PC修復作業、その1

仕事の知人からPCを操作出来なくなったということで、ヘルプ依頼があった。
症状を尋ねると、「Write fault error」と出て、パソコンの操作ができないとの事。本人の見立てではウィルスに感染したのではないかとの事。
私個人は使っているコンピューターが主にUnix系であるためウィルスプログラムに感染した事がない。それでも過去に仕事で何度も他人のウィルス駆除を行っているので、ウィルス駆除は苦にしていない。それでも駆除時間は時間の浪費と感じる。
ウィルスなら、駆除すればいいが、システムファイルが消されていると、修復出来ず再インストールが必要かもしれない。

パソコンの機種を尋ねてみると、NECのLavie PC-LS550DS1JW ということで、検索エンジンから仕様を調査してみると750GBのHDDを内蔵している。仮にデータをバックアップしてリカバーする事になると、1時間で30GBくらいしか転送出来ないため、100GB以上データがあると、往復作業だけで6時間以上掛かる事になる。その他、不具合の原因確認 やリカバリーを行うと更に数時間必要になるため、オンサイトで修復するのはちょっと無理っぽい。 最悪の場合、新しいHDDを購入して差し替える必要が発生するかもしれない。
やむを得ず、問題のPCを送ってもらい、症状を確認して対処する事にした。

本日、PCが到着。電源を入れると、いきなり修復起動か通常起動を選択するメッセージが出てくる。送る前に強制終了したみたい。
修復起動を行うと、起動中に「ファイルを読み込んでいます。」 と出るもののHDDアクセスランプは消灯状態でいつまで経っても起動しない。
Ctrl+Alt+Del でリブートして今度は通常起動を選択。
問題なくデスクトップが出てきたではないか！と思ったところで、
「A write command during the test has failed to complete. This may be due to a media or read/write error. The system generate an exception error when using a reference to an invalid system memory address.
Cancel | Try again | Continue」
というダイアログウィンドウが山のように出てくる。

さらに「System error. Hard disk failure Detected. Windows has lost access to the system partition during I/O process. This may also lead to a potential loss of data. It’s highly recommended to run complete HDD scan to prevent loss of files, applications and documents stored on your computer」というダイアログウィンドウも表示される。

自分のPCではないため利用者がどうデスクトップをカスタマイズしていたのか不明で、画面に表示されるメッセージを見た感じでは、「これはウィルスじゃなくてHDDの故障だな〜。」と判断するも、一応、メッセージを google で検索してみると、なんと、HDDとBIOSのSMART機能を悪用したウィルスとの事。
これに感染すると、壁紙が真っ黒になり、デスクトップからアイコンが消え、スタートメニューからよく使うプログラムのショートカットが消えるという特徴があるらしい。

確かにその症状ぴったり。他の検索結果にも、 同様のブログや問い合わせページが大量に出てきて、見た目の症状だけで判断せずに調べて見るもんだな〜と少し反省。

要するに、OSが起動した時点で、ウィルスプログラムが自動起動して、他の操作を邪魔しているだけのようなので、ウィルスプログラムを起動させなければいいわけだ。Windowsの場合、プログラムを自動起動させることができるのは、

1. サービス
2. スタートメニュー→スタートアップフォルダーのショートカット
3. RunかRunOnceレジストリ

なので、自動起動が行われないセーフモードで起動し、この3点を確認して､見つかったら削除すればいいわけだ。その後で、通常起動しアンチウィルスソフトでスキャンして駆除すればいい。最初からアンチウィルスソフトを入れていれば感染しないはずなのに一体どこから入ったんだろう？という疑問も残るが、他人のPCだからそれは後で考えてとりあえず駆除。
親切な事に、
http://guides.yoosecurity.com/a-write-command-during-the-test-has-failed-to-complete-this-may-be-due-to-a-media-or-readwrite-error/
のページに何をチェックして消去すればいいか全部書いてある。このウィルス、C:\ProgramData 隠しフォルダーの直下に明らかに怪しいランダム文字列の実行ファイルやDLLファイルを置いて、レジストリやショートカットからこいつを呼んで動いているみたい。こいつを削除して再起動すれば終わりかと思ったら、このSMARTHDDウィルス、ユーザーのファイルやプログラムファイル、ショートカットを非表示状態に変更したり削除したりしている！

通常モードで再起動しても、アンチウィルスソフトでスキャンしても元の状態に戻る訳じゃないようだ。

とりあえず、非表示状態にされてしまったユーザーフォルダーの隠しファイル属性を手動で解除して、所有者が仕事に使うファイルを、skype画面共有で確認してもらう。そして必要ファイルをDropboxで送付。一番重要なデータファイルは復活出来たので、あとはアプリケーション、カスタマイズした設定、メールなど復活を試みる事にするが、復活にこだわって中途半端な状態に戻すよりも、購入直後の状態にして、アプリケーションを入れ直す方がいいかもしれない。ここら辺は後日再度所有者と相談する事にする。

ああ、一日がかりだった。

== 2012/08/26 加筆 ==

なぜか、このメモをウィルス駆除のために参照する人が多いようなので、手動による駆除作業手順をまとめておくことにします。ただし、すでにウィルスに感染したPCは手元にないし、Windows7 も消去してしまったので、記憶に頼って記述しています。ファイルやフォルダーの場所などパス情報には思い違いがあるかもしれないので以下の情報を読んでおかしいと思った場合は、他のサイトの情報などと比較してみること。

1. 感染PCに今でも新規プログラムインストールが可能なら、Symantecのサイトで「Trojan.Fakefrag」ウィルス駆除ツールを探して実行するのが簡単だと思う。私は駆除作業中に、この情報を知らなかったため使っていません。
2. 手動で行う場合、
   まず、OS をセーフモードで起動し、OS以外のプログラムが自動起動しないモードでスタートする。
3. スタートメニューの「ファイル名を指定して実行」を使い 「msconfig.exe」 を起動する。レジストリエディタとRunキーの意味がわかる人なら regedit.exe でrunキーを直接編集してもいい。
   「スタートアップ」タブ を選択して表示されるプログラムが、ショートカットか Runレジストリから起動されるプログラムの一覧。「サービス」タブで表示されるものがサービスとして起動されるプログラムの一覧だが、今回のウィルスはサービスからは起動しないのでさわる必要はない。ウィルス起動はこの「スタートアップ」タブの一覧の中にあります。
4.  「スタートアップ」中の怪しいプログラムのチェックボックスを外す。
   「コマンド」カラムをよく見て、「Application Data」フォルダーから起動することになっているプログラムを全て停止します。
   C:\Documents and Settings\All Users\Application Data\<6桁のランダム文字列>.exe
   および
   C:\ProgramData\<ランダム文字列>.exe
   という感じのプログラム全部。 わからなければ全部のチェックを外せば、他の自動起動プログラムも停止してしまい多少不便になるりますがウィルスの起動は止まるはずなので、大事なデータをバックアップするまでは、全停止でもいいでしょう。
5. ウィルスプログラム本体を削除
   C:\Documents and Settings\All Users\Application Data\  と
   C:\ProgramData\
   の下のランダム文字列ファイルを削除。上の、エクスプローラ画面の選択中のファイルのように存在しているはず。ひょっとするとファイル非表示状態になっているかもしれないので、フォルダーが空の場合は、隠しファイル状態を解除して確認すること。
6. このあと、通常モードで再起動すれば、とりあえずウィルスは動かないはず。しかし、スタートアッププログラムのショートカットが別の場所に動かされていることと、 ユーザーフォルダーのほとんどが非表示にされている状態を戻す必要がある。
7. 非表示にされてしまったファイルやフォルダーに関しては、フォルダーのプロパティーを表示し、「隠しファイル」となっている属性を全て外す。
8. 移動されてしまったスタートアップメニューに関しては、%TEMP%\smtmp に移動されているらしいので（私は未確認）自分のフォルダーやAll Users のLocal settings\temp の下を確認して必要に応じて元に戻す。
9. 以上で、最低限必要なファイルには元に戻ったはずだが、ウィルスに悪さされた設定が元に戻ったわけではないので、OSの信頼度は低いままです。
   以上の作業で、必要なファイルにアクセスできるようになったはずなので、重要なファイルをバックアップした後に、HDDを初期化して再インストールを行うべきだと思う。恐らくこの時点で新たにプログラムをインストールできるようになっているはずなので、アンチウィルスソフトをインストールしてシステムスキャンを行えば、ウィルスの駆除を行えるかもしれない。たとえば一時的に、無料アンチウィルスソフトを入れてみるとか。個人的には、無料アンチウィルスソフトを使うことは、逆に情報流出につながるような気がするので、私ならウィルススキャンし・駆除した後にアンチウイルスソフトを削除しますが。
10. ファイルが戻ったからといってそのまま使うのは考えもの。
    Symantecの Trojan.Fakefrag テクニカルノート情報が示すとおり、ウィルスは上記の作業で修復した以外の多くの箇所も編集しています。これらを手作業で一つ一つ修復してゆく気があるなら再インストールの必要はないかもしれませんが、Symantecの文章を読んでいる時点では、これ以上の手動修復は諦めるべきでしょう。大事なファイルをバックアップして、HDDを初期化してOSを入れ直すことをおすすめします。

以上で 2012/08/26 の加筆終了