eMachines E729Z-N24C 「File Restore」に感染。(悪性パーティション付き)
本日のトラブルは埼玉県からの宅配修理依頼です。
どうやら「File Restore」に感染されたらしく駆除のご希望です。
問題のパソコンはeMachinesの E729Z-N24C Windows7です。
電源を入れると
やはり「File Restore」です。
早速ハードディスクを取り出して万が一に備えてメンテPCでデータをバックアップ。
その際にいつも確認する事があります。
ディスクの管理からのパーティション構成。
「File Restore」に限ったことではありませんが、時々数MBの隠しパーティションが作られている事があります。
ほとんどの場合ありませんがたまに見かけます。
これはウィルスによるものでアクティブパーティションになっています。
パソコンのWindowsが起動する前に必ずこのパーティションを読み込んでから起動する事になっています。
ですので通常の駆除をしてもパーティションが残ってしまい完全駆除とはなりません。
駆除後でも外部の不正な悪性サーバーとの通信を確立するような挙動を示すこともあるようです。
その為、この手のウィルスは人によっては「完全駆除出来ない」や「リカバリしても駆除出来ない」などと言われるのはこの辺りのことからだと思われます。
そして今回のパソコンも悪性パーティションが作られていました。
ディスクの最後尾に10MBほどのアクティブパーティションがあります。
この状態で駆除しても残ってしまいますし、駆除ツール自体が起動しない事もあります。
ですのでまずはこのパーティションを消さなければなりません。
ちなみに感染したパソコンからディスクの管理は開けません。
ウィルスによりエラーが出てしまいます。用意周到ですね。
作業はハードディスクを取り出してから別のパソコンで行います。
ただパーティションを削除しただけではWindows自体が起動しなくなります。
この辺りの細かな作業はこちらも商売ですので詳しくは書けませんが一手間施します。
(そんなたいした内容ではありません。同業の方なら察しが付く程度のことです。)
一手間加えて悪性パーティションを削除。
念の為NTFSでパーティションを再作成してCipherでパーティション内のデータを完全削除します。
後はハードディスクを戻していつも通りの駆除手順です。
無事駆除も終了して再感染の予防処置を施して駆除終了です。
逆光で見難いですがちゃんと駆除出来ています。
しばらく様子を見てご返送とさせて頂きます。
ウィルス駆除「File Restore」 ¥8,000-
人気blogランキングに登録しました。クリックご協力ください。
パソコン修理・トラブルサポートはPCRサービスまで!!
宅配修理もお受け致します。PCRサービス宅配修理サービス。
お問合せはこちら
| 固定リンク
« DELL XPS L501X 0x0000003B他ブルースクリーンが発生。 | トップページ | Lenovo ThinkPad G50 「次のファイルが存在しないかまたは壊れているためwindowsを起動できませんでした。」 »
コメント