さて、実は昨年の暮れから私のパソコンがおかしくなっていた。
インターネットがえらく遅くなりだしたのだ。
最初はインターネットエクスプローラー7がおかしいのかと思っていた。
なにしろサイトを開くのに数分かかってしまうのだからいらいらする。
それではOSのアップデートでもしようと思ったのだが、なんと!
ウィンドウズアップデートのサイトにもつながらない!
いよいよインターネットエクスプローラー7がおかしいと思ったので一旦削除しようとおもったのだが、XPのSP3をインストールしたのがインターネットエクスプローラー7の後だと単独では削除できないことがわかった。
しょうがないのでSP3を先にアンインストールしてからエクスプローラー7を消したが全く症状は変わらない。
そこでやむなく先輩諸先生方に聞いたりネットで調べると、なんとなんと!
やられておった!
ウィルスだ! ルートキット、マルウェア、スパイウェアとかいわれているやつだ。
トロイの木馬のようにダウンロード時に一緒に隠れてくるという。
※ちなみにWikipediaでの説明は以下の通り
・ルートキット:Rootkit コンピュータシステムへのアクセスを確保したあと第三者(通常は侵入者)によって使用されるソフトウェア
・マルウェア:悪意のあるソフトウェアの総称
・スパイウェア:ユーザーに関する情報を収集し、それを情報収集者である特定の企業・団体・個人等に自動的に送信するソフトウェアを指す
このウィルスの名前は「TROJ_VUNDO」「TDSS***」という。
TROJ_VUNDO TDSS.V TDSS.T TDSS.AV TDSS.AU TDSS.BKW 等まだあると思う。
複数一気に感染することもある。
私の時はこのすべてあった。
貴方のパソコンもおかしいと思ったら試す方法がある。
デスクトップに新規にテキストファイルを作り名前を「TDSS.txt」とつけてみたまえ。
もし感染していたらファイルが消えるぞ。
このウィルスはステルス系で隠れて検索できない上、レジストリにも見えない。
しかも、アンチウィルスソフトのサイトにもつながらなくするのでダウンロードができないという極悪なウィルスである。
システムの復元をしようとしてもそれすら動かなくなっている。
私も半月あまり格闘したが、やっと削除に成功した。
その方法をさらっと書こう。
しかし、パソコンのスキルに自信ないものはリカバリの方が早い。
アンチウィルスソフトでは検索できない可能性が高いので、フリーソフトで強力な奴を他のパソコンでダウンロードしてファイルをUSBメモリーに保存してインストールするしかない。
RemoveIT Pro、SDFix、Malwarebytes' Anti-Malware などが強力なフリーソフトである。
ダウンロードサイトは最後に載せた
私は最初、SDFixで試した。いろんな危ないファイルが検出されて削除したが、TDSSは削除できない。残ってしまった。
次に Malwarebytes' Anti-Malware 動かす。これでもいろんなファイルが検出され削除された。がこれでもTDSSは削除できなかった。
最後にRemoveIT Proをセーフモードで実行する。
これも同じ結果でTDSSだけ残り、マニュアルで削除してくれといった内容が英語で表示されたいる。
しかし、変化は合った。「ウィルスバスター」では今まで検出できなかったのに、再起動後、検出可能になった。
しかし、検出はできても削除はできないと表示されている。
が、ひとつ進歩した感じ。
そういえばsystem32内のファイル「hosts」が白紙になっていたがこの一連の作業後、元に戻っていた。
試しにWINDOWS UPDATEサイトにつないでみると、つながった。
どうやらこの「hosts」を改ざんしてアクセス不能にしたと思われる。
ではマニュアルで削除することにしたが、その為にはどこにあるか調べなければならない。
上の3つのフリーソフトで結果がレポートで吐き出されるから、それをプリントしておく。
さらにパソコンに入っているウィルスバスターでフルスキャンして場所を調べておく。
これらを元に一つ一つ削除するわけである。
方法は、回復コンソールを使ってDOSの画面でする。
回復コンソールとは、パソコン起動時にCDを選択してパソコンについているウィンドウズのディスクから起動するようにする。
そうするとメニューから選べるはずだ。
ちょっとDOS/Vの知識が要る。知らなくてもできると思うがこのレポートを読んで自信がなければやめておいた方がいいだろう。
回復コンソールを選ぶとコマンドプロンプトの画面になる。
C:¥**********************>_
まずディレクトリーをC:¥にする。このように入力する。
C:¥**********************>CD C:¥
これで下記のようになったはず。
C:¥>_
そこでウィルスのアドレスに移動する。
TDSSならアドレスは「WINDOWS¥SYSTEM32」「WINDOWS¥SYSTEM32¥DRIVERS」
に集中してたはずだ。他にもTEMPファイルがあるがこれはほとんどソフトにより削除されていると思う。
「WINDOWS¥SYSTEM32」に移動する。下記のように入力。
C:¥>CD WINDOWS¥SYSTEM32
こんな画面になったはず。
C:¥WINDOWS¥SYSTEM32>_
では削除しよう。
「DEL ファイル名」と入力、DELの後は半角スペースを空ける。
例
C:¥WINDOWS¥SYSTEM32>DEL TDSShrxx.DLL
こんなふうに一つづつ削除してもらいた。
終わったら最後に確認の為、「DIR」と入力してENTERすると「SYSTEM32」内のファイルが表示されるのでその中に「TDSS」の文字を含むファイルが無い
か調べて、もしあればそれも削除すること。
アルファベット順だからかなり後なのでスペースバーを結構長い間押す必要がある。
これで、ウィルスは削除できたはずなので再起動してみよう。
以前、デスクトップに「TDSS.TXT」を作っていたならそれがデスクトップ上に現れていれば成功した証拠になる。
もう一度ウィルスバスターなどでスキャンして検出されないか確認して無ければ作業は終了ということになる。
まだ残っていたならリカバリした方がいいかもしれないね。
強力フリーソフトダウンロードサイト
私のパソコンはXPのHOMEです。以下のソフトはセーフモードで管理者権限
でログイン後作動させます。
多くのウィルスは通常起動では削除できない可能性があります。
※RemoveIT Pro:セーフモードで動作
http://www.infocentral.jp/daunrodo/removeit-pro/63044.htm
※SDFix:セーフモードで動作
http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.htm
※Malwarebytes' Anti-Malware:セーフモードで動作
http://www.updatestar.com/ja/detail/malwarebytes-anti-malware