マルウェアの感染は、一連の症状を示す可能性があります。実際、最も潜在的な脅威(パスワード盗難者やデータ盗難のトロイの木馬)は、伝染の兆候を示すことはめったにありません。 scarewareなどの他の場合では、システムが減速したり、タスクマネージャなどの特定のユーティリティにアクセスできないことがあります。
あなたの経験レベルによっては、さまざまな選択肢があります。以下は、最も簡単なものから始まり、より高度なものに至るまでのオプションのリストです。
最初にウイルス対策ソフトウェアをお試しください
Windowsコンピュータがウイルスに感染している場合は、最初にウイルス対策ソフトウェアを更新し、完全なシステムスキャンを実行する必要があります。スキャンを実行する前にすべてのプログラムを終了してください。このスキャンには数時間かかる場合がありますので、しばらくコンピューターを使用する必要がない場合はこのタスクを実行してください。 (あなたのコンピュータが既に感染している場合は、とにかくそれを使用するべきではありません。)
マルウェアが見つかった場合、ウイルス対策スキャナは通常、クリーン、検疫、または削除という3つのアクションのいずれかを行います。スキャンを実行した後、マルウェアは削除されますが、システムエラーまたは死のブルースクリーンが表示されている場合は、システムファイルの不足を復元する必要があります。
セーフモードで起動する
セーフモードでは、アプリケーションの読み込みを防止し、より制御された環境でオペレーティングシステムと対話することができます。すべてのウイルス対策ソフトウェアでサポートされているわけではありませんが、セーフモードで起動し、そこからウイルス対策スキャンを実行してください。セーフモードが起動しない、またはウイルス対策がセーフモードで実行されない場合は、正常に起動してみてください.Windowsが読み込みを開始するときにShiftキーを押したままにしてください。そうすることで、Windowsの起動時にアプリケーション(一部のマルウェアを含む)が読み込まれないようにする必要があります。
アプリケーション(またはマルウェア)がまだ読み込まれている場合、ShiftOverideの設定がマルウェアによって変更されている可能性があります。回避策は、ShiftOverideを無効にする方法を参照してください。
手動でマルウェアの検索と削除を試みる
今日のマルウェアの多くは、ウイルス対策ソフトウェアを無効にして感染を取り除くことができます。この場合、システムからウイルスを手動で削除することができます。ただし、手動でウイルスを削除しようとすると、ある程度のスキルとWindowsに精通している必要があります。最低限、あなたは以下のことを知る必要があります:
- システムレジストリを使用する
- 環境変数を使用してナビゲートする
- フォルダの参照とファイルの検索
- オートスタートエントリポイントを見つける
- ファイルのハッシュ(MD5 / SHA1 / CRC)を取得する
- Windowsのタスクマネージャにアクセスする
- セーフモードで起動する
また、ファイル拡張表示が有効になっていることを確認する必要があります(デフォルトではそうではないため、これは非常に重要なステップです)。また、自動実行が無効になっていることを確認する必要があります。
タスクマネージャを使用して、マルウェアプロセスを閉じることもできます。停止したいプロセスを右クリックし、「プロセスの終了」を選択するだけです。タスクマネージャを使用して実行中のプロセスを見つけることができない場合は、一般的なAutoStartエントリポイントを調べて、マルウェアがロードされている場所を見つけることができます。ただし、今日のマルウェアの多くは、ルートキットが有効になっている可能性があるため、表示されないようになっています。
タスクマネージャを使用して実行中のプロセスを見つけることができない場合、またはAutoStartエントリポイントを検査する場合は、ルートキットスキャナを実行して、関連するファイル/プロセスを特定してください。また、マルウェアによってフォルダオプションへのアクセスが妨げられ、隠しファイルや拡張子を表示するためのオプションを変更できなくなることがあります。その場合は、フォルダオプションの表示を再度有効にする必要があります。
不審なファイルの検索に成功した場合は、そのファイルのMD5またはSHA1ハッシュを取得し、検索エンジンを使用してそのハッシュを使用して詳細を検索します。これは、疑わしいファイルが本当に悪意のあるファイルであるか正当なファイルであるかを判断する場合に特に便利です。診断のためにファイルをオンラインスキャナに提出することもできます。
悪意のあるファイルを特定したら、次はそのファイルを削除します。マルウェアは通常、複数のファイルを使用して、悪意のあるファイルが削除されるのを監視し、防止します。悪意のあるファイルを削除できない場合は、ファイルに関連付けられているDLLの登録を解除するか、winlogonプロセスを停止してファイルをもう一度削除してみてください。
起動可能なレスキューCDを作成する
上記のいずれの手順もうまくいかない場合は、感染ドライブへのアクセスを休止するレスキューCDを作成する必要があります。オプションには、BartPE(Windows XP)、VistaPE(Windows Vista)、およびWindowsPE(Windows 7)があります。
レスキューCDを起動した後、共通のAutoStartエントリポイントを再度調べ、マルウェアがロードされている場所を見つけます。これらのAutoStartエントリポイントに用意されている場所を参照し、悪意のあるファイルを削除します。 (わからない場合は、MD5またはSHA1ハッシュを取得し、お気に入りの検索エンジンを使用して、そのハッシュを使用してファイルを調べます。
最後のリゾート:再フォーマットと再インストール
最終的な、しかししばしば最良の選択肢は、感染したコンピュータのハードドライブを再フォーマットし、オペレーティングシステムとすべてのプログラムを再インストールすることです。面倒ではあるが、この方法は感染からの最も安全な回復を保証する。システムの復元が完了したら、コンピュータや重要なオンラインサイト(銀行、ソーシャルネットワーキング、電子メールなど)のログインパスワードを変更してください。
データファイル(自分で作成したファイル)を復元するのが一般的には安全ですが、まずは感染していないことを確認する必要があります。バックアップファイルがUSBドライブに保存されている場合は、自動実行を無効にするまで、新しく復元されたコンピュータにバックアップファイルを再度接続しないでください。そうしないと、自動実行型ワームによる再感染の可能性が非常に高くなります。
自動実行を無効にした後、バックアップドライブを差し込み、複数の異なるオンラインスキャナを使用してスキャンします。 2つ以上のオンラインスキャナから健全な健康保険証を取得した場合、復元されたPCにそれらのファイルを安全に復元することができます。
