最近のトラックバック

« ■画面の表示がされません。突然画面が真っ暗になります。(IBM・LENOVO ThinKPAD X201i) | トップページ | ■電源ボタンを押すと、ビープ音がなって画面が真っ暗です。(東芝 QosmioF40/88EBL) »

■ウィルス駆除 マルウェアSystemCheck、ルートキットマルウェアMBR:Alureon。(富士通 FMV-BIBLO NB50J)

こんにちは。今回はご近所にお住まいの方でお持込されました。ご依頼内容は次の通り。

「2,3日前から画面にシステムチェックという英語のメッセージが表示され何をやっても消えない。」

システムチェック(SystemCheck)はマルウェアで、Windows以外のソフトウェアの脆弱性をついて浸入感染するらしいです。情報を検索してみると、ウィルス対策ソフトを入れて保護している状態でもネットサーフィン中にいきなり感染するという事がわかりました。感染した場合の駆除方法を紹介されているブログもありますが、手順はかなり複雑で大変な作業です。相当ウィルスに侵食され、アイコンやメニュー、ファイルなどが全て消されてしまう状態になってしまったら、こちらの駆除方法を参考に作業する事になります。

感染したパソコンを起動すると、「全てのプログラム」の一覧の中に「SystemCheck」があたかもインストールされたソフトの様に図々しく居座っていました。デスクトップ上にショートカットも作成されています。

Systemchk1

感染後まだ2-3日という事なので、それ程侵食されていないと判断し「システムの復元」を試行してみました。ウィルスの駆除方法で「システムの復元」を最初に無効にするべきだという意見もありますが、正常に復元できれば最も簡単で確実にウィルスを駆除できる方法だと思います。3月中旬頃まで戻したところ、先程確認した一覧からもデスクトップ上のショートカットも復元後には消滅していました。

Systemchk2

「SystemCheck」対策として「Acrobat Reader、Adobe Flash、JRE(Java)、QuickTime、Shockwave Player、Microsoft Office」の最新版へのバージョンアップを行いました。マルウェア駆除ツールをインストールして検索し2個のマルウェアを削除しました。「SystemCheck」については感染後直ぐにご依頼されたので、短時間で対処できました。

ウィルス対策が全くされていないので、まず、オンラインスキャンを使用し他のウィルスに感染していないかをチェックしたところ2個の感染ファイルを発見したので駆除しました。ウィルス対策ソフトAvast!のフリー版をインストールして初期検索で更に5個の感染ファイルが見つかりこれも削除しました。当初全くされていないと思われたウィルス対策は「Microsoft Security Essentials」が入っていた事が解かりましたが、ウィルスに攻撃され機能出来ない状態でした。このソフトは経験上、ウィルスの波状攻撃を受けると防御しきれず、ウィルスにやられてしまう対策ソフトとしては不十分なところがあるため削除しました。

Avast!の初期設定を完了しパソコンを再起動したらAvast!の起動時検索で今度は「MBR:Alureon」というルートキットマルウェアを検出しました。こちらの方が性質が悪いものでした。

Systemchk3

Avast!に削除させ、パソコンの再起動、再検索を行って駆除できたかと思っていても再び「MBR:Alureon」が検出されてしまいます。「MBR:Alureon」について調査すると、MBRを改ざんしてしまうため、ウィルス対策ソフトでは駆除できず。ルートキット型マルウェア専用のツールを使って駆除するか、確実なのはリカバリーする事だという事でした。しかしリカバリーを行うには必要なデータのバックアップとリカバリー後のリストア、各種設定のやり直しや追加インストールしたソフトの入れ直しなど諸々後が大変ですし、料金も掛かりますので、なるべくリカバリーをしないで解決する方法を探しました。

MBRが改ざんされているなら、正常なデータを上書きすれば良いのでは?とMBRの書き換えを試して見る事にしました。場合によっては起動できなくなる危険性があるので、HDD全体のバックアップを取り手作業でMBRを書き直して見ました。無事にMBRが正しく書き込まれたのですが駆除は失敗しました。

「おかしい!」MBRの書き換えを実施しても全く変わらないので、通常のMBRでは無いところに居るのではと思い、その後色々調査しハードディスクにパーティション3(8MB)の領域が作成されていたのを発見しました。どうやらここに居るらしいと、ディスクの管理からそのパーティションを削除して・・・漸く「MBR:Alureon」は検出されなくなりました。

記事:ダイヒョー

「ぱそこん修理屋のぼやき」

パソコン修理は「サウスプロジェクトチーム」

« ■画面の表示がされません。突然画面が真っ暗になります。(IBM・LENOVO ThinKPAD X201i) | トップページ | ■電源ボタンを押すと、ビープ音がなって画面が真っ暗です。(東芝 QosmioF40/88EBL) »

パソコン・インターネット」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/514365/54395871

この記事へのトラックバック一覧です: ■ウィルス駆除 マルウェアSystemCheck、ルートキットマルウェアMBR:Alureon。(富士通 FMV-BIBLO NB50J):

« ■画面の表示がされません。突然画面が真っ暗になります。(IBM・LENOVO ThinKPAD X201i) | トップページ | ■電源ボタンを押すと、ビープ音がなって画面が真っ暗です。(東芝 QosmioF40/88EBL) »

2015年8月
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          
無料ブログはココログ

Amazon ウィジェット

  • ウィジェットC
  • ウィジェットB
  • ウィジェットA