自動実行を使用して感染したPCを手動で駆除する
悪意のあるシステムをきれいにするマルウェア対策プログラムはたくさんありますが、そのようなプログラムを使用できない場合はどうなりますか?手動でマルウェアを駆除する場合、SysInternals(最近Microsoftに買収された)のAutorunが不可欠です。.
ウイルスとスパイウェアを手動で削除する必要がある理由はいくつかあります。
- 多分あなたはあなたのPCの上でリソースを消費し、侵略的なマルウェア対策プログラムを走らせるのを止めることができない
- あなたのお母さんのコンピュータ(またはあなたのコンピュータがウィルスに感染していると言うウェブサイト上の大きな点滅サインがそれを取り除くためにここをクリックしていることを理解していない誰か)をきれいにする必要がある信頼)
- このマルウェアは非常に攻撃的であるため、自動的に駆除されることができます。または、マルウェア対策ソフトウェアをインストールすることさえできません。
- あなたのオタクの信条の一部は、スパイウェア対策ユーティリティは弱虫用であるという信念です
Autorunsは、どのオタクのソフトウェアツールキットにも非常に貴重な追加機能です。 Windows(またはInternet Explorer)で自動的に起動するすべてのプログラム(およびプログラムコンポーネント)を追跡し、制御することができます。事実上すべてのマルウェアが自動的に起動するように設計されているので、Autorunsの助けを借りてそれを検出して削除できる可能性が非常に高いです。.
以前の記事でオートランの使い方を説明しました。最初にプログラムに慣れる必要がある場合には、この記事を読んでください。.
自動再生はスタンドアロンのユーティリティで、コンピュータにインストールする必要はありません。それは単にダウンロードされ、解凍されそして実行されることができる(下記リンク)。これはあなたのフラッシュドライブのあなたのポータブルユーティリティコレクションに追加するのに理想的です。.
コンピュータで初めてAutorunsを起動すると、ライセンス契約が表示されます。
規約に同意すると、メインのAutorunsウィンドウが開き、コンピュータの起動時、ログイン時、またはInternet Explorerを起動したときに実行されるすべてのソフトウェアの完全なリストが表示されます。
プログラムの起動を一時的に無効にするには、そのエントリの横にあるチェックボックスをオフにします。注:これは ではない その時点で実行されている場合はプログラムを終了させます - それは単にそれが起動するのを妨げます 次 時間。プログラムが起動しないようにするには、エントリを完全に削除します( 削除する キーを押すか、右クリックして選択 削除する コンテキストメニューから))。注:これは ではない コンピュータからプログラムを削除します - 完全に削除するには、プログラムをアンインストールする必要があります(またはハードディスクから削除する必要があります)。.
疑わしいソフトウェア
マルウェアとそうでないものを識別するのに熟練するには、かなりの経験が必要です(「試行錯誤」を読んでください)。 Autorunsに表示されるエントリのほとんどは、たとえそれらの名前があなたにとってなじみのないものであっても、正当なプログラムです。マルウェアと正規のソフトウェアを区別するのに役立つヒントをいくつか紹介します。
- エントリがソフトウェア発行者によってデジタル署名されている場合(つまり、 出版社 コラム)または「説明」がある場合は、それが正当である可能性が高い
- あなたがソフトウェアの名前を認識すれば、それは通常大丈夫です。マルウェアは合法的なソフトウェアを「偽装」することもありますが、おなじみのソフトウェアと同じまたは似た名前(「AcrobatLauncher」や「PhotoshopBrowser」など)を採用することがあります。また、多くのマルウェアプログラムが「Diskfix」や「SearchHelper」などの一般的または無害な名前を採用していることに注意してください(どちらも後述)。.
- マルウェアのエントリは通常、 ログオン 自動実行のタブ(しかし必ずしもそうではありません!)
- EXEファイルまたはDLLファイルを含むフォルダを開いた場合(詳細は後述)、「最終更新日」を調べると、日付は最近の数日からのものであることがよくあります(あなたの感染がかなり最近であると仮定して)。
- マルウェアは、多くの場合、C:¥WindowsフォルダーまたはC:¥Windows¥System32フォルダーにあります。
- マルウェアには一般的なアイコンしかない場合が多くあります(エントリの名前の左側)。
よくわからない場合は、エントリを右クリックして選択してください。 オンラインで検索…
以下のリストは、2つの疑わしいエントリを示しています。 Diskfix そして SearchHelper
上記で強調表示されているこれらのエントリは、マルウェア感染の典型的なものです。
- 説明も出版社もありません
- それらは総称名を持っています
- ファイルはC:\ Windows \ System32にあります。
- 彼らは一般的なアイコンを持っています
- ファイル名はランダムな文字列です。
- C:\ Windows \ System32フォルダを調べてファイルを見つけると、それらはフォルダ内で最近変更されたファイルの一部であることがわかります(下記参照)。
項目をダブルクリックすると、対応するレジストリキーに移動します。
マルウェアの削除
疑わしいと思われるエントリを特定したら、そのエントリに対して何をしたいのかを判断する必要があります。選択肢は次のとおりです。
- 自動実行エントリを一時的に無効にする
- 自動実行エントリを完全に削除します。
- 実行中のプロセスを探し(タスクマネージャなどを使用して)、終了します。
- ディスクからEXEまたはDLLファイルを削除します(または少なくとも自動的に起動されないフォルダに移動します)。
プログラムがマルウェアであることの確信度に応じて、または上記のすべて.
変更が成功したかどうかを確認するには、マシンを再起動し、以下のいずれかまたはすべてを確認する必要があります。
- 自動実行 - エントリが戻ったかどうかを確認します
- タスクマネージャ(または同様のもの) - プログラムが再起動後に再起動されたかどうかを確認します
- あなたのPCがそもそも感染したと信じるように導いた行動を確認してください。それがもう起こらないならば、可能性はあなたのPCが今きれいであるということです
結論
このソリューションはすべての人のためのものではなく、おそらく上級ユーザー向けです。通常は高品質のウイルス対策アプリケーションを使用することでうまくいきますが、そうでない場合は自動実行がAnti-Malwareキットの貴重なツールになります。.
いくつかのマルウェアは他のマルウェアよりも削除が難しいということを覚えておいてください。時には、上記のステップを何回か繰り返す必要があります。それぞれの繰り返しで、各Autorunエントリを注意深く調べる必要があります。自動実行エントリを削除した瞬間に、実行されているマルウェアがエントリを置き換えることがあります。このような場合は、マルウェアDLLに感染したプログラムの終了(Explorer.exeのような正規のプログラムも含む)を含め、マルウェアの暗殺にもっと積極的に取り組む必要があります。.
まもなく、合法的なプログラムを表しているが感染したDLLを実行しているプロセスを特定、特定、終了する方法についての記事を公開します。これらのDLLをシステムから削除できるようにするためです。.
SysInternalsからオートランをダウンロードする