.comはもう削除されたし、autorun.infとresycledはいらないね、とWinFDで
削除。
このファイルとフォルダは隠し属性なのでエクスプローラーやコマンドラインか
らは見えない。だからWinFDを使う。

分割した他のドライブにもautorun.infとresycledがあったので、これも削除。
さぁ、これで安心。
と思いきや・・・
autorun.infとresycledが復活している!
それもすべてのドライブで・・・

まだウイルスプログラムが起動中だということだ。
タスクマネージャーを開く。
いったいどれがウイルスプログラムなのだろう?
それらしきプログラムを停止してみるが効果なし。
autorun.infとresycledをいくら削除しても復活してしまう。

ちなみにウイルスワクチンソフトのデータは最新、スパイウェア除去ソフトの
データも最新である。
つまり、それらでは完全駆除できないウイルスだということだ。
こうなるとやっかいである。

autorun.infとresycledでググってみた。

resycled/boot.com
http://www.precisesecurity.com/blogs/2008/09/20/resycledbootcom/

英語の書き込みだが、この掲示板に駆除方法が書いてあった。
すべてのboot.comファイルを削除。(これはセキュリティソフトが全部やってく
れた)
レジストリエディタを起動して「resycled」「boot.com」の記述をすべて削除。
すべてのautorun.infとresycledフォルダを削除。

「’resycled\boot.com'が見つかりません」という表示は出なくなったが、ドラ
イブの中身は開かない。
ファイルの関連づけがどうとかこうとか言っている。
再起動してみた。
直った。
関連づけのレジストリが再構築されたようだ。
ドライブアイコンをダブルクリックしたら、開くようになった。

とりあえず修復できたが、セキュリティソフトの方で早くちゃんと対応して欲し
いと思う。
スポンサーサイト
コメント
この記事へのコメント
コメントを投稿する
URL:
Comment:
Pass:
秘密: 管理者にだけ表示を許可する
 
トラックバック
この記事のトラックバックURL
この記事へのトラックバック
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。