W32.Gammima.AG ウィルスの駆除

今回は、「W32.Gammima.AG」ウィルスの駆除を行ってきました。

シマンテックのサイトによると危険度は1のようですし、ゲームをするパソコンではないのですが、他に感染する可能性もあるため
です。

症状としては次の通り。

・Symantec AntiVirus が「W32.Gammima.AG」を駆除するが、再起動すると再起動するたびに駆除している
・「フォルダオプション」で「すべてのファイルとフォルダを表示する」と「保護されたオペレーティングシステムファイルを表示しない(推奨)」を有効にしても、無効になってしまう
・Dドライブをクリックすると「アプリケーションの選択」が表示されてしまう。
・USBフラッシュメモリなどを取り付けると感染する

まず、下記のサイトを参考にしてシステムの復元を無効にします。

Symantec WindowsXPのシステム復元を有効/無効にする
http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20020407222052953

パソコンを再起動し、起動時に「F8」キーを連打(?)して、Safeモードで起動します。

ウィルスが検知されるユーザーでログオンします。
※ウィルスが検知されるユーザーでログオンしてください。他のユーザーでは駆除できない場合があります。

「スタート」ボタンから「ファイル名を指定して実行」を選択し、 regedit と入力して「OK」ボタンをクリックしてレジストリエディタを起動します。

次のレジストリのエントリーへ移動して「kavo.exe」もしくは「mmvo.exe」のキーがあった場合は削除します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

また、次のキーの値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\”CheckedValue”
値が「0」になっている場合は、「1」に変更。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
値が「2」になっている場合は、値を「1」に変更

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
値が「0」になっている場合は、値を「1」に変更

次の値は、接続したドライブに「Autorun.inf」がある場合に自動実行を行うかどうかの指定になります。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer\NoDriveTypeAutoRun

おもな値は次のとおり。
91(0x00000091) – 不明なドライブとネットワークドライブ
95(0x00000095) – 不明なドライブとネットワークドライブ、リムーバブルドライブ(FD/MOなど)
B5(0x000000B5) – 不明なドライブとネットワークドライブ、リムーバブルドライブ、CD/DVDドライブ
BD(0x000000BD) – 不明なドライブとネットワークドライブ、リムーバブルドライブ、CD/DVDドライブ、ハードディスク

今回の「W32.Gammima.AG」はハードディスクにも Autorun.inf をコピーし実行するので、「BD」を設定しました。

次に、「スタート」ボタンから「ファイル名を指定して実行」を選択し cmd と入力して「OK」をクリックしコマンドプロンプトを起動します。

次のコマンドを入力し、「Enter」を押します
dir c:\ /A

ここで、Autorun.inf というファイルが表示される場合は、次のコマンドで削除します。

del /F /A C:\autorun.inf

Dドライブ他のハードディスクがある場合は同様に削除します。
例)Dドライブの場合

dir d:\ /A
del /F /A d:\autorun.inf

以上の設定を行ったら、パソコンをもう一度 Safeモードで再起動します。
「マイコンピュータ」を開き、メニューから「ツール(T)」 – 「フォルダオプション(O)」を選択します。

「表示」タブをクリックして次の項目を変更します。
・すべてのファイルとフォルダを表示する – 有効

・保護されたオペレーティングシステムファイルを表示しない – 無効

続いて、C:\Windows\System32 フォルダを開き次のようなファイルがある場合は削除します。

kavo.dll,kavo[0].dll,kavo[1].dll など
mmvo.dll,mmvo[0].dll,mmvo[1].dll など

また、CドライブやDドライブに不明なシステムファイルがある場合は削除します。
今回は次のようなファイルを削除しました。

c.cmd,g.cmd

ダブルクリックして実行しないでください。
右クリックして「削除」の方が安全かと思います。

これで、一通り駆除ができたと思いますので、Windowsを通常モードで起動します。

これで、フォルダオプションの値が有効になっていればほぼ問題ないと思います。

ただ、念のためオンラインスキャンで駆除をおこなっておきましょう。

トレンドマイクロ トレンドフレックス セキュリティ:オンラインスキャン
http://www.trendflexsecurity.jp/security_solutions/housecall_free_scan.php

でも、なかなか大変でした。

参考URL
Symantec W32.Gammima.AG
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2007-082706-1742-99&tabid=1

CD-ROM/DVD-ROM認識エラー(オートランを抑制する)
http://www.losttechnology.jp/Tips/cddvderror.html

W32.Gammima.AG ウィルスの駆除」への1件のフィードバック

コメントは受け付けていません。