偽りのPC診断ウィルス

|

前回、お知らせした偽のPC診断を行う MART HDD というウィルスに感染した場合の対処方法です。

インターネット上を検索すると、いろいろな対処方法がありますが、一応やってみて駆除できた方法をご紹介します。

  

1)  コンピューターを「セーフモートとネットワーク」で起動

コンピューターの起動、あるいは再起動時、キーボードのF8キーを何度も続けて押します。ウィンドウズのマークが出てくる前の時点で押してください。

もしもウィンドウズのマークが出てきてしまったら、F8キーを押し続けるタイミングが遅かった可能性があるので、再度起動してやり直してください。

すると、キーボードの矢印キーで「セーフモードとネットワーク」という文字を選べるので、選択して Enterキーを押してください。

 

2) 「スタートアップチェッカー」をインストール

インターネットに接続して、Vectorというサイトから「スタートアップチェッカー」というソフトをダウンロードし、インストールします。

Vector
http://www.vector.co.jp/soft/dl/winnt/util/se302214.html


インターネットにつなぐアイコンがない場合は...

「スタート」を右クリック → 「エクスプローラーを開く」でエクスプローラーから
Cドライブ → Program Files → Internet Explorer にゆき(C:\Program Files\Internet Explorer)、iexplore.exe をクリックして、インターネットエクスプローラー(IE)を起動させてください。


「スタートアップチェッカー」がインストールされ、実行されると、ウィンドウの左側に怪しい意味不明の名前のプログラムがあって、有効になっていると思います。

そのプログラムを選ぶと、ウィンドウの右側に「無効化」のボタンが出てくるので、クリックして無効にします。
怪しいプログラムは2つほどあるかと思います。もうひとつも同じように「無効化」してください。

怪しい名前のプログラムがウィルスだと自信があれば、ここでそれらのプログラムを削除してしまってもいいのですが、とりあえず「スタートアップチェッカー」を閉じます。

 

3) コンピューターを通常モードで再起動

いつものように再起動してください。
いくつものエラーウィンドウが開いてきて、偽の診断ソフトがあがって来なければ、「スタートアップチェッカー」で無効化した怪しいプログラムが合っていたということです。

 

4) unhide.exe で消えたアイコンを復活させる

下記URLより unhide.exe をダウンロードして、実行してください。

http://download.bleepingcomputer.com/grinler/unhide.exe

Unhide.exeは、ウイルスによって見えなくされていたファイルを見えるようにしてくれます。

 

5) コンピューターを再起動

再起動すると、デスクトップで消えていたアイコンなどが戻ってきていると思います。

 

6) ウィルス関連のファイルを削除

怪しいプログラムを無効化したときに使った「スタートアップチェッカー」を起動し、怪しいプログラムを選ぶと、ウィンドウの右側に「有効化」と「削除」ボタンが出てくるので、「削除」をクリックしてください。

デスクトップに Data Recovery というアイコンがあると思うので、右クリックして「プロパティ」を選び、リンク先のウィルスに関連していると思われるフォルダ/ファイルを特定し、それらを削除してください。

ウィルスの実行ファイルは、恐らく Cドライブの ProgramData (C:\ProgramData) にあって、ファイル名は 意味不明な文字列.exe だと思います。

ウィルス関連のファイルかどうかを判断する際、「スタートアップチェッカー」で怪しいと思った名前に似ていたり、ウィルスにやられたと思われる日付とフォルダやファイルの日付が同じだったりすることが参考になると思います。

 

7)  念のため再起動で駆除終了

 

名前を変えながら、少しずつ姿を変えているウィルスなので、多少異なることがあるかもしれません。

ウィルス駆除したものの、何となく気持ちが悪いという方は、コンピューターのデータをバックアップして、リカバリしてしまうするというのも一つの方法です。


しつこいようですが、最後に ...

インストールされている Java(JRE)、Adobe Reader、Adobe Flash Player、Windows Update などのソフトは最新のものにしておきましょう。