GENOウイルス対応覚え書き
先週より当社のパソコンを使用している女性からパソコンの調子がおかしいと 連絡があり、見てみると立ち上がり時、「explorer.exe」が立ち上がったり立ち上がら なかったりを繰り返し、デスクトップアイコンが表示されなかった。初め何かのファイルが 壊れているかと思い調べたころ、スタートアップ内にあった「hkcmd.exe」と「igfxtray.exe」が 引っかかっていた。この2つのファイルをスタートアップから外し、立ち上げ直す普通にと立ち 上がった。そのため、この2つのファイルを調べた所、グラフィック関連のもので、スタートアップ になくともかまわないと書いてあったため、このファイルが壊れていると思いスタートアップから 外した。
以上のことから下記の現象が現れた。
1:起動時、アイコンが表示されない。(「explorer.exe」が、プロセス内に表示されない)
2:explorer.exeが表示されない理由としてスタートアップ内にあった「hkcmd.exe」と「igfxtray.exe」
が邪魔をして立ち上がらなかった。
結果、 「hkcmd.exe」と「igfxtray.exe」が壊れている物と判断し、スタートアップから外した。 が、その後もおかしな事が続いた。「yahoo.co.jp」のトップページ以外、いけなくなった。この時点で、 インターネットエクスプローラーも壊れたのかと思い、事態の重大さに気づいた。今度はDiskエラーでは ないかと疑い、イベントビューワや、「MHDD(ディスクチェック出来るフリーソフト)」で調べたが、 ディスクにエラーは見つからなかった。また、当社で使用している日報(WEB画面での日報システム)が 動かないと報告があった。このシステムはレジストリを書き換えないと動かない事があるため、 レジストリを書き換えようとしたら、「ファイル名を指定して実行」で実行した「regedit.exe」が動かなかった。 おかしいと思い、同じく「ファイル名を指定して実行」で「cmd.exe」と打ち込み実行・・・動かない。 コマンドプロンプトも立ち上がらない。もはやここまでくると、再インストールも半ば考えたが、かなり重要な 機械であったため、それも断念。地道に直すことを考えた。
とりあえず、すべてアップデート。・・・直らない。仕方ないので、ぐぐる*2日間。・・・あった。そこのページには 下記の症状が載っていた。
「cmd.exe」「regedit.exe」が動かない(「explorer.exe」が落ちる)
これだ、と思い、よく見ると「C:\WINDOWS\system32\sqlsodbc.chm」がファイルサイズ:50,727バイト が 通常なのにファイルがすごく小さくなっている。とある。見てみるとその通りになっていた。ウイルス・・・(汗)。 アンチウイルスを入れているのに何故・・。もっとぐぐる。・・・あった。 「ほとんどのアンチウイルスで未だ対応できず!」・・・。有名メーカーの物でも対応できていないとのこと。 (しょうがないですね。運が悪かったと思いましょう。)
そんな中、自分で駆除した人がいた!その人のサイトをみると、 手順まで書いてあった。 (参照:GIZMODE JAPAN(該当ページ:ttp://gizmode.blog26.fc2.com/blog-entry-214.html)
その通り進めたが、一部内容が違っていた。亜種なのかはたまた色々あるのかわからないが、 以下にその 内容をのせます。
1:a-squaredで中ボスc:\Windows\eqqbbr.ptn検出(除去不能)とあったが、当社のは C:\Documents and Settings\ユーザー名\Local Settings内にpmeo.ksdというファイルがあった。 (このファイルを見つけたのは、最初の症状を教えてくれた「sqlsodbc.chm」の更新日時が全く 一緒だった。検索で同じ日を調べたのが効を奏した。)
2:もう一つ恐ろしいことに「Kernel32.dll」 が書き換えられていた。通常判断すると排他制御なので、書き換えは 難しいはずなのだが、起動時に書き換えされたのかもしれない。
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2と なっているが、当社のは最後の2がなかった。(auxということ)
以上の3点が違っていた点なので報告しておきます。