08/12/26 14:32:00
HiJackThisで以下をFix(エントリーに現れるのはこの4つ)
O2のエントリーはランダム8文字、(no name)となっているもの。(例:tuvWomKe.dll,wvUmkllL.dll)
O4エントリーもランダム8文字だが[7800f1cc]で見分けられる筈。
O20エントリーもランダム8文字。ただO20に現れる正規エントリーは少ないため見分けやすいと思う。
(例:ljJYPhEW.dll、wvUmjHXO.dll)
こんな感じ
O2 - BHO: (no name) - {F4ECC7B8-74EF-4547-9FD0-9BB51BE96BD0} - C:\WINDOWS\system32\tuvWomKe.dll
O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe
O4 - HKLM\..\Run: [7800f1cc] rundll32.exe "C:\WINDOWS\system32\axhiujye.dll",b
O20 - Winlogon Notify: wvUmjHXO - C:\WINDOWS\SYSTEM32\wvUmjHXO.dll
このウイルスが作成するファイルリスト(多分みんな作るファイル数は同じ)
C:\WINDOWS\system32\eyjuihxa.ini
C:\WINDOWS\system32\axhiujye.dll
C:\WINDOWS\system32\732335b2-.txt
C:\WINDOWS\system32\eKmoWvut.ini2
C:\WINDOWS\system32\eKmoWvut.ini
C:\WINDOWS\system32\tuvWomKe.dll
C:\WINDOWS\system32\nnnoNgfd.dll
C:\WINDOWS\system32\byXQKbyX.dll
C:\WINDOWS\system32\wvUmjHXO.dll
C:\WINDOWS\fxstaller.exe
環境によってファイル名は変わってくるのでHiJackThis等ログ取得ツールを
使って調べる。
ひとついえることはツール使わないで削除するのは無謀