HDD Repair 駆除・削除

HDD Repairという名のスパイウェアに遭遇しましたので、駆除・削除の過程を紹介したいと思います。

きっかけは、パソコンのデスクトップ画面が真っ黒でアイコンが何も表示されていなかったことでした。スタートメニューのアイコンも消えており、Cドライブのユーザーアカウントフォルダごと消えてしまっていたという感じです。

以前もこれと同じようなスパイウェアである Windows Vista Recoveryというのがありましたが、ほとんど同じものと思われます。またHDD Repairと極めて似ているスパイウェアにPC Repairというものがあります。

真っ黒なデスクトップ画面。OSはVista。

スタートメニューからアイコンが消えてます。

しばらくするとデスクトップ画面に、英語でかかれたウィンドウが表示されます。

HDD Repairという名のスパイウェアです。

フォルダオプションで、隠しファイルを表示するにするとデスクトップにアイコンが半透明で浮かび上がります。ユーザーアカウントフォルダが隠しファイルになってしまっているというわけです。データが消失しているわけではありません。

HDD Repairを駆除・削除する方法は、Windows Vista RecoveryやWindows Diagunosticと基本的に同じです。2通りあると思います。一つは簡易バージョン、もう一つは完全バージョンです。感染レベルにもよると思いますが、簡易バージョンで試してみてそれでだめなら完全バージョンという方法でもいいかと思います。

簡易バージョン

• セーフモードへ
• マルウェアバイツアンチマルウェアでフルスキャン、駆除
• 正常起動させて、unhideでファイル属性を正常化

unhideは、Bleepingcomputer.comのページ内にダウンロードリンクがあります。

セーフモードへ行きます。セーフモードとネットワークでLANを有効にし、マルウェアバイツアンチマルウェアをダウンロードするか他のパソコンでダウンロードしてUSBなどでコピーして移し、マルウェアバイツをインストール→フルスキャン。

スキャン後 検出されたスパイウェアをすべて削除します。

正常起動にて、unhideをダウンロード→実行。

unhideを実行すると、コマンドが開き自動でファイル属性を正常化してくれます。終わるまでしばらく待ちます。

unhideが終わると、無事に終わったというメッセージが出ますので、OKをクリックします。

unhideにより、デスクトップアイコンやスタートメニューのアイコンが元に戻りました。

デスクトップの壁紙も元に戻します。

下記は、Bleepingcomputer.comでも紹介されている方法で、完全バージョンになります。手順はWindows Vista Recoveryと同じになります。またPC Repairというスパイウェアの駆除方法も同じです。簡易バージョンとの違いは TDSSKillerを使用するか否かです。TDSSKillerは、通常のウイルス対策ソフトでは検知できないウイルスを駆除してくれるカスペルスキーのソフトです。

完全バージョン

• セーフモードとネットワークへ
• rkillをdownload linksよりダウンロード（複数あるいずれか）
• TDSSKillerをダウンロード
• 通常起動にて、rkillを実行
• TDSSKillerを実行
• セーフモードへ行き、Malwarebytes Anti-Malware マルウェアバイツ・アンチマルウェアをダウンロード、インストールして検索・駆除
• Windows通常起動で、unhideを実行しフォルダ・ファイルの属性を元に戻す

今回、Malwarebytes Anti-Malware マルウェアバイツ・アンチマルウェアを使用する前に、スーパーアンチスパイウェアを使用してみたのですが、HDD Repairを完全に駆除することはできませんでした。Bleepingcomputer.com （ウイルス・スパイウェア駆除解説の海外サイト）で紹介しているマルウェアバイツ・アンチマルウェアを使用するのが適切のようです。