ITコンサルタントであれば、スパイウェアやウイルスの除去依頼を受けることもよくあるはずだ。こういったマルウェアは顧客のPCに巣食い、破壊的な行為を行ない、除去したと思っても気が付くと再び息を吹き返していたりする。本記事では、顧客のシステムを再び安定稼働させるうえで役立つ5つの手順を紹介する。
顧客のワークステーションやPC、ノートPCをスパイウェアやウイルスから守る確実な方法など存在しない。たとえゲートウェイの保護から自動スキャン、インターネット使用に関するポリシーの策定まで、感染を防ぐためにどのような手段を講じていようと、マルウェアは何重にも及ぶ防御網をくぐり抜けて侵入してくるのだ。さらに悪いことに、顧客は最低限のウイルス対策が必要であることを理解していながらも、スタンドアロンのスパイ対策ソフトウェアの購入には消極的な姿勢を示すことが多いのである。
PCがスパイウェアやウイルスに感染した場合、システム全体を消去し、Windowsを再インストールするよう主張するIT専門家もいるが、そういった対処は悪人に屈服するようなものだと主張するIT専門家もいる。実際に採るべき対処は、両者の主張の中間にあると言えるだろう。ドライブのイメージコピーを作成した後(悪質な感染であった場合に備えて、作業開始前の状態に戻す手段を確保しておくようにするのが良いだろう)、以下のような対処を行ってみてほしい。これが筆者の経験に基づく最も効果的な作業手順である。
#1:ドライブを隔離する
ルートキットやトロイの木馬攻撃の多くは、Windowsが起動する前に、あるいは起動すると同時に、OSから検出されないように姿を隠すようになっている。筆者の経験から言えば、最も優れたウイルス対策ソフトウェアやスパイウェア対策ツール(AVG Anti-Virus ProfessionalやMalwarebytes Anti-Malware、SUPERAntiSpywareなど)でさえも、こういったタイプの感染には完全に対処しきれない場合がある。
このため、マルウェアを除去するための専用のシステムが必要となる。感染しているシステムからハードドライブを取り外し、専用のテストマシンにスレーブとして接続した後、複数のウイルス/スパイウェア対策ソフトウェアを用いて、そのスレーブドライブ全体のスキャンを行う。
#2:一時ファイルを削除する
ドライブをスレーブとして接続した状態で、全ユーザーの一時ファイルをすべてチェックする。こういったファイルは通常、Windows XPでは「C:\Documents and Settings\ユーザー名\Local Settings\Temp」フォルダに、そしてWindows Vistaでは「C:\Users\ユーザー名\App Data\Local\Temp」フォルダに格納されている。
一時フォルダ内に格納されているものはすべて削除する。このフォルダ内に隠れていて、システム起動時に復活を試みるマルウェアも多いのである。ドライブをスレーブとして接続することで、こういったファイルの削除がずっと容易に行えるというわけだ。
