先日、友人から電話。
「パソコンがウイルスにやられたっぽい!デスクトップとか全部なくなった…(ノДT)」
…とりあえず、駆け付け対応してみた作業メモ。
■切り分けフェーズ
0) 到着以前にLANは切断済
ただし既に起動していたためHDDランプ激しく点灯継続。
1) 診断開始
Boot Sectorなど多数損傷あり、確かにデスクトップは空。
2) ExplorerからUsersフォルダ確認(Vista/7)
確かにPublic以外のフォルダは存在せず。隠しファイルもなし。
3) コマンドプロンプト起動で確認
作業フォルダが「c:Usershogehoge」…あれ?存在はしている模様。
4) タスクマネージャ確認
プロセス→CPUより、attrib.exe の高負荷稼動確認、属性変更により隠されているものと判断。
■対策フェーズ
5) シャットダウン→電源ON→F8→Safemodeにて再起動
6) コマンドプロンプト→attrib.exeにて「c:Users」の属性全解除
attrib -R -A -S -H c:Users /S /D
(参考)http://itpro.nikkeibp.co.jp/free/NT/WinKeyWord/20040805/1/attrib.shtml
7) ExplorerからUsersフォルダ確認(Vista/7)
hogehogeフォルダ復旧。
8) USB-HDDを接続。c:Usershogehoge フォルダをバックアップ
9) c:の全リカバリー
… 1時間ほど放置 …
10) USB-HDDを接続。必要なファイルのみc:へ戻す
ふむむ…最近のウイルス(?)って面白い動きをするのですね。
振り返り編は別途。