2010年09月29日

マルウェア駆除4【保守】

セキュリティソフトを騙った security tool の駆除をおこないました。

PC起動時に security tool が常駐しタスクマネージャーの起動やブラウザ以外のファイルを実行することもできないようです。
タスクトレイに security tool のアイコンがありこれにマウスカーソルを重ねると実行ファイル名を確認することができ、実行ファイル名はランダムな数字になっているようです。

セーフモードで起動しマルウェアの実行ファイルを削除します。
駆除方法を掲載したサイトによって実行ファイルの場所に違いがあるようですが、
スタートメニューに security tool が登録されるのでこれもアイコンにマウスカーソルを重ねることで実行ファイルのパスを確認することができます。

今回実行ファイルは C:\Documents and Settings\ログオンユーザー\Local Settings\Application Data に存在しました。

実行ファイルを削除後、テンポラリフォルダにダウンロードされたマルウェアのプログラムが ex-08.exe が存在しましたから一旦テンポラリフォルダ内のファイルも全て削除します。

再起動後システムの復元の停止、レジストリエディタを起動して不要なスタートアップ項目の削除と Security Tool で検索された項目を削除します。

以前に駆除した Security Essentials 2010 など最近はセキュリティソフトを騙ったマルウェアが流行しているようですが、
駆除方法はおよそ次の流れになります。

1.実行プロセス名の特定
2.プロセスの停止・削除
3.テンポラリフォルダの削除
4.システム復元の停止
5.レジストリの修正
6.ワクチンソフトによるスキャン
posted by ishikawa at 18:49| OS・ソフトウェア

NAS データ復旧【保守】

非RAIDのNASに障害が発生し、電源ON時に本体DIAGランプが点滅して起動することができません。

ドライブ駆動音に問題はなさそうでしたからケースを分解して確認すると電源基板部分のコンデンサが膨張しておりこれが原因で起動できないようです。

複数ドライブでRAID0やRAID5が構成されている場合は無理でしょうが単一ドライブであり、分解して取りだしたハードディスクは一般的なIDEタイプでしたからUSB - IDE変換アダプタを介してPCへ接続します。

NASの場合ext3フォーマットで管理されていることが多くPC側でubuntuを起動してマウントしてみましたが、
パーテション構造は確認できるもののフォルダ構造やファイル名が文字化けの状態でこのままでのデータ復旧は難しそうです。

検索したところ次のソフトが利用できそうでしたのでPCにインストールします。

http://www.ext2fsd.com/

ソフトをインストール後PCを再起動すると自動的にドライブレターが割り当てられ、ドライブを開くとNTFSやFAT32のドライブを扱うのと同じように操作することができました。

作業用に用意した別HDDへファイルコピーを行い作業を完了します。
posted by ishikawa at 18:46| Server・PC・周辺機器