ウイルス「kava」の亜種である『 REVO (revo.exe) 』が流行っています。
主な感染源は、USBメモリーキーからで、USBメモリーキーを差し込んだ際の、オートラン(自動再生)により感染します。
少し前までは、ウイルス対策ソフトでは検出されませんでしたが、現在では各ウィルス対策ソフトでも検出され、駆除されるようになっています。
それでも心配な方は、オートラン(自動再生)させなければ感染しませんので、「Shift」を押したまま、USBメモリーを差し込んでください。
これで、オートラン(自動再生)しませんので、感染の危険性は少なくなります。
以下に、
感染の症状と、駆除方法の1例、対策を記載します。
【 感染の症状 】
「ページが開けません」と表示される
隠しフォルダの表示設定をしても表示されない
※ 感染しているかどうかを調べるには、
1.「スタート」をクリックしスタートメニューを表示します。
2.「マイドキュメント」をクリックし、【マイドキュメント】画面を開きます。
3. メニューバーの「ツール」をクリックします。
4.「フォルダオプション」をクリックし、【フォルダオプション】画面が表示されます。
5.「表示」タブをクリックします。
6. 詳細設定「ファイルとフォルダの表示」の「すべてのファイルとフォルダを表示する」にチェックを入れます。
(デフォルトでは、「隠しファイルおよび隠しフォルダを表示しない」がチェックされています。)
最後に、「適応」をクリック後「OK」をクリックし、【フォルダオプション】画面が閉じます。
上記の、1.から6.までの作業を行い、 詳細設定「ファイルとフォルダの表示」の「すべてのファイルとフォルダを表示する」にチェックが入ったままであることを確認してください。
チェックがデフォルトに戻っている場合(「隠しファイルおよび隠しフォルダを表示しない」にチェックがある場合)は、感染していると考えられます。
【 駆除方法 】
※ レジストリを操作しますので、知識のある方のみ自己責任において作業をして下さい。
レジストリ操作の経験が無い方、PC操作に不慣れな方は、ウイルス対策ソフトでの駆除をお勧めします。
まず、ネットワーク接続(無線LANも含めて)をすべて遮断してください。
1. マイコンピュータを右クリックしてプロパティをクリックします。
2. システム復元のタブをクリックして「システム復元を無効にする」をチェックしOKをクリックします。
3.インターネットエクスプローラーを開いて「ツール」から「インターネットオプション」をクリックします。
4.「全般」タブの「インターネット一時ファイル」から「ファイルの削除」をクリックし、ポップアップから「すべてのオフラインコンテンツを削除する」にチェックを入れてOKをクリックします。
5. インターネットエクスプローラーを閉じます。
6. 下記手順で「msconfig」を起動します。
7. ウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して実行に「msconfig」を入れて。OKします。
8.「mscofig」が起動したら、下記手順でセーフモードで再起動します。
9.「スタートアップ」タブをクリックして中にkavo,mmvo,tavo,revoなどがあったらチェックをはずします。
10.「BOOT.INI」タブをクリックし、/SAFEBOOTにチェック → OK → 再起動します。
11.再起動したらセーフモードで作業を続けるか確認する画面が出ますので「はい」をクリックします。
12. セーフモードの画面になったらウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して実行に「regedit」を入れてOKします。
13. 下記の2個のレジストリの値を全て「1」に変更してください。
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced の"Hidden"と"ShowSuperHidden"
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Advanced>Folder>Hidden>SHOWALL の"CheckedValue"
14. レジストリエディタを閉じます。
15. スタートをクリック、「すべてのプログラム」の中の「アクセサリ」から、「エクスプローラ」をクリックします。
16. アドレスに「c:」を入れます。この時マイコンピュータに触らないでください、レジストリが元に戻ってしまいます。また、ほかにドライブが有る場合はそちらも同様に以下のチェックをしてください。
17. 一度ディレクトリに入ってから戻ると隠しファイルが表示されます。詳細表示にして下記のファイルがないか探し出し全て削除してください。但し、これらのファイル以外のファイル名が新たに生成される可能性もあります。削除はシフトキーを押しながら「DEL」キーで削除してください。
C:\\autorun.inf
C:\o6mhfog.com
C:\q83iwmgf.bat
C:\t2yev.com
C:\uvg.com
C:\8e9gmih.bat
C:\Windows\Prefetch\O6MHFOG.BAT-"*".pf
C:\Windows\Prefetch\Q83IWMGF.BAT-"*".pf
C:\Windows\Prefetch\UU.EXE-"*".pf
C:\Windows\Prefetch\8E9GMIH.BAT-"*".pf
以下にあります"%System%" はシステムフォルダーです。
OSにより異なりますが、通常は下記のようになります。
C:\Windows\System(Windows 98 と ME)
C:\WINNT\System32(Windows NT と 2000)
C:\Windows\System32(Windows XP と Server 2003)
使用されている OSが『Windows XP』または『Server 2003』の場合は、"%System%" の文面を「C:\Windows\System32」に読み替えて下さい。
"%System%\\\kava.exe"場合、C:\Windows\System32\\kava.exe と読み替えます。
この読み替えたファイルを(15)で起動したエクスプローラにより存在を確認し、あった場合には、該当ファイルを選択した状態で「Shift」キーを押しながら、 【DEL(Delete)】キーを押して、ファイルを 削除します。
※「Shift」キーを押さずに削除すると、『ごみ箱』へ移動するだけとなり、ウィルスファイルの物理的な削除がされませんので、注意が必要です。
"%System%\\\\kava.exe"
"%System%\kavo.exe"
"%System%\kavo0.dll"
"%System%\kavo1.dll"
"%System%\kavo2.dll"
"%System%\mmvo.exe"
"%System%\mmvo0.dll"
"%System%\mmvo1.dll"
"%System%\revo.exe"
"%System%\revo0.dll"
"%System%\revo1.dll"
※ エクスプローラの「アドレス」の入力欄には、「c:\\autorun.inf」などを入力しないで下さい。入力すると、ウィルスが起動してしまいます。
18. 削除が終わったら、ウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して実行に「regedit」を入れてOKします。
19.「編集」の「検索」でkava、kavo、mmvo、revoを検索して単独のキーワードになっている部分を右クリックして削除します。F3キーを利用して検索するとスムーズです。
20. レジストリエディタを閉じます。
21. ウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して実行に「msconfig」を入れて「OK」します。
22.「mscofig」が起動したら、下記手順で通常モードで再起動します。
23.「BOOT.INI」タブをクリックし、/SAFEBOOT(F)にチェックをはずす>OK>再起動します。
24. システム構成ユーティリティのポップアップが出るので、チェックしてOKします。
25. 起動したらエクスプローラーでフォルダを開き、「ツール」の「フォルダオプション」の「表示」タブを選択します。
26.「ファイルとフォルダの表示」の「すべてのファイルとフォルダを表示する」を選択して、「OK」で閉じます。
27. 再度、同じことをして「ファイルとフォルダの表示」が「隠しファイル~」にチェックが変わっていないことを確認します。
以上で、駆除が完了します。
【 対策 】
防御のためにファイルを1つ作って、c:などルートに「autorun.inf」という名前で保存します。
InternetExplorer の場合、
文中の「autorun.inf」を右クリックし、表示されたサブメニューより「対象をファイルに保存」を選択します。
『名前を付けて保存』の画面が表示されますので、「保存する場所」を「C:」に指定します。
『名前を付けて保存』の画面で「保存」ボタンをクリックするとダウンロードは終了して、「autorun.inf」は、C:に保存されます。
このファイルがあることで次に感染しそうになると「ファイルが既に存在します」というメッセージが出ますので、「いいえ」を選択して下さい。
最終更新:2008年12月27日 12:51
