F氏のThinkPad。 - GunGunMeteoの備忘録

　先週、F氏から私物のPCの挙動がおかしいとの話を聞いた。explorerの動作異常でパフォーマンスが低下し実用に耐えないという。
　県都に出向いた際に彼もそのPC…ThinkPadのWindows7 Home x64モデルを持参してきたので原因調査を手伝ったが、タスクマネージャ上で見るとexplorer.exeのメモリ使用量がWindows起動直後から極端に増加していた。
　例えば俺のPrecision M6700(Windows7 Ultimate x64)なら起動直後は60MB〜80MB、そのままシャットダウンも再起動もせず何週間も使用し続けても100MBのオーダを超えることはないが、F氏のThinkPadの場合、起動直後で既に数百MB、その後数分で数GBに達してしまう。実メモリは4GBだそうだから、恐らく2GBを過ぎたところでメモリスワップが始まるが、実メモリの消費にページングが追いつかずにディスクI/Oに圧倒されて事実上フリーズ状態になるというわけだ。
　F氏はWEB上の情報を元にWindowsUpdateでのInternet Explorerの更新による不具合が原因だと推定しているが、俺にはこの時点で半分くらいはウイルス感染によるではないかという気がしてきた。WindowsUpdateのいずれかの更新適用で、InternetExplorerやExplorerがここまで派手にメモリリークを起こしていたらとっくに大騒ぎになっているはずだ。
　困ったことに障害発生前のシステムのバックアップは取られていなかった。ThinkPadの何がよいって、プリインストールされたThinkVantage Rapid Restore Rescue & Recoveryでスケジュールバックアップが自動実行され復元も極めて容易な点だったのだが、近年のモデルでは何らかの理由で廃止されてしまったのだろうか。
　セキュリティ対策ソフトは見たことがないものがインストールされていた。NTT西日本の企業名が入った「セキュリティ対策ツール」。NTTがこんなものを自力開発して提供するわけがない。F氏がトレンドマイクロからのウイルスバスターのOEMのはずだと教えてくれた。
　トレンドマイクロ…。ほんの数年前、企業向けのウイルスバスターコーポレートエディションを導入していながら、端末に散らばったDOWNAD一つ満足に駆除できずにMalwarebytes' Antimalwareに頼ることになった嫌な思い出が蘇る。あの後やってきたトレンドマイクロ社の営業担当者に直接そのことを告げたが言葉をそっくり無視して次の製品紹介に移ったところはさすが大手の社員だなと感心したものだ。
　それにOEM版であるなら、本家トレンドマイクロが検索エンジンやパターンファイルをリリースしてもその反映は少し遅れるはずだ。どうしてもNTT側のカスタマイズ部分のテストが入るためだ。そのタイムラグが少し気になる。
　プロセスとしてのexplorerの裏で何が動作しているのか見たかったが、意外にもF氏はタスク管理ユーティリティを何も導入していなかった。MS謹製のProcess MonitorやProcess Managerもなかった。不思議なことにExplorer自身のフォルダを開く際の別プロセス化も無効になっていた。まだ環境構築やシステム管理に関しては設定を追い込んでいなかった様子だ。ブリットに積んであったVAIOでProcess Monitorから動作ログを追いかけるが、ウイルス感染を疑わせるような不審なプロセスが呼び出される様子はない。
　もしウイルス以外の原因があるとしたら…。まずは常駐しているサービスのうち、ストレージのインデックス作成などに関するものの不具合の可能性。それから、セキュリティ対策ツール自身の不具合の可能性。どちらもディスクI/Oに関与しているので最初に疑ってみたが、どちらかと言えばセキュリティ対策ツールの方が疑わしい。
　WindowsSearchIndexサービスを一時無効化したが状況に変化なし。セキュリティ対策ツールのリアルタイム検索の一時停止をしてみたが同様に変化なし。F氏にセキュリティ対策ツールのインストール媒体を保管しているか確認した上でアンインストールしてみたがこれも変化をもたらさなかった。
　午後遅くに始めた作業は大した進捗のないまま夜になってしまった。この日は夕食をN氏と約束していて、また帰宅も早めるよう妻から言われていたのでこれ以上作業はできない。
　自分のUSBメモリにMalwarebytes' Antimalwareが置いてあったのでこれを当該PCにインストールした。完全スキャンしたら何か見つかるかもしれないが実行はF氏自身に頼んでその日のところは作業終了。
　
　残念ながらその後のF氏からの続報では状況は改善していない。
　結局F氏も現状の環境の復旧は断念してリカバリを試行しているようだが、うまく行っていない様子である。時間的に余裕があるのなら当該PCのHDDを取り出して別PCにぶら下げ複数種類のセキュリティ対策ソフトで徹底的にスキャンすべきだろうが、どのみち検出できない新型の不正ソフトウェアにシステムを侵害されている危険を考えれば、リカバリもしくはWindowsの上書きインストールがほぼ唯一の選択肢だ。