ウイルス駆除とか面倒だよね。

「なんかパソコン立ち上げたらウイルス検出したとか英語で出てるんだけど、なにこれ？」

って急に電話で聞かれても知らんがなｗ

とりあえずそのパソコンを見に行くと・・・・・

どうみても、偽物のセキュリティソフトがインストールされてる。

酷すぎる、壁紙が緑に変更されていてWindowsUpdateが無効化されていた。
タスクマネージャも無効化。
どうやらレジストリの改変を行って復旧操作を出来ないようにしようとしている節がある・・・・・

だれだよ・・・こんなの入れた奴。

感染したいたパソコンは管理部で共用しているらしく誰かに割り当てられている訳じゃないらしい。

個人的に常用してる人はいないとの事だけど・・・

あやしいサイトや感染サイトに行かない限りまずインストールされないはずだが・・・

やれやれ。

先輩がいれば、パソコン関係のトラブルは先輩に全て問い合わせが行くので自分は何もしなくて良いのだが・・・
先輩もそういうパソコンのトラブルの解決は嫌いじゃないみたいだし。
(口ではめんどくさいとか言ってるけどトラブルの起こっているところへ行く足取りは軽い。)

しかし！、あいにく出張中だ。

会社のとあるパソコンが"security essential 2010"というマルウェアに感染したみたい。
これは、かなりやっかいな奴でレジストリをめちゃめちゃにする。
ファイルの削除に失敗するとやばいみたい。

"Microsoft Security Essential"って言うMicrosoftが無料提供しているソフトに名前が似てるからインストールしてしまう人も多いみたい。
ロゴもWindowsっぽく作ってある。
悪意に満ちてるね。

Microsoft Security Essentialは自分も愛用してます。
良いソフトだと思いますよ。

話がそれた・・・・

実は、少し前にそのウイルスが出回っている事を知っていてそのウイルスについて書かれている記事を読みつつ「こわっ！」くらいで人ごとと思っていたんだけど・・・

まぁ、ある意味今回は人ごとなんだけどね。自分の使っているのじゃないし。
と、突き放すのもかわいそう。

一番確実なのはOS入れ直し。
コレが確実。

でも、どうしてもそのパソコンをリカバリしたくないらしい。

初期化すれば簡単に安心な状態へ戻せるのにねー。

とりあえず手始めにネットワークから切り離すべくLANケーブルを抜く。

そして、色々試そうとするが情報が不足しててわからん。

自分の席に戻りとりあえずMicrosoft Security Essentialと手動更新用定義ファイル、あと、悪意のあるソフト除去ツールをUSBに入れて感染パソコンへインストール。

インストールを邪魔されるかと思ったけどインストールは完了したみたいだ。
とりあえずフルスキャンして放置。
除去ツールも同時に走らせておく。

数時間後見に行くと結構酷い結果である。
ここまで感染するかーってくらい検出されてた。
駆除ツールも同様。
削除して再起動。

普通に起動したけど壁紙が戻ったくらいで相変わらず"security essential 2010"が起動する。
でもポップアップはしない。
だいぶ改善はしているみたい。

WindowsUpdateが有効にならず、タスクマネージャも使えない状態は改善されていなかったので、色々調べてとりあえずタスクマネージャを有効にした。

レジストリエディタを起動して
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Systemまでたどって、DisableTaskMgrの値を「0」に！
削除でも良いと思う。
自分の場合書き換えるとき権限がないよ！って怒られたのでプロパティでフルコントロールに替えた。

次にWindowsUpdateは管理ツールのサービスから状態を見ると開始されていない。
よくよく見ると実行ファイルパスが書き換えられていた。
こっちもレジストリで修正。
HKEY_LOCAL_MACHINE\System\ControlSetXXX\Services\wuauservまでたどる。
(XXXは数字。複数数字がある場合どれかにwuauservあるはず。)
ImagePassが
"%fystemroot%\system32\svchost.exe -k netsvcs"
と書き換えられていたので
"%systemroot%\system32\svchost.exe -k netsvcs"
に戻す。

んで"security essential 2010"自体を削除しようとしてもロックされていて出来ないのでUnlockerと言うソフトを入れて強制的にロック解除。
ロックは解除されたけども削除は出来ない。
またまたUnlockerの機能で再起動後削除を選択して、再起動。

んで、とりあえず変なポップアップと"security essential　2010"の削除を確認。
WindowsUpdateもOK。
タスクマネージャも使えるようになった。

早速タスクマネージャで動してるプログラムを見てみたが"security essential 2010"が起動していないのはわかったが残骸があるかは判別できない。

そうこうしていいるうちに定時になったので最後にMicrosoft Security Essentialでフルスキャンかけて帰宅。

ここまでの作業は全てAdministrator権限での作業。
OSはWinXP。
つかれたー。

明日どうなっているかこわいこわい・・・・・
ダメなら再インストールを強要することにする。