サイトマップ

マルウェア関連のトピックス

システムの復元による対処法 (WindowsXP/ME限定)

WindowsMEで登場して、XPで進化したシステムの復元機能はスパイウェアやウイルス対策に非常に有用です。特にトラブルの原因がハッキリしていて、それが大体一週間以内であれば、システムの復元でPCを元の状態に戻すことができる可能性が高いです。

ここではその効果と方法、およびリスクについて纏めました。ここではXPを例にとりましたが、MEでも基本的には同じだと思います。

システムの復元に関する注意点、リスク

あまり安易にシステムの復元に頼られるのも困るので、まずリスクについて書きます。最大のリスクは何かというと、「システムの復元自体で問題が起こった場合にはおそらくこのサイトではフォローしきれない」ということです。そんなに頻繁に問題が起こるとは思いませんが、何かあった場合には…というのが正直なところです。

では注意点を、

  1. 使用した復元ポイントの時点で感染していたウイルス、スパイウェアはそのまま残る(無自覚な場合が多い。特にトロイ類)。
  2. hostsファイル、スタートアップフォルダについては復元されず元のままである(そこから復活してくる可能性あり)。
  3. 復元によって問題が発生した場合、「復元の取り消し」機能はあるが、それによって新たな混乱を招く可能性がある。
  4. 復元ポイント以後にインストールしたアプリケーション(ソフトウェア)は再インストールが必要になる(アンインストール情報も消去される)。
  5. 同様に、WindowsUpdate等も再度実行する必要がある。
  6. その他、レジストリに情報を書き込む操作はすべて元に戻る。

1についてちょっと詳しく書いておきます。

このサイトの質問掲示板でも、質問者が自覚しているもの以外にウイルスやスパイウェアが見つかることが良くあります。その中には、非常に危険なものや重大な問題を引き起こすものが含まれていることがあります。基本的に、「簡単にスパイウェアを拾う」ということは「セキュリティないしセキュリティ意識に問題がある」ことを意味していますから、復元ポイント以前に自覚症状の無いもの(特にウイルス)に感染している可能性は十分にあります。

また、システムの復元で問題が解決したかにみえる場合でも、感染したということはセキュリティ体制、意識になんらかの欠陥があったという証拠です。
こちらのリンクを熟読して、不足しているものは導入・実行して下さい。


システムの復元に関する誤解

システムの復元に関する良くある誤解は、「復元ポイント以降にやった作業がすべて消えてしまうのではないか」、「メールが消えてしまうのではないか」などです。システムの復元はレジストリの状態を復元するだけなので、基本的にはデータ類(含メール)はすべて現状のものが維持されます。

これはウイルスやスパイウェアにも言えます。つまり、自動起動やブラウザへの仕込みなどの「仕掛け」は解除されますが多くの場合本体のプログラムはそのままHDに残ります。

では具体的に問題を解決するためのシステム復元の手順です。

セーフモードでPCを起動

タチの悪いスパイウェアやウイルスにやられている場合、復元自体を妨害する可能性もありますし、そうでなくても何らかの影響が残る可能性があります。これを防ぐために、まずセーフモードでPCを起動しましょう。セーフモードでの起動方法はOSによって微妙に違いますのでこちらを参考に。

以下の作業は、復元終了まですべてセーフモードで行って下さい。

スタートアップフォルダのチェック

最初に書いた様に、システムの復元をしてもスタートアップフォルダの中身はそのままです。従って、ここに変なものを仕込まれていた場合には、復元後も自動起動されてしまいます。「スタート」→「プログラム」→「スタートアップ」を右クリックし、「開く」を選択してスタートアップフォルダを開いて下さい
image

開かれたフォルダの中に、見覚えのないものがあれば削除して下さい。
このフォルダの中身はログインユーザーだけに適用されるものだけなので、XPの場合は全ユーザーに適用される「開く - All Users」の中身もチェックして下さい。

hostsファイルのチェック

こちらのページを参考に、hostsファイルをチェックないしダミーと置き換えて下さい。これまたシステムの復元をしてもそのままですので。


システムの復元の手順

スタートメニューから、「プログラム」→「アクセサリ」→「システム ツール」の中の「システムの復元」を起動します
image

デフォルトで、「コンピュータを以前の状態に復元する」になっているので、「次へ」をクリック
image

左側に表示されているカレンダーの中の、太字になっている部分が復元ポイントが存在する日です。日付をクリックすると右のボックスにそのときの出来事が表示されるので参考にして下さい。アプリケーションをインストールしたり、ハードウェアをインストールした場合はそのように表示されます。下の例は、単に定期的に自動で作成されたものです。
image

復元ポイントは、できるだけ最近のもので、かつ問題が発生する前のものを選択して下さい。選択後に「次へ」をクリックします
image

これで準備が完了です。「次へ」をクリックすると、しばらくしてPCが再起動しますので、他のアプリケーションはすべて終了して下さい。

再起動後に、「復元に成功しました」といったメッセージが出ます。これで復元は終了です。

復元によって問題が悪化した場合は、再度最初の画面を出して「以前の復元を取り消す」を選択することで、復元以前の問題に戻すことができます。

システム復元後の作業

前に書いた通り、システムの復元によって取り消されるのはスパイウェアやウイルスの自動起動などの設定だけで、プログラムやファイル自体は残ります。ですから、復元後に専用アプリケーションを使ってこれらの「ゴミ」を除く必要があります。

まずアンチウイルスソフトを使ってウイルススキャンをします。アンチウイルスソフトを導入してない人、導入していても期限切れの人はその怖さについてこちらを

熟読後は、速やかにアンチウイルスソフトを購入して下さい。

次にスパイウェア回り。Spybot S&DとAd-Aware両方でチェックして下さい。

Ad-Awareについては、できればセーフモードでも再実行して下さい。

参考:システム復元の設定

システム復元に関する設定は、「マイコンピュータ」を右クリックして「プロパティ」を出し、「システムの復元」タブで変更することができます。
image

「システムの復元を無効にする」を選択した場合、以後の復元ポイントが作られないばかりではなく、以前作成された復元ポイントもきれいさっぱり消えてしまいます。ご注意を。

更新履歴

2004.5.8 ページ作成

【文頭に戻る】