Gumblaroid 感染時、BSoD で起動しなくなってしまった方へ
とりあえず、 BSoD でどうしようにもなくなってしまった方への緊急救済プランです。
※セキュリティベンダーからこのような指示がでているわけではありません。
これはあくまでも、私的な話ですので念のため。
VMware上の感染マシンの挙動をベースにしています。
感染が確認されたため、とりあえず LAN ケーブルを引っこ抜いたけど、再起動しても BSoD (ブルースクリーン)になって起動しない!
という方へ、
LANケーブルは差し込まないでください(差し込むと、悪意サイトへの接続を試みます)
セーフモードで起動します。
Windows XP を セーフ モードで起動する方法
コンピューターの起動直後に、次の Windows 拡張オプション メニューが表示されるまで、F8 キーを繰り返し押します。
Windows2000 / Server2003 も同様のはずです。
レジストリ・エディタを起動します。
「スタート」から「ファイル名を指定して実行」を選び、
「regedit」と打ち込んでリターンします。
いっぱいあるメニュー内から
「HKEY_LOCAL_MACHINE」をダブルクリックして開きます(左の[+]でもOK)
「SOFTWARE」を開きます
「Microsoft」を開きます
「Windows NT」を開きます
「CurrentVirsion」を開きます
「Drivers32」をクリックします。
そうすると、データに何やら怪しげなファイルが設定されています。
このファイルの位置をメモして、このファイルを探してください。
注意:
現在は aux 固定のようですが、過去には aux2 でセットされた例が報告されています。
また、別のトロイ・プログラムが midi(xxx)ランダムで使用した例も報告されています。
現在は aux 固定のようですが、過去には aux2 でセットされた例が報告されています。
また、別のトロイ・プログラムが midi(xxx)ランダムで使用した例も報告されています。
※この状態で AUX=の値を変えないでください
C:\WINNT\System32\..\abcdef.ghi のようなファイルになっている場合には
C:\WINNT の中にあります( \..\ を使って困惑を図っています)
ファイルを発見したら、そのファイルを抹消し、もう一度セーフモードで再起動します
F8キー押し中
再起動中・・・・・
また、同じ動作でレジストリ・エディタを起動します。
同じ場所を開きます。
さっきと同じキーの値 (AUX=) が前と変わっていないこと(再改ざんされていないこと)を確認してください。
さっきのファイルがあった場所を確認します。
再びファイルが戻っていないことを確認してください。
AUX=の値を通常の値に書き戻します。
普通は
Windows 2000 : mmdrv.dll
Windows XP : wdmaud.drv
のはずです。
インストールしているサウンド系のソフト・ハードウェアドライバによっては、別のものかもしれません。
その辺りは、環境によって異なります。
インストールマネージャの待機状態を修復します。
レジストリ・エディタの根元から
「HKEY_LOCAL_MACHINE」をダブルクリックして開きます(左の[+]でもOK)
「SYSTEM」を開きます
「CurrentControlSet」を開きます
「Control」を開きます
「Session Manager」をクリックします
PendingFileRenameOperations に妙な数値がセットされていませんか?
例:0x5c003f003f005c0043003a005c005f002e006500000000000000
キーごと削除してしまってかまいませんが、数値を0にしてもOKです。
以上の変更が完了したら、通常起動します。
再起動中
レジストリエディタを開いて、最初の
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
が再度改ざんされていないことを確認します。
さぁ・・バックアップを始めましょうか~
※この状態で完全に安全といいきれるほど、私はこのウィルスに精通していません。