システムの厄介な問題を解決するマルウェア対策プログラムはたくさんありますが、そのようなプログラムを使用できない場合はどうなりますか? SysInternals(最近、Microsoftが買収)のAutorunsは、マルウェアを手動で削除する場合に不可欠です。
ウイルスやスパイウェアを手動で削除する必要がある理由はいくつかあります。
- おそらく、PC上でリソースを大量に消費する侵襲的なマルウェア対策プログラムを実行することを守ることはできません。
- お母さんのコンピューターを掃除する必要があるかもしれません(または、「コンピューターがウイルスに感染しています。ここをクリックして削除してください」というWebサイトの大きな点滅サインが、必ずしもそうなる可能性のあるメッセージではないことを理解していない人。信頼できる)
- マルウェアは非常に攻撃的であるため、自動的に削除しようとするすべての試みに抵抗するか、マルウェア対策ソフトウェアをインストールすることさえできません。
- あなたのオタクの信念の一部は、スパイウェア対策ユーティリティが弱虫のためのものであるという信念です
Autorunsは、オタクのソフトウェアツールキットへの非常に貴重な追加機能です。これにより、Windows(またはInternet Explorer)で自動的に起動するすべてのプログラム(およびプログラムコンポーネント)を追跡および制御できます。事実上すべてのマルウェアは自動的に起動するように設計されているため、Autorunsを使用してマルウェアを検出して削除できる可能性が非常に高くなります。
自動実行の使用方法については、以前に説明しました 論文 、最初にプログラムに精通する必要がある場合に読む必要があります。
Autorunsはスタンドアロンのユーティリティであり、コンピュータにインストールする必要はありません。ダウンロード、解凍、実行が簡単です(以下のリンク)。これは、フラッシュドライブのポータブルユーティリティコレクションに追加するのに最適です。
コンピューターで初めて自動実行を開始すると、使用許諾契約が表示されます。
条件に同意すると、メインの[自動実行]ウィンドウが開き、コンピューターの起動時、ログイン時、またはInternetExplorerを開いたときに実行されるすべてのソフトウェアの完全なリストが表示されます。
プログラムの起動を一時的に無効にするには、そのエントリの横にあるチェックボックスをオフにします。注:これは ない プログラムがその時点で実行されている場合は、プログラムを終了します。プログラムの起動を妨げるだけです。 次 時間。プログラムの起動を完全に防ぐには、エントリを完全に削除します( 削除 キーを押すか、右クリックして選択します 削除 コンテキストメニューから))。注:これは ない コンピュータからプログラムを削除します–完全に削除するには、プログラムをアンインストールする必要があります(またはハードディスクから削除します)。
疑わしいソフトウェア
マルウェアとは何か、そうでないものを特定するのに熟達するには、かなりの経験(「試行錯誤」を読む)が必要になる場合があります。 Autorunsに表示されるエントリのほとんどは、名前がよくわからない場合でも、正当なプログラムです。マルウェアを正規のソフトウェアと区別するのに役立つヒントを次に示します。
- エントリがソフトウェア発行者によってデジタル署名されている場合(つまり、エントリが 出版社 列)または「説明」がある場合、それが正当である可能性が高い
- ソフトウェアの名前を認識していれば、通常は問題ありません。マルウェアが正規のソフトウェアに「なりすます」場合がありますが、使い慣れたソフトウェアと同じまたは類似した名前を採用する場合があります(「AcrobatLauncher」や「PhotoshopBrowser」など)。また、多くのマルウェアプログラムは、「Diskfix」や「SearchHelper」(どちらも後述)など、一般的または無害な名前を採用していることに注意してください。
- マルウェアのエントリは通常、 ログオン 自動実行のタブ(常にではありません!)
- EXEまたはDLLファイル(これについては以下で詳しく説明します)を含むフォルダーを開いて、「最終変更日」を調べます。日付は、多くの場合、過去数日間のものです(感染がかなり最近のものであると想定)。
- マルウェアは多くの場合、C:\ WindowsフォルダーまたはC:\ Windows \ System32フォルダーにあります。
- 多くの場合、マルウェアには一般的なアイコン(エントリ名の左側)しかありません。
疑わしい場合は、エントリを右クリックして、 オンラインで検索…
以下のリストは、2つの疑わしいエントリを示しています。 Diskfix そして SearchHelper
上で強調表示されているこれらのエントリは、マルウェア感染のかなり典型的なものです。
- 説明も出版社もありません
- 彼らは一般的な名前を持っています
- ファイルはC:\ Windows \ System32にあります
- 彼らは一般的なアイコンを持っています
- ファイル名はランダムな文字列です
- C:\ Windows \ System32フォルダーを調べてファイルを見つけると、それらがフォルダー内で最近変更されたファイルの一部であることがわかります(以下を参照)。
アイテムをダブルクリックすると、対応するレジストリキーに移動します。
マルウェアの削除
疑わしいと思われるエントリを特定したら、次にそれらをどのように処理するかを決定する必要があります。選択肢は次のとおりです。
- 自動実行エントリを一時的に無効にします
- 自動実行エントリを完全に削除します
- 実行中のプロセスを(タスクマネージャーなどを使用して)見つけて終了します
- ディスクからEXEファイルまたはDLLファイルを削除します(または、少なくとも自動的に起動されないフォルダに移動します)
または、プログラムがマルウェアであることがどれだけ確実かによって、上記のすべて。
変更が成功したかどうかを確認するには、マシンを再起動し、次のいずれかまたはすべてを確認する必要があります。
- 自動実行–エントリが戻ったかどうかを確認します
- タスクマネージャー(または同様のもの)–再起動後にプログラムが再起動されたかどうかを確認する
- そもそもPCが感染していると思わせるような動作を確認してください。それがもう起こらない場合は、PCがきれいになっている可能性があります
結論
このソリューションはすべての人を対象としているわけではなく、上級ユーザーを対象としている可能性があります。通常、高品質のウイルス対策アプリケーションを使用することでうまくいきますが、そうでない場合は、自動実行はマルウェア対策キットの貴重なツールです。
一部のマルウェアは他のマルウェアよりも削除が難しいことに注意してください。上記の手順を何度か繰り返す必要がある場合があります。各反復では、各自動実行エントリをより注意深く調べる必要があります。自動実行エントリを削除すると、実行中のマルウェアがエントリを置き換える場合があります。これが発生した場合、マルウェアDLLに感染しているプログラム(Explorer.exeなどの正規のプログラムでさえ)を終了するなど、マルウェアの暗殺をより積極的に行う必要があります。
間もなく、正当なプログラムを表すが感染したDLLを実行しているプロセスを識別、特定、および終了する方法に関する記事を公開し、それらのDLLをシステムから削除できるようにします。
