記事一覧

Gumbler亜種ウィルス(1月21日)の駆除について

メインPCよりこんばんは
2010年1月21日夜9時前に挿入されたと思われるGumbler亜種ウィルスを無事駆除出来たので報告します

起動不可能の修復

ファイル 41-1.jpgまず、このようなブルースクリーンが発生した場合は起動がままならなくなりますので、次の2つの方法のいずれかで起動出来る状態にまで修復します

1.システムの復元

システムの復元を用いる事が可能な場合は1月20日までのを指定して復元します

1月20日以前のシステムの復元データがない場合は次の方法を取ります

2.OSの修復

OSを購入時のブートCDよりOSの修復をします。この際、XPではSATAドライバを標準でサポートしていないため
FDDにSATAドライバを入れなくてはならない場合も有ります
BIOSの設定でSATA互換があるならそちらを優先します

ファイル 41-2.jpgなお、次のようなsptd.sysのエラーが出る場合は、同様の手段でブートCDより回復コンソールを用いて削除してください

これで起動は出来るようになると思います

ウィルスの手動駆除

1.原因ファイル(wwwpos32.exe)の削除

タスクマネージャで確認出来ると思いますがsvchost.exeがCPUを占有していて、動作が不安定です。またWindowsUpdateやInternetExplorer、ウィルスバスター等が正常動作しません。この原因はwwwpos32.exeでした
次の手段で削除します。まず
システム構成ユーティリティを起動し(Windows+Rキー→msconfig)
スタートアップタブの中でwwwpos32.exeが起動されている場所を確認します
この時、チェックを外してもなぜか効きません
ファイル 41-3.jpgコマンドプロンプト(Windows+R→cmd)を起動し
右の図を参考に該当する場所「C:\Documents and Settings\(所有者の名前)\スタート メニュー\プログラム\スタートアップ」をcd の後に貼り付けてEnterすることで開きます
そして
「attrib -s -h -r wwwpos32.exe」
と入力してEnterすると認識できるようになります。(dirコマンドで確認可能)
その後、
「del wwwpos32.exe」とすることで削除できます
再起動後より、svchost.exeが暴走しなくなると思います

2.悪影響の手動修復

ここまで復帰したのち、WindowsUpdateの機能を次の手段で復帰させます
スタートメニューよりコントロールパネルを開いて、管理ツール→サービスとし一覧よりAutomatic UpdatesとBackground Intelligent Transfer Serviceの項が無効になっていて、おそらく開始しようとしてもエラーが出ます(出ない場合は飛ばしてOK)

ファイル 41-4.jpgそこでレジストリエディタを起動し(Windows+R→regedit)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
まで辿り、そこにあるnetsvcsのキーを編集し、次の図のように
BITS
wuauserv
を追加します

最新版にアップデートして対策

最後に、InternetExplorerのショートカット等が消えているので
C:\WINDOWS\ie8
を開き、iexplorer.exeをダブルクリックすることでInternetExplorerを起動します
そこからWindowsUpdateへアクセスすればUpdateが可能になります
最新版になるまでUpdateを再起動を繰り返しましょう

以上でGumbler亜種ウィルス(1月21日)の駆除については終わりです

当サイトについて

繰り返しますが当サイトは1月21日午後9時前に不正スクリプトを入れられたものと見られます。御迷惑をおかけして本当にごめんなさい
なお先ほど不正なスクリプトを駆除し、またFTPアクセス制限をかけましたので今後はこの手の手段から問題が発生する事は無いと思います

雑感

この記事が駆除に役立つことを期待しています
何か分からない事があれば聞いてください

おまけ

ファイル 41-5.jpg
FDDなぜか3枚組しか売られてなくて210円もした・・・;-;

--------------------------
追記@1月24 3:48
--------------------------

del wwwpos32.exeが効かない場合は、もしかしたら既にwwwpos32.exeが稼働中の可能性があります
この場合は次の方法で停止します
まず、svchost.exeの中身を知るために
http://www.forest.impress.co.jp/lib/sys/wincust/taskservice/prcsxplorer.html
をダウンロードして起動し、CPUを占有しているサービスの名前(svchost.exe)をマウスカーソルでポイントして調べます(DCOM・・・等といった中身が表示されると思います)
その後、スタートメニュー→コントロールパネル→管理ツール→サービスより、対応する中身(DCOM・・・等)を右クリックしてプロパティ→回復タブでエラー時は「再起動する」となっていると思いますので、全て「何もしない」に変えてOKしてください
その後、ProcessExplorerよりCPU占有を目印に該当するサービスをKill Processしてください

--------------------------
追記@1月24 3:58
--------------------------

ついでに各種アップデートを紹介
AdobeReader; http://get.adobe.com/jp/reader/
FlashPlayer; http://get.adobe.com/jp/flashplayer/
Java; http://java.com/ja/download/
他にも何かあるかな?