USBに感染するウィルスについての情報

今日現在までの戦い？の結果です。 ・システムの復元を無効にします ・インターネットのテンポラリーファイルを削除します ・msconfigのスタートアップで「mmvo,mmva,revo,reva,kavo,kava」またはこの類似のチェックをはずす ・セーフモードで立ち上げる ・最後に添付した情報によって作ったbatファイルの実行 ・再起動 ・ウイルス対策ソフトの更新（とまってたものが動き出す？） ・avastの場合はサイトからリムーブツールでアンインストールして再度インストール ・システムのフルスキャン ・システムの復元の有効化 これで何とかなってる感じです。 batファイルの内容 以下をコピペしてbatファイルとして保存 ＊＊＊＊＊＊＊＊＊ rem disable autorun.inf rem system 復元　Off rem Internet temp >clean rem safemode rem 覚書　＊＊隠しファイル・システムファイルの有視化＊＊ rem regedit HKEY_CURRENT_USER＞Software＞Microsoft＞Windows＞CurrentVersion＞Explorer＞Advanced　の"Hidden"と"ShowSuperHidden" >1 rem regedit HKEY_LOCAL_MACHINE＞SOFTWARE＞Microsoft＞Windows＞CurrentVersion＞Explorer＞Advanced＞Folder＞Hidden＞SHOWALL　の"CheckedValue" >1 rem 覚書　＊＊自動起動の無効化＊＊ rem 「ファイル名を指定して実行」で「gpedit.msc」を実行 rem 「コンピュータの構成→管理用テンプレート→システム→自動再生機能をオフにする」 rem プロパティを開く（ダブルクリック） rem 「自動再生機能をオフにする」で「すべてのドライブ」を選択 rem 有効をチェック rem C drive del /f /a c:\autorun.inf mkdir c:\autorun.inf attrib +h c:\autorun.inf del /f /a c:\06mhfog.com del /f /a c:\1aq1obb.bat del /f /a c:\68.exe del /f /a c:\8e9gmih.bat del /f /a c:\9rhtx.bat del /f /a c:\a.bat del /f /a c:\a0fr.bat del /f /a c:\add.sys del /f /a c:\ampfrb.cmd del /f /a c:\as.bat del /f /a c:\awqlpyrd.com del /f /a c:\c.cmd del /f /a c:\cxx6qa8t.exe del /f /a c:\desktop.exe del /f /a c:\desktop.ini del /f /a c:\desktop2.exe del /f /a c:\dp.cmd del /f /a c:\eipctcc.bat del /f /a c:\f.exe del /f /a c:\folder.exe del /f /a c:\g.com del /f /a c:\h8i.com del /f /a c:\hbs.exe del /f /a c:\i2p.bat del /f /a c:\INFO2 del /f /a c:\ipy.cmd del /f /a c:\jix9a.bat del /f /a c:\k.com del /f /a c:\l1lyxiy1.exe del /f /a c:\lgnaqil.exe del /f /a c:\mka.bat del /f /a c:\mxuclt.exe del /f /a c:\n6j6pc0.com del /f /a c:\o.exe del /f /a c:\o0s.cmd del /f /a c:\o6hfog.com del /f /a c:\o6mhfog.com del /f /a c:\p3th8wb.cmd del /f /a c:\pg102ga.com del /f /a c:\q83iwmgf.bat del /f /a c:\rbt.bat del /f /a c:\Recycled\desktop.ini del /f /a c:\Recycled\Df2.exe del /f /a c:\Recycled\Dh35.dll del /f /a c:\Recycled\Dh35.exe del /f /a c:\Recycled\Driveinfo.exe del /f /a c:\Recycled\INFO2 del /f /a c:\Recycled\voinfo.dll del /f /a c:\rht.bat del /f /a c:\spxgfwg.bat del /f /a c:\sq.com del /f /a c:\swfu.exe del /f /a c:\sxs.exe del /f /a c:\t2yev.com del /f /a c:\t2yev.exe del /f /a c:\uvg.com del /f /a c:\uwlmj.com del /f /a c:\vmhr.bat del /f /a c:\w3dn9f.bat del /f /a c:\wm93r0.com del /f /a c:\wm93r0.exe del /f /a c:\wuauserv.exe del /f /a c:\wvusvigl.bat del /f /a c:\x0.com del /f /a c:\xa2c.exe del /f /a c:\xhlhmbw.exe del /f /a c:\y1.bat del /f /a c:\y1.exe del /f /a c:\y3032.bat del /f /a c:\yfog8p.exe del /f /a C:\Windows\Prefetch\8E9GMIH.BAT-"*".pf del /f /a C:\Windows\Prefetch\hbs.exe"*".pf del /f /a C:\Windows\Prefetch\O6MHFOG.BAT-"*".pf del /f /a C:\Windows\Prefetch\Q83IWMGF.BAT-"*".pf del /f /a C:\Windows\Prefetch\UU.EXE-"*".pf del /f /a c:\WINDOWS\SYSTEM32\kava.* del /f /a c:\WINDOWS\SYSTEM32\kava"*".* del /f /a c:\WINDOWS\SYSTEM32\kavo.* del /f /a c:\WINDOWS\SYSTEM32\kavo"*".* del /f /a c:\WINDOWS\SYSTEM32\mmvo.* del /f /a c:\WINDOWS\SYSTEM32\mmvo"*".* del /f /a c:\WINDOWS\SYSTEM32\revo.* del /f /a c:\WINDOWS\SYSTEM32\revo"*".* del /f /a c:\WINDOWS\SYSTEM32\reva.* del /f /a c:\WINDOWS\SYSTEM32\reva"*".* rem D drive del /f /a d:\autorun.inf mkdir d:\autorun.inf attrib +h d:\autorun.inf del /f /a d:\1aq1obb.bat del /f /a d:\68.exe del /f /a d:\8e9gmih.bat del /f /a d:\ampfrb.cmd del /f /a d:\as.bat del /f /a d:\awqlpyrd.com del /f /a d:\c.cmd del /f /a d:\desktop.exe del /f /a d:\desktop.ini del /f /a d:\desktop2.exe del /f /a d:\dp.cmd del /f /a d:\f.exe del /f /a d:\folder.exe del /f /a d:\g.com del /f /a d:\h8i.com del /f /a d:\hbs.exe del /f /a d:\i2p.bat del /f /a d:\INFO2 del /f /a d:\ipy.cmd del /f /a d:\jix9a.bat del /f /a d:\k.com del /f /a d:\l1lyxiy1.exe del /f /a d:\lgnaqil.exe del /f /a d:\mka.bat del /f /a d:\mxuclt.exe del /f /a d:\n6j6pc0.com del /f /a d:\o.exe del /f /a d:\o6hfog.com del /f /a d:\o6mhfog.com del /f /a d:\p3th8wb.cmd del /f /a d:\q83iwmgf.bat del /f /a d:\Recycled\desktop.ini del /f /a d:\Recycled\Df2.exe del /f /a d:\Recycled\Dh35.dll del /f /a d:\Recycled\Dh35.exe del /f /a d:\Recycled\Driveinfo.exe del /f /a d:\Recycled\voinfo.dll del /f /a d:\spxgfwg.bat del /f /a d:\sq.com del /f /a d:\swfu.exe del /f /a d:\sxs.exe del /f /a d:\t2yev.com del /f /a d:\t2yev.exe del /f /a d:\uvg.com del /f /a d:\uwlmj.com del /f /a d:\vmhr.bat del /f /a d:\w3dn9f.bat del /f /a d:\wm93r0.com del /f /a d:\wm93r0.exe del /f /a d:\wuauserv.exe del /f /a d:\wvusvigl.bat del /f /a d:\x0.com del /f /a d:\xhlhmbw.exe del /f /a d:\yfog8p.exe rem E drive del /f /a e:\autorun.inf mkdir e:\autorun.inf attrib +h e:\autorun.inf del /f /a e:\1aq1obb.bat del /f /a e:\68.exe del /f /a e:\8e9gmih.bat del /f /a e:\ampfrb.cmd del /f /a e:\as.bat del /f /a e:\awqlpyrd.com del /f /a e:\c.cmd del /f /a e:\desktop.exe del /f /a e:\desktop.ini del /f /a e:\desktop2.exe del /f /a e:\dp.cmd del /f /a e:\f.exe del /f /a e:\folder.exe del /f /a e:\g.com del /f /a e:\h8i.com del /f /a e:\hbs.exe del /f /a e:\i2p.bat del /f /a e:\INFO2 del /f /a e:\ipy.cmd del /f /a e:\jix9a.bat del /f /a e:\k.com del /f /a e:\l1lyxiy1.exe del /f /a e:\lgnaqil.exe del /f /a e:\mka.bat del /f /a e:\mxuclt.exe del /f /a e:\n6j6pc0.com del /f /a e:\o.exe del /f /a e:\o6hfog.com del /f /a e:\o6mhfog.com del /f /a e:\p3th8wb.cmd del /f /a e:\q83iwmgf.bat del /f /a e:\Recycled\desktop.ini del /f /a e:\Recycled\Df2.exe del /f /a e:\Recycled\Dh35.dll del /f /a e:\Recycled\Dh35.exe del /f /a e:\Recycled\Driveinfo.exe del /f /a e:\Recycled\voinfo.dll del /f /a e:\spxgfwg.bat del /f /a e:\sq.com del /f /a e:\swfu.exe del /f /a e:\sxs.exe del /f /a e:\t2yev.com del /f /a e:\t2yev.exe del /f /a e:\uvg.com del /f /a e:\uwlmj.com del /f /a e:\vmhr.bat del /f /a e:\w3dn9f.bat del /f /a e:\wm93r0.com del /f /a e:\wm93r0.exe del /f /a e:\wuauserv.exe del /f /a e:\wvusvigl.bat del /f /a e:\x0.com del /f /a e:\xhlhmbw.exe del /f /a e:\yfog8p.exe rem F drive del /f /a f:\autorun.inf mkdir f:\autorun.inf attrib +h f:\autorun.inf del /f /a f:\1aq1obb.bat del /f /a f:\68.exe del /f /a f:\8e9gmih.bat del /f /a f:\ampfrb.cmd del /f /a f:\as.bat del /f /a f:\awqlpyrd.com del /f /a f:\c.cmd del /f /a f:\desktop.exe del /f /a f:\desktop.ini del /f /a f:\desktop2.exe del /f /a f:\dp.cmd del /f /a f:\f.exe del /f /a f:\folder.exe del /f /a f:\g.com del /f /a f:\h8i.com del /f /a f:\hbs.exe del /f /a f:\i2p.bat del /f /a f:\INFO2 del /f /a f:\ipy.cmd del /f /a f:\jix9a.bat del /f /a f:\k.com del /f /a f:\l1lyxiy1.exe del /f /a f:\lgnaqil.exe del /f /a f:\mka.bat del /f /a f:\mxuclt.exe del /f /a f:\n6j6pc0.com del /f /a f:\o.exe del /f /a f:\o6hfog.com del /f /a f:\o6mhfog.com del /f /a f:\p3th8wb.cmd del /f /a f:\q83iwmgf.bat del /f /a f:\Recycled\desktop.ini del /f /a f:\Recycled\Df2.exe del /f /a f:\Recycled\Dh35.dll del /f /a f:\Recycled\Dh35.exe del /f /a f:\Recycled\Driveinfo.exe del /f /a f:\Recycled\voinfo.dll del /f /a f:\spxgfwg.bat del /f /a f:\sq.com del /f /a f:\swfu.exe del /f /a f:\sxs.exe del /f /a f:\t2yev.com del /f /a f:\t2yev.exe del /f /a f:\uvg.com del /f /a f:\uwlmj.com del /f /a f:\vmhr.bat del /f /a f:\w3dn9f.bat del /f /a f:\wm93r0.com del /f /a f:\wm93r0.exe del /f /a f:\wuauserv.exe del /f /a f:\wvusvigl.bat del /f /a f:\x0.com del /f /a f:\xhlhmbw.exe del /f /a f:\yfog8p.exe

ソフトのインストールが面倒になりますが、autorunを無効にする。 「USBメモリを安易につながないで」 http://www.itmedia.co.jp/enterprise/articles/0707/04/news031.html OSとウィルス対策ソフトが次第です。（Antinnyも少しかかった） たまに、製品にウィルスが混在していることがあります。 ロジテック、3.5インチ外付けHDDにウィルス混入 http://pc.watch.impress.co.jp/docs/2007/0129/logitec.htm

まだ確定情報では無いのですが、あくまで参考という形で報告します。 　感染したUSBメモリにメモ帳(作れれば何でもOK)より作成したautorun.infファイルをUSB上に入れ上書きした後、もう一度挿しなおすとオートランが実行されないので隠しファイルが表示されるようになります。 　また、亜種は分かりませんが上書きされないことを自分も確認したので4種のファイルを自身で作り上書きすることにより再感染を防げると思われます。 　私が使っているノートはVista(ウィルスバスター2007を入れてます)なのですが、感染したUSBメモリを読ませてフォーマットかけてコマンドプロンプトで確認したのですが再発している様子がありませんでした。

私のUSBも同様の感染が確認されました． しかし，シマンテックをインストールしてあるPCですと，接続時に感染していることを教えてくれ，削除も同時に行います． そのPCでフォーマットを行うことで，そのUSBは使用可能となりました． 他の方法は試せていませんが，この方法なら確実に除去できると思います． 時間等の余裕がありましたら試してみると良いと思います．

#5です。 えっとですね、再セットアップとかやだったらVistaPEでも作成して、CDブートで該当ファイル、起動エントリ削除して下さい。 これを機に、正常時のシステムのイメージバックアップを取っておくといいですよ。ボクも昨日やったばっかりです。Acronis True Imageがお薦めです。

こんにちは。 ボクはその筋のコミュニティーの潜入調査やVirtual Machine上でAVのスキャンやPFWの検知を欺くMalwareの動作解析みたいなことをやってます。 まあ、Trojan+Wormの複合タイプだと思いますんで、リカバリないしはシステムの再インストールが一番手堅いと思いますよ。

もう少し突っ込んで検索してみました。キーワードは、 usb desktop.exe autorun.inf folder.exe desktop2.exe 幾つかヒットしましたが…いずれも中国語のページでした。どうやらこの感染、中国製のようですね。中で最もそれらしいものをまずリンクしておきます。 http://www.tykes.tn.edu.tw/modules/news/article.php?storyid=1288 このままでは理解しにくいので、次のウェブ翻訳を使うことをお勧めします。 http://babelfish.altavista.com/ "Select from and to languages"は"Chinese-trad to English"を選んでください。 表示された英文を更に別のウェブ翻訳で日本語に約すと、理解が深まりそうに思われます。 個人的な理由で、私自身は今すぐこのページの内容を理解してアドバイスを差し上げることが出来ません。申し訳ありません。 ざっと見た感じ、マカフィーが提供している無償のウイルススキャナ、Stingerで駆除出来る、という記述のようですが。 http://www.mcafee.com/japan/security/stinger.asp Stingerの使い方は次のページで解説されています。 http://eazyfox.homelinux.org/SecuTool/Stinger/Stinger001.html あと、他にもウェブ検索でヒットしたページが幾つかありますが、そのうちの一つを追加でリンクしておきます。何かの参考になれば。 http://zhidao.baidu.com/question/15607426.html?fr=qrl3 バッチファイルを利用して、一気にかたをつける、という感じの手法が紹介されています。

質問中にあるUSBメモリが新規に購入したものであり、これを挿したことが直接の感染の原因と考えられる場合には、すぐにメーカーに連絡すべきでしょう。場合によってはメーカーに既に感染に関する具体的な情報が存在する可能性があります。 >USBをフォーマットしてもフォーマット後に上記４つのファイルが作成されます。 PC本体に既に感染しており、それが原因でUSBメモリに再感染するようになっています。おそらく、別のUSBメモリを挿したり、あるいはフロッピーディスクやCD-Rなど他のメディアに新規にアクセスしても、同様な感染が発生するように思われます。 次のページを見つけました。 http://www.atmarkit.co.jp/news/200707/03/ipa.html W32/SillyFD-AAの別名であるWorm.Win32.VB.fwや、W32/LiarVB-Aの別名であるWorm.Win32.VB.dfに関してGoogleで検索したところ、a-squaredのアドバイザリページがヒットしましたので、a-squared Freeもしくはオンライン版であるa-squared Web Malware Scannerを利用すると改善される可能性があるように思われます。 http://www.emsisoft.jp/jp/software/free/ http://www.hippo.azimech.net/AtTheSpring/UsingA2WMS.html 当方もa-squared Freeを利用していますが…これを書いている少し前、言語を日本語にした状態ではオンラインアップデートが正常に行えないことを確認しています。その場合は、一旦英語表記に切り替えてアップデートをやり直してみてください。原因は分かりませんが…こちらでは英語表記の状態だとオンラインアップデートが正常に行えました。 なお、a-squared Freeは結構誤検出が多いようです。疑わしい検出があった場合には、かならずファイルのプロパティから素性を確認したり、ウェブ検索を利用して関連情報を探したりして総合的に判断されることをお勧めします。取り敢えず、以前から利用しているアプリケーションやPCにプレインストールされているアプリケーション関連のファイルが検出された場合は、一先ず誤検出を疑った方が良さそうです。

Ano.1氏の回答のようにまずオンラインスキャンを試すのがよいでしょう。 USBを使いまわしされていた場合は他のPC(VISTA,2000)もチェックの必要があります。 質問の内容をみるとかなりPCには詳しいようですので詳しい回答はいたしませんが、desktop.exe等のファイルはトロイの木馬ワームでよく見られるものです。 >C:\WINDOWS\system32\wuauserv.exeが自動起動して、ファイヤーウォールに TCP Telnet Tftp という名前の穴を開ける。 これは、PCをリモートで操作するためです、PCをのっとられている可能性があります。 >感染後再起動１・２回目で、Automatic Updates これはWindows Updateの自動更新のサービスです。自動更新を停止させた覚えが無ければ、ウィルスによってブロックされているかもしれません。 お話からすると、かなり悪質なウィルスに感染している様に伺えます。 やはりウィルス対策ソフトの利用がやはりお勧めと思います。