ウィルスバスターコーポレイトエディションを使っている。
　
VB.corp.のアップデートを怠っていた端末があって、Possible_OtorunDに感染していた。さっそくVb.corp.のアップデートを行うとUSBメモリのウィルスは検知してくれるようになった。
しかし何も入っていないUSBメモリを端末に差し込むと「Possible_OtorunDが見つかりました」と表示される。
　
　
あれ？
　
　
VB.corp.で全ドライブスキャンしても見つからないしWindows Defenderでも発見されない。
　
どうやら感染すると駆除はしてくれないらしい。
　
　
困った。
　
　
USBメモリの中のAutorun.infを見る。

[autorun]
open=Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\TsGh.exeicon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\TsGh.exe
shell\open\default=1

　　
そしてC:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341がある。
ばっちり感染している。
　
C:\Recycleを削除してみようとするができない。

attrib -r -h -s X-5-4-27-2345678318-4567890223-4234567884-2341

属性を変更してから削除を行うと

別のプロセスが使用中です

　
　
だれ？
　
　
Windows で別のプロセスが使用中ですファイルを消す方法を参考

• Process Explorerをインストールする。
• Process Explorer を起動して、メニューから [Find]→[Find Handle or DLL]を選択
• TsGh.exeを検索するとexplorer.exeが見つかるのでタスクを終了させる。
• ゴミ箱に偽装したファイルを削除
• ThreatExpertを参考にしてTsGh.exeというキーを含むレジストリを削除する

　
これで削除できたよ･･･
　
　
こいつの活動はよく分からん

• x0r.xxxisniperixxx.cn:51987に接続する
• Hotmailにログオンする