secondfiddle@人柱日記

ま、パソコンと車とカメラとそれから・・・・・・

紛らわしい名称FileRecovery

毎度。
いきなり仕事が忙しくなり、帰宅が午前様。頭脳的身体的余裕がなければ、ブログもままならぬ、と言う訳でございまして、間が空いてしまいましたな。
これも半期の棚卸しに向けての特別環境と言う事でございますが、まあ、この際私情を持ち込んでも致し方あるまい、てなもん。
そんなこんなでしばしBIOHAZARD4 PC版 改造計画を離れます。
こんな商売をしておりますと、いろいろな持ち込みもございまして、商売の邪魔をするというものでございます。
本日の相談事。Windows7 2011年製NECノート。
「昨日の夜からこないなってまんねん」
電源を押し、「ようこそ」が終わった次の瞬間、英語のエラーメッセージが次々にこれでもかこれでもかと立ち上がります。その傍らではさもエラーチェックしてますよ、的アニメが。
そこは百戦錬磨のセカンドフィドル。ひとたび見ると「こいつは偽ソフト」と看破しました。感染したパソコンから金品をせしめようとする「似非ソフト」です。
コイツの正体は直ぐに分かりました。FileRecoveryというソフトです。
え? タイトルにそう書いてある?



断っておきますが、本家本元は誤って削除してしまったFileをレスキューするためのとても有用なソフトです。
アーク情報システムから出している「HD革命/FileRecovery」なんか有名ですし、その他フリーでも立派なのがありますね。
ところがコイツはそれを逆手にとってか、とても有用素敵無敵鼓笛投擲「あなたのパソコンに入れるととってもparadise」てなくらいのうたい文句でインストさせようとします。
あるいはフリーソフトをインストこいたその裏で不敵にも侵入するという手口があったりして、始末に負えませんや、旦那。



でもって、いつまで見ていても埒があきませんので、「Stop」ボタンを押しました。一応止まったんですがエラーメッセージが消えません。そこで一つずつ「x」マークで閉じました。13個ぐらいありましたでしょうか、とりあえず忍耐強く閉じました。
さて、タスクマネージャーで様子を見ようと思いタスクマネージャーを立ちあげようとしたところ、なんとまあ、タスクマネージャーを起動することが出来ません。何をどのようにしてもタスクマネージャーがあらしまへん。
「ファイル名を指定して実行」の項目もありませんのでございますよ。そうなると「cmd」コマンドも使えない状態です。さらにまた恐ろしいことに壁紙も真っ黒、デスクトップアイコンが綺麗さっぱり消えております。スタートボタンを押すと右側にあるはずの「ドキュメント」「ピクチャ」「ミュージック」等も綺麗に消失しております。首都消失です。小松左京です。(関係ないか)
左側のジャンプリストも綺麗さっぱりでんがな。
全てのプログラムを押しても真っ白のまま……。
さて、どうしたもんかのう。
仕方ないから「セーフモード」で立ちあげました。これが功を奏したのかFileRecoveryは起動しませんでした。このおかげかどうか分かりませんが、タスクマネージャーを立ちあげたりすることができました。とはいえタスクマネージャーを立ちあげてもFileRecoveryは起動していないので、ここから止めることは出来ません。何処でどうやっているのか分かりませんが「検索」の欄で「msconfig」と入力すると、なんとまあ、msconfigが立ち上がるじゃありませんか。
もっけの幸いもっけっけ。
スタートアップのタグを見ると最後の方に見慣れないタイトルのものが二つありました。試しに起動しないようにチェックを外して、再起動ッ!
待つことしばし……えらく時間が経った後Windowsが立ち上がりました。次の瞬間……FileRecoveryが……不起動。
おお、やった、てなもん。
しかし起動させないことが成功しただけで、FILERecoveryそのものはパソコン内部に潜んでいます。さて、どこにいるのか?
この様なマルウェアは大概は「Programdata」内に書き込まれることが多いですから「フォルダ」オプションで「全ての……」にチェックを入れ、隠しファイルを暴き出します。とりわけ重要なのが「拡張子を表示する」です。実行ファイルはexeという拡張子を持っているので、表示させないと後で泣きを見ることも。
確かにそうすることによって見つけることが出来ました。
何処にあったかと申しますと
c:\programdata\
この中にランダムな文字列.exeが二つありました。これが正体です。
つまりこんな感じ。
c:\programdata\iQkuNMgryKonchIkusyo.exe
c:\programdata\usJkufBoLBakaNisuNA.exe
レジストリに書き込まれていないので、いくらレジストリを調べても出てきません。
さらに、どうやらこの似非ソフトは、削除されないようにか、デスクトップアイコンやジャンプリストを非表示にしてしまう技を持っています。
削除して再起動をかけましたところ、ややあってWindows7が正常に起動しました。
もちろん消えていたデスクトップアイコンやジャンプリスト等も復活しました。
そしてよく見ると「File Recoveryへのショートカット」なるものがデスクトップに勝手に作られていました。当然コイツもゴミ箱へ¢( ・・)ノ゚ ポイ
ここでメデタシメデタシ……と言いたいところですが、さらなる試練がセカンドフィドルを襲うッ!
刮目して待てッ! え? 誰も待たんッて?