Personal Shield Pro マルウエアの駆除の為、出張サポート

(公開:2011/8/8)

 岐阜県揖斐郡池田町から、出張サポート依頼があった。依頼内容はマルウエアの駆除。最近、お金が口座から無断で引き落とされたとのこと。被害額は少額ということだったにせよ、これは尋常ではない。
 現場に行くと、ミニタワー型のデスクトップパソコンのケース片面の蓋が開いており、本来ケース内に入っているはずの3.5インチのハードディスクと、ケースの前面についているはずのUSB、ヘッドホン、マイクの各端子のボックス、電源とリセットのスイッチとLED一体になったボックスが、ケースの外に出して使えるようになっていた。(一番下の写真は、私どもが持ち帰ってこちらで修理用に組み上げたもの。)
もとのデスクトップパソコンはドスパラのBTO。このパソコンのケースではハードディスクの冷却がうまくいかないので、ケースの外に出してファンを当てて冷却していた。確かにこのパソコンのケースは、ハードディスクを固定する部分に風が全く通らない構造になっていた。(私が個人で所有しているミニタワーPrimeパソコンは、ハードディスクに風が通る構造になっていたのだが・・・。)

症状を確認するために、お客様にパソコンの電源を入れていただく。電源は入るが、画面に何も出ない。音も出ない。緊張が走る。
お客様も驚いた表情。「こんな事は今までなかったのだが・・・」
 
偶然に調子が悪くなったのか? 果たしてウイルスがBIOSを破壊したのか?
とにかく、パソコンが起動しないのは、マルウェアを駆除する以前の問題なので、パソコン一式を持ち帰って修理することにした。

 パソコンのケースの中のユニットを分解する。途中、CPUの放熱板にへばりついたホコリ(上の写真)を取り除き、ケース内部と、各基板に付いているホコリを吹き飛ばして清掃した。また、BIOSのバックアップ電池が消耗していたので、交換した。そして、マザーボードとCPUとメモリとグラフィックボードだけの構成にし、モニター、キーボード、マウスを取付け、電源を入れた。
 結果、無事にBIOSが立ち上がった。更に、電源コンセントを抜いてからパソコンの電源ボタンを押して放電した後、ユニットを1個取付け、電源を入れてパソコンの電源ボタンを押してパソコンを起動させる。これを繰り返す。こうしてパソコンの全てのユニットに問題がないことを確認した。
 結局、お客様宅でパソコンが起動しなかったのは、BIOSのバックアップ電池の消耗が原因だった。

 ハードディスクでwindows xp media center edition を起動させると、Personal Shield Proの動作画面が出てきた。このマルウエアが暴れている間は作業ができないので、まずこれを大人しくさせたが、ここでまた問題が一つ発生した。このパソコンがUSBメモリを認識してくれないのだ。でもこの原因は、ファイルシステムのごく軽度な異常だったため、スキャンディスクで解決した。
 USBメモリを使って、マルウエアを駆除するソフトを導入し、フルスキャンをした結果、Personal Shield Pro を含め、多くのマルウエアを駆除することができた。
 なお、この過程で、不意にお客様のデータ破損があった時の為に、データのバックアップを2回とっている。また、不要な一時ファイルや不要なレジストリ項目の削除も行っている。

 このパソコンには、購読期限が有効のNorton のセキュリティーソフトが入っていたが、Personal Shield Pro の感染防止には役にたたなかったようだ。しかし別の種類のマルウエアの駆除能力はあるので、念のためにフルスキャンを行った。更に、ポートスキャンソフトを導入し、自分のパソコンに対してポートスキャンを行い、不審なポート開放がないことを確認した。(なお一般の他人のパソコンに対するポートスキャンは法律で厳禁となっております。)

 その他、デフラグなどを行って(上の写真)、パソコンのパフォーマンスアップを図り、動作確認をして作業終了。

 お客様宅からパソコンを引き取ってから2日後に、引き渡しを行った。