Win64-Alureon (Trojan:トロイの木馬)ルートキット2014年08月15日 23:11

ことの発端は、悪意のあるソフトウェアの削除ツール 8月号(KB890830)でした。
インストール後再起動したら、悪意のあるソフトウェアが検出されたのでフルスキャンをしなさいとのことで、まぁ先月と同じかな?と、そのまま素直にフルスキャンしたところ、完全な削除のために手動削除せよとのことです。

スキャン結果

そこで、メッセージに従ってやってみました。

①スキャン結果のリンクをクリックし、手動の削除ステップを表示します。
 メッセージの下にある「スキャン結果の詳細を表示します。」をクリックしてとりあえず読むと、Win64-Alureon に感染しているとのことでした。

②ウイルス対策製品で感染なスキャンを行います。
 ということで、完全スキャンを実行したけど、何も見つかりませんでした。

③コンピューターを再起動します。
 は~い。と、無事再起動完了。

③高度な丸ウェア削除ツール Windows Defender Offline をダウンロードし、スキャンを実行してください。
 まずは、リンク先からダウンロードした mssstool64.exe を起動して、
 Windows Defender Offline のCDを作成。
 作成したCDからPCを起動すると、自動でスキャンが始まり、
 Win64-Alureon の駆除に成功したようです。

ウインドウを閉じると再起動が掛かり、無事完了か?と思いきや、一瞬ブルースクリーンになって、「コンピューターを開始できませんでした」とWindows回復処理画面となってしまいました。

Windows回復処理画面
選択肢は、
 スタートアップ修復の起動(推奨)
 Windows を通常起動する
の2つ。

素直に、スタートアップ修復の起動したら、
Startup Rep air Offline で、修復できないとのこと。。。
Startup Repair Offline


がぁ~ん。。。OSの再インストールか…

数ヶ月前、工場出荷状態にリカバリーした状態から使えるようになるまで、
延べ3日くらいは、かかったよなぁ…

とりあえず、あがいてみることにします。
その1 BIOSの設定変更
そこで、Startup Repair Offline を調べてみると、BIOSのHDDのアクセスモードの設定を、AHCIモードに変更したら治るとのこと。
メーカーに依るようですが、問題のPCはメーカーロゴが出ている間に F2キーを連打してBIOSメニューに入れました。
しかし、HDDのアクセスモードの設定を変更するメニューが無いため、BIOSの前回値、初期値(リセット)などの設定値修正を試みましたが、復旧しませんでした。

その2 システムの復元
データだけ残れば、よしということで、復旧ポイントをいくつか変えて試しましたが、システムの復元中に不明なエラー (0x8000ffff や 0x8007002) が発生しました。と言われ、これまた復旧しませんでした。
0x8000ffff

仕方ないので、データを救出することに。。。
HDDが物理的に死んでいない今回のような場合、メーカーのPC なら、リカバリーディスクにレスキューツール(データファイナルレスキュー/バックアップレンジャー 東芝ファイルレスキュー VAIOデータレスキューツール )が入っているものがあり、これで、外付けHDDやUSBにデータをバックアップできます。

生きているPCがあれば、Windows PE の起動ディスクをつくって(窓の杜のレビュー作者サイト)ディスクから起動すると、外付けHDDやUSBにデータをバックアップできます。

データのバックアップも終わったので、
最後のあがきで、システムイメージの回復をやってみました。


おっ、復旧 \(^o^)/

最悪の、工場出荷状態にリカバリーを免れて、ホッと。
Windows Update を実行して、例の、悪意のあるソフトウェアの削除ツール 8月号(KB890830)をインストールしてみると…、何も見つかりませんでした。

Windows Defender Offlineで、駆除しきれなかったのか、置き土産を残して駆除されたのか…?



教訓 システムイメージをつくっておこう!

工場出荷状態へのリカバリーを余儀なくされたら、
 - Windows Update (Service Pack など)
 - セキュリティーソフトを最新版に更新
 - Adobe関係を最新版に更新
 が終わって、ここらで一度

更に、
 - 必要最低限のソフトとドライバーのインストール
 が終わって、メールの設定をする前に一度、

OS機能で、システムイメージをつくっておくと、アップデートや初期設定がかなり省けて復旧がかなり楽です。今回はこれに救われました

参考:Microsoft サポート Windows7のバックアップ



買っておこう 外付けHDD

システムイメージなどのバックアップでは、どうしても容量が大きくなってしまうので、USB3のスピード対応でコンパクトな、ELECOM LACIE 2.0TB/USB3 を買ってました。
余談ですが、Macでも使えます。
今回は、データ救出先として、外付けHDDがあって良かったです。
無かったら、電機屋に走っているところでした。



それにしても、恐るべし

Win64-Alureon (Trojan:トロイの木馬) ルートキット

後でいろいろ調べてみると、ルートキットは除去が難しいらしいです。
BIOSの設定変更や、システムの復元じゃなく、初期のシステムイメージでの回復/工場出荷リカバリーは、ルートキットの正しい対処の一つなようですが、できるだけ避けたいということで、お守り代わりに、DNSセキュアなDNSに、変更してみることにしました。
(変更の詳細は、こちら)



関連記事 -------------------------


コメント

コメントをどうぞ

※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。

※なお、送られたコメントはブログの管理者が確認するまで公開されません。

名前:
メールアドレス:
URL:
コメント:

トラックバック