ウイルス S.M.A.R.T HDDに感染! その後の復旧までを追加

2012年5月31日(木)
 昨日旅行から帰ってきて久しぶりにPCを開いて数分後、突然ブラウザが勝手に閉じられ、再起動。

 そしてS.M.A.R.T HDDという見慣れないソフトが起動して、これも数分後、マイドキュメントを始めとしたファイルが次々と消え、デスクトップ画面も真っ黒になってしまいました。
ウイルス S.M.A.R.T HDDに感染! その後の復旧までを追加_c0006211_13395714.jpg


 画面に、HDD read/write errorという文字が見え、HDDが壊れたのかと思いました。

 でも、ウイルスだったのです。

 画面に出てくる「S.M.A.R.T」という見慣れないソフトは、これを修復するために有料ソフトを購入するよう誘導してきます。

 新手のおれおれ詐欺みたいなものです。Webで「SMART HDD 駆除」で検索するとたくさんの被害が出ています。

 怖いのは、ウイルスソフトが入っていてもスルーしてしまうところです。そしてインストールされた悪意のあるプログラムが、何をしても削除できないことです。

 いろいろやっていますが、Webで「SMART HDD ウイルス駆除方法」というのが今のところ最も良さそうです。とりあえずウイルスの動きを止めることに成功しました。

 RKill.exe Download Linkはこちらです。
http://www.bleepingcomputer.com/download/rkill/

 rkill.exeを実行したところ、どうしても削除できなかった悪意のある実行ファイルを削除することができました。これらのファイルは、c:Program dataフォルダにあります。私の場合は、

 UsmFPcdSIpWJA.exeと
 zOHBmEo12NiLXm.exeという二つのファイルが最後まで削除できませんでした。

 webで、「SMART HDD ウイルス」などで検索した内容をいくつか見ると、大体のことがわかると思います。これから、Microsoft Safety Scanner でフルスキャンして最終チェックします。

 今日はここまでしか書けませんが、うまくいったら後日またアップします。

 日頃から、adobe、flashなどのバージョンアップをまめに行っていれば防げるそうで、脆弱性を突かれているのだとか。

 ファイルは消えたのではなく、隠しファイルに変更されているだけなのでプロパティーで属性を元に戻してやれば残っているようですが、すべてがちゃんと残っているのかはわかりません。

 ご用心ください。


PS 6月4日(月) パソコンがようやく復旧

 上記の、rkill.exeファイルを実行してウイルスファイルを削除したことで悪さは止まりました。

 手作業で隠しファイルに変更された画像やドキュメントの属性を戻していきました。でも、いくつかのファイルは、プロパティーでは隠しファイルになっていないのに、どうしてもファイルが見えません。

 Webを探して、RogueKiller.exeというプログラムをダウンロード実行し、「ShortcutsFix」という機能を使うと隠し属性にされたすべてのファイルが一括で元に戻るというのを見つけました。

 このファイルは英文で、ダウンロードしようとすると、「使用頻度が少ないファイルなので怪しいから削除するように」との警告が出ました。

 迷いましたが思い切って実行してみると、全てのファイル属性が元に戻りました。ただし、本当に安心できるソフトかどうか分からないのでお勧めはしません。

 もうひとつ、コントロールパネルからスタートアップ・プログラムを見ると、アルファベットが羅列した怪しいプログラムを見つけたので速攻で削除しました。

 これらはMicrosoft Defenderでもrkill.exeでもウイルスバスターでも見つけることはできませんでした。

 ようやく、見る限りは元の状態に戻りました。Windows Update、adobe Reader、Flash、Javaのアップデートをきちんと行っていれば感染は防げるそうです。

 カミさんのパソコンはきちんとアップデートをしていたので平気でした。私は、起動すると頻繁に出てくるアップデート画面が煩わしくて、最近はしていませんでした。すぐに最新のアップデートを行いました。

 最近の高度なウイルスは、システムファイルの奥深く、ハードに近いドライバーモジュールレベルに潜り込んでいて、Windowsのシステムコール(なつかしい言葉です)を使って一部の機能を乗っ取ってしまい、普通にチェックをしても見つからないそうです。

 ルートキットという、悪さをするウイルスを隠すためのプログラムもあるそうで、これらにかかると手動で見つけ出すことは不可能です。

 これらを駆除してくれるプログラムをダウンロードして自分で実行してみるしかありません。そのプログラムが良いプログラムか悪いプログラムかすら分かりません。

 このブログを読んでくれた方に迷惑をかけては申し訳ないので、上記プログラムがある場所のリンクも設定しません。どうか、自己責任でお願いします。

 一番確実なことは、データをバックアップしたらWindowsをリカバリーしてクリーンインストールすることだそうです。

 Windows8の話題も出てきたことだし、近いうちにWindows7を購入してバージョンアップするつもりです。




名前
URL
削除用パスワード

※このブログはコメント承認制を適用しています。ブログの持ち主が承認するまでコメントは表示されません。

by vient49 | 2012-05-31 17:07 | パソコン スマホ | Comments(0)

何かにそっと呼び寄せられるような ※ブログ記事をリスト形式に変更してみました。2023/05/03


by vient49