ウィルス日記

さて。
まだウィルス駆除できてませんよ。
調べれば調べるほど面倒なんですけど。

どうも結構前に流行ったautorun.infからニセごみ箱内にある実行ファイルを実行するタイプではないみたい。
autorun.inf自体が実行ファイルになってて、ニセごみ箱内にはdllがあるみたい。
ちなみにautorun.infは56KB。ニセごみ箱にあるdllは
jwgkvsq.vmx
というファイル名で155KB。
ググってもあんまり有益な情報がない…ように思うんだけど、斜め読みだからなんともいえない。

で、一番の判断基準はこれ

(もちろん普段ならPrintScreenしますよ。)
一番上に「フォルダを開いてファイルを表示する」があるからついついクリックしたくなってしまうんだけど、よくよく見てみると動作が「デバイスで提供されたプログラム使用」になってる。そんなわけない。
で正解はこちら。

もちろん特別なファイラを使ってない限り、フォルダを開いて中身をみるにはエクスプローラーを使うわけですよね。

と書きながらいろいろ調べてたらちょっと進展。
どうもdllはrundll32.exeで実行できるから足が残りにくいわけらしい。
なるほど。だからいくら調べても直接ウィルスっぽいプロセスがないわけだ。
でautorun.infもテキストエディタで開いてみると一見exeファイルとかを開いたみたいに無駄な文字列にしか見えない。
とか思ってたんだけど、かなり下のほうの行に

[autorun]
action = フォルダを開いてファイルを表示する
icon = %systemroot%system32\shell32.dll,4
shellexecue = rundll32.exe .\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
useautoplay=1

という記述を発見。あぁばっちり犯人ですね。
そしてautorun.inf事態はやっぱりトリガーでしかないんですね。
つーか簡単に「発見」とか言いましたけど、実際はこれ見つけにくくなってます。
大文字と小文字をばらばらに使って意味のない文字列に見せつつ、
スペースが入ってよい場所には英数字以外の謎記号が入ったりしてます。
asciiコード外だからautorunは無視して実行すんのかなぁ。実験すりゃいいけどめんどくさい爆
そしてそれ以外のそれらしい文字を書くときにはコメントの
;
を使ってるからよくわかる。
ぶっちゃけTerapad使ってinfファイル編集モードで開くとすぐわかる話だったり。

さて。
ここまでわかったはいいけど、肝心の削除手段がわからなんだが。
さっきからいろんな会社のウィルス対策ソフトの体験版を順番にインストールしてスキャンするんだけども、今のところどれも引っかからないんだよね。

さぁ困った。どうすっかね。こんなことしてる場合じゃないのにorz