友人PCのウイルス駆除、作業振り返り

赤字は、その場の自分の考え。
青字は、友人本人へ説明した内容。
緑字は、今振り返って改善出来る点。

■切り分けフェーズ
0) 到着以前にLANは切断済
  ただし既に起動していたためHDDランプ激しく点灯継続。
・LANは切り離していあるから、他者へこれ以上被害を拡大するリスクは少ない。
・HDDランプ点灯、到着まで1時間以上経過していることから、データ削除等が進行している可能性大。

→「とりあえず、データ削除されてるかもだけど最低限の切り分けだけするわぁ」
1) 診断開始
  Boot Sectorなど多数損傷あり、確かにデスクトップは空。
→「相当やられてそうだから、ダメだった時は諦めてね(^_^;)」
2) ExplorerからUsersフォルダ確認(Vista/7)
  確かにPublic以外のフォルダは存在せず。隠しファイルもなし。
・あぁ、こりゃダメかも…
3) コマンドプロンプト起動で確認
  作業フォルダが「c:Usershogehoge」…あれ?存在はしている模様。
・おっ、属性で消されているだけであれば、復旧出来るかも!
4) タスクマネージャ確認
  プロセス→CPUより、attrib.exe の高負荷稼動確認、属性変更により隠されているものと判断。
・ビンゴ!!
…この作業を1)と同時に実施しておけば切り分けは早かった点は反省。【最初にプロセスを確認する】は重要!

■対策フェーズ
5) シャットダウン→電源ON→F8→Safemodeにて再起動
6) コマンドプロンプト→attrib.exeにて「c:Users」の属性全解除
  attrib -R -A -S -H c:Users /S /D
  (参考)http://itpro.nikkeibp.co.jp/free/NT/WinKeyWord/20040805/1/attrib.shtml
7) ExplorerからUsersフォルダ確認(Vista/7)
  hogehogeフォルダ復旧。
8) USB-HDDを接続。c:Usershogehoge フォルダをバックアップ
→ 「USB-HDDが汚染される可能性はゼロじゃないけれど、どうする?」
  「HDD他にないからダメならダメで良いよ」、との回答。
9) c:の全リカバリー
 … 1時間ほど放置 …
10) USB-HDDを接続。必要なファイルのみc:へ戻す
…USB-HDDのウイルスチェックが出来れいれば、安心してデータ戻しが出来た。iPadでは無理なので、ノートPCを持参出来れば尚良。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする