HDD取り外しと、手動「復元」

　次のサイトの手順を、一部簡略化してExplorerで実施。しかし、今回はこれで回復しなかった。

http://blogs.yahoo.co.jp/kechi2adomin/17438345.html
−−−−−−−−−−−−
(1)「System32\Config」フォルダに移動します。レジストリは、このフォルダにある「SYSTEM」「SOFTWARE」「SAM」「SECURITY」「DEFAULT」の5つのファイルで構成されます。

(2)既存の問題のあるレジストリファイルのバックアップコピーを作成してから、レジストリファイルを削除します

(3)次に、システムドライブの「System Volume Information」フォルダに移動します。この「System Volume Information」フォルダには、WindowsXPの「システムの復元」のチェックポイントで保存された、システム状態のスナップショットが格納されています。なお、フォルダ名に半角スペースが含まれるので、必ずフォルダ名を二重引用符（"）で囲んでください。

(3')参照できないときには、適当にセキュリティ設定をさわり、読み込めるようにします。

(4)このフォルダ内にある「_restore{xxxxxxxx-xxxx- xxxxxxxx-xxxxxxxxxxxx}」（xxxは半角大文字英数字）という名前のフォルダを探して、そのフォルダに移動します。「_restore{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}」が複数存在する場合は、タイムスタンプ（日時）が新しい方を選択してください。

(5)「_restore{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}」フォルダに移動したら、ここでも「DIR」コマンドを実行してフォルダ内を参照します。ここで「RPx」（xは1以上の整数）という名前で、タイムスタンプが最も新しいフォルダを探します。

(6)さきほど特定したフォルダ内の「Snapshot」フォルダに移動します。

(7)「RPx\Snapshot」フォルダに移動したら、「DIR」コマンドでフォルダ内を参照してみてください。次の5つのファイルが確認できるはずです。これらのファイルが、それぞれレジストリファイル「SYSTEM」「SOFTWARE」「SAM」「SECURITY」「DEFAULT」の最新のコピーになっています。

• _REGISTRY_MACHINE_SYSTEM
• _REGISTRY_MACHINE_SOFTWARE
• _REGISTRY_MACHINE_SAM
• _REGISTRY_MACHINE_SECURITY
• _REGISTRY_USER_.DEFAULT

(8)レジストリファイルのバックアップを元の位置に戻します

(9)正常に起動できることを確認
−−−−−−−−−−−−

HDD取り外しと、ウィルススキャン

　HDDを取り外し、別のVistaマシンで、avastにてウィルススキャン。次の4つが見つかる。Malware-genが見つかったフォルダは、「システムの復元」から移動したフォルダ。最新のシステムの復元が作成されたのは、ワームのせいなのか。。。

• Sign of "Win32:DyfucDldr-G [Trj]" has been found in "I:\WINDOWS\system32\vbiewer.ocx" file.
• Sign of "Win32:Dialer-687 [Tool]" has been found in "I:\holi2866872.exe\[UPX]\[Embedded_R#40f68]" file.
• Sign of "Win32:Malware-gen" has been found in "I:\WINDOWS\system32\config\RP85\A0026777.exe" file.
• Sign of "Win32:Malware-gen" has been found in "I:\WINDOWS\system32\config\RP85\A0026763.exe" file.

WindowsPE2.0でレジストリをチェック

　先日、さがんとさんにアドバイスをもらっていたので、そちらの可能性を疑い調査。HDDを何度も取り外すのが面倒なので、WindowsPE2.0を作成。これでブートすると、NTFSフォーマットのCドライブも、先日見れなくて苦労した"System Volume Information"フォルダも見れる！

　実際には、次の手順で作業を行った結果、みごと回復しました。WindowsPE作成＋レジストリ編集が絡みますので、もし行う際には、自己責任にてお願いします。

1. WindowsPEでブートし、regeditを起動
2. regeditの適当なHKEY_LOCAL_MACHINEノードを選択
3. 「ファイル」の「ハイブの読み込み」で、System32\Config\SOFTWARE を追加。名前は適当に割り当ててやる
4. 「HKEY_LOCAL_MACHINE\適当につけた名前\Microsoft\Windows NT\CurrentVersion\Drivers32」を開く
5. 次のようなエントリがあれば、削除
   1. "aux" = "C:\DOCUM~1\Owner\LOCALS~1\Temp\..\occvw.psj"
   2. "midi9"="C:\DOCUM~1\Owner\LOCALS~1\occvw.psj 1yAAAAAAAA"

　WindowsUpdateが原因かなぁと思っていましたが、違ったようです。Microsoftさん、ごめんなさい。Vistaだと、今回のワーム？には感染しないような記述がされていました。

　システム復元を5回ほどさかのぼって確認したのですが、一ヶ月以上前から感染していたもよう。なんで、今になっておかしくなったのかは不明ですが、直ってよかった。

参考

　こういう場合って、メーカーや家電屋さんに問い合わせたら対応してもらえるものなんでしょうか？リカバリを進められそうで、まだ経験がなく。今の時代は、そんなことないのかなぁ。

• InternetWatch PCが起動しない――ウイルス「Win32/Daonol」の問い合わせ相次ぐ
• Microsoft 「日本のセキュリティチーム」ブログ

　WindowsPEは、予想以上に便利だった。昔のMS-DOS起動ディスクのイメージ。NTFS読めるし、CHKDSK走るし、notepad・regeditなどあげたらきりが無い（サブセットだから当たり前か）。
　Windowsはリリース間隔がまあまあ長い方だと思うけど、毎回アーキテクチャーの変更が大きいので、ちゃんと用意しておくべきだなぁ。最新はWindows7リリースに共ない、Windows PE 3.0なのかな？また時間を見て作成せねば。

• @IT Windows PE 2.0による起動ディスクの作成手順