【勝手にソフトが起動する】NEC PC-NS150CAR-T ウイルス感染

名古屋市守山区からお越しのお客様より、「よくわからない画面が勝手に立ち上がり、動作が遅い」とご相談いただきました。
隠れているインジケーターを見てみると、明らかなマルウェアの起動とウイルス対策ソフトの重複が確認できました。

NEC NS150/C PC-NS150CAR-T　マルウェア感染

第6世代Celeronが搭載されたWindows10ノートパソコン。
使わなくなったご家族からお譲りいただいたもので使えてはいるものの、なにかをスキャンするような画面や購入を促す画面が勝手に起動します。
更に起動が遅く、安定してからも作業に時間がかかります。

デスクトップ画面に「Drive Tonic」「Win Tonic」が存在します。
これは広告詐欺ソフトと呼ばれるマルウェアで、パソコン起動時に自動起動して勝手に動作します。
ウイルスやドライバー更新などが見つかったと見せかけ、困っているなら料金を支払えば助けるといった文言を表示するものです。
「見せかけ」とは言っても内部で動いているのでパソコンの動作に影響が出ますし、中にはドライバー類を勝手に更新し不安定にさせるものもあります。
こういったマルウェアは仲間を呼び込む性質があり、1個でも入ると似たような動きをする他のソフトウェアが勝手に増えていくことが多いです。

更にウイルス対策として期限切れの「McAfee」と無料版の「Avast」がインストールされていますね。
ウイルス対策ソフトは同時に2個3個インストールするのではなく、1個のみにするのが正解です。
2個以上入っていると競合し、お互いの動きを邪魔したりどちらも起動しなかったりする可能性があります。
当然、その分Windowsの動作も遅くなります。

プログラム確認

インストールされているプログラムを確認すると、自動起動やデスクトップで確認できるもの以外にもマルウェアが確認できました。
マルウェアの駆除メニューもありますが、こういった迷惑ソフトはWindowsの奥にファイルがインストールされることが多く駆除では消しきれません。
余程現環境でないと困る場合以外は、初期化を推奨しています。
今回データは特に必要ないということで、初期化前提でお預かりすることになりました。

分解：HDD

裏面にしてからバッテリーを外し、蓋を固定している4個のネジを外します。

マウンター固定ネジを2個外し、SATAコネクターを引き抜きます。
仮組み後メモリーのチェックテストを進め、異常がないことを確認しました。

HDDステータス：正常

使用時間も短く、全周のスピードテストでも正常でした。

ウイルス感染

検出されたものの多くはプログラムから確認できたマルウェアですが、トロイの木馬という悪質なウイルスも検出されました。
これらが動作に影響していたのは間違いないですね。

リカバリー

Windowsを起動してリカバリーメディアを作成しようとしましたが、作成ツールが固まってしまい作成できません。
内部データから特殊な形でリカバリーメディアを作成し、購入時の状態に戻します。

その後は初めから入っている不要ソフトのアンインストールやメーカーアップデート・Windows Updateを進め、使いやすい環境に仕上げます。

分解・清掃

分解し、内部清掃を行います。

13個のネジを外し、DVDドライブを抜き取ります。

キーボードを外し、フラットケーブルを抜きます。

電源ボタンとタッチパッドのケーブルを抜き、5個のネジを外します。

パソコン内部にたどり着きました。
ファン部分を中心に清掃し、元通りに組み戻します。

外部清掃・返却

外部清掃を行い、各種機能の確認をしたら返却です。
こういったお話の場合「気付かないうちに勝手にソフトがインストールされた」わけではありません。
不安を煽る広告をクリックしたり無料ソフトをインストールする際に同梱されていたりと、自分で無意識に入れてしまっていることがほとんどです。
病気にならないため自衛するように、パソコンに関しても自衛するようにしましょう。