My Experience In Yemen

青年海外協力隊 コンピュータ隊員の活動日記。

PREV | PAGE-SELECT | NEXT

≫ EDIT

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

| スポンサー広告 | --:-- | comments(-) | trackbacks(-) | TOP↑

≫ EDIT

ウィルス駆除で一苦労

イエメンのPCはウィルスが蔓延しています。
スタンドアロンのPCでもヒドイ状況です。
フラッシュメモリーや外付けHDDを差し込もうものならば、
もれなくウィルスが付いてきます。

最近、孤児センターでのコンピュータ教育にて
フラッシュメモリーを用いて資料配布をしました。
結果、20個ほどのウィルスに感染してしまいました。
今回はその際の対応を下記に。
同じ症状に苦しんでいるだろう隊員仲間への情報共有として…。

--------------------------
■■■『SCVSHOSTS.exe』がウィルスソフトにて検出
親玉のウィルスファイルを削除します。
念のためレジストリ(※1)内の関係ファイルも削除します。

?Microsoft社のHPよりProcess Explorer(※2)というツールをダウンロード
?上記ツールにて『SCVSHOSTS.exe』の格納先を突き止める
(ちなみに今回は C:\WINDOWS\system32\nhatquanglan22 に存在)
?上記ファイルを削除
?スタート→ファイル名を指定して実行→REGEDIT よりレジストリを開く
?『SCVSHOSTS』の文字列で検索に引っかかるファイルを削除
?『nhatquanglan22』の文字列で検索に引っかかるファイルを削除

※ちなみにトレンドマイクロ社のWebサイトに詳細が掲出
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SOHANAD.DW&VSect=Sn
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOHANAD.DW&VSect=T


■■■Alt+Ctrl+Delにてタスクマネージャが表示されない
ウィルスによってレジストリの内容が書き換えられているので
これを修正する必要があります。

?スタート→ファイル名を指定して実行→REGEDIT よりレジストリを開く
?次のディレクトリへ移動
HKEY_CURRENT_USER(HKEY_LOCAL_MACHINE)
?Software
?Microsoft
?Windows
?CurrentVersion
?Policies
?System
?画面右側に『DisableTaskMgr』のファイルの値が1になっていたら、
右クリック→削除


■■■レジストリを開けない
スタート→ファイル名を指定して実行→REGEDIT よりレジストリを開こうとすると、
『レジストリ編集は、管理者によって使用不可にされています』との警告が表示されて
レジストリを開くことができないという症状。
これもまた、ウィルスによってレジストリの内容が書き換えられているので、
ツールを使ってレジストリを初期値にリセットします。

?http://www.symantec.com/region/jp/sarcj/data/t/
tool.to.reset.shellopencommand.registry.keys.html
上記シマンテック社のWebSiteからツール(UnHookExec.inf)をダウンロード
?上記サイトにある手順に従ってレジストリの初期化を実施


■■■削除しても削除してもウィルスが残っている1
削除しているのは、ウィルスによる生成物だと思われます。
なので、親玉であるウィルスを特定・削除する必要があります。
例として、
ウィルスがスタートアップ(※3)に登録されて、
Windowsにログオンするたびにそのウィルスが起動・生成している事が考えられます。
そのため、スタートアップにどのソフトウェアが登録されているかを
把握するツールを使ってウィルスの親玉を突き止めます。

?http://www.vector.co.jp/soft/win95/util/se302214.html?y
上記サイトより、スタートアップチェッカーをダウンロード
?スタートアップチェッカーを用いて、
スタートアップに登録されているファイルがウィルスかどうかWebで検索
(スタートアップチェッカーの画面右下の『情報検索』ボタンからWeb検索可)
?スタート→ファイル名を指定して実行→REGEDIT よりレジストリを開く
?上記?の作業にてウィルスと判明したファイル名と同じ文字列にて検索をかけて、
合致したものを削除

■■■削除しても削除してもウィルスが残っている2
削除しているのは、ウィルスによる生成物だと思われます。
なので、親玉であるウィルスを特定・削除する必要があります。
例として、
ウィルスがタスク(※4)に登録されて、
特定の時刻にそのウィルスが起動・生成している事が考えられます。
そのため、見覚えの無いタスクを削除します。

?コントロールパネル→タスク よりタスクを開く
?Webで当該タスクの情報を検索して、それがウィルスと断定できたら削除
--------------------------

※1・・・Windowsの基本情報やソフトウェアの拡張情報などが保存される場所。
通常はプログラムが自動的にデータの記録や更新、削除などを行なうが、
ユーザが直接編集することもできる。
ただし、誤った変更をするとシステムが起動しなくなったり
アプリケーションが削除できなくなったりする恐れがある。
※2・・・Process ExplorerはAlt+Ctrl+Delにて表示するタスクマネージャの詳細版。
それぞれのタスクがどのパスに格納されているのか、配布元の会社はどこなのかを
把握することができる。
※3・・・スタートアップはWindowsのログオンと同時に起動する
ソフトウェアを管理する場所。
例えば、Windowsのログオン後、Outlookを毎回必ず起動するという人は、
スタート→スタートアップ にOutlookのショートカットを格納する事をオススメします。
そうすれば、ログオン後いちいち手動でOutlookを起動する必要が無くなります。
※4・・・日単位、週単位、月単位、またはコンピュータの起動時などの
特定の時刻にタスク(アプリケーション)を実行するように設定できます。
(Windowsのヘルプより抜粋)
--------------------------

ウィルスもやはりシステムの一つ。
何かがトリガーにならないと、処理が始まらないのだと感じました。
(システムの基本中の基本ですが…。)
どうやら、そこで一般的なのが
スタートアップとタスクをトリガーとするケース。
ここをメンテすればちょっとはマシになるかもしれません。

ただし、レジストリを変更する際は慎重に作業を行ってください。
場合によってはPCが起動しなくなったり、ソフトが起動しなくなったり、
種々の不具合が発生することがあります。

ちなみに、現在はCドライブにアクセスするとそれがトリガーになって
reademe.txtが出現するウィルスと戦っています。
親玉がなかなか発見できません…。
ご存知の方、助けてください。

| 協力隊活動 | 04:10 | comments:4 | trackbacks:0 | TOP↑

COMMENT

To.下記コメントを頂いた方へ

無事解決とのこと、良かったです。
また、フリーソフトの情報ありがとうございます。
貴重な情報、感謝致します。

| KENic | 2008/05/02 07:20 | URL | ≫ EDIT

管理人のみ閲覧できます

このコメントは管理人のみ閲覧できます

| | 2008/05/02 01:06 | | ≫ EDIT

To.下記メッセージを頂いた方へ

メッセージ拝見しました。
無事に問題は解決されましたでしょうか?
私もウィルスには大分悩まされています。
現地で調達したウィルスソフトは、
コピーがほとんどのため信頼できないので、
私は日本で購入した正規版を使用しています。

これが一番良いようです。

| KENic | 2008/04/30 06:33 | URL | ≫ EDIT

管理人のみ閲覧できます

このコメントは管理人のみ閲覧できます

| | 2008/04/29 00:02 | | ≫ EDIT















非公開コメント

TRACKBACK URL

http://kenic.blog82.fc2.com/tb.php/39-e3405b25

TRACKBACK

PREV | PAGE-SELECT | NEXT

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。