4/3昼頃、とある社員から「何かこのPCにUSBを挿すと、変なファイルができるんだけど」と訴えがくる。やってみると身に覚えの無いファイルが挿したUSBメモリ内に確かに出来上がっている。。。って、ウイルスぢゃーーーんｗｗｗ
今回は感染したPCにリムーバブルデバイスを挿すとリムーバブルデバイス内に隠しファイルとして「autorun.INF」「Setup.EXE」生成するというもの。とりあえず定義ファイルを最新にして完全スキャンを実施したのだが、何も検出されない。
でも相変わらずまっさらのUSBメモリを挿すとやっぱり「autorun.INF」「Setup.EXE」がUSBメモリ内に出来上がっている。ということはこの2つを勝手に生成している本体がまだいるわけで、そいつを叩き潰さないことには解決しない。
ゴルァーーーーーーーーー！！
最近またSymantecの検出能力が落ちている。全く何をやっているんだ。。。
ということで手動で駆除しなければ行けないのだが、さてはてどうやって目星をつけるか。。。
まずは当方の知る範囲で最近の傾向として「C:\Windows\system32」内に「xxxx.exe, xxxx0.dll, xxxx1.dll」を疑ったが、ハズレ。
レジストリ「HKLM(or HKCU)\software\Microsoft\Windows\CurrentVersion\Run」内もイマイチ見つからず。
ということでタスクマネージャで怪しそうなプロセスを探してみると。。。あった。
SVCHOST32.EXE
svchost.exeならWindowsの正式プロセスだが、32とつけて正規プロセスを装っているあたりが小賢しいｗ
ということでこいつを速攻で叩き落すｗ
あとは以下を削除すれば症状はなくなる。
C:\Windows\system32\autorun.INF
C:\Windows\system32\SVCHOST32.EXE
HKLM(or HKCU)\software\Microsoft\Windows\CurrentVersion\Run 内 "MyApp = C:\Windows\system32\SVCHOST32.EXE"

まったくSymantecは何をやっているんだ。母国の景気同様にウイルス検知力も落ちているのか？そうこうしているとライバルにロシアンフックでやられるぞｗｗｗ