X

VirTool:Win32/Rootkit.BVの駆除

結構最近の日付で、投稿などがされているようです・・・
http://social.answers.microsoft.com/Forums/ja-JP/msescanja/thread/45e39363-e5f5-4928-861e-49e0f8eeadc9
Microsoft Security Essentialsが、ウィルスを検知するんだけど、エラーメッセージを吐いて駆除できない。
エラーコード 0x8007001f です。 システムに接続されたデバイスが機能していません。
MSのKB
https://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=VirTool:Win32/Rootkit.BV&ThreatID=-2147336664
では、ファイル名が、
file name: \System32\drivers\xjnjal.sys
となっていて、本ブログエントリの一番上に寄せられている投稿では、abatqa.sys
うちのパソコンでは、vhcqefp.sys
ファイルサイズ 763,904バイト (746KB)
ファイル名はランダムに作成されるらしく、Googleってもなんの手がかりも得られない。
削除方法(XPSP3)
1.XPのインストールCD(OEM/DSP版の場合)を突っ込んでCDブートする。(Press Any Key・・とかでキー叩く)
2.R 回復コンソールを選択する
3.1.C:\WiNDOWS を選択(1 Enter )
4.回復コンソール用Administratorのパスワードを入力。メーカー製PCはメーカーにお問い合わせされたし。
5.cd c:\windows\system32\drivers
6.ren 対象ファイル名 xxx.vir
(捕獲のために、ファイルリネームしておきます)
7.regedt32 でレジストリエディタ起動。
8.F3を押しててウィルスと思しきファイル名の先頭7文字(or6文字)で検索します。
9.出てきたレジストリキーを片っ端から削除。そのままでは消えないキーがあるので、右クリック-アクセス権-フルコントロールにチェックを入れてOKして、削除。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_(ファイル名)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_(ファイル名)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ファイル名
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ファイル名
うちの環境では4つでてきました。
10.Ctrl-Alt-Del して、「シャットダウン」を選び、PCをシャットダウン後再起動。
11.普通に起動して、c:\windows\system32\driversを開き、xxx.virにアクセスしたときにMicrosoft Security Essentialsが検知・削除すれば、OK。削除するのが勿体ない場合は、ウィルスソフトを停止して、パスワード付ZIPを作成するなりして、お抱えのウィルスチェックソフトメーカーの指示に従って検体送付してください。
しかし、何にも見た目上変わらないから、何を抜かれているのか戦々恐々。netstat -anしても何もなし。
インターネットって、本当に恐ろしいですね(笑)
追記:なんで ケンタイのケン(木へんに、剣の左側)が□になるの?ココログさん。謎。

ryo49:
Related Post