まずは、SDFixからはじめます。
TDSSの症状とこれを退治した人たちの経験談からこれ一発で駆除できるのではないかと考えました。
しかし、初っ端からなんか不気味な感じで始まります。
念のためカスペルスキーを停止します。
SDFixをCのルート直下におきます。
SDFix.exeなのでこれを実行すればSDFixのフォルダがCドライブ直下に出来るはずです。
実行してみたところSDFixが起動されTASKMGRでプロセスを確認することが出来ました。しかし、いつまでたってもこのプロセスが終了しません。そして、期待したSDFixのフォルダも出来ていません。
SDFixのプロセスをKillし、再起動しましたがうまくいきません。
SDFixはTDSSにとって最も危険な存在なのでこれを実行させない仕組みでもあるのかと考えました。
はやくも暗礁に乗り上げ頭を抱え始めたときSDFixのアイコンがWinRARであることを発見したのです。rarならばとにかく解凍してやろうとWinRARでSDFixを覗いてみると確かにSDFixのフォルダとプログラム群が確認できました。そのまま、Cドライブのルート直下に解凍しました。
これでSDFixの実行環境が整いました。
(1)セーフモードで起動するためWindowsXPを再起動します。
(2)F8のセーフモードメニューでは、「セーフモード」を選択して起動します。
(3)コマンドプロンプトを起動し、C:\SDFixに移ります
(4)ここでRunThis.batを起動します
(5)処理を開始する旨のメッセージが出ますので「y」で開始します
(6)起動後、ハードディスクを時々アクセスしては何かをしている様子だが、途中停止したかのような状態に不安になります。
(7)数分後20分以上かかるかもしれないので辛抱強く待てとのお告げがあります。本当に20分程度でした。(please be patient as this may take up to 20 minutes)
(8)ファイルチェックを行っているカウントがアップしていく
(Checking Files / Please Wait / **% Checked)
(9)SDFixに再起動を指示されます。
(The PC will now restart, SDFix will run again after reboot)
このときは、通常起動とします。
(10)WindowsXP起動ログイン後、SDFixがcmdプロンプトで動き
ディスクをアクセスします。
(finishing malware check / please be patient as this part may taken Several Minutes…)
(11)再起動後、今度も20分程度でSDFixの処理が終了します。
(Finished / Please any key to continue)
予定では、ここでSDFixが完了しrootkitの駆除が完了するはずだった。
しかし、SDFixは、再度再起動をしはじめた。
再起動後、(10)が再度行われました。
(11)によりSDFixが終了しました。この間の処理時間も前回とほぼ同じ時間だったと思います。
さて、「Report.txt」でSDFixの処理ログを確認します。
SDFixフォルダには「Report.txt」と「Report_old_1.txt」が出来ていました。これは、SDFixが実際には2度処理がされたこと、そしてそれぞれに処理ログを自動的に残してくれたことになります。
2008年12月22日 11:40:06