(続)祝ブロードバンド生活開始〜と思ったら・・・

さて。

この３日間はずっとウィルスと格闘してたのでまとめて。

まず、色々調べて解ったこと。
・見覚えのないexeが動作している。
  systems.exe
  winaii.exe
・見覚えはあるが、やたらCPU使いまくっている奴がいる。
  svchost.exe

以上のことから調べてみると、
・ノートンアンチウィルスが警告したW32.Welchia.B
・systems.exeを実行させるWORM_AGOBOT.U(W32.AGOBOT.P)

このどっちか見たいだ・・・

※発生当初、winaii.exeの情報が無かったので、関係無いかと
思ってたら、後日3/31にwinaii.exeを実行させるW32.AGOBOT.FH
てのがあったみたい。

症状から見ると、どうもAGOBOT臭い。
こいつはセキュリティ関係のソフトを強制終了させるらしい。
なので、早速駆除に取りかかる。

まず起動。で、レジストリを確認してみる。
・・・発見。
詳しい場所は忘れたが、確かにsystems.exe(ついでにwinaii.exe)も
起動時に実行されるようになってる。
で、まずレジストリを削除しよう・・・と思ったらレジストリエディタ強制終了。

これも落とされるのかよ・・・

仕方ないので、systems.exeとwinaii.exeを止めに掛かる。
が、タスクマネージャでは停止できず、さてどうしたもんかと考えて
いると、ファイル名を替えれば起動時に実行できないはず、と
いう作戦を思いつく。

では、早速ファイル名を替えてみる。
場所はファイル検索で突き止め（system32にあった・・・）、２つの
ファイルの拡張子をexeからoldに書き換え、再起動。

なんと問題なく再起動完了。

やったー、これでウィルススキャンして駆除すれば全て完了だ。



・・・とっても甘い考えだったみたいです。

なんとウィルススキャンしても検知せず。
(もちろんウィルススキャンは、exe以外も含む全ファイル)
アンチウィルスが完全にやられたのか、それとも新種なのか解らないが
兎に角、アンチウィルスを入れ直そうと思ってアプリケーションの
追加と削除を起動。

が・・・

インストールしているアプリケーションが何も出てきません。
それどころか、このウインドウの表示も少しおかしい。
普通なら左側に説明が出るはずなのに、それも出ない。

これは本格的に危険な状態だ・・・

仕方ないので、他のPCでネットに繋ぎ、似たような症状を検索してみると
RPCインターフェイスが正しく動作していないと、こんな事になるらしい。

ん？

RPC？

それって、もしかしてワームが脆弱性突いて入ってきた穴じゃないのか？

ってことは、RPCももうダメ？






えー、私もその辺詳しくないので何とも言えないのですが、どうにも
末期症状のようです。

えぇ、結局泣く泣く再インストールしましたよ。

全部。

ﾁｷｼｮｰ

教訓：最初にWindowsUpdateやっときゃ良かった・・・　つД｀)･ﾟ･｡･ﾟﾟ･*:.｡


※追記
中でも書いたが、新種のウィルスだった可能性が高そう。(W32.AGOBOT.FHってやつ)
だからアンチウィルスにも掛からなかったんだと思う。

ちなみに、再インストール後真っ先にWindowsUpdateしましたよ、えぇ。