2008年03月22日

WORM_AUTORUN.CCの完全駆除 

 この記事へのアクセスが非常に多いので、丁寧に書き直しました。

 このウイルスは、ウイルス対策ソフトの網をかいくぐり、USBメモリを通じてパソコンの中に入り込むしつこいウイルスです。

 ウイルス対策ソフトで駆除できないときがあり、一度感染するとUSBメモリを通じて他のパソコンに簡単に感染していく恐ろしいウイルスです。

メーカーのサイトを見ても、役に立たない対策ばかり。

 おまえの会社(マカフィとノートン)の対策ソフトが役立たずで駆除できないから見に来てるのに、「最新版の定義ファイルに更新して下さい」としか書いていない!  金返せ! と言いたいダッシュ(走り出すさま)ダッシュ(走り出すさま)

 このウイルスに感染すると対策ソフトでは駆除できません。駆除しました、とメッセージが出ても、実際はUSBメモリを差し込んだ時点で、既にレジストリの中に入り込んでいます。

 この記事を探し出した方は、その辺をよくご存じだと思います。
ネットで調べても、対策はどこにも書かれていません。

たぶん、このサイトが唯一だと思います。
なにしろ、色々調べてどこにも対処法が無かったため、自分で考えた方法なので。


 このウイルスは、USBメモリを通じて感染するワームタイプで、レジストリに書き込むため、通常のウイルス対策ソフトのスキャンでは検出されない場合があります。一度感染してしまうと、USBメモリのウイルスは検出、駆除しても、PC本体のレジストリに入り込んでしまったウイルスは駆除できないし、ウイルスがいることを認識しません。これがこのウイルスの恐ろしいところです。管理人が駆除した200台以上のパソコンで、外付けハードディスクへの感染は1件もありませんでした。全てUSBスティクメモリーを通じた感染でした。

1.ウイルス名、タイプ、感染経路、ダメージ
(1) ウイルス名:WORM_AUTORUN.CCまたはW32.SillyFDC
 シマンテックのサイトの解説をご覧下さい。まったく役に立ちません。

シマンテックのこのウイルス解説へのリンク

(2) タイプ:ワーム。
(3) 感染経路:USBディバイスを通じて、パソコン、外付けメモリーの双方向に感染
(4) ダメージレベル:低
 パフォーマンスの低下:自分自身を各種のフォルダロケーションにコピーすることにより、パフォーマンスが低下する可能性がある。
 と、対策ソフトのサイトには書いてあります。実際の被害は分かりません。


2.感染の症状
 ウイルスファイルは
  Autoregistry.exe
  Autorun.inf
  の2つです。

①ウイルス対策ソフトがウイルス実行ファイル(Autoregistry.exe)を自動的に駆除し、Autorun.infのみ残っている場合があります。しかし、その場合でもPC本体に感染している場合がほとんど。

② USBメモリを通じてパソコンに感染したウイルスは、レジストリに他のディバイスへ感染するためのフォルダやファイルを、さらにCドライブにAutoregistry.exeをコピーします。対策ソフトが駆除しました、と言っているのはこのCドライブの実行ファイルのことで、レジストリの中は見ていません。

③ 感染していないUSBメモリ等外部ディバイスが感染したPCに接続されると、そこへ上記2つのウイルス・ファイルをコピーし、被害を拡大します。

④このプログラムはエクスプローラの標準設定では見ることができないため、感染に気づきません。

⑤ 感染したパソコンではウイルス対策ソフトで検索しても、ウイルスが認識されません。ウイルス対策ソフトでは、レジストリの中のウイルスを駆除できないため、ウイルススキャンでもウイルスが検出されない場合がほとんどです。しかし、検出されないのに、感染します。


3.感染の確認と駆除方法


 以下の方法はレジストリからウイルスを直接削除する方法です。レジストリの操作を間違えるとパソコンが立ち上がらなくなったり、再インストールとなる恐れがありますので、操作は、「自己責任」で、慎重にお願いします。

(1) エクスプローラの設定
 エクスプローラの標準設定では実行ファイルが見えない設定になっているので、ウイルスが入っているかエクスプローラで確認できません。見えるようにエクスプローラの設定を変更します。
① エクスプローラを開く。
② [ツール][フォルダのオプション][表示]で、一番下の[保護されたオペレーションファイルを表示しない]のチェックを外す。
③ [ファイルとフォルダの表示]で[全てのファイルとフォルダを表示する]にチェックを入れる。
④ 「登録されている拡張子は表示しない」のチェックを外す。
⑤ この[フォルダの表示]画面で、[フォルダに適用]をクリックし、全てのフォルダに適用する。

(2) USBメモリ等の感染の確認と駆除
他への感染を防ぐため、まず、USBメモリが感染しているかチェックをします。
パソコンにUSBメモリを差し込みます。
エクスプローラの表示設定を上の(1)のように設定した上で、ウイルスファイルの有無を確認して下さい。ウイルスファイルは以下の通りです(再掲)。この二つのうち1つでも入っていたら、お使いのPCも感染していると思って下さい。
この二つのファイルを削除して下さい。

  Autoregistry.exe
  Autorun.inf

 もし、Autorun.infだけ残っていた場合、このファイルをメモ帳で開いてみて下さい(このファイルはテキストファイルです)。ウイルスを恐れる必要はありません。もし、ウイルスだったら、既に感染しているからです。

 Autorun.infの記述の中に、「Autoregistry.exe」という文字が入っていれば、間違いなく感染しています。もし、なければ、少なくとも今回のウイルスには感染していません。別のウイルスに感染している場合があります。そこに書かれている実行ファイル(.exeや .comなど)の名前でネット検索すればそれがウイルスかどうか調べることができます。なお、Autorun.infoは、通常のソフトにもあることがあります。間違って削除しないように。

USBメモリーのウイルスを削除しても、すぐにウイルスが再生してしまう場合があります。そのときは、既にAutoregistry.exeが起動しています。これが起動していると削除できません。

 Ctrl + Alt + Delete を同時に押してタスクマネージャーを立ち上げ、プロセス・タブの中で、起動しているAutoregistry.exeを選択し、プロセスの終了を押し、終了させて下さい。これで、USBメモリからウイルスファイルを削除できます。この操作で削除できない時は、セーフモードから削除して下さい。

(3) パソコン本体の感染の確認と駆除
 レジストリからウイルスフォルダとファイルを削除します。レジストリの変更操作を誤るとはパソコンが起動しない等重大な問題が発生しますので慎重にお願いします。やったことのない人は知っている人に頼んで下さい。

 作業を開始する前に、レジストリのバックアップを取っておいて下さい(方法は下に書きました)。また、重要なファイルはバックアップを取っておくことを強くお奨めします。

① [スタート]⇒[ファイル名を指定して実行]を選択、「regedit」と入力。レジストリ・エディタが起動する。
② [編集]⇒[検索]で、[検索する値]に「autoregistry」と入力し、検索を開始。
③ 感染していなければ、「レジストリを全て検索しました」と表示されます。
④ 感染している場合、検索が該当箇所で止まります。検索されたフォルダが
     {43c41d02-142・・・・・・・・・・・・・・・・・・・・・・} ← このフォルダ名は可変
- shell
- Auto
- command
- Autoplay
- Autorun
 などの長い名前(ハッシュ値)で、同じような構成のフォルダの場合、
{43c41d02-142・・・・・・・・・・・・・・・・・・・・・・}というフォルダごと削除します。削除は [編集][削除]で行います。このフォルダはウイルスが作ったフォルダなので削除しても問題ありません。
⑤ 削除したあと、 [編集]⇒[次を検索]、またはF3 を押し、次を検索します。
⑥ またヒットしたら、④と同じフォルダ構成になっていることを確認して、フォルダを削除します。全部で20カ所程度出てくる場合があります。USBメモリを差し込む毎にフォルダが作られるようです。
⑦ 注意しなければならないのは、上のフォルダ構成ではない場合にヒットした時です。その場合は、ヒットした「ファイル」(フォルダではない!)のみ削除して下さい。

 感染しているUSBメモリを差し込んだだけで、パソコンに感染します。
 駆除にあたっては、USBメモリを差し込んだ状態で、パソコンとUSBメモリの両方を同時に削除して下さい。どちらか一方に残っていると、差し込んだ時点でまた双方向に感染します。

【追記】20100716
 一度削除した記事を上記のとおり再度アップしました。

 W32.SillyFDCには多くの亜種があるため、この方法で駆除できないものもあります。しかし、USBメモリ関係のウイルスは、この方法で大抵駆除できると思います。

 このタイプのウイルス駆除の方法は、①ウイルス実行ファイル名を調べる(対策ソフトが教えてくれるはずです)、②レジストリの中のこの実行ファイルを検索し、ウイルス関連の値を削除、が基本です。ただし、いろいろなタイプがあり、Windowsの既定のレジストリ値を変更するウイルスではこの方法は通用しません。なにしろWindowsのファイルなので削除するわけにはいかないからです。また、削除もできません。

 上記と違う場合は、右サイドバーのカテゴリーから「しつこいウイルス駆除」の中の別の記事をご覧ください。参考になる記述があるかも知れません。

【追記:レジストリのバックアップ】

 レジストリのバックアップ方法と復元方法は、意外なことにどのサイトもあまり書いていないので、ここに追記します。

1.レジストリのバックアップ方法
 バックアップの方法は、個々の値をバックアップする方法とレジストリ全体をバックアップする方法があります。ここでは、レジストリ全体をスキャンして削除していくため、バックアップはレジストリ全体を対象とします。

① 上述した方法でレジストリエディタを起動
② 起動した画面(下の画像)で「コンピータ」が選択されていることを確認。
regedit01.gif

③ [ファイル]⇒[エクスポート]。ファイル名を付けて適当なフォルダに保存。regという拡張子が付きます。

2.レジストリをバックアップから復元する方法
 復元するには、保存したバックアップファイルをダブルクリックするだけです。

 注意すべき点としては、このバックアップからの復元がいつも成功するとは限らないことです。「復元に失敗しました」ということもしばしば起こります。この復元に過剰な期待を持たないことです。そのために、レジストリの操作を行う場合、パソコンがいつ起動しなくなっても良いようにデータ類のバックアップをしておくことが大切です。

 管理人はこの方法で200台以上のパソコンやUSBメモリからウイルスを駆除しましたが、1台も不具合は発生していません。年間数千人が研修でパソコンを使うため、被害の拡大が深刻な問題でしたが、何とか食い止めることができました。

 この記事を最初にアップした時点ではウイルス対策ソフトは全く無力でしたが、現在はこのウイルスに対応しているのかもしれません。それにしては、相変わらずこの記事へのアクセスが多いですが。


【追記2】

 このウイルスは、上の操作で完全に削除できます。
 ウイルス対策ソフトに頼っていると、「駆除しました」と表示されても、実は駆除されていない場合があります。これがこのウイルスの怖いところです。

 いろいろ試した結果では、ウイルス対策ソフトで駆除されるときもあれば、駆除されないときもあるという状況です(ウイルス対策ソフトはマカフィーとノートンの最新バージョンです)。この理由は分かりませんが、実態としてそうなっています。

 唯一の根本的な駆除方法は上で書いた方法だと思います。

 会社の研修用PCは60台、残りは外部からの持ち込みPCでした。PCのOSは、98からVISTAまでさまざまですが、この方法ですべて駆除できます。

 巷の対策覧が役に立たない事例の一つとして、USBスティックメモリーを差し込んだとき自動起動しないように設定するというものがあります。でもこれは無駄でした。このウイルスはスティックを差し込んだ時点で感染します。

 一番腹立たしい解決策のコメントは、再インストールを勧めるものです。OSを再インストールしたくないから対策を探しているのに! 

posted by ネコ師 at 03:08| Comment(5) | しつこいウイルス駆除 | 更新情報をチェックする
この記事へのコメント
今朝他人のUSBメモリからExcelデータを移したときに上記のW32.sillyのウイルスに感染した大学生ですが、
よろしければウイルスの駆除方法をお教え願えないでしょうか?
pcの起動にそこまで支障はないようですが、よくわからないファイルがかなりあって不安な状態で、解決策をネットで探してこのサイトにたどり着きました。osはvistaです。

どうか、よろしくお願いします。
Posted by ryota yamamoto at 2010年07月12日 22:31
>yamamotoさんへ
 記事を再アップしました。少し雑な書き方ですが、取り急ぎアップします。
不明点があれば質問ください。貴メールアドレスは迷惑メール対策のため削除しました。
Posted by ネコ師 at 2010年07月17日 09:37
今日、人から借りたUSBからW32.SillyFDCに感染してしまいました…

感染した事による影響かどうか断定はできないのですが、ネットワークで接続している複合機からSCANがとれなくなり(複合機が私のIPアドレスを認識していない状態)、PCにUSBで接続しているHDのポート名が(F)から(G)に勝手に(USBの差し直しはしていません)変更になったりと意味不明な現象が起こりました。

SCANに関しては寸前まで使用可能でした…

このサイトに辿り着き駆除を試してみました。
おそらく駆除出来たと思うのですが。
(レジストリの検索にヒットせず、通常のPC内の検索にもヒットせず)

駆除したにも関わらずSCANがとれませんでした。
長々と長文で申し訳ないのですが、PCの知識が浅く原因が分からず困っています。
何か考えられる要因はあるでしょうか?
お知恵を拝借したく書かせて頂きました。
よろしくお願い致します。


Posted by EM at 2011年07月08日 19:29
>EMさんへ
 このウイルスは亜種があるようなのでウイルスのせいかどうかはよく分かりません。
 私の職場でこのウイルスに感染した時は、セキュリティソフトが反応する以外、実害はなかったと思います。上でも書きましたが、200台以上のパソコンが感染し、大変な目に遭いました。しかし、感染するのはUSBメモリと、それを差し込んだパソコンの本体だけで、外付けのハードディスクの感染例は1件もありませんでした。また、LANを通じて周辺機器に不具合が生じたケースもありません。
 EMさんのケースでは、私ならウイルスではなく、設定の不具合を疑いますが。原因としては、更新プログラムか新しく入れたソフトが影響しているかも知れません。ウイルス対策ソフトの更新プログラムがあやしいかも。対策は、ドライバを削除してから再インストール。ネットワーク関係の不具合は、原因がたくさん考えられるので、・・・考えたくないです。

Posted by ネコ師 at 2011年07月09日 03:00
回答を頂きありがとうございます!

あの後も色々と試したのですが結局原因が分からず、
SCANは一旦他のPCに入れてから、そこから切り取りでPDFを自分のPCに持ってくる事でなんとか業務を進めています。

ありがとうございました。
Posted by EM at 2011年07月13日 15:37
コメントを書く
コチラをクリックしてください