かえでBlog

色々なことを徒然と……

File Recovery

      2013/04/29

昨日先輩のパソコンがウイルスに犯されました。

先輩「あれ?ネットワークに繋がらないぞ」

という言葉からはじまり、別のLANケーブル(使用できるか確認済み)で繋ぎなおしても接続できない。

リンクアップはされているのに認識はされていないという感じてきな?

不思議に思ったので再起動してみたら



おおおおおおおおおおなんかおかしい!

まずFile Recoveryってなんぞwww

見るからにセキュリティソフトっぽいが今まで聞いたこともないものだったのでグーグル先生に聞くことに。

http://www.google.co.jp/search?q=file+recovery

はい、ウイルスですねぇ……

あれ?うちの会社ってなんだったっけ?←

ということなのでとりあえず再起動+セーフモードで立ち上げる。

BIOS画面過ぎたあたりからF8連打すればセーフモードで入れる。

すると上記の写真のようにいきなり出現することはないがスタートアップないにはすべて表示されない……

でも、コマンドまで消されてはいないようなのでコマンドプロンプトを立ち上げたり、ファイル指定から実行でなんとかなります。

まずは、ゴミ箱とか表示されているのでそこからフォルダを開き、ネットワークにつなぐ。(フォルダパスにURLを指定すればブラウザ起動してくれる。)

その際にネットワークがつながらない場合はアダプターが無効になっている可能性が高いので

コントロール パネルネットワークとインターネットネットワーク接続

からアダプタを有効にする

(これが無効にされていたのでネットワークに繋がらなくなったというオチ・・・・確かに急にネットに繋がらなくなったら焦るよなー)

そして、ウイルスソフト等が入っていない場合はウイルスソフトをダウンロードする。

http://www.microsoft.com/security/scanner/ja-jp/default.aspx

上のURLはマイクロソフトが提供しているウイルス駆除ソフトであり、ダウンロードしてから10日くらいしか使用できないが、インストールが不要なのでこういった緊急性にはいいかもしれない。

(ウイルスにかかっている状態でインストールとか行うのはリスクを伴うことがあるので……)

ウイルスかかっている状態でネットワークにつなぐのは結構リスクがあるので別PCでダウンロードし、USBメモリ等で経由したほうがいいかもしれません。

(その際はネットワークを物理的に遮断しておいたほうがいいです。)

時間的な理由によりここまでしか実行できませんでしたのでこっから先は憶測……(

msconfigでスタートアップを見る。

スタートアップとかわかる人はスタートアップで明らかにおかしいものをチェックアウトにする。

不安な人は診断スタートアップにチェックすればいいと思いますー。

後はシステム復元ツールを使ってシステムを復元すればよいと思われる。

コマンドにてrstrui.exeを入力すればシステム復元が表示される。

後は通常起動できてた日付を選択し、システム復元……

こうすればフォルダの表示がされると思います。

(隠しフォルダ化されているだけとのことなので、フォルダオプションでなんとかなるかも?)

このウイルスはトロイの木馬系ウイルスでもあるので、色々と個人情報が流れている可能性があります。

そのパソコンで使用していたパスワードはもちろん、そのパソコンから使用していた個人情報関連(WEBサイトのパスワードや銀行口座の暗証番号等)は変えたほうがよいと思います。

ウイルスにかかったものを駆除しても残っている可能性があるので、リカバリー等行ったほうが安心だと思います。

こんなウイルスはアプリケーションの脆弱性を狙ったものが多いのでアプリケーションの状態を最新にすれば感染しないと思います。

ウイルスソフトの定義が古い

アップデートしていないアプリケーションがある(特にJREやAdobe関連)

が原因じゃないのかな。と

昔はファイルをインスコしなければうんたらだったのですが、最近はWEB閲覧でも感染することが多いです。

なのでウイルスソフトは無料でもいいのでインスコしといたほうがいいです。

もちろんウイルスソフトはただの補助なので、実際には変なサイトにアクセスしないっていうことなのですけどね。

あぁ、月曜日が怖い……

またなんか新たな情報があれば報告するかもですー。

 - 備忘録 , ,