OnlineGames 駆除手順
このところ、Win32/PSW.OnlineGames関連での訪問がかなり増えているようです。
なかでも、hbs.exe での検索で当サイトを訪問される方が圧倒的に多くなっています。
証拠を確実に把握しているというわけではありませんが、当方の職場で REVO に感染したパソコンを処理する過程で、ウィルスが増殖したと思われるファイルのなかに、hbs.exe というファイルがありました。サイズは 110KB 前後です。
REVO (revo.exe) は、kavaの亜種 (kava → kavo → mmvo → revo と変遷しているようです。)ウイルスのことです。
元々は、オンラインゲームのパスワードを盗むもののようですが、他にも次のような症状が現れます。
- インターネットに繋ごうとすると「ページが開けません」と表示される。
- インターネットに接続する速度が非常に遅い
- 添付ファイルが開けない
- HD ドライブが開けない
- 隠しフォルダが表示されない
主な感染源はUSBからで、USBメモリ等を差し込んだ際の autorun (オートラン=自動再生)により感染します。
(オートランをさせたくない場合は、 「Shift」キーを押しながら USBメモリ等を差し込んでください。)
厄介なことに、REVO (revo.exe)は、ウィルス対策ソフトでは検出されない場合があります。
感染しているかどうかは、隠しファイルを表示することで分かります。
(1)「マイドキュメント」を開きます。
(2メニュの「ツール(T)」-「フォルダオプション(O)」をクリックます。
(3)「表示」タブをクリックします。
(4)詳細設定の「ファイルとフォルダの表示」にある「すべてのファイルとフォルダを表示する」にチェックを入れます。
(デフォルトでは、「隠しファイルおよび隠しフォルダを表示しない」がチェックされています。)
チェックを入れたら、「OK」をクリックし、【フォルダオプション】を閉じます。
(5)もう一度(1)から(3)までの作業を行い、 詳細設定の「ファイルとフォルダの表示」にある「すべてのファイルとフォルダを表示する」にチェックが入ったままであるか確認してください。
チェックがデフォルトに戻っている場合(「隠しファイルおよび隠しフォルダを表示しない」にチェックがある場合)は、感染していると思われます。
revo.exe の駆除方法
※ この作業はレジストリエディタを使用するため、自己責任にて慎重に作業してください。
まず、ネットワーク接続をすべて遮断してください。(無線LAN機能は停止してください)
(1) マイコンピュータを右クリックしてプロパティをクリックします。
(2) システムの復元をクリックして「システム復元を無効にする」をチェックし「OK」をクリックします。
(3) インターネットエクスプローラーを開いて「ツール」から「インターネットオプション」をクリックします。
(4) 「全般」タブの「インターネット一時ファイル」から「ファイルの削除」をクリックし、ポップアップから「すべてのオフラインコンテンツを削除する」にチェックを入れてOKをクリックします。
(バージョンによっては、表現に相違があると思いますが、要するにウェブページのキャッシュファイルを削除します。)
(5) インターネットエクスプローラーを閉じます。
(6) ウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して実行に「msconfig」を入れて「OK」します。
(7) mscofig が起動したら「スタートアップ」タブをクリックして中にkavo,mmvo,tavo,revoなどがあったらチェックをはずします。
(8)「BOOT.INI」タブをクリックし、/SAFEBOOT(F)にチェック>「OK」>再起動します。
(9) 再起動したらセーフモードで作業を続けるか確認する画面が出ますので「はい(Y)」をクリックします。
(10) セーフモードの画面になったらウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して実行に「regedit」を入れてOKします。
(11) 下記の3個のレジストリの値を全て「1」に変更してください。
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced の"Hidden"と"ShowSuperHidden"
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Advanced>Folder>Hidden>SHOWALL の"CheckedValue"
(12) レジストリエディタを閉じます。
(13) 「スタート」-「すべてのプログラム(P)」-「アクセサリ」-「エクスプローラ」をクリックします。
(14) アドレスに「c:」と入れ、右の「移動」ボタンをクリックします。(この時決してマイコンピュータに触らないでください、レジストリが元に戻ってしまいます。)
また、D:などほかにドライブが有る場合はそちらも同様に以下のチェックをしてください。
(15) 一旦いずれかのフォルダに入ってから「戻る」をクリックすると隠しファイルが表示されるようになります。詳細表示に切り替えて下記のファイルがないか探して、あれば全て削除してください。但し、これらのファイル以外のファイル名が新たに生成される可能性もあります。
削除するときは、シフトキーを押しながら「DEL」キーで削除してください。通常の削除では、「ゴミ箱」に移動されるだけです。
C:\autorun.inf
C:\f.exe
C:\mxuclt.exe
C:\wm93r0.com
C:\yfog8p.exe
C:\o6mhfog.com
C:\q83iwmgf.bat
C:\t2yev.com
C:\uvg.com
C:\8e9gmih.bat
C:\hsb.exe
C:\Windows\Prefetch\O6MHFOG.BAT-"*".pf
C:\Windows\Prefetch\Q83IWMGF.BAT-"*".pf
C:\Windows\Prefetch\UU.EXE-"*".pf
C:\Windows\Prefetch\8E9GMIH.BAT-"*".pf
※ 以下の"%System%" はシステムフォルダーを指します。OSによって異なりますが、通常は下記のようになります。
C:\Windows\System(Windows 98 と ME)
C:\WINNT\System32(Windows NT と 2000)
C:\Windows\System32(Windows XP と Server 2003)
たとえば、ご使用のOSが『Windows XP』または『Server 2003』の場合は、"%System%" の部を「C:\Windows\System32」と読み替えて下さい。
ex) "%System%\kava.exe"の場合は
C:\Windows\System32\kava.exe と読み替えます。
以上のファイルがあった場合には、該当ファイルを選択した状態で【Shift】キーを押しながら、【DEL(Delete)】キーを押して、ファイルを 削除します。
"%System%\kava.exe"
"%System%\kavo.exe"
"%System%\kavo0.dll"
"%System%\kavo1.dll"
"%System%\kavo2.dll"
"%System%\mmvo.exe"
"%System%\mmvo0.dll"
"%System%\mmvo1.dll"
"%System%\revo.exe"
"%System%\revo0.dll"
"%System%\revo1.dll"
(16) 削除が終わったら、ウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して実行に「regedit」を入れてOKします。
(17) 「編集」の「検索」でkava、kavo、mmvo、revoを検索して単独のキーワードになっている部分を右クリックして削除します。F3キーを利用して検索するとスムーズです。
(18) レジストリエディタを閉じます。
(19) ウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して実行に「msconfig」を入れて「OK」します。
(20) mscofig が起動したら、下記手順で通常モードで再起動します。
(21) 「BOOT.INI」タブをクリックし、/SAFEBOOT(F)にチェックをはずす>OK>再起動します。
(22) システム構成ユーティリティのポップアップが出るので、チェックしてOKします。
(23) 起動したらエクスプローラーでフォルダを開きます。
(24) 「ツール」-「フォルダオプション」を選びます。
(25) 「表示」タブを選択します。
(26) 「ファイルとフォルダの表示」の「すべてのファイルとフォルダを表示する」を選択して、OKで閉じます。
(27) 再度、同じことをして「ファイルとフォルダの表示」が「隠しファイル~」にチェックが変わっていないことを確認します。
以上で、作業終了です。
cドライブと同様に、全てのドライブやメモリの隠しファイルを見て、該当のファイルを削除してください。
各ドライブのルートに「autorun.inf」という名前のフォルダを作成しておくと。
次に感染しそうになると「ファイルが既に存在します」というメッセージが出ます。
もちろん「いいえ」を選択して下さい。
« トロイの木馬PSW.OnlineGames_r.G | トップページ | YouTubeの動画 »
「パソコン・インターネット」カテゴリの記事
- IIJ BIC SIMウェルカムパックを購入(2013.07.29)
- U-NEXTに内容証明でクーリングオフ(2012.01.31)
- エクセルでドロップダウンリストが出なくなったとき(2011.12.01)
- U-NEXTの契約のお知らせ(2011.08.10)
- U-NEXTと契約締結?(2011.08.05)
コメント
この記事へのコメントは終了しました。
感染予防のために、ダミーの autorun.inf を作成する場合は、「ファイル」ではなく「フォルダ」を作成するのがキモですね。
ファイルだと、読み取り専用の属性をセットしておいてもあっさり書き換えられてしまいます。
投稿: | 2008年11月10日 (月) 13時06分
こんにちは、河崎ともうします。
わたしは、WEB制作会社をやっています。
私も、このウイルスに感染していたので、対応策を実施しました。
ですが、削除するのが面倒だったのと、レジストリをいじるのが面倒だったので、上記のウイルスに対しての削除補助プログラムを作ったので、宜しければソースごとお渡しします。勿論このようなものでお金を頂こうなんて思っておりません、必要であればおっしゃってください。
このコメントが不適切であれば私の文言を削除していただいてもかまいません。
多くの人がこれを使って問題の解決ができればと思います。
以下私のお客様の投げたメール
----------------------------------------
一応昨日のウイルスに感染していた人の為に
私のほうで駆除プログラムを作りました。
▼必要な方はこちらからどうぞ
http://www.sns-kizuna.com/tei/upload.cgi?mode=dl&file=38
ダウンロードパスワード hsine
ファイルを沢山消すのが面倒な削除手順の、
(17)のところを自動化してくれるものです。
使い方
(17)の手前までいったら以下の操作を実行してください。
ごみファイルを削除する.exeを起動
↓
Cドライブを選択し実行
↓
2分ぐらい検索して、結果を表示します。
↓
内容を確認していただくと、(17)のリストが出てきますので
削除を実行
↓
完了です。
ちなみに、このソフトを使えば
(13) 下記の3個のレジストリの値を全て「1」に変更してください。
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced の"Hidden"と"ShowSuperHidden"
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Advanced>
Folder>Hidden>SHOWALL の"CheckedValue"
の手順も不要です。
また何か良い情報などありましたらお送りします。
昨日のメール
----------------------------------------
最近超はやっているウイルスがあるそうなので
連絡させていただきます。
vistaは大丈夫らしいのですが、XPは
あっさり感染するそうです。
以下引用
http://www.cyber-concierge.co.jp/pc_tama/other/revo.html
主な感染源はUSBからで、USBを差し込んだ際のオートラン(自動再生)により感染します。
<オートラン(自動再生)をさせたくない場合は、 「Shift」 を押したまま、USBを差し込んでください>
そして厄介なことに、REVO (revo.exe)は、ウイルスであるにも関わらず、ウィルス対策ソフトでは検出されません。
このウィルスに感染すると ・・・
・ インターネットに繋ごうにも「ページが開けません」と表示されてしまう
・ インターネットに接続する速度が驚異的に遅い
・ 添付ファイルが開けない
・ HD ドライブが開けない
・ 隠しフォルダが表示されない etc...
以上の異常(症状)が見られます。
#USBメモリをさしただけで感染する。
#ウイルス対策ソフトで検出されない。
という恐ろしいものです(汗)
確認方法と対処方法を書いてあるブログを
見つけたのでこちらを一応確認して置いてください。
http://www.cyber-concierge.co.jp/pc_tama/other/revo.html
投稿: 河崎呈 | 2008年11月12日 (水) 12時01分
他人の書いたものを使わせてもらう場合は、河崎さんのように引用したことをはっきりとわかるようにしたほうがよろしいかと思います。
投稿: コピペ | 2008年11月12日 (水) 22時03分
河崎さんありがとうございました。なでしこでやってみました。きれいに掃除できました。しかし、(23)~(27)の作業で、どうも表示が戻ってしまいます。これは、やはり途中の作業がまずく、削除できていないのでしょうか。
投稿: masa | 2008年12月 5日 (金) 21時31分
masaさん、コメントありがとうございます。
ウイルスが増殖して、河崎さんのツールでは削除されない新たなファイル名でコピーされているのかも知れませんね。
まだ感染しているとすれば、ドライブのルートに autorun.inf が作成されると思いますが、その中に
[AutoRun]
open=hbs.exe
shell\open\Command=hbs.exe
shell\open\Default=1
shell\explore\Command=hbs.exe
というような記述があると思われます。
この例での hbs.exe の部分にあたるファイル名がウイルスの名前になります。この名前に相当する文字列をレジストリ及び実際のファイル名で検索して削除すれば解決できるかもしれません。
投稿: 管理人 | 2008年12月 6日 (土) 00時09分
早々のご返答ありがとうございます。職場のパソコンは言われる通り、hbs.exeに感染していて、河崎さんのツールでそのhbs.exeも確認し、ルートのautorun.inf も削除しましました。でも、上記のような症状がでるのです。他のサイトのwakutin_all等で検索し調べてもそれらのファイルが出てこない(削除できているはず?)のですが、表示が変わってしまうんです。なぜでしょうか?
投稿: masa | 2008年12月 6日 (土) 22時03分