REVOの駆除方法

REVO （revo.exe）とは

REVO （revo.exe）とは、kavaの亜種（kava → kavo → mmvo → revo）ウイルスのことです。
主な感染源はUSBからで、USBを差し込んだ際のオートラン（自動再生）により感染します。
オートラン（自動再生）をさせたくない場合は、「Shift」を押したまま、USBを差し込んでください。
そして厄介なことに、REVO（revo.exe）は、ウイルスであるにも関わらず、ウィルス対策ソフトでは>検
出されません。

このウィルスに感染すると・・・

インターネットに繋ごうにも「ページが開けません」と表示されてしまう
インターネットに接続する速度が驚異的に遅い
添付ファイルが開けない。
マイコンピュータから HD / リムーバブルドライブ(USB) / カメラ接続時のドライブなどが開けない
隠しフォルダが表示されない　　　　etc...

現象は以上の症状が発生します。

下記の操作が面倒な方は Norton Internet Security2009 / Norton Antjvirus2009 / ESET Smart Security / NOD32アンチウイルスで駆除可能です。

http://www.symantecstore.jp/trial/index.asp
http://www.eset-smart-security.jp/go/89770/e22/ -- お勧めソフト --

感染状況の調べ方

「スタート」をクリックしスタートメニューを表示します。
「マイドキュメント」をクリックし、【マイドキュメント】画面を開きます。
メニューバーの「ツール（T）」をクリックします。
「フォルダオプション（O）」をクリックし、【フォルダオプション】画面が表示されます。
「表示」タブをクリックします。
詳細設定「ファイルとフォルダの表示」の「すべてのファイルとフォルダを表示する」にチェックを入れます。
（デフォルトでは、「隠しファイルおよび隠しフォルダを表示しない」がチェックされています。）
　　　チェックを入れたら、「適応」をクリック後「OK」をクリックし、【フォルダオプション】画面が閉じます。
上記の 1.から 6. までの作業を行い、詳細設定「ファイルとフォルダの表示」の「すべてのファイルと
フォルダを表示する」　にチェックが入ったままであることを確認してください。

チェックがデフォルトに戻っている場合
（「隠しファイルおよび隠しフォルダを表示しない」にチェックがある場合）は、
感染していると考え、以下の作業を行ってください。

※　この作業はレジストリエディタを使用するため、自己責任にて操作してください。

revo.exe　の駆除方法

まず、ネットワーク接続をすべて遮断してください。（無線LAN機能は停止してください）

マイコンピュータを右クリックしてプロパティをクリックします。
システム復元のタブをクリックして「システム復元を無効にする」をチェックしOKをクリックします。
インターネットエクスプローラーを開いて「ツール」から「インターネットオプション」をクリックします。
「全般」タブの「インターネット一時ファイル」から「ファイルの削除」をクリックし、ポップアップから
　　　「すべてのオフラインコンテンツを削除する」にチェックを入れてOKをクリックします。
インターネットエクスプローラーを閉じます。
下記手順で msconfig を起動します。
ウィンドウズキーを押しながら「R」キーを押します --> ファイル名を指定して実行に「 msconfig 」を入れて
　　　OKします。
mscofig が起動したら、下記手順でセーフモードで再起動します。
「スタートアップ」タブをクリックして中に kavo, mmvo, tavo, revo などがあったらチェックをはずします。
「BOOT.INI」タブをクリックし、 /SAFEBOOT（F)にチェックを入れる。 --> OK --> 再起動します。
再起動したらセーフモードで作業を続けるか確認する画面が出ますので「はい（Y）」をクリックします。
セーフモードの画面になったらウィンドウズキーを押しながら「R」キーを押します＞ファイル名を指定して
　　　実行に「 regedit 」を入れてOKします。
下記の3個のレジストリの値を全て「1」に変更してください。

HKEY_CURRENT_USER＞Software＞Microsoft＞Windows＞CurrentVersion＞Explorer＞Advanced　の"Hidden"と"ShowSuperHidden"

HKEY_LOCAL_MACHINE＞SOFTWARE＞Microsoft＞Windows＞CurrentVersion＞Explorer＞Advanced＞
Folder＞Hidden＞SHOWALL　の"CheckedValue"
レジストリエディタを閉じます。
スタート＞【スタートメニューが表示されます】＞すべてのプログラム（Ｐ）＞アクセサリ＞エクスプローラ
　　　をクリックします。
アドレスに「c:」を入れます。この時マイコンピュータに触らないでください、レジストリが元に戻ってしまい
　　　ます。また、ほかにドライブが有る場合はそちらも同様に以下のチェックをしてください。

　　　 ■　16. についての補足
　　　 15. で起動したエクスプローラの【アドレス（D）】の入力欄へ「 C: 」を入力し、入力欄の右の【移動ボタン】を
　　　クリックします。　⇒　この操作により、「 C: 」のファイル一覧が表示されます。
一度ディレクトリに入ってから戻ると隠しファイルが表示されます。詳細表示にして下記のファイルがないか
　　　探し出し全て削除してください。但し、これらのファイル以外のファイル名が新たに生成される可能性もあり
　　　ます。削除はシフトキーを押しながら「DEL」キーで削除してください。

　　　 C:\\autorun.inf
　　　 C:\o6mhfog.com
　　　 C:\q83iwmgf.bat
　　　 C:\t2yev.com
　　　 C:\uvg.com
　　　 C:\8e9gmih.bat

　　　 C:\Windows\Prefetch\O6MHFOG.BAT-"*".pf
　　　 C:\Windows\Prefetch\Q83IWMGF.BAT-"*".pf
　　　 C:\Windows\Prefetch\UU.EXE-"*".pf
　　　 C:\Windows\Prefetch\8E9GMIH.BAT-"*".pf

　　　 ■　以下にあります"%System%" はシステムフォルダーです。

　　　 OSにより異なります。通常は下記のようになります。

　　　 C:\Windows\System　　（Windows98 とME）
　　　 C:\WINNT\System32　（WindowsNT と 2000）
　　　 C:\Windows\System32 （WindowsXP と Server2003）

　　　たとえば、ご使用されておりますOSが『 Windows XP 』または『 Server 2003 』の場合は、" %System% " は
　　　「 C:\Windows\System32 」に読み替えて下さい。
　　　　　　　" %System%\revo.exe " 場合
　　　　　　　　　　　　↓
　　　　　　　 C:\Windows\System32\revo.exe 　と読み替えます。
　　　この読み替えたファイルを 15. で起動したエクスプローラにより存在を確認し、あった場合には、該当
　　　ファイルを選択した状態で【Shift】キーを押しながら、【DEL(Delete)】キーを押して、ファイルを削除します。
　　　※【Shift】キーを押さずに削除すると、『ごみ箱』へ移動するだけとなり、ウィルスファイルの物理的な削除が
　　　なされませんので、ご注意ください。

　　　 "%System%\kava.exe"
　　　 "%System%\kava.exe"
　　　 "%System%\kavo0.dll"
　　　 "%System%\kavo1.dll"
　　　 "%System%\kavo2.dll"
　　　 "%System%\mmvo.exe"
　　　 "%System%\mmvo0.dll"
　　　 "%System%\mmvo1.dll"
　　　 "%System%\revo.exe"
　　　 "%System%\revo0.dll"
　　　 "%System%\revo1.dll"

　　　 ■　17. についての補足
　　　エクスプローラの【アドレス（D）】の入力欄には、「 c:\autorun.inf 」を入力しないで下さい。
　　　 ※ 入力すると、ウィルスが起動してしまいます。

　　　 17. は、
　　　「 16. で移動したファイル内に、 17. に記載してあるウィルスが在るか否かを調べ、あった場合は削除すること。」
削除が終わったら、ウィンドウズキー(CTRL+ESC)を押しながら「R」キーを押します＞ファイル名を指定して実行に
　　　「 regedit 」を入れてOKします。
「編集」の「検索」で kava、kavo、mmvo、revo を検索して単独のキーワードになっている部分を右クリックして
　　　削除します。F3キーを利用して検索するとスムーズです。
レジストリエディタを閉じます。
ウィンドウズキーを押しながら「R」キーを押します＞ファイル名を指定して実行に「 msconfig 」を入れて
　　　 OKします。
mscofig が起動したら、下記手順で通常モードで再起動します。
「BOOT.INI」タブをクリックし、 /SAFEBOOT（F)のチェックをはずす --> OK --> 再起動します。
システム構成ユーティリティのポップアップが出るので、チェックしてOKします。
起動したらエクスプローラーでフォルダを開きます。
「ツール」の「フォルダオプション」を選びます。
「表示」タブを選択します。
「ファイルとフォルダの表示」の「すべてのファイルとフォルダを表示する」を選択して、OKで閉じます。
再度、同じことをして「ファイルとフォルダの表示」が「隠しファイル～」にチェックが変わっていないことを
　　　確認します。
以上で、作業終了です。

USBメモリの駆除では、AUTORUNが起動しないようにシフトキーを押しながらUSBに接続してください。
cドライブと同様に、メモリの隠しファイルを見て該当のファイルを削除してください。

防御のためにファイルを1つ作って c: などルートに「 autorun.inf 」という名前で保存します。
このファイルがあることで次に感染しそうになると「ファイルが既に存在します」というメッセージが出ます。
もちろん「いいえ」を選択して下さい。

参考1 W32.Gammima.AG情報

参考2 USB接続機器を介して拡散するウイルスの被害報告が急増

上記の操作が面倒な方は Norton Internet Security2009 / Norton Antjvirus2009 / NOD32アンチウイルスでは駆除可能です。

http://www.symantecstore.jp/trial/index.asp
http://www.eset-smart-security.jp/go/89770/e22/

参考資料

1. トレンドマイクロ社
　（ア）USBメモリで広がるウイルスへの対策
  　http://jp.trendmicro.com/jp/threat/solutions/usb/
　（イ）USB接続機器を介して拡散するウイルスの被害報告が急増しています（PDF）
  　http://jp.trendmicro.com/imperia/md/content/jp/threat/hot_threat_report-usb_worm.pdf

2. マイクロソフト社
　（ア）プログラムCDの自動再生をオフにする(Windows XP)
    http://www.microsoft.com/japan/windowsxp/expertzone/tips/february/knox1.mspx
　（イ）CDおよびDVDを自動的に再生しないようにする(Windows Vista)
    https://windowshelp.microsoft.com/Windows/ja-JP/Help/e78dd11a-7dd3-4a06-8436-757bca78e97b1041.mspx

3. オフラインで利用できるウイルス駆除ツール
　（ア）sophos anti virus
    http://www.sophos.co.jp/support/disinfection/worms.html
　（イ）Kaspersky Virus Removal Tools
    http://cowscorpion.com/Antivirus/KasperskyVirusRemovalTools.html
　（ウ）McAfee
    http://www.mcafee.com/japan/security/stinger.asp

4. オンラインスキャン可能なウイルス駆除ツール
　（ア）シマンテック
    http://security.symantec.com/sscv6/home.asp?langid=jp&venid=sym&plfid=23&pkj=LSIQKERRDTIPOKYJLEL
　（イ）McAfee
    http://jp.mcafee.com/root/mfs/default.asp
　（ウ）トレンドマイクロ
    http://www.trendflexsecurity.jp/security_solutions/housecall_free_scan.php
　（エ）カスペルスキー
    http://www.kaspersky.com/virusscanner

■↑このページのトップに戻る

REVO （revo.exe） とは

REVO （revo.exe）とは