FC2ブログ

Mebrootとの戦い その2 

前回のMBRに潜むウイルス“Mebroot”のお話の続き。

Mebrootウイルスを対峙すべく回復コンソールでMRBを書き変えたらWindowsの起動ができなくなり、KnoppixはCDの作成に失敗してその日は終了ってとこまででしたね。

その夜は寂しくお酒で心を癒し、翌朝対策を考える。

“Bart's PE Builder”という、いつも使っているようなWindows環境をCDで起動できるようにするソフトがある。これはWindowsのCDからブートCDを作ってしまうというものだ。リカバリCDなどでは少し手間がかかるが作成することができるらしい。詳しくはマイコミジャーナルの“自分好みの緊急用ブートCDをつくろう! ~Bart's PE Builder~”を参照されたい。

このブートCDを作り“Testdisk”を使ってMBRの復旧を目指すという作戦。

とりあえず自宅のDELLパソコンのための緊急用ブートCDを作成してみるが、DELLのリカバリCDは独特で不足している環境ファイルなどを補う必要があり、専用のソフトもあることまでわかったが時間がかかりそうなので途中でやめた。実際に作り始めると早々にエラーが4つも発生して“Bart's PE Builder”は停止してしまう。DELL用のブートCDでは会社のEPSONを起動することはできない。

というわけで“Bart's PE Builder”を持って会社へ向かう。

製造部長殿のEPSONの愛機PCに付属するリカバリCDからブートCDを作りはじめる。
1つだけファイルがないよ、といわれながらもCDは完成。早速、CDからのブートをするが起動途中で1つだけないファイルのおかげで起動が停止した。“Bart's PE”によるCDブートはとりあえずやめ、Knoppix6でのブートに変更。

CD-RWを利用していたので消去に時間がかかり、Knoppixの書き込みも時間がかかる。

最新のKnoppixには標準で“Testdisk”が入っている。Knoppixを起動し、シェルから“Testdisk”を実行する。

実際の手順は“Testdisk”の記述を参考にしてください。

結果的に、パーティションテーブルやパーティションブートレコードは破壊されておらず、保存されているファイル類の存在も確認できた。手順を進めて“ブートセクタ”の回復を行う。

“Testdisk”を使ってブートセクタのオリジナルとバックアップを比較してみることができる。これを見比べると明らかに全然違う。バックアップにある“NTFS”の文字はオリジナルになく、比較するまでもない。オリジナルをバックアップに上書き処理。“Testdisk”を終了させ、HDDからの起動を行うと…

Windowsのロゴが浮かぶ上がった!!

デスクトップ画面が表示された後、NOD32からウイルス発見の警告が!!

ウイルスまで復活した。おそるべしMebroot。いまだ駆除できず。

スポンサーサイト



コメント

コメントの投稿















管理者にだけ表示を許可する

トラックバック

この記事のトラックバックURL
http://eniguma.blog85.fc2.com/tb.php/2052-23d6ffe1