| 2011年5月に被害が増加し本ブログ [1]でも注意喚起した「Windows Recovery」ですが、現在も感染被害が多く、感染してしまうと「デスクトップにアイコンが表示されない」「右クリックできない」「“すべてのプログラム” に何も表示されない」など、ユーザのパソコン操作を困難にします。そこで本ブログではこれらの不正プログラムに感染した場合の対処方法を紹介します。 |
現在までに偽システム修復ツールの亜種として「Windows Recovery」の他、次のような名前のものが確認されています。これらは共通してユーザのパソコン操作を困難にする特徴を持っており、その方法も同等であるため、基本的にこれから紹介する対処方法が有効です。
- Windows Recovery
- Windows XP Recovery
- Windows Vista Recovery
- Windows 7 Recovery
- Windows Repair
- Windows XP Repair
- Windows Vista Repair
- Windows 7 Repair
- Windows Restore
- Windows XP Restore
- Windows Vista Restore
- Windows 7 Restore
 [2] |
|
|
なお、偽システム修復ツールと共に他の不正プログラムが同時に侵入している可能性も考えられるため、ここで紹介する対処方法を実施していただいた後、正規のセキュリティソフトをインストールしてスキャンを実行してください。
■ユーザの操作を困難にする3つの改変
これらの偽システム修復ツールに感染した場合、ユーザが対応に苦慮する原因として以下の3つが挙げられます。
- デスクトップ操作が禁止される
- デスクトップ上のアイコンが隠される
- “すべてのプログラム” が隠される
デスクトップ操作が禁止されるとデスクトップ上に何も表示されなくなり、右クリック操作も無効にされます。これを修復するためにはレジストリ値の変更が必要となります。また、レジストリ値の操作によりデスクトップ操作が可能になっても、ほとんどのアイコンが隠しファイルにされてしまうため、一般的な環境ではアイコンが表示されません。さらに、タスクバーのスタートボタンの “すべてのプログラム” からもプログラムのショートカットがなくなり、プログラムを起動することができません。
 [3] |
|
|
では、感染した場合どのような対処方法が考えられるでしょうか。ひとつひとつ原因となるレジストリ値などの設定を調査し手動で変更することで対応は可能です。しかしながら一般的にこれらの手動の操作は困難であるため、ここではもう少し簡単な方法として、以下1)~3)の手順を実施します。
■1)アクティベーションコードの入力により偽システム修復ツール自身に修復させる
これらの偽システム修復ツールはアクティベーションコードの購入と入力を要求します。このとき、正しいアクティベーションコードを入力することで「”すべてのプログラム” に何も表示されない」などの状況が改善されることを確認しています。
アクティベーションコードを入力するためには、偽システム修復ツールによる偽のスキャン後の画面右下の「activate」をクリックします。
 [4] |
|
|
「activate」をクリックすると、アクティベーションコードの入力画面が表示されるので、下記のとおり入力して「Activate」をクリックします。この時、メールアドレスは正しいものではなく適当な文字列を入力してください。入力したメールアドレスが攻撃者のサーバに送信されることを確認しており、スパムメール等に悪用される可能性が考えられます。
- Registration Email: メールアドレス
hogehoge(適当な文字列)※実在するメールアドレスは絶対に入力しないでください - Activation Code: アクティベーションコード
8475082234984902023718742058948
 [5] |
|
|
上記のアクティベーションコードを入力すると、アクティベーションに成功した旨が表示されます。このとき、Windows Vista や Windows 7 を使用している場合、「winfix.exeを実行しますか?」といった旨のポップアップが表示されることがありますが構わず実行してください。「winfix.exe」は偽システム修復ツールにより作成されるファイルですが、別の場所に隠されていたショートカットファイルを元の場所に戻すためのプログラムです。また、ほぼ同時にメモ帳やコマンドプロンプトが開きますが、こちらは無視して閉じてかまいません。
ここまでの操作により、「デスクトップにアイコンが表示されない」「右クリックできない」「”すべてのプログラム” になにも表示されない」などの状況が改善されます(改善されない場合には OS を再起動してください)。
 [6] |
|
|
■2)偽システム修復ツールをアンインストールする
ここまで紹介した手順により操作においては特に不自由がなくなりますが、偽システム修復ツール自体は残っており OS の再起動ごとに自動で起動される状態は変わりません。そこで、偽システム修復ツールがもつアンインストール機能を使用してアンインストールを行います。
●「Windows Recovery」の場合
アクティベーションにより「Windows Recovery」の持つアンインストールの機能が使用できるようになります。”すべてのプログラム” 内の「Windows Recovery」から「Uninstall Windows Recovery」をクリックしましょう。
 [7] |
|
|
するとアンインストール画面が表示されるので、「Uninstall」ボタンを押すことでアンインストールが開始されます。画面が消えたらアンインストールは完了です。
 [8] |
|
|
アクティベーションをしなくても “すべてのプログラム” から「Uninstall Windows Recovery」のショートカットが確認できる場合がありますが、未アクティベーションの状態でクリックしてもアンインストールに失敗します。
●それ以外(「Windows XP/Vista/7 Repair」「Windows XP/Vista/7 Restore」等)の場合
「Windows Recovery」とは異なり、”すべてのプログラム” にアンインストールのショートカットが存在しません。
 [9] |
|
|
しかしながら「Windows Recovery」以外でもアンインストールの機能は保持されており、次の手順によりその機能を使用することが可能です。
- コマンドプロンプトを開きます。
ショートカットキー「Windowsロゴキー+R」により「ファイル名を指定して実行」画面を表示し、以下のコマンドを入力、実行します。
cmd - エクスプローラで偽システム修復ツールのファイルが存在するフォルダを開きます。
ショートカットキー「Windowsロゴキー+R」により「ファイル名を指定して実行」画面を表示し、以下のコマンドを入力、実行します。- 「Windows XPの場合」
%allusersprofile%\Application Data - 「Windows Vista/Windows 7の場合」
%ProgramData%
- 「Windows XPの場合」
- 偽システム修復ツール本体のファイルに引数「1」を与えて実行します。
手順2で開いたフォルダに存在する「<数字>.exe」(Windowsロゴのようなアイコンのファイル名)を、手順1)で開いたコマンドプロンプトにドラッグします。これによりコマンドプロンプトにファイルパスが表示されます(Windows Vistaでは手動でファイルパスを入力するか、以下のページを参照してファイルパスを入力してください)。http://support.microsoft.com/kb/929457/ja [10]
そして、表示されたファイルパスの後に半角で「<スペース>1」を入力しEnterキーを押して実行します。
- 「Windows XPの場合」
“C:\Documents and Settings\All Users\Application Data\15785764.exe” 1 - 「Windows Vista/Windows 7の場合」
C:\ProgramData\27582200.exe 1
●入力例 ※ファイル名「<数字>.exe」の部分は環境によって異なる場合があります。
- 「Windows XPの場合」
 [11] |
|
|
■3)アンインストールが完了したら
「偽システム修復ツール」はWeb閲覧時に Java などのアプリケーションの脆弱性を利用して侵入することが確認されています。再感染を防止するためにもアプリケーションを最新版に更新してください。また、他の不正プログラムが同時に侵入している可能性も考えられるため、セキュリティソフトを導入していない環境においてはセキュリティソフト [12]をインストールいただき、ハードディスク全体をスキャンすることをお勧めします。