WORM_AUTORUN.CCまたはW32.SillyFDCの完全駆除 

しつこいウイルス駆除

この記事へのアクセスが非常に多いので、丁寧に書き直しました。

感染力の強い最悪ウイルス

このウイルスは、ウイルス対策ソフトの網をかいくぐり、USBメモリを通じてパソコンの中に入り込むしつこいウイルスです。

ウイルス対策ソフトで駆除できないときがあり、一度感染するとUSBメモリを通じて他のパソコンに容易に感染して被害を拡大していくという恐ろしいウイルスです。

 ウイルス対策ソフトメーカーのサイトを見ても、何の役にも立たない対策しか書かれていません。
おまえの会社(マカフィとノートン)の対策ソフトが役立たずでウイルスを駆除できないからHPを見に来てるのに、「最新版の定義ファイルに更新して下さい」としか書いていない!  金返せ! と言いたい!

このウイルスに感染すると対策ソフトでは駆除できません。駆除しました、とメッセージが出ても、実際はUSBメモリを差し込んだ時点で、既にレジストリの中に入り込んでおり、駆除できないのです。

この記事を探し出した方は、その辺をよくご存じだと思います。

 ネットで調べても、対策はどこにも書かれていません。

  たぶん、このサイトが唯一だと思います。

なにしろ、色々調べてどこにも対処法が無かったため、自分で考えた方法なので。

このウイルスは、USBメモリを通じて感染するワームタイプで、レジストリに書き込むため、通常のウイルス対策ソフトのスキャンでは検出されない場合があります。一度感染してしまうと、USBメモリのウイルスは検出、駆除しても、PC本体のレジストリに入り込んでしまったウイルスは駆除できないし、ウイルスがいることを認識しません。これがこのウイルスの恐ろしいところです。管理人が駆除した200台以上のパソコンで、外付けハードディスクへの感染は1件もありませんでした。全てUSBスティクメモリーを通じた感染でした。

1.ウイルス名、タイプ、感染経路、ダメージ

(1) ウイルス名:WORM_AUTORUN.CCまたはW32.SillyFDC
シマンテックのサイトの解説をご覧下さい。まったく役に立ちません。
シマンテックのこのウイルス解説へのリンク
(2) タイプ:ワーム。
(3) 感染経路:USBディバイスを通じて、パソコン、外付けメモリーの双方向に感染
(4) ダメージレベル:低
パフォーマンスの低下:自分自身を各種のフォルダロケーションにコピーすることにより、パフォーマンスが低下する可能性がある。
と、対策ソフトのサイトには書いてあります。実際の被害は分かりません。

2.感染の症状

ウイルスファイルは
Autoregistry.exe
Autorun.inf
の2つです。
①ウイルス対策ソフトがウイルス実行ファイル(Autoregistry.exe)を自動的に駆除し、Autorun.infのみ残っている場合があります。しかし、その場合でもPC本体に感染している場合がほとんど。
② USBメモリを通じてパソコンに感染したウイルスは、レジストリに他のディバイスへ感染するためのフォルダやファイルを、さらにCドライブにAutoregistry.exeをコピーします。対策ソフトが駆除しました、と言っているのはこのCドライブの実行ファイルのことで、レジストリの中は見ていません。
③ 感染していないUSBメモリ等外部ディバイスが感染したPCに接続されると、そこへ上記2つのウイルス・ファイルをコピーし、被害を拡大します。
④このプログラムはエクスプローラの標準設定では見ることができないため、感染に気づきません。
⑤ 感染したパソコンではウイルス対策ソフトで検索しても、ウイルスが認識されません。ウイルス対策ソフトでは、レジストリの中のウイルスを駆除できないため、ウイルススキャンでもウイルスが検出されない場合がほとんどです。しかし、検出されないのに、感染します。

3.感染の確認と駆除方法

以下の方法はレジストリからウイルスを直接削除する方法です。レジストリの操作を間違えるとパソコンが立ち上がらなくなったり、再インストールとなる恐れがありますので、操作は、「自己責任」で、慎重にお願いします。
(1) エクスプローラの設定
エクスプローラの標準設定では実行ファイルが見えない設定になっているので、ウイルスが入っているかエクスプローラで確認できません。見えるようにエクスプローラの設定を変更します。
① エクスプローラを開く。
② [ツール][フォルダのオプション][表示]で、一番下の[保護されたオペレーションファイルを表示しない]のチェックを外す。
③ [ファイルとフォルダの表示]で[全てのファイルとフォルダを表示する]にチェックを入れる。
④ 「登録されている拡張子は表示しない」のチェックを外す。
⑤ この[フォルダの表示]画面で、[フォルダに適用]をクリックし、全てのフォルダに適用する。
(2) USBメモリ等の感染の確認と駆除
他への感染を防ぐため、まず、USBメモリが感染しているかチェックをします。
パソコンにUSBメモリを差し込みます。
エクスプローラの表示設定を上の(1)のように設定した上で、ウイルスファイルの有無を確認して下さい。ウイルスファイルは以下の通りです(再掲)。この二つのうち1つでも入っていたら、お使いのPCも感染していると思って下さい。

この二つのファイルを削除して下さい。

Autoregistry.exe
Autorun.inf

もし、Autorun.infだけ残っていた場合、このファイルをメモ帳で開いてみて下さい(このファイルはテキストファイルです)。ウイルスを恐れる必要はありません。もし、ウイルスだったら、既に感染しているからです。
Autorun.infの記述の中に、「Autoregistry.exe」という文字が入っていれば、間違いなく感染しています。もし、なければ、少なくとも今回のウイルスには感染していません。別のウイルスに感染している場合があります。そこに書かれている実行ファイル(.exeや .comなど)の名前でネット検索すればそれがウイルスかどうか調べることができます。なお、Autorun.infoは、通常のソフトにもあることがあります。間違って削除しないように。

USBメモリーのウイルスを削除しても、すぐにウイルスが再生してしまう場合があります。そのときは、既にAutoregistry.exeが起動しています。これが起動していると削除できません。

Ctrl + Alt + Delete を同時に押してタスクマネージャーを立ち上げ、プロセス・タブの中で、起動しているAutoregistry.exeを選択し、プロセスの終了を押し、終了させて下さい。これで、USBメモリからウイルスファイルを削除できます。この操作で削除できない時は、セーフモードから削除して下さい。

(3) パソコン本体の感染の確認と駆除
レジストリからウイルスフォルダとファイルを削除します。レジストリの変更操作を誤るとはパソコンが起動しない等重大な問題が発生しますので慎重にお願いします。やったことのない人は知っている人に頼んで下さい。

作業を開始する前に、レジストリのバックアップを取っておいて下さい(方法は下に書きました)。また、重要なファイルはバックアップを取っておくことを強くお奨めします。
① [スタート]⇒[ファイル名を指定して実行]を選択、「regedit」と入力。レジストリ・エディタが起動する。
② [編集]⇒[検索]で、[検索する値]に「autoregistry」と入力し、検索を開始。
③ 感染していなければ、「レジストリを全て検索しました」と表示されます。
④ 感染している場合、検索が該当箇所で止まります。検索されたフォルダが
{43c41d02-142・・・・・・・・・・・・・・・・・・・・・・} ← このフォルダ名は可変
– shell
– Auto
– command
– Autoplay
– Autorun
などの長い名前(ハッシュ値)で、同じような構成のフォルダの場合、
{43c41d02-142・・・・・・・・・・・・・・・・・・・・・・}というフォルダごと削除します。削除は [編集][削除]で行います。このフォルダはウイルスが作ったフォルダなので削除しても問題ありません。
⑤ 削除したあと、 [編集]⇒[次を検索]、またはF3 を押し、次を検索します。
⑥ またヒットしたら、④と同じフォルダ構成になっていることを確認して、フォルダを削除します。全部で20カ所程度出てくる場合があります。USBメモリを差し込む毎にフォルダが作られるようです。
⑦ 注意しなければならないのは、上のフォルダ構成ではない場合にヒットした時です。その場合は、ヒットした「ファイル」(フォルダではない!)のみ削除して下さい。
感染しているUSBメモリを差し込んだだけで、パソコンに感染します。
駆除にあたっては、USBメモリを差し込んだ状態で、パソコンとUSBメモリの両方を同時に削除して下さい。どちらか一方に残っていると、差し込んだ時点でまた双方向に感染します。

追記20100716

一度削除した記事を上記のとおり再度アップしました。
W32.SillyFDCには多くの亜種があるため、この方法で駆除できないものもあります。しかし、USBメモリ関係のウイルスは、この方法で大抵駆除できると思います。

このタイプのウイルス駆除の方法は、①ウイルス実行ファイル名を調べる(対策ソフトが教えてくれるはずです)、②レジストリの中のこの実行ファイルを検索し、ウイルス関連の値を削除、が基本です。ただし、いろいろなタイプがあり、Windowsの既定のレジストリ値を変更するウイルスではこの方法は通用しません。なにしろWindowsのファイルなので削除するわけにはいかないからです。また、削除もできません。

上記と違う場合は、右サイドバーのカテゴリーから「しつこいウイルス駆除」の中の別の記事をご覧ください。参考になる記述があるかも知れません。

追記:レジストリのバックアップ

レジストリのバックアップ方法と復元方法は、意外なことにどのサイトもあまり書いていないので、ここに追記します。
1.レジストリのバックアップ方法
バックアップの方法は、個々の値をバックアップする方法とレジストリ全体をバックアップする方法があります。ここでは、レジストリ全体をスキャンして削除していくため、バックアップはレジストリ全体を対象とします。
① 上述した方法でレジストリエディタを起動
② 起動した画面(下の画像)で「コンピータ」が選択されていることを確認。

③ [ファイル]⇒[エクスポート]。ファイル名を付けて適当なフォルダに保存。regという拡張子が付きます。
2.レジストリをバックアップから復元する方法
復元するには、保存したバックアップファイルをダブルクリックするだけです。
注意すべき点としては、このバックアップからの復元がいつも成功するとは限らないことです。「復元に失敗しました」ということもしばしば起こります。この復元に過剰な期待を持たないことです。そのために、レジストリの操作を行う場合、パソコンがいつ起動しなくなっても良いようにデータ類のバックアップをしておくことが大切です。
管理人はこの方法で200台以上のパソコンやUSBメモリからウイルスを駆除しましたが、1台も不具合は発生していません。年間数千人が研修でパソコンを使うため、被害の拡大が深刻な問題でしたが、何とか食い止めることができました。
この記事を最初にアップした時点ではウイルス対策ソフトは全く無力でしたが、現在はこのウイルスに対応しているのかもしれません。それにしては、相変わらずこの記事へのアクセスが多いですが。

追記2

このウイルスは、上の操作で完全に削除できます。
ウイルス対策ソフトに頼っていると、「駆除しました」と表示されても、実は駆除されていない場合があります。これがこのウイルスの怖いところです。
いろいろ試した結果では、ウイルス対策ソフトで駆除されるときもあれば、駆除されないときもあるという状況です(ウイルス対策ソフトはマカフィーとノートンの最新バージョンです)。この理由は分かりませんが、実態としてそうなっています。
唯一の根本的な駆除方法は上で書いた方法だと思います。
会社の研修用PCは60台、残りは外部からの持ち込みPCでした。PCのOSは、98からVISTAまでさまざまですが、この方法ですべて駆除できます。

巷の対策覧が役に立たない事例の一つとして、USBスティックメモリーを差し込んだとき自動起動しないように設定するというものがあります。でもこれは無駄でした。このウイルスはスティックを差し込んだ時点で感染します。
一番腹立たしい解決策のコメントは、再インストールを勧めるものです。OSを再インストールしたくないから対策を探しているのに!