1. ウイルス駆除

2016.04.26
本ページはプロモーションが含まれています。
ボツワナで、先輩隊員のノートPCがウイルスに感染したとのことで、状況をヒアリングしてみる。

ウイルス感染有無確認

  1. 職場の自分用のPCに、同僚Aが使わしてくれと彼のUSBメモリを使用(職場のPCに感染)
  2. その後自分のUSBメモリで、自分のPCから他の同僚BのPCへデータを渡そうとしたところウイルスを検知
  3. この時、自分のUSBメモリを介して職場のPCのデータを自宅のノートPCへ持ち帰っていたことに気付く(自宅のノートPCにも感染)
  4. 職場の自分用のPCにセキュリティソフトは入っていないが、同僚BのPCにはフリーのセキュリティソフトがインストールされている
  5. 自宅のノートPCはセキュリティソフト(ウイルスバスター)を使用していたが、期限が切れていた

ノートPCの状況を確認してみる。OSはWindows7。起動すると以下のようなエラーメッセージが複数ポップアップされた。

「NTVDM.EXEは動作を停止しました。問題が発生したため、プログラムが正しく動作しなくなりました。プログラムは閉じられ、解決策がある場合はWindowsから通知されます。」

Microsoftのサイトコンピューターウイルスを削除する方法の「コンピューターがウイルスに感染しているか確認する方法」には次の記載がある。

  1. コンピューターの速度が非常に遅いですか。
  2. 予期せぬメッセージを受け取ったり、プログラムが自動的に起動しますか。
  3. モデムやハード ディスクが時間外に動作していますか。

①②に該当しているので、ウイルスに感染していると判断。セキュリティソフトは検討中とのことなので、上記MicrosoftのMicrosoft Safety Scannerより、フリーのMicrosoft Safety Scannerをダウンロードしてウイルス駆除を試みる。だが、ウイルスによりPCが重くなっていた為、ダウンロードが全然進まない。仕方なく別PCでダウンロード後、感染覚悟で自分のUSBメモリを介してPCに設置することにした。

その前にフォルダオプションで以下を行っておく。表示されてないだけで隠しファイルとして存在していたり、アイコンがフォルダなのに実は拡張子がexeだったりすることがあるからだ。

  • 「隠しファイル、隠しフォルダー、および隠しドライブを表示する」にチェック
  • 「登録されている拡張子は表示しない」のチェックを外す

また、今後のことを考えて、自動再生機能の無効設定を行っておく。この自動再生機能がオフになっていれば、今回のようにUSBメモリを差しただけであれば、感染は防げたはずだ。



ウイルススキャン

自分のUSBメモリにも感染!NTCというフォルダとmsert.exeというウイルス駆除ソフト以外は、ウイルスによって作成された悪意あるプログラム。NTCフォルダ配下にもウイルスによってたくさんEXEファイルが作成されていた。。

予備の空っぽのUSBメモリがあれば一番いいが、なければ既存のUSBメモリのデータはPCに退避して空っぽにするか、一つのフォルダに纏めたあとに圧縮しておくとよい。自分はNTCというフォルダに一箇所に纏めておいたが、フォルダ配下にもEXEファイルが多数作成されてしまった。。

Microsoft Safety Scanner でPCをフルスキャン

7時間掛けてのフルスキャンの結果、13個のウイルスを検出した。一部は削除してくれているが、大部分は手動で削除する必要があるとのことで、これは手が掛かりそうだ。。フリーのセキュリティツールでは、検出率や駆除率が低いのだろう。この時ウイルスバスターを購入することにしたとのことだったので、ウイルスバスターをインストールすることにした。無事インストールしたが、起動しない。。

ウイルスによってPCの処理がとても遅い。CPU使用率とメモリ使用率が高騰していることがわかる。

ウイルスバスターの代わりにノートンセキュリティのダウンロード&インストールを試みたが、ウイルスによるPC処理能力低下が原因なのか、ダウンロードは失敗した。。手が掛かりそうだが、手動で駆除するしかないようだ。再度Microsoft Safety Scannerでフルスキャンを実行する。

再度フルスキャンを実行したら、今度はメモリ不足でエクスプローラが死んでしまい、途中で画面が真っ暗になってしまった。。「Ctrl」+「Alt」+「Delete」による再起動も効かないので、電源OFF/ONする。またフルスキャンしても途中で止まってしまうだろうし、困ったなぁ。。

この時、USBメモリを差しっぱなしにしていたことに気付く。もしかして駆除できていても、起動時にまたUSBメモリからPCにウイルスがコピーされるかも知れない。慌ててUSBメモリを抜く。

うーん、こんな時は・・・、こんな時こそセーフモードを使えばいいんじゃないか!?

セーフモードでウイルススキャン

セーフモードでフルスキャン。感染したファイルが見つかった。時間は3時間程度だったような。

かなりの数のファイルが感染している。

なんとかウイルスが削除できた!

セーフモードで再実行したところ、再度1つのウイルスが検出/駆除された。

スタートアップ配下の”dtyrqwca”といウイルスプロセスが駆除されていた!残っていたショートカットも削除した。

ウイルス駆除後、CPU使用率は1%に下がっていた。ウイルス駆除できたので、再度ウイルスバスターをインストール&起動する。問題なく起動できた。ウイルスバスターで、フルスキャンを行う。1つのウイルスが検出/駆除された。

ノートPCのウイルスが完全に駆除できてかつウイルスバスターも起動できたので、USBメモリを差し、ウイルスバスターでUSBメモリをスキャンする。41個のファイルが次々と削除されていく。だが、autorun.infとRECYCLERフォルダは削除されず、手動で削除もできなかった。仕方ないので、それ以外のデータをノートPCに退避させた後、USBメモリをフォーマットした。今回の作業はこれで終了となる。

まとめ

  1. アンチウィルスソフトをインストールする(有償が無理ならフリーのものでもよいので)
  2. 自動再生機能をオフにしておく
  3. USBメモリを経由して感染するパターンが多いので、ファイルサーバ経由やメールなど他の代替手段を使うか、「ウイルス入ってないよね?(Doesn’t this USB memory have a virus?)」「セキュリティソフト入れてる?(Did you install the security software on your laptop?)」と牽制して、他人のUSBメモリとの接触頻度をなるべく少なくする。

自分は 定番のセキュリティソフト ノートン 360 を使用しています。 【ウイルスバスタークラウド】 でもいいと思います。



※ どちらにしても、任国で期限切れとならないように、サブスクリプションで購入して自動更新するようにしておくのがよいと思います。

ホーム
任国での活動(Activity of Botswana)
1. ウイルス駆除
タイトルとURLをコピーしました