« ”ぜいじゃく” な体つき、セキュリティの ”きじゃく” 性 | トップページ | JUNK な SOTEC PC STATION DS7010 をゲット »

2014年3月 6日 (木)

ウイルス再々発

Cpu  数日、その鳴りをひそめていた CPU 使用率上昇問題が、PC を再起動することで再発した。

 基本的に我が家の PC は全てスタンバイ状態から、マウスやキーボードを触ると直ぐに使える状態としている為、シャットダウンを行なわないのだが、ある理由で再起動を掛けた処、先日来悩まされている CPU 使用率が 100%に貼りつく問題が再発した。

 Microsoft Seculity Essentials でウイルス・スキャンを行なっても脅威は見つからないのに…

 再起動すると問題が起こることから、レジストリの RunOnce に起動して欲しくないスクリプトが記述されているに違いないと推測する。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

RunキーとRunOnceキーの違いは、登録されているプログラムを新規ユーザーがログオンするたびに実行するか、始めの一回のみ実行するかです。

RunOnceキーは現在使用中で削除できないファイルを次回起動時に削除するなどの目的で使用します。

1w400

 今回も、CPU を消費しているプロセスを調べると、RegSvcs.exe だったので、此れについて web を検索すると…

 同じ悩みを抱えた方の質問に、次の URL を参照すべし、とのことで…

 ウイルスバスターのメーカーが言う通り、Windows をセーフモードで起動し、特定レジストリキーの削除、start.vbs のファイル等を探した。

 そして、TREND MICRO が言う処の HKEY_CURRENT_USER\Software 内の DC3_FEXEC の値を全て削除した。

Runoncew400

(セーフモードでのキャプチャなので解像度が低い)

 更に、ユーザーフォルダに miapa という名前の隠しフォルダが存在した。

 このフォルダ内には、start.vbs というスクリプトが在る。

 これは怪しくないだろうか?

Miapaw400

 レジストリのHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
には、miapa フォルダ内の start.vbs を起動する記述が為されている。

 他にも英数字を並べた意味の無い名前フォルダ内の、これまた意味の無い名前のスクリプトが実行する様になっている!

 OS の起動後、どう見ても必要なさそうな、レジストリ RunOnce への記述を全て削除し、隠しファイル属性となっている不審なユーザフォルダを全て削除!

 お陰で、PC を幾度か再起動しても再発しなくなった

 …まだ安心は出来ないけど。

ひでのブログ https://hidekyan.cocolog-nifty.com/blog/

|

« ”ぜいじゃく” な体つき、セキュリティの ”きじゃく” 性 | トップページ | JUNK な SOTEC PC STATION DS7010 をゲット »

パソコン・インターネット」カテゴリの記事

コメント

素直に再インストールしなよ

投稿: | 2014年3月 7日 (金) 13時00分

何等かの PC に OS をインストールする機会なら、週に1回は有るのですが、
今回は敢えて、再インストールしない方法で問題を解決出来ないか施行
してます。

投稿: ひで | 2014年3月 7日 (金) 19時14分

【御礼】
今朝からCPU使用率100%で、おかしいと思いウイルスバスターやMicrosoft Safety Scannerも試しましたが発見できず。
全く同じ状況でしたのでこちらのブログを参考にさせて頂いて、4個の隠しファイルを突き止めました。
ひでさんの記事が無ければ、まだ悩んでいたところです。 感謝します。 何の情報を抜かれたのか不安ですが・・・・

投稿: ココ | 2014年6月 5日 (木) 19時22分

ココ さん、コメントありがとうございます

その後、私も3ヶ月が過ぎましたが、完全に復帰出来た様です。

投稿: ひで | 2014年6月 5日 (木) 20時25分

コメントを書く



(ウェブ上には掲載しません)




トラックバック


この記事へのトラックバック一覧です: ウイルス再々発:

« ”ぜいじゃく” な体つき、セキュリティの ”きじゃく” 性 | トップページ | JUNK な SOTEC PC STATION DS7010 をゲット »