blog info about link

06 | **2009年07月** | 08
日	月	火	水	木	金	土
-	-	-	1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31	-

「今日も来ない。。」

lip blue's Note

Developing illustration blog ♥ Edit by lipblue since 15 July 2007

Cover design /// 09年07月02日 update.

px

▼

Pick Up

カテゴリ

エントリー

コメント

トラックバック

アーカイヴ

RSSフィード

mmvo.exe 感染・駆除の記録

｜mmvo.exe 関連ウィルスに感染しました。

・kavo ウィルス感染・駆除体験記
・mmvo.exe kavo.exe　関連で困っている方
・MMVOファイルの駆除について
・ウィルスに感染しました　kavo mmvo
・ウィルスに感染しました　kavo mmvo　続き
・[pc] mmvo.exe関連ウイルス
・[pc] a0fr.batウイルス
・mmvo.exe との格闘・・・まとめ　

mmvo.exe関連でお困りで来られた方はとりあえず、
上記URLをご参照ください。
私がmmvo.exe 関連ウィルスに感染・駆除のために
参照させて頂いたサイトさん一覧です。

私の場合は、

・問題のファイルを検索しても引っかからず、
・レジストリを変更してもすぐ元の設定に書き換えられてしまう。

というような状況で、

・[pc] a0fr.batウイルス　
・コマンドプロンプトを使ってみよう！

を参照しつつ、
結局最後は、コマンドプロントでの処理で
解決に至った。という次第でした。

あまりまとまってませんが、
以下、私の駆除作業の記録です。
何かの参考になれば幸いです。

2008.09.07 (Sun) 23:56

｜隠しファイル・フォルダが表示できない。

それが、一番最初に気づいた異変でした。
通常、隠しファイルを見える状態に設定してあったので、
おかしいなと思い、フォルダオプションを開き、

「すべてのファイルとフォルダを表示する」

を適用しましたが、直りません。
再びフォルダオプションを開いて確認してみると

「隠しファイルおよび隠しフォルダを表示しない」

に設定が戻ってしまっています。

「保護されたオペレーティングシステムファイルを表示しない（推奨）」

のチェックを外してみても同様の結果でした。

これはまずい、、（汗）と思い、

「隠しファイルが表示できない」　

でググってみたところ、
ウィルスに感染しました関連のウェブページがずらり。

｜mmvo.exe 関連ウィルス

いろいろ調べて見たところ、

・隠しファイル・フォルダが表示できない。

・システム構成ユーティリティ(msconfig)のスタートアップにmmvoがある。

・各ドライブのルートにautorun.infがある。

・インターネット一時ファイルにuu.rarもしくはuu.exeがある。

このmmvo.exe関連ウィルス確認のための
上記４項目すべてが私のPC上で確認されました。

こやつは、USBメモリを介して感染するウイルスらしく。
確かに、異変に気づいた直前に
USBメモリをPCにつないでいました。

しかもそのUSBメモリは出張する知人に貸していたもので、
出張先のホテルのPCからとか、なかなかありがちな感じがします。

｜mmvo.exe 駆除への道程

まずは、

・インターネット一時ファイルの全削除。

・すべてのドライブでシステムの復元を無効にする。

・システム構成ユーティリティ(msconfig)で
スタートアップに登録されているmmvoを外す。

を実行しました。

そしてspybotを導入。インストールして、検索して、常駐させました。
検索で見つかったいくつかのウィルスは全削除。

NOD32（３０日試用版）のインスト、検索、常駐も推奨されていましたが、
これは最後の最後の手段にしようと思い導入はしませんでした。

そして、
隠しファイル、システムファイルを含む
「全てのファイルが見える」状態にするべく

以下のレジストリ操作を実行。

自動起動の禁止のためのレジストリ操作

[HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000b5

隠しファイル・システムファイルの表示のためのレジストリ操作

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\Advanced\Folder\
Hidden\SHOWALL]"CheckedValue"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"ShowSuperHidden"=dword:00000001

が、レジストリキーを上記のように記述しても
すぐに書き換えられてしまい、何度やっても、
元に戻ってしまいました。
セーフモードにして実行したり、あれこれ試してみましたが
だめでした。

次に
ファイル検索　→　詳細設定オプション

・　システムフォルダの検索
・　隠しファイルとフォルダの検索
・　サブフォルダの検索

にチェックを入れ、mmvoで検索しても
引っかかりませんでした。

一応niftyのオンラインウィルススキャンでも
検索してみましたが、だめでした。

ここで軽く途方に暮れます。
そこにあるはずのmmvo.exeやautorun.infに
なかなか手が届きません。

またぞろあれこれ検索して
たどりついたのはコマンドプロントでした。

｜コマンドプロントによる削除

困ったときのコマンドプロント。
コマンドプロントの操作に関して詳しくは

・コマンドプロンプトを使ってみよう！

をご覧ください。

まずCドライブのautorun.infファイルの削除を
試みてみました。

まずは、コマンドプロントを機動　で、

cd c:\　

と記入。これでカレントディレクトリが変更されます。　で、

C:\>dir /ah

と記入。これでC:\上にある隠しファイル＆システムファイルが表示されます。

db.bat
fdwigka.cmd
autorun.inf

などのウィルス関連ファイルが見事確認されました。
そして今度は、

C:\>attrib -r -h -s autorun.inf

と記入。これでautorun.infの隠しファイル属性が解除されました。

C:\上に隠れていたautorun.infが現れました。
それをすかさず削除し、感染防止のために
すかさずautorun.infという名前の
フォルダを作成します。ファイルでなくフォルダです。

autorun.infというファイルは、
削除しても数秒で復活してしまうので、
あらかじめautorun.infという名前のフォルダを
どこかに作成しておき、削除してすぐコピペ
という感じで作成しました。

ドライブ上にautorun.infフォルダを作成できれば
かなり一安心です。

この要領で残りの各ドライブ直下のauto.infたちの
削除、autorun.infフォルダの作成を実行していきます。

ドライブの変更は

Dドライブなら cd /d D:\

Eドライブなら cd /d E:\
　　
というように記入すると変更できます。

で、すべてのドライブのautorun.infたちを駆逐できたら
こんどはc:\windows\system32\ に存在する、

mmvo.exe
mmvo0.dll
mmvo1.dll

たちの削除です。

cd c:\windows\system32\ と記入し、続けて
>dir /ah 　と記入して、
system32フォルダ内の隠しファイルとシステムファイルを表示させます。

これで、

mmvo.exe
mmvo1.dll

２つのファイルが見つかりました。
これらのファイルも同様に隠し属性を解除し削除します。

mmvo.exeはすんなり削除できましたが、

mmvo1.dllは　「このファイルは使用中でアクセスできません。」
というようなメッセージがでて、削除できませんでした。

しかしなぜか移動やリネームはできたので、
デスクトップ上に移してリネームして置いておきました。

コマンドプロントでの処理は、一応ここで終了。

後はもう大詰めです。

regeditを開いてmmvoとmmvaで検索しました。
ヒットしたものでそれらしいレジストリーキーを削除。

そしてインターネット一時ファイルを再び確認してみたら
またuu.rarとuu.exeが見つかったので即削除。

もう一度各ドライブに関連ファイルが入ってないか、
コマンドプロントで確認しましたが。こちらはなし。

この時点ではまだ
隠しファイル・システムファイルの表示のためのレジストリ操作
をしても、元に戻ってしまいます。

けどもうほかにやることもないかなと思い、
PCを再起動してみます。

再起動してすぐウィルスの感染状況を確認。

隠しファイル・システムファイルの表示のためのレジストリ操作
を実行。できました。すべてのファイルが表示可能になりました。

システム構成ユーティリティ(msconfig)の
スタートアップにあったmmvoがなくなっていました。

各ドライブのルートにautorun.infファイルがない。
その他の関連ファイルもない。

インターネット一時ファイルにuu.rarもしくはuu.exeもない。

ここらでたぶん８割９割の駆除はできてると思います。
後はNOD３２などを導入するなりして、入念にチェックし
何も出てこなければ、大丈夫でしょう。

私は念のため、Cドライブを再セットアップしました。

これでようやく完全に駆除が完了。
あー疲れた。

＊追記

そういえばUSBメモリの方を処理するのを忘れていました。
今頃もう刺したくないので、どうしようという感じです。
USBメモリの処理はPCの駆除をする前に
やっておいた方がいいでしょう。
デジカメのメモリなども要注意です。

フォーマット＆autorun.infフォルダの作成で
OKだと思われます。