web-dev-qa-db-ja.com

PCでウイルスを実行しました。次のステップは何ですか?

おそらく悪意のある実行可能ファイルを削除したかったのですが、管理者権限を持つアカウントを使用しているときに誤ってダブルクリックしてしまいました。数秒間目に見えるものは何も起こらず、実行可能ファイル自体が削除されました(正当な実行可能ファイルではおそらく実行されないものです)。

私の次のステップは:

  • アバスト定義が最新であることを確認します。
  • 他のマシンへの影響を回避するために、マシンをLANから切断します。
  • アバストでフルスキャンを実行する;これはウイルスを明らかにしませんでした。
  • SysinternalsのAutorunsを使用して疑わしいエントリを確認する:そこに問題はありません。
  • SysinternalsのRootkitRevealerを実行しようとしていますが、 Windows 8では実行されません
  • Sophos Anti-RootkitおよびKaspersky TDSSKillerを実行しています。ルートキットは見つかりませんでした(Sophos Anti-Rootkitは一連の隠しレジストリキーと隠しファイルを見つけましたが、それらは正当なファイルである可能性があります)。
  • Services.mscを確認します。サービスの数を考えると、すべてが合法かどうかを確認することは困難です。
  • ランニング sfc /scannow。そこに問題はありません: "Windowsリソース保護は整合性違反を検出しませんでした。"
  • リソースの使用状況を数分間監視しています。例外もないようです。
  • Chrome拡張機能のリストを確認しています。そこに問題はありません。InternetExplorerがインストールされていないため、そこに確認するものはありません。

PCは感染していないようですが、会社のドメインに再接続するのはまだ怖いです。 Windowsの再インストールは避けたいと思います。関係するマシンを使用している人をたくさん悩ませるからです。

次に何を試したらいいですか?

virusrootkitsvirus-removal
3
Arseni Mourzenko

実行したすべての手順は、マルウェアの削除に有効な手順です。

100%確実にするために、プログラムをダウンロードして(USB経由で十分です)使用することをお勧めします Malwarebytes (無料バージョンは非常に強力で、「フル」バージョンは「24/7」のみを追加します"起動した場合の保護)。

所有し、この場合に使用するのに便利な他のプログラムは、私たちの古い学校 Hitman Pro です。これは、多くのRescue/bootに含まれている非常に強力な "Second Opinion"プログラムですディスク(例として Hiren's Boot Disc と考えてください)。

これらすべてのライトが緑色で表示されれば、私はそれについてあまり心配しません。もちろん、PCが感染しているかどうかは常に問題であり、ソフトウェアから逃れるマルウェアに感染している可能性が常にあります。それが理由です。常に複数のプログラムでスキャン/削除する必要があります!

2
Lighty

Windows 8を使用していて、UACが有効になっている場合は、手動でろくでなしをキックするチャンスがあります。

あなたが言っていることから、ACを有効にしている場合、ウイルスは管理者権限を取得しませんでした。その場合、ルートキットとアウトオブプレースサービスを探すことはあまり役に立ちません(ただし、言うほど多くのサービスを実行している場合、それらの一部をクリーンアップする必要があるかもしれませんが、それは重要ではありません)。 。

管理者権限がない場合、ウイルスは何をしましたか?まあ、答えは明白です-ユーザーアカウントで自動起動するように自分自身を記述してください!

これを行う最も一般的な方法は、HKCU\Software\Microsoft\Windows\CurrentVersion\RunHKCUまたはHKU\.Default\Software\Microsoft\Windows\CurrentVersion\RunSoftware\Microsoft\Windows\CurrentVersion\RunOnceまたはHKU\.Defaultにregキーを作成することです。ばか)。通常、そこにはそれほど多くのキーはありませんが、厄介なものを見つけるのにそれほど問題はないはずです。

例外的に素晴らしい種類のマルウェアの作成者を扱っている場合は、C:\Users\<Your user name>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startupを確認してください(または、RunでShell:startupを押してください)。これにより、スタートアップフォルダーが表示されます。

もう1つの見栄えの良い場所は、タスクマネージャの[自動開始]タブです(笑いませんが、機能します)。また、タスクマネージャーで、実行中のすべてのプロセスのリストを確認します。ウイルスがリストに含まれている可能性が非常に高いです。

元のファイルを入手できれば、ここにいる多くの人(私も含めて)が見て、自動起動用に設定された場所を確認できると思います。

1
Mints97