Windows 7 Recovery ウイルスに感染してデータを消失

このエントリーをはてなブックマークに追加

昨日、メインで使っているパソコンがWindows7Recoveryというウイルスに感染してしまい、ハードディスクのデータを全て消失してしまいました。まだ日本では流行っていないウイルスのようで、情報が少ないのですが、今後増えるかもしれないので、記事にまとめておきます。

Windows Vistaにも同じようなウイルスがあるようですが、XP以前のOSは大丈夫なようです。(アクセス解析を見ると「windows xp recovery ウイルス」での流入が多いです。どうやらXPにも同じものがありそうです。)

【追記2011/05/30】
貴重なコメントを頂きました。

私も今日感染してwindows7Recoveryの画面が・・・

ただこちらの場合、ファイルが削除されたのではなく
すべて「隠しファイル」「読み取り専用」に書き換えられてるようでした

この可能性は考えませんでした。リカバリによって貴重なファイルを自ら消してしまったのかもしれません。ただ、外付けHDDの空き容量が大幅に増えた事は確認していましたので、私のケースでは自ら消したわけではなく、何らかのウイルスによって全削除されたと思っています。

Windows 7 Recovery ウイルスに感染したら、ファイルがなくなった様に見えても、「隠しファイル」になっているだけという可能性があります。まずは、隠しファイル化されていないかを確認してください。

【追記 2012/1】
さらに、いくつかコメントを頂いています。2012年1月現在またWindows 7 Recovery ウイルスが流行りだしているのでしょうか。

隠しファイル化されていないかの確認方法

スタート ⇒ コントロールパネル ⇒ フォルダーオプション ⇒ 表示

「隠しファイル、隠しフォルダー、および隠しドライブを表示する」にチェックを入れてOKをクリックしまし。これで消えたはずのファイルが現れるとしたら、単にファイルが隠しファイル化されていただけということになります。

念のため、同じ画面の一番下にある「保護されたオペレーティングシステムファイルを表示しない」のチェックを外して見ても良いかもしれません。

フォルダやファイルを右クリック ⇒プロパティ ⇒ 全般

「隠しファイル」のチェックを外せば、なくなったはずのファイルが表示されるようになるはずです。

ただ、全てのファイルを一括で解除するにはどうすれば良いのだろうか?

なお、リカバリせずにそのまま使用する場合でも、必ずアバストAVGなどのアンチウイルスソフトをインストールして、ウイルスチェックを行ってください。もちろん有料ソフトでもOKです。

»偽システムユーティリティ:Windows 7 Recoveryの駆除方法

 

以下は、私がこのウイルスに感染した経緯と行った対応策です。

パソコンとネットワークの構成

ウイルス感染したパソコンと周辺機器の構成はこんな感じです。結論から申し上げると、Windows7と外付けHDDのデータが全て無くなりました。外付けHDDには管理している全サイトのデータが入っていました。

なぜネットワークHDDを使わないのかという事ですが、単純にアクセスが遅いからです。おそらくルータが1000BASE-Tに対応していない事が原因だと思いますが、ネットワークHDD経由だとファイルの移動が異様に遅いのです。当然FTPのファイルアップも遅くなりますので、ストレスを感じて、WebデータだけはUSBのHDDを使っていました。

ウイルス感染の経緯

知っている方も多いと思いますが、P2Pソフトのtorrentで、音楽ファイルをダウンロードするために、海外のサイトにアクセスしました。サイトといっても、ダウンロード用のページなので、何が怪しいと言うこともありません。

その前にP2Pで音楽ファイルをダウンロードしている時点でアウトだろという声が聞こえてきそうですが、そういったお言葉は一旦棚へ上げておきます。

で、そのダウンロードページにアクセスした瞬間にアンチウイルスソフトのアバストが反応しました。海外サイトを見ていると良くあることなので、気にせずに作業を続けていたのですが、torrentファイルをダウンロードして、ページを閉じようとしたのですが、そのページを閉じることができませんでした。

Alt+F4でもだめだったので、Ctrl+Alt+Deleteでタスクマネージャを起動しようとしたのですが、タスクマネージャを起動する為の、画面は表示されるものの、その中にタスクマネージャの起動という項目がありませんでした。

この時点で、ちょっとやばいかなと思ったのですが、とりあえずこういう時は再起動と言うことで、画面はそのままで、普通にスタートから再起動します。

そして、普通にWindowsが起動してきて安心したのですが、真ん中に見たことがない画面が表示されます。

この時点で、あれっ普通にヤバイのかなと思ったのですが、とりあえずLANケーブルを抜いて、他のパソコンで情報を集めることにしました。ウイルスに感染したらとりあえずLANケーブルを抜くのが基本ですので、感染したと思ったら、力いっぱい引き抜いてやりましょう。

で、「Windows7Recovery」について調べてみると、日本のサイトではまともな情報がほとんどありませんでした。その中でも、とあるページに「Windows7Recoveryウイルスは、メンテナンスソフトを装ったインチキ詐欺プログラム」でセキュリティソフトを買わせるのが目的という事が書かれていたので、なんだやっぱりヤバくないのかという気持ちに切り替わりました。

パソコン自体の動作が遅くなっていましたが、このスパイウェア?を削除すれば問題ないなという認識でしたので、Windows7Recoveryのキャプチャでもとって置くかぐらいの感覚で余裕ぶっこいていました。

しかし、もうこの時点でこのパソコンは終わっていたのです。もう一度言います。この画面が表示されたらあなたのパソコンは終了です。

ウイルス感染後のパソコンの状態

Windows7Recoveryの画面が表示された時点で、デスクトップのアイコンが徐々に無くなって行きました。どうせショートカットを削除しているだけだろうと思っていたら、インストールしてあるプログラムを片っ端から本当に削除していたようです。

Windows7Recoveryに関する情報を集める中で、アンチウイルスソフトでは削除できないので、専用のツールが必要という事や、削除できても一部に不具合が残る可能性があるという事が書かれている記事を発見しました。

うわっやっぱりヤバかったのかと思ったのですが、後の祭りと言うことで、この時点で自分の中ではOS再インストールが決定します。少しの間Windows7Recoveryをいじってみたり、画面を眺めたりしていたのですが、すぐに飽きました。

一通り楽しんだので、リカバリディスクを持ってきて、Windowsの再インストールを始めたのですが、途中でリカバリコードが必要と言うことが分かりました。が、リカバリコードが書かれた製品構成表が見つからず、もう一つ書かれているはずのスタートアップガイドにもコードは見つかりません。

こうなったら頼りにならないサポセンへ電話するしかありません。フロンティアのサポートセンターに初めて電話したのですが、案の定繋がりませんでした。しかし、親切な設計になっており、かけた電話番号を自動的に記録して、折り返しをくれる仕組みになっていました。

個人情報の取り扱いとしてどうなのかという疑問は残りますが、ありがたいので折り返しを待ちつつ、Windows7Recoveryについて再び調査を開始します。

しかし、一向に電話がかかってこないので、保証書なんぞを見ようと思い封筒を開けてみると、その中にまさかの製品構成表が入っていました。完全に捨てたと思っていたのですが、保証書と一緒になっていたとは。。そこにリカバリコードが深く刻まれていましたので、これで作業が進められます。

OSの再インストール作業

幸か不幸か、OSの再インストール作業は数年に1度やっているので、特に迷うことはありませんでした。リカバリ用のディスクを入れてWindowsをインストールして、次にドライバ用のディスクを入れて各種ドライバをインストールして終了です。しかし、このあと問題が発生します。

外付けHDDのデータが見られなくなっていたのです。見られなくなっていたと言うかデータが削除されてしまっていたのですが、この時点では、外付けHDDのデータがウイルスに喰われるという発想がなかったので、HDDを再起動したり、パソコンを再起動したり、他のパソコンに繋いだりしていました。

しかし、どうやっても中身が見えません。そりゃそうです。中身なんてないんですから。

ここでかなりやばい状態であることに気づきます。先ほど申し上げたように外付けHDDには、管理している全サイトのデータが入っていたので、これがなくなったら一大事です。ただ、先週全データをネットワークHDDにコピーしていたので、仮に外付けHDDのデータが無くなっても1週間分の作業が無駄になるだけです。多くはWordPressサイトですので、サーバにアップしてあるファイルをダウンロードすれば、それほど痛くはありません。

しかし、もしネットワークHDDのデータも無くなっているとしたら・・・

ネットワークHDDにアクセスする瞬間のドキドキ感は、決して忘れることはありません。

結局、ネットワークHDDのデータは全く問題なかったわけですが、LANケーブルを抜くのが遅かったら、もしかしたらこっちもやられていたのかもしれないと思うとゾッとします。

ウイルスに感染した時は、何はともあれパソコンは孤立させよう!!

と言うことで、これが今回久々に強烈なウイルスに感染した一連の流れとその時の気持ちです。皆様セキュリティソフトを入れているからと言って安心してはいけません。そして、怪しい海外サイトにアクセスしてはいけません。そして、ウイルスを甘く見て画面をキャプチャしようと余裕ぶっこいてはいけません。

ただ、Windows7Recoveryの画面が表示された時点でもう終わってるんですけどね。

でも、始めから、これはかなりヤバイと思って、すぐに対処していたら結果は違っていたのかもしれません。ウイルスにやられるとしても、最低限のデータ移動は可能です。しかし、LANケーブルは怖くて繋いでいられません。

ウイルスを駆除するという選択肢もありますが、駆除できる保障はありませんし、ウイルスチェックしている間に、アバスト自体が削除されていた事でしょう。しかも、そんなヤバウイルスに感染したパソコンをそのまま使いたくないですよね。

これからはメインPCではtorrentは絶対にやらないという事で、眠っていたXPを起こしてtorrent専用に使うことにしました。

事故ってもこりない馬鹿。。

ちなみにWindows7Recoveryの画像ですが、データが全削除されましたので、当然私がキャプチャしたものではありません。Windows7Recoveryで画像検索して頂きました。

※その後、情報を集めた結果、もしかしたら同時に他のウイルスにも感染して、そいつが悪さをしたのかもしれません。ただ、真相は闇の中です・・・

このエントリーをはてなブックマークに追加
afb
当サイトイチオシのASPです。支払いサイクルが他よりも早く、稼いでいる人からの評判がとても良いです。afbのおすすめポイント

コメント

  1. 通りすがり より:

    私も今日感染してwindows7Recoveryの画面が・・・

    ただこちらの場合、ファイルが削除されたのではなく
    すべて「隠しファイル」「読み取り専用」に書き換えられてるようでした

    参考までに

  2. パシ より:

    すばらしい情報をありがとうございます。「隠しファイル」「読み取り専用」については確認しませんでした。

    とりあえず全ファイルが見えなくなったので、私の場合、読み取り専用という事はないですね。

    ただ、完全に削除されたと判断してしまったので、隠しファイルまでは確認しませんでした。もしかしたら全て隠しファイルになっていたのかもしれません。

  3. Windows Recovery ウイルスにやられてます。

    親族から、パソコンのエラーっぽい、携帯で画素数の低い画像が送られてきて、怪しいなと思って電話をしてみると、どうもウイルスにやられているような感じでした。

  4. sunwealth より:

    はじめまして。私も今日6月5日にとあるサイトを見ていたら突然windowsXpRecoveryと表示されて、タスクマネージャーを起動してもその項目がなく、再起動しようとしたら、BIOS画面で強制終了してしまい、起動できなくなってしまいました。そのことで困ってしまい、他のPCでそのwindowsXpRecoveryというものを検索した末、このページにたどり着きました。中に入っているデータが心配で困っています。

  5. パシ より:

    アクセス解析を見るとかなり感染が拡大しているようですね。同じウイルスのように見えても中身が多少異なるようですが、隠しファイルになっていなければ削除されてしまったと考えて良いと思います。

  6. 野中武紀 より:

    2011年11月20日インターネットラジオでれこれチャンネルを切り替えていたら突然アイコンが消失、起動はするもののあらゆるソフト起動せず。ウイルスに感染と判断リカバリーしました。当サイトでWindows
    Recoveryの記事を見つけ同じウイルスに感染と判断。重要なデータは外付けHDDのため安心と思いきや、データーはありませんの表示。
    データ復元ソフトでデータを復元、しかし復元ソフト上の小さいプレビュー画面では再現できるものの実際のソフトでは表示できず困っていたところ、隠しファイルの項目を発見、隠しファイルを解除しデータは完全に復元できました。当サイトのすばらしい情報に感謝しております。

  7. パシ より:

    おおなんとも大変な感じでしたね。そして、まだこのウイルスが出回っていることに驚きました。当サイトの情報が役に立ったのであれば幸いです^^

  8. tashi より:

    たった今このウイルスに感染してしまいました・・・
    僕の場合はeverythingを入れてたので
    隠しファイルの状態にあるのはわかってました
    戻すのめんどくせー

  9. パシ より:

    まだこのウイルスがいるんですね。
    戻すの面倒ですよね・・・

  10. micky より:

    現在進行形でウイルスにやられちゃっています(^^;;
    記事、メチャクチャ参考になりました!
    記事通り隠しファイルに設定されていました。しかし、ファイルがデスクトップに現れてもデータは消されているみたいで、空ファイルになっておりました(涙
    ウイルス対策の必要性を改めて認識しました。(マカフィーやバスターをずっと邪魔者扱いしておりましたので;;)

    ともあれ、参考になる記事をありがとうございました!

  11. パシ より:

    記事が参考になったというのはありがたいですが、
    空になっているというのがなんとも・・・

    またこのウイルスが流行りだしたんですかね。
    困ったものですね。

  12. Anemone より:

    先日、トロイの木馬にやられました・・
    youtubeの動画を見ていたら、突然シャットダウンしてしまい再度電源を入れると・・
    画面中央にみたことの無い横文字が・・・
    しかも物凄い数でタスクバーも、画面も埋め尽くされました。
    セキュリティーが反応して、「トロイの木馬を駆除しました」って出てきたけど、デスクトップにはゴミ箱だけ・・
    しかも駆除が間に合っていなかった気がする
    他のアプリケーションは全滅でした。(アイコンはあるものの、クリックすると(空)って書かれてましたね。
    ウイルスソフトが入っていても感染するんですね・・・orz
    しかもトロイだと他のウイルスも呼ぶそうで・・
    外付けHDDは大丈夫だろうと思って安心していたら、クリックしてもファイルは見当たらず・・
    フォーマットしようと思いプロパティをみたら、データは残っているのに見れないだけ
    しかも、ウイルスチェックを掛けると、キチンとファイルを見に行っている・・
    ???
    と、なって検索してしたら、ここにたどり着きました!
    結局、隠しファイルになっていてデーターは無傷でした!
    助かりましたよー!対処法掲載してあったので凄くわかりやすかったです!

  13. パシ より:

    このウイルスは結構焦りますよね。今となっては、私の場合、ファイルが削除されてたのか、隠しファイルになっていたのかは分かりませんが、焦らず冷静にが一番ですね。

  14. disco1 より:

    私も感染しました、netラジオを聞いていた時です。症状は同じですが復元作業をして3日前に戻して復旧しました。
    USB接続HDDなどは認識しており容量も表示してますが、中身がない。
    外して他のパソコンにつないだら見られました。ただ皆さんと同じ隠しファイルにされておりチェックを外したら元どおりに直りました。
    ウイルス対策はエッセンシャルズのみです。

  15. パシ より:

    なるほどぉ。復元もありなんですね。外付け自体が完成していなければ、他のPCにつなぐというのもありですね。情報ありがとうございます!

  16. ハルク より:

    先ほどこのウイルスに感染しました。システムの復元をしたのですが、大事なファイルが消えていたので困っておりました。
    こちらのブログを拝見し、元に戻すことができました。
    大変役立ちました。ありがとうございます。

  17. パシ より:

    無事解決できて何よりです^^
    こちらこそ、ブログを御覧頂ありがとうございます。

  18. ピエール より:

    はじめまして。
    先日このウイルスにやられまして、常駐させていた「MicrosoftSecurityEssential」のおかげでCドライブへの感染とWindows7Recoveryの画面は見ていないのですが、
    外付けHDDの中身がまったく見えず困っておりました。
    まさか隠し属性にされているだけとはw
    焦ってファイナルデータ引っ張り出してきて復元&コピーまでやってました(ノ∀`)アチャー

    ともあれ、これで残りの外付けHDDは属性を変えるだけで復旧できそうです。本当にありがとうございましたヽ(゚∀゚)ノ

  19. パシ より:

    はじめまして。

    外付けHDDだけやられてしまう可能性もあるんですね。データが消えたと思って、リカバリしたり復元する人も多いと思いますが、属性を変えるだけで復旧できるとしたら良かったですね^^

  20. カモノハシ より:

    たった今このウイルスにやられたところです
    ウイルスを駆除するのは無理だと思って4日前の復元ポイントを使ってシステムを復元したのですが、復元しても隠しファイルに変更されたままみたいで結局今ちまちま手動で直してます
    過去10数年AVGを使っていてウイルスとは無縁だったのですが半年ほど前、物は試しと思ってMSEに乗り換えてみたらこんな目にあったのでちょっと印象が悪くなってしまいました・・・確認してみたら定期スキャンも何故か2ヶ月程止まってた様ですし

  21. パシ より:

    まだこのウイルスがいるんですね。困ったものです。
    私はアバストを使っていますが、あの感染以降は特に問題は発生していません。

    ウイルス感染は事故みたいなものなので、どのソフトを使っても感染する時はしてしまいますが、気をつけたいですね。

  22. 通りすがり より:

    やられました
    ウイルスバスターは入れていたのですが全スルーでした。
    結局全部自分でスタートアップから怪しいの消して、例の画面がでなくなったらそのプログラムを直で削除、その後ウイルスチェックと隠しファイルの修復と・・・
    まだ実害(フォルダの削除)などは見受けられませんがどこでどう消えていることやら
    近いうちにOS入れなおしですかね、つらいです

  23. パシ より:

    ウイルスバスターが対応していないというのは変ですね。
    おそらく最新定義であれば大丈夫のはず・・・

    もしくは違ったタイプのウイルスが新たに出てきているのかもしれません。

  24. 21の通りすがり より:

    かもしれませんね

    一応報告なのですが、友人と私は感染直前に同じページを見ていたんですが友人は発症していないようですね
    友人はノートン先生らしいです。

    即発性ではないのか、セキュリティソフトの質なのか・・・
    一応誰かの役に立つかもしれないので報告でしたー

  25. パシ より:

    なるほどぉ。なんだか怖いですね。
    情報ありがとうございました。

  26. dapon より:

    今更ですが、やられました。
    Final DATA10を買って、復旧している最中に復旧したはずのファイルが戻しても戻しても見られない為、ようやく隠しファイルの存在に気がつきました。

    隠しファイルは容量表示としては出てくるんですが、通常のプログラムとしては無かったことと同じ扱いになってるんですね。

  27. パシ より:

    まだこのウイルスがいるんですね・・・

    そうですね。隠しファイルは容量を確認しないと気づかないですよね。

  28. やまざき より:

    隠しファイルの設定を一括で戻すには
    マウスで対象となるフォルダやファイルを複数選択して、
    右クリック→オプション→隠しファイルのチェックをはずす、
    とすることでまとめて隠しファイルの設定をなおせました。

  29. パシ より:

    あ、ドライブ全体を一括で直したりする方法はないのかなと思いました。数が多いと複数選択も結構手間ですよね。

  30. sengo より:

    私も隠しファイルになっていました。
    ウイルスに感染したのは初めてで困ってしまい、サポートセンターに電話をしたら、こちらのブログと同じ対処法を教わりました。現在ファイルやソフトは少しずつ復元できているのですが、インターネットの「お気に入り」の中身が何もなくなってしまいました。
    ただ、以前と同じフォルダ名でフォルダを作ろうとすると、「既に存在します」という表示が出るのでひょっとしてこれも隠されているだけなのではないかと思いましたが、どのようにすれば復元できるのかわかりません・・・
    ご存知でしたら教えていただけると大変助かりますm(_ _)m

  31. パシ より:

    「お気に入り」についても他のフォルダと同じように保存されている場所がありますので、そこで復元(見えるようにする)する必要がありそうです。

    保存場所については、Windowsの種類によって変わってきますので、YahooやGoogleなどの検索サイトで、「Windows XP お気に入り 場所」「Windows 7 お気に入り 場所」などと検索して、保存されている場所を探してみてください。

    ちなみにXPであれば
    C:\Documents and Settings\ユーザー名\Favorites

    7であれば
    C:\ユーザー\ユーザー名\お気に入り

    にあるはずです。

  32. sengo より:

    復元できました!
    こんなに早くお返事いただけるとは思っていませんでした!
    本当にありがとうございますm(_ _)m

  33. sengo より:

    一昨日はありがとうございました。

    ファイルは復元でき、インターネットもつながるので今までとほとんど変わりなくPCが使えているのですが、デスクトップの背景が黒色になってしまい、色々調べましたがどうしても変更できないです・・・
    また、zip化の作業も本来は右クリック→「送る」でできるようなのですが、「送る」にカーソルを合わせてもデータ送り先の候補が2つぐらい出てくるだけで、zip化できなくなっています。
    サポートセンターにも電話しましたがダメでした。

    このうように、ファイルだけでなくPCの設定も色々と変えられてしまっているので、やはりバックアップをとってPCを初期化するしかないでしょうか・・・?

    初期化するとソフトは消えてしまうようで、ちょっと面倒ですよね・・・

  34. パシ より:

    そのような話は聞いたことがないですが、サポセンに電話してだめならだめなのかもしれません。

    私でしたら初期化しますが、最初の状態に戻るので、それが嫌な場合は今の状態で使っていくしか無いと思います。

  35. sengo より:

    やはりそうですよね・・・
    ありがとうございましたm(_ _)m

サブコンテンツ

このページの先頭へ