ウイルスにやられた

マイコンピュータでCドライブのアイコンをダブルクリックしたが、ドライブが
開かない。
代わりに「’resycled\boot.com'が見つかりません」などというエラーメッセー
ジが表示される。


そもそもドライブ名のアイコンをクリックしただけで、boot.comなんていう実行
ファイルが起動させられようとする時点でウイルスの挙動である。
セキュリティソフトのおかげでboot.comは既に削除されていて、怪しいプログラ
ムが実行されることはないのだが、レジストリが書き換えられているのは困る。


さっそくWinFDというプログラムでウイルスの痕跡を調べてみる。
痕跡発見！
Cドライブのルートにautorun.infとresycledというフォルダが作成されていた。
autorunは自動実行されるスクリプト。resycledはゴミ箱のフォルダに偽装した
のだろうが、スペルからして間違っている。
boot.comはもう削除されたし、autorun.infとresycledはいらないね、とWinFDで
削除。
このファイルとフォルダは隠し属性なのでエクスプローラーやコマンドラインか
らは見えない。だからWinFDを使う。


分割した他のドライブにもautorun.infとresycledがあったので、これも削除。
さぁ、これで安心。
と思いきや・・・
autorun.infとresycledが復活している！
それもすべてのドライブで・・・


まだウイルスプログラムが起動中だということだ。
タスクマネージャーを開く。
いったいどれがウイルスプログラムなのだろう？
それらしきプログラムを停止してみるが効果なし。
autorun.infとresycledをいくら削除しても復活してしまう。


ちなみにウイルスワクチンソフトのデータは最新、スパイウェア除去ソフトの
データも最新である。
つまり、それらでは完全駆除できないウイルスだということだ。
こうなるとやっかいである。


autorun.infとresycledでググってみた。


resycled/boot.com
http://www.precisesecurity.com/blogs/2008/09/20/resycledbootcom/


英語の書き込みだが、この掲示板に駆除方法が書いてあった。
すべてのboot.comファイルを削除。（これはセキュリティソフトが全部やってく
れた）
レジストリエディタを起動して「resycled」「boot.com」の記述をすべて削除。
すべてのautorun.infとresycledフォルダを削除。


「’resycled\boot.com'が見つかりません」という表示は出なくなったが、ドラ
イブの中身は開かない。
ファイルの関連づけがどうとかこうとか言っている。
再起動してみた。
直った。
関連づけのレジストリが再構築されたようだ。
ドライブアイコンをダブルクリックしたら、開くようになった。


とりあえず修復できたが、セキュリティソフトの方で早くちゃんと対応して欲し
いと思う。