2010年06月07日

しつこいウイルス『RECYCLER LBTWiz.exe』の駆除

 職場のPCがウイルス『RECYCLER LBTWiz.exe』に感染し、ウイルスをばらまいているので、駆除することに(ちなみに、管理人は外国にいます)。OSはVistaとWindows 7が対象の記述です。xpではRECYCLERというフォルダがデフォルトでありますから、これは削除できません。VistaとWindows7にはこの名前のフォルダはないので、もしあればウイルスです。

 ウイルス対策ソフトの表示は、以下の通り。

  Virus or unwanted program 'TR/Dropper.Gen [trojan]'


【感染状況】

 USBスティクメモリを差し込むと、感染します。
 「Autorun.inf」というファイルと、「RECYCLER」というフォルダを作ります。

「RECYCLER」というフォルダのなかには、「S-51-9-25-3434476501-1644491932-601013333-1214」というフォルダがあり、その中に、「LBTWiz.exe」という実行ファイルがいます。もしかしたら、この「S-****」というフォルダ名は、別の名前になっているかもしれません。

 また、同時に、Temporary Internet Filesフォルダに、bmp、rar、jpgという偽装した拡張子のファイルをコピーします。最悪の症状は、ネットワーク接続、インターネット接続の環境を破壊するようです。


 「Autorun.inf」というファイルは削除できますが、「RECYCLER」というフォルダは削除できません。ウイルス対策ソフトでも削除できません。

 USBメモリからウイルスを削除できず、別のPCにこのUSBメモリを差し込むと、感染します。やっかいです。


【駆除方法】

<USBメモリからのウイルス駆除>

@ まず、USBメモリから、このやっかいな、「RECYCLER」というフォルダを削除します。
 タクスマネージャを起動し、「プロセス」タブを開き、「LBTWiz.exe」を探し、「プロセスの終了」で、強制終了させます。

A これで、「RECYCLER」というフォルダが削除できます。その後で、「Autorun.inf」というファイルも削除します。

B これで、USBメモリのウイルス削除は完了です。

 なお、@で「LBTWiz.exe」が見つからないときがあります。その時は、セーフモードで起動して削除してください。


<PC本体からのウイルス駆除>

 そもそも、このウイルスにPC本体が感染するのは、PC本体のウイルス対策ソフトが機能していないからです。機能していれば、PC本体が感染することはないようです。常に最新状態にアップデートしているウイルス対策ソフトを搭載していてもPC本体が感染する場合は、ウイルス対策ソフトを別のものに交換した方が良いでしょう。この程度のウイルスも駆除できないソフトは、無用の長物です。

 USBメモリを再び差し込んで、上のファイルと、フォルダが作成されなければ、駆除完了です。また作成される場合には、PC本体が感染しています。下の手順で削除します。

(レジストリをいじるので、自己責任でお願いします。操作は慎重に。)

@ スタート>ファイル名を指定して実行>regedit と入力し、レジストリエディタを起動

A 編集>検索 と進み、検索窓に、LBTWiz.exe と入力し、「次を検索」ボタンを押す。
 HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Explorer > MountPoints2 > {1897dec3-0b75-11de-bb68-00166f0f31ef} でヒットしました。

 このフォルダ構成は、
  {1897dec3-0b75-11de-bb68-00166f0f31ef}
   -Autorun
    -Shell
    -Autoplay
    -AutoRun
      -command

  ここで、F:/RECYCLER/S-51-9-25-3434476501-1644491932-601013333-1214/LBTWiz.exe を参照しています。

 そこで、この{1897dec3-0b75-11de-bb68-00166f0f31ef}を左クリックし反転させ、右クリック>削除 で、削除します。

 下の画像は、「Zgmh.exe」という似たようなウイルスの場合の例です。大体、同じようなフォルダ構成です。
virus_detect1.jpg


B 「F3」ボタンを押して、検索を続けます。
 次にヒットしたのは、すく下の{2acb7cc-0d6f-11de-bb70-00166f0f31ef}という名前のフォルダです。フォルダ構成は全く同じです。Aと同様に{2acb7cc-0d6f-11de-bb70-00166f0f31ef}を削除します。

[検索でヒットした事例]
reg_edter2.jpg


C 「F3」を押して、ヒットしなくなるまで、削除作業を続けます。
 今回の作業では、8個見つかりました。

D 検索が終了したら、最初から検索し直します。それでヒットしなければ、ウイルスの駆除完了です。

【確認】

本当に駆除されたか確認します。
@ 再起動し、USBメモリを差し込み、ウイルスフォルダが作成されているか確認します。
 作成されていなければ、作業終了です。


【ウイルス対策の強化】

 そもそも、このウイルスにPC本体が感染するのは、ウイルス対策ソフトが機能していないからです。対策ソフトを入れ替えた方が良いと思います。

 フリーの対策ソフトで十分防げます。

 フリーのウイルス対策ソフトは、様々なものがありますが、以下の2つを入れておけば、良いと思います。ウイルスが蔓延している管理人のいる国の技術者に教えてもらいました。

 Avira AntivirusPersonal: ドイツのソフトで、世界中で高く評価されています。
 Anti-Virus Free Edition: 定番のフリーソフトですが、検出率が向上しており、現時点では最も信頼がおけるそうです。

 もう一つ、購入したソフト「ウイルスセキュリティZERO」も入れていますが、このソフトの出番はありません。先に、上の二つのソフトが駆除してしまいます(笑)。

 上の二つのソフトで、完全スキャンを行い、ウイルスがいないのを確認します。たぶん、ウイルスの残骸が残っていると思いますが、気にしないことにします(笑)。

 このウイルスは、googleで検索しても、日本語ではヒットしないので、日本には上陸していないのではないかと思いますが。どうでしょう? 間違いでした。結構、リンクを辿って来る人が多いです。

【そこで追記します】

 フラッシュメモリの「RECYCLER」フォルダは、セーフモードで削除できたのですが、外付けハードディスクではセーフモードでも削除できない。

 この場合、フォルダのセキュリティを変更します。

 やり方は、良く覚えていないのですが、以下のような感じだったと記憶しています。


 「RECYCLER」フォルダを右クリック>プロパティ>セキュリティタブ

  
 「グループ名またはユーザー名」に「RECYCLER」の長い名前があるので、これをクリック。

  画面下のアクセス許可の詳細設定をクリック。

 「編集」をクリックして「セキュリティの詳細設定」ウインドウを開く。

 アクセス許可タブで、アクセス許可エントリのリストでRecyclerを選び「編集」をクリック。

  アクセス許可ウインドウで「RECYCLER」を選び「編集」の下の「オブジェクトの親からの継承可能なアクセス許可を含める」にチェックを入れてOK。

  だったような。違うかも。

 もし、このチェックが入っていて、チェックできない場合、以下に進む。

 「編集」をクリック。

 「アクセス許可」のウインドウが開くので、また「RECYCLER」を選択して「編集」をクリック。
 「オブジェクト」ウインドウのフルコントロールにチェックを入れ、OK。あとは、OKを押し続けて、開いているウインドウを全て閉じる。
 
 アクセス許可はあまりやったことがないので説明が間違っているかも。でも、適当にいじっていれば、アクセスできるようになり、削除できます(結構いい加減)。


【追記です】

 外国にいて思うことは、PCについての知識は、外国の方が"異常に詳しい"ことです。Crackは当たり前の世界です。だから、最新のソフトで対応しています(笑)。この点で、日本は遅れていると思います。日本のwebサイトの記事はレベルが低くは、残念ながらほとんど役に立ちません。
 管理人は、新しいウイルスに出くわすたびに、その駆除方法をこちらの技術者(?)に教えてもらっています。上の記述で8件と書きましたが、その後のPC全体スキャンで29のウイルスが検出されました。その中には、ちょっと怖いのも含まれていましたが、無事、ウイルス対策ソフトで駆除できたようです。実は、実行ファイル名さえ分かれば、このタイプの多くのウイルスを同じ方法で駆除できます。このタイプは、既存のファイルの書き換えをしていないためです。残骸が残るのは仕方ないので、そのままにします。そもそも、ウイルスがどのフォルダにどのような名称のウイルス関連ファイルを作るかは、ウイルスを製造した本人しか分からないので、ウイルスの残骸が残るのは仕方がないです。残っていても実行ファイルを駆除していれば実害はありません。今回のウイルスは、system32にscrの拡張子のウイルスファイルを作るとの記述のあるサイトもあったのですが、確認した限りでは見つかりませんでした。ウイルス対策ソフトが駆除したのかも知れません。
 こんなことに時間を取られて全く腹立たしいです。損害賠償請求をできる法律を早く作って欲しいものです。

【初心者の方へ】
エクスプローラの標準設定では、隠しファイル、拡張子は見えない設定になっているので、これを変更する必要があります。

 ツール>フォルダ オプション>「表示」タブ で、
 「ファイルとフォルダの表示」で、「すべてのファイルとフォルダを表示する」にチェックを入れる。

 その下方にある、「保護されたオペレーションシステムを表示しない(推奨)」のチェックを外す。

 ウイルスのファイル名が分かっている場合には、ここでご紹介している駆除方法は有効だと思います。しかし、ウイルスには様々な種類、さらにその亜種があるので、この方法が通用するかどうかはそれぞれのウイルスの性質を見極める必要があります。

 USBから感染するウイルスは、経験上、上記の方法で完全に駆除できるのではないかと思います。しかし、あくまでも、自己責任でお願いします。レジストリのバックアップをとるのは当然ですし、起動しなくなることも想定し、必要なデータのバックアップも必須です。

 急いでバタバタと操作すると後で必ず後悔することになります。操作は、時間のあるときに、落ち着いて行ってください。

 管理人からの最小限のアドバイスです。



 
posted by ネコ師 at 06:59 | Comment(0) | しつこいウイルス駆除 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
記事に関係ないコメント、宣伝的なコメントは削除させていただきます。
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。

▲ このページのTOPに戻る