最近知人にマシンを組んであげる機会が多く、渡す条件としていくつかを約束させた上で引渡しをしております。
その中で一番はPFW+AntiVirusソフトの導入。
これを入れてからじゃないと引き渡しません。
というのも、以前ですが力石ばりのノーガードマシンをネットに接続したツワモノがおりまして。
案の定、感染!マシンを何とかしてくれと依頼がありました。
状況を確認すると、怪しいexeがあり削除するも復活。再起動しても復活!
そのときは対処方法がわからない+怪しいexeがまだいるかもしれない、ということでクリーンインストールで対象しました。
でも、クリーンインストールしないで復旧させるには?と今でも思っています。
で、調べてみると、どうもkernel32.dll読み込み後に実行されるレジストリがあり、そこをついたウィルスを駆除すればいいというサイトを発見。
というわけで、上記状況の場合は以下のレジストリをチェック。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
AppInit_DLLsの値にパスが記述されているようならアウト!
このレジストリを削除するのではなく、値を削除するようにすると次回起動時にウィルスが起動してこないという実績があるようです。
※削除してもメモリに展開しているexeがAppInit_DLLsを監視、復活をするパターンがあるようですね。
※削除しても復活するのはメモリに常駐しているからかな?メモリ常駐なら、Kasperskyなど商用ソフトで駆除できるんじゃないかな。そのときは、お試し版でチェックしてみます。