Possible_OtorunDに感染したPCがある
ウィルスバスターコーポレイトエディションを使っている。
VB.corp.のアップデートを怠っていた端末があって、Possible_OtorunDに感染していた。さっそくVb.corp.のアップデートを行うとUSBメモリのウィルスは検知してくれるようになった。
しかし何も入っていないUSBメモリを端末に差し込むと「Possible_OtorunDが見つかりました」と表示される。
あれ?
VB.corp.で全ドライブスキャンしても見つからないしWindows Defenderでも発見されない。
どうやら感染すると駆除はしてくれないらしい。
困った。
USBメモリの中のAutorun.infを見る。
[autorun] open=Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\TsGh.exeicon=%SystemRoot%\system32\SHELL32.dll,4 action=Open folder to view files shell\open=Open shell\open\command=Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\TsGh.exe shell\open\default=1
そしてC:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341がある。
ばっちり感染している。
C:\Recycleを削除してみようとするができない。
attrib -r -h -s X-5-4-27-2345678318-4567890223-4234567884-2341
属性を変更してから削除を行うと
別のプロセスが使用中です
だれ?
Windows で別のプロセスが使用中ですファイルを消す方法を参考
- Process Explorerをインストールする。
- Process Explorer を起動して、メニューから [Find]→[Find Handle or DLL]を選択
- TsGh.exeを検索するとexplorer.exeが見つかるのでタスクを終了させる。
- ゴミ箱に偽装したファイルを削除
- ThreatExpertを参考にしてTsGh.exeというキーを含むレジストリを削除する
これで削除できたよ・・・
こいつの活動はよく分からん
- x0r.xxxisniperixxx.cn:51987に接続する
- Hotmailにログオンする