きっかけは、何気ない行動だったんですが。
ちょっと同僚のPCにUSBメモリスティックを挿そうとした時、
な〜んとなくいやな予感がして、ちょっとCドライブのsystemフォルダの
中を見てからにしようと思いとどまる。以前、USBメモリ経由で感染する
ウィルスに遭遇した事が有り、そのときはC:\WINDOWS\system\の中に
ぼこぼこファイルを作っていたなぁなんて記憶が蘇ったノデ。
　
取り合えず、隠しファイルを表示するようにして、さてと……
おや？Cドライブの直下に、何も隠しファイルが無い？
と思ったら、隠しファイルを表示しない設定のままになっていた。
　
な〜んだ、キャンセルでも押しちゃったかね。失敗失敗。ってことで、
もう一度隠しファイルを表示するようにして･･･表示されないねぇ。
　
隠しファイルの表示を強制的に行わないようなポリシーなんてあったっけ？
一応現象をググって見ると……あ、ウィルスでやんの。しかもUSB感染式。
kavo.exeとか、revo.exeって名前らしい。
う〜ん、我ながら感心する危険察知能力。その割りにいつも危機的状況なのは何故。
それにしても、隠しファイルを強制的に表示しないようにするとは、
以前遭遇した物よりもヒネリが効いとる。
　
取り合えず、フロア全員に、PCのLANケーブルを抜くように指示しましたが、
仕事が出来なくなるからそんな事は出来ないと抗議を受ける。
ほう、いつもは仕事が出来ていると
気持ちは解かりますが、USB以外からも感染するタイプだったら
僕の仕事が余計にめんど……被害が拡大するだけなので、
理解してもらう。
　
とりあえず、感染経路の特定は後にするとして、ウィルスの種類の特定から。
ググッた物と全く同じとは限らないしねぇ。ワクワクなんかしてませんよ。
ホントですよ。頭の中にドクターマリオのBGMなんか流れてません。

まず、感染したPC内で、先ほど調べたkavo.exeとかrevo.exeでファイル検索を
してみたけれど、特にそういったファイルは無し。レジストリの中も
調べてみたけど、結果は同じ。一応、潜伏先はsystem32フォルダらしいので、
コマンドプロンプトでフォルダ内の隠しファイル一覧を調べてみたが、それもなし。
となると、USBストレージ内のファイル名から追ってくかなあ。

全員のUSBストレージを回収して、普段使用していない生贄用PCで中を見てみると、
ああ、いるわいるわ。経験された方にはおなじみのautorun.infと、妙なexeが。
しかもその妙なexeの数、実に7〜9個。　（マニアに売れるかも･･･）
　
この妙なexeファイル(yj.exeとか)は、あくまで母体を生成する為の
ファイルなので、コレだけ消しても意味は無い。ただ、この妙な
exeファイル名を元にレジストリ検索すれば、何かしらの手がかりが
あるだろうと調べたら、スタートアップのファイルを指定するレジストリ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
にちょっと違った見慣れないexeが。
　
xvassdf.exe
ierdfgh.exe
　
一応、ググって調べたら、やはりウィルス。USB感染、隠しファイル
強制非表示等、現象が酷似です。なお、潜伏先は
"C:\Documents and Settings\[ユーザID]\Local Settings\Temp"
･･･潜伏先が、明らかに面倒な場所に変更されてるでやんの。
　
面倒な理由1:
Local Settingsは隠しフォルダなので、隠しフォルダを表示できない
この状況では、GUIではアクセスできない。
パス手入力（レジストリからコピペできるけど）の必要有り。
　
面倒な理由2:
ログインユーザごとに潜伏先が違う。
（ファイル本体は消せるけど、スタートアップのレジストリ値修正は
個別にログインする必要有り）
　
駆除作業まで含めたら何日かかる事やら……
と言う事で、続きはまた後日