マルウェア(File Recovery)からの復旧

義兄のPCが朝起動したらsecror errorとかがワラワラ出ていて訳がわからないという連絡が。
でも、ウインドウが一杯出るだけで使うことは出来るとの事。
そもそもOSが起動しているのが怪しいのでなんかウイルスに感染したなとは思ったのですが、Avast入れてるのに検知出来なかったのか?とちょっと疑問に思う所もあったので見に行きました。
実際見てみると、File Recoveryという見慣れないソフトが立ち上がっていて、なんだかDISKをチェックしたフリをして壊れたという(嘘の)エラーメッセージを吐いてるようです。
あー、詐欺ソフトだなこりゃ。まぁ、タスクマネージャーからプロセス一旦切るかとCtrl + Alt + Escを押しても出てこない。
おっと、切られるの分かってて立ち上げさせない気らしい。コマンドプロンプトからtaskmgrしてもダメ。regeditもダメ。なかなかやりおるな。

とりあえずセーフモードはどうかなぁと上げてみたら立ち上がらない。ていう事はスタートアップ系だなとレジストリを覗いてみました。
そしたら、HKLM\Microsoft\Windows\CurrentVersion\RunとHKCU\Microsoft\Windows\CurrentVersion\Runにいやがりました。
c:\Programdata配下のアルファベットの羅列.exeが。
こいつを一旦コメント化したら起動しなくなりました。

とりあえず原因こいつだと分かりましたが正体がわからないのでググってみると、7月位から流行ってるマルウェアみたいですね。
症状としてスタートメニュー項目やデスクトップに不可視属性を付けるようです。
・・・確かにスタートメニューが心なしかスッキリしてる・・・
これは復旧ツール(unhide.exe)が公開されててて結構簡単に戻せました。

あとは感染原因ですが、ウイルスメールの類ではなく、Java、Flash、Acrobatのバージョンが古い、WindowsUpdateがかかっていないだけでそのセキュリティホールを突いてくるヤツらしく、思ったより危険なやつでした。
調べてみたら、JREだけ1.6と1.5が同居してて共に有効になってたのと、1.6もちょっと古かったのでこれっぽいようです。
とりあえず最新化しておきました。

あと、Avastも卒業してAviraにチェンジ。こっちではちゃんとexeを与えてやったら捕まえてくれました。

なんだかんだで2時間ばかしかかりましたが完了。ふぅ。