思いつくままを綴る雑記帳

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

猫さん的適当な対策・・

某サイトのBackDoor事件ですが・・・
猫さんのPCも頂いておりました。
まぁ、何かあっても仕方ないよね? 的な発想で確認してたので・・・
一応、何かする前にM.S.Eで駆除してから繋いでたんですが
どうやら、M.S.Eでは根治できないようなので少し調べてみました。

M.S.Eで駆除して、ウインドウズをログアウトして、再度ログインすると再発します。
いわゆる、その場の処置はしたけど根治できてませんぜ!!アンタ的な?

で、M.S.Eで検出されたBackDoorの履歴を見てみるとしっかりプロセスIDは書かれていたのでProcessWalkerでそれを調べるとWindowsのテンポラリフォルダにVolume.exeなるものがいました。
で、検出されたBackDoorのプロセスをProcessWalkerで殺して、このexeも削除して終わりと思ったのですが・・・・
コマンドプロンプトで該当ディレクトリを探しても、そんなexeいないよと言われます。
しかし、猫さんはそんな戯言は信じないので、rmコマンドでばっさりと削除しました。

で、最後ログアウト、ログインしてM.S.Eで調べると・・・・むむっ・・・復活している様子・・・。
さすが・・・しぶといね・・・
では、次の手をと・・・・
上記の手順で、該当ファイルを削除して、M.S.Eでいないことを確認してから、volume.exeという名前でファイルを作成しました。
して、削除されないようにリードオンリー属性も付けておきました。
で、ログアウト、ログインしてM.S.Eで調べると・・・・・
無事、再発しなくなりました。

でも、ログアウトする時に今まででなかったプロセスからのエラーがでることが・・・
NTDvm.exe・・・16bitアプリをサポートするためのファイルだとか・・・
これはシステムの標準アプリなんだよね・・・

まぁ、無理やり感のある止め方だから仕方ないか・・・と、半分諦めています。
BackDoorを飼っておくよりはましと言うことで・・・

これは、猫さんが適当にやったことなので・・・いい子は真似しないようにね
dirコマンドで検索しても見つからないものをどうやって削除出来たことを確認したのかというと
コマンドプロンプト画面で、ファイル名の一部を入力してからTABキーを押すと名称を補完してくれます。
これを活用して、無事に削除されたことを確認しています。

削除前は、dirコマンドで見えなくても、このファイル名の補完を使うと存在しているファイルであれば名前が補完されます。
削除後は、TABキーを押しても補完されないので、存在しないことがわかります。
スポンサーサイト

コメント

コメントの投稿

URL
コメント

パスワード
秘密
管理者にだけ表示を許可する

トラックバック

トラックバックURL : http://perfectcat.blog101.fc2.com/tb.php/235-f349f330
<< 猫さん的適当な対策 その後 | TOP | アプリ連携?テストテスト >>
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。