System Repairに感染して起動しなくなったPCの復旧(再セットアップDVDなしで)
NEC VALUESTAR N
VN370/BS3EW
Windows 7 Home Premium
Web見ていたら、突然英語の警告画面が大量に出て、それ以来、電源入れても左上カーソル点滅のままWindowsロゴにも進まない状態になったとのこと。
F8起動もできず。
再セットアップDVDが付属しないが、Windowsが立ち上がらないとDVDが作成できない(´;ω;`)
・まず必要なファイルを救出
Acronis True Image HomeのCDで起動し、HDD全体のバックアップを試みるが、なぜかエラーで止まってできない。
LinuxのブートCD/DVD/USBで起動し、必要なファイルを取りだす。
もしくは、HDDを取りだし、他のPCでバックアップする。
・とりあえず起動しウイルスを停止させる
思い出して、MBMを使用。
MBM R0.39
http://elm-chan.org/fsw/mbm/mbm.html
MBMのブートCDを作成しCDブートしたところ、
とりあえずウイルスに感染したままの状態だがWindowsの起動に成功!
MBMで出た選択画面は以下の通り。
1. Unknown … Windows起動
2. HPFS/NTFS … Windows起動 ※ただしF8起動してもコンピュータの修復が出ない
3. HPFS/NTFS … BOOTMGR is missing で起動せず
4. Unknown … BOOTMGR is missing で起動せず
5. Diskette
・ウィルスの動作を停止させる
まだウイルスが活動している
ログインすると怪しいエラー画面が大量に出て正常に使えない状態も確認。
msconfig で、スタートアップの怪しいexeを2つ停止。
Ubuntu LinuxのブートDVDで起動し、怪しいexe(英文字のランダム)を削除。
再度MBMで起動し、とりあえずウイルスの動作止まった状態で正常起動できた。
どうもファイルがいろいろ消えている?
スタートアップやUsersからあらゆるファイルが消えている・・・
Linuxだとファイルが見えているので、隠し属性にされているだけだと気づく。
これは・・・去年あたりから流行ってるRepair系ウイルスか??
とりあえずウイルスの動作止まった状態で正常起動できたので、
今のうちに再セットアップDVDを作成する。
しかしスタートアップからだと開けない。
・再セットアップDVDを作成
たしか、再セットアップDVDの作成プログラムを再度インストール。
プログラム(mkrcvcd.exe)を実行する。
C:\ … \mkrcvcd\mkrcvcd.exe
場所忘れた。
・再セットアップせずに、Windowsを正常に戻せるか実験
MBMで起動
F8連打
コンピュータの修復 → 起動後、ユーザーとパスワードでログイン、
スタートアップ修復 ・・・問題を検出できませんでした
bootrec /fixboot
このボリュームは認識可能なファイルシステムではありません
うーん・・・できない
・カスペルスキーのツールを使用しMBMを復旧
http://support.kaspersky.co.jp/viruses/solutions?print=true&qid=208283509
上記手順で、とりあえずMBMを使用せずともWindowsが立ち上がる状態には戻せた。
しかし、ウイルスが残したスタートアップが全然開けない状況などは戻らす。
面倒だし心配なので、再セットアップをすることとする。
・HDDリカバリを使用
F8起動、修復ツール→再セットアップ (細かい名称忘れた)
これでDVD使わなくても戻せる
あとは普通にOffice等を再インストール