1. ウイルス駆除

ボツワナで、先輩隊員のノートPCがウイルスに感染したとのことで、状況をヒアリングしてみる。

ウイルス感染有無確認

  1. 職場の自分用のPCに、同僚Aが使わしてくれと彼のUSBメモリを使用(職場のPCに感染)
  2. その後自分のUSBメモリで、自分のPCから他の同僚BのPCへデータを渡そうとしたところウイルスを検知
  3. この時、自分のUSBメモリを介して職場のPCのデータを自宅のノートPCへ持ち帰っていたことに気付く(自宅のノートPCにも感染)
  4. 職場の自分用のPCにセキュリティソフトは入っていないが、同僚BのPCにはフリーのセキュリティソフトがインストールされている
  5. 自宅のノートPCはセキュリティソフト(ウイルスバスター)を使用していたが、期限が切れていた

ノートPCの状況を確認してみる。OSはWindows7。起動すると以下のようなエラーメッセージが複数ポップアップされた。

「NTVDM.EXEは動作を停止しました。問題が発生したため、プログラムが正しく動作しなくなりました。プログラムは閉じられ、解決策がある場合はWindowsから通知されます。」

Microsoftのサイトコンピューターウイルスを削除する方法の「コンピューターがウイルスに感染しているか確認する方法」には次の記載がある。

  1. コンピューターの速度が非常に遅いですか。
  2. 予期せぬメッセージを受け取ったり、プログラムが自動的に起動しますか。
  3. モデムやハード ディスクが時間外に動作していますか。

①②に該当しているので、ウイルスに感染していると判断。セキュリティソフトは検討中とのことなので、上記MicrosoftのMicrosoft Safety Scannerより、フリーのMicrosoft Safety Scannerをダウンロードしてウイルス駆除を試みる。だが、ウイルスによりPCが重くなっていた為、ダウンロードが全然進まない。仕方なく別PCでダウンロード後、感染覚悟で自分のUSBメモリを介してPCに設置することにした。

その前にフォルダオプションで以下を行っておく。表示されてないだけで隠しファイルとして存在していたり、アイコンがフォルダなのに実は拡張子がexeだったりすることがあるからだ。

  • 「隠しファイル、隠しフォルダー、および隠しドライブを表示する」にチェック
  • 「登録されている拡張子は表示しない」のチェックを外す

また、今後のことを考えて、自動再生機能の無効設定を行っておく。この自動再生機能がオフになっていれば、今回のようにUSBメモリを差しただけであれば、感染は防げたはずだ。

ウイルススキャン

自分のUSBメモリにも感染!NTCというフォルダとmsert.exeというウイルス駆除ソフト以外は、ウイルスによって作成された悪意あるプログラム。NTCフォルダ配下にもウイルスによってたくさんEXEファイルが作成されていた。。

自分のUSBメモリにも感染!NTCというフォルダとmsert.exeというウイルス駆除ソフト以外は、ウイルスによって作成された悪意あるプログラム。NTCフォルダ配下にもウイルスによってたくさんEXEファイルが作成されていた。。

予備の空っぽのUSBメモリがあれば一番いいが、なければ既存のUSBメモリのデータはPCに退避して空っぽにするか、一つのフォルダに纏めたあとに圧縮しておくとよい。自分はNTCというフォルダに一箇所に纏めておいたが、フォルダ配下にもEXEファイルが多数作成されてしまった。。

Microsoft Safety Scanner でPCをフルスキャン

Microsoft Safety Scanner でPCをフルスキャン

7時間掛けて13個のウイルスを検出。一部は削除してくれているが、大部分は手動で削除する必要があり、その後再度フルスキャンが必要とのこと。

7時間掛けて13個のウイルスを検出。一部は削除してくれているが、大部分は手動で削除する必要があり、その後再度フルスキャンが必要とのこと。

7時間掛けてのフルスキャンの結果、13個のウイルスを検出した。一部は削除してくれているが、大部分は手動で削除する必要があるとのことで、これは手が掛かりそうだ。。フリーのセキュリティツールでは、検出率や駆除率が低いのだろう。この時ウイルスバスターを購入することにしたとのことだったので、ウイルスバスターをインストールすることにした。無事インストールしたが、起動しない。。

ウイルスによってPCの処理がとても遅い。CPU使用率とメモリ使用率が高騰していることがわかる。

ウイルスによってPCの処理がとても遅い。CPU使用率とメモリ使用率が高騰していることがわかる。

ウイルスによるPC処理能力低下が原因なのか、ノートンのダウンロードは失敗した。。

ウイルスによるPC処理能力低下が原因なのか、ノートンのダウンロードは失敗した。。

ウイルスバスターの代わりにノートンセキュリティのダウンロード&インストールを試みたが、ダウンロードは失敗した。手が掛かりそうだが、手動で駆除するしかないようだ。再度Microsoft Safety Scannerでフルスキャンを実行する。

再度フルスキャンを実行したら、今度はメモリ不足でエクスプローラが死んでしまった。。

再度フルスキャンを実行したら、今度はメモリ不足でエクスプローラが死んでしまった。。

2回目のフルスキャンはメモリ不足でエクスプローラが死んでしまい、途中で画面が真っ暗になってしまった。「Ctrl」+「Alt」+「Delete」による再起動も効かないので、電源OFF/ONする。またフルスキャンしても途中で止まってしまうだろうし、困ったなぁ。。

この時、USBメモリを差しっぱなしにしていたことに気付く。もしかして駆除できていても、起動時にまたUSBメモリからPCにウイルスがコピーされるかも知れない。慌ててUSBメモリを抜く。

うーん、こんな時は・・・、こんな時こそセーフモードを使えばいいんじゃないか!?

セーフモードでウイルススキャン

セーフモードでフルスキャン。感染したファイルが見つかった。時間は3時間程度だったような。

セーフモードでフルスキャン。感染したファイルが見つかった。時間は3時間程度だったような。

かなりの数のファイルが感染している。

かなりの数のファイルが感染している。

なんとかウイルスが削除できた!

なんとかウイルスが削除できた!

セーフモードで再実行したところ、再度1つのウイルスが検出/駆除された。

セーフモードで再実行したところ、再度1つのウイルスが検出/駆除された。

スタートアップ配下の"dtyrqwca"といウイルスプロセスが駆除されていた!残っていたショートカットも削除した。

スタートアップ配下の”dtyrqwca”といウイルスプロセスが駆除されていた!残っていたショートカットも削除した。

ウイルス駆除後、CPU使用率は1%に下がっていた。

ウイルス駆除後、CPU使用率は1%に下がっていた。

ウイルス駆除できたので、再度ウイルスバスターをインストール&起動する。問題なく起動できた。ウイルスバスターで、フルスキャンを行う。1つのウイルスが検出/駆除された。

ウイルスバスターがインストール&起動できたので、感染したUSBメモリもウイルス駆除する。

ウイルスバスターがインストール&起動できたので、感染したUSBメモリもウイルス駆除する。

ノートPCのウイルスが完全に駆除できてかつウイルスバスターも起動できたので、USBメモリを差し、ウイルスバスターでUSBメモリをスキャンする。41個のファイルが次々と削除されていく。だが、autorun.infとRECYCLERフォルダは削除されず、手動で削除もできなかった。仕方ないので、それ以外のデータをノートPCに退避させた後、USBメモリをフォーマットした。今回の作業はこれで終了となる。

まとめ

  1. セキュリティソフトをインストールする(有償が無理ならフリーのものでもよいので)
  2. 自動再生機能をオフにしておく
  3. USBメモリを経由して感染するパターンが多いので、ファイルサーバ経由やメールなど他の代替手段を使うか、「ウイルス入ってないよね?(Doesn’t this USB memory have a virus?)」「セキュリティソフト入れてる?(Did you install the security software on your laptop?)」と牽制して、他人のUSBメモリとの接触頻度をなるべく少なくする。