前回に引き続きマルウェアの駆除方法を記載していきます。今回は最後の作業となり、マルウェアが残した設定項目などを削除していく方法です。
前回も記載しましたが、この方法に関して損害があった場合も自己責任でお願いいたします。あくまでもひとつの手法ですので、この方法でマルウェアを駆除するかどうかはよく判断してから慎重に行ってください。
また、一部レジストリを変更・削除する場合もありますので、操作は自己責任でお願いいたします。
前回までの記事でマルウェアの実行ファイルなどを削除する方法をご紹介しました。今回はマルウェアの爪痕が残っている部分の削除を行います。
1.サービスの削除
マルウェアの一部はスタートアップにサービスを利用しているものもあります。本体の実行ファイルは削除してもサービスは残っていますので、それを削除していきます。
Windows10の場合は「スタート」から「ファイル名を指定して実行」で「services.msc」と入力します。
Windows7/8.1の場合はスタートクリックし「プログラムとファイルの検索」に「services.msc」と入力します。
サービス一覧が出てきます。この中で「説明」の欄が空白で、状態が「実行中」でないもの(空白のもの)、スタートアップの種類が「自動」のものがマルウェアが使用した怪しいサービスとなります。
該当するサービスを右クリックし、「プロバティ」を選択します。「全般」のタブに「実行ファイルのパス」が表示されますので、これを確認し、前回削除したフォルダに該当する場合はサービスを一覧から削除します。
サービスを削除する方法は Windows10の場合は「スタート」から「ファイル名を指定して実行」で「cmd.exe」と入力し、管理者として実行します。
Windows7/8.1の場合はスタートクリックし「プログラムとファイルの検索」に「cmd.exe」と入力し、管理者として実行します。
コマンドプロンプトが立ち上がったら、次のコマンドでサービスを削除します。
sc.exe delete 「サービス名」
この「サービス名」のところは先ほどのサービスのプロバティで「全般」のタブの上部に記載されている「サービス名」です。
「サービス名」 DeleteService SUCCESS
と表示されれば削除されたことになります。この方法でマルウェアが使用したサービスを削除してください。
次にスタートアップを削除します。最初に元スタートアップに入っていたアイコン(任意の場所に保存したもの)はそのままゴミ箱に捨てます。
次に「Argente Autorun」をインストールし、実行します。
マルウェアが残したスタートアップにチェックを入れ、右クリックを行い「Remove」(またはXマーク)を行います。これでスタートアップは削除されました。
3.アプリケーションの一覧の削除
次に、アプリケーションのインストール項目の削除を行います。ここではWindows10の場合設定からのアプリのアンインストールではなく、コントロールパネルの「プログラムと機能」を使用します。
Windows10の場合は「スタート」から「ファイル名を指定して実行」で「appwiz.cpl」と入力します。
Windows7/8.1の場合はスタートクリックし「プログラムとファイルの検索」に「appwiz.cpl」と入力します。
マルウェアのプログラムを選択し、「アンインストール」を選択します。すでに削除されていますので「一覧から削除しますか?」とメッセージがでてきますので「はい」を選択します。
4.ブラウザの設定の確認
使用しているブラウザにマルウェアのアドオンがインストールされていないか確認してください。またスタートページも書き換えられている可能性もあります。その場合は変更しましょう。
5.hostsファイルの確認
hostsファイルとはDNSより先に参照されるIPアドレスとドメイン名を登録しておくファイルです。マルウェアの場合、このhostsファイルを書き換えるものもあります。
hostsファイルは次の場所にあります。
C:\Windows\System32\drivers\etc\hosts
このファイルはテキストファイルです。メモ帳などで開きます。
hostsの記述例は
IPアドレス(スペース or タブ) ホスト名
となっています。ただし先頭に「#」の文字が入っている場合は注釈部分になります。
この中に記述した覚えのないアドレスが記載されている場合はその部分を削除し、上書き保存を行います。
6.最後にウイルスチェック
すべての作業が終わりましたら、ウイルスチェックをフルスキャンで行ってください。
ただし、レジストリのチェックはレジストリクリーナーなどは使用しないでください。ウイルスチェックを行うことにより、不正のレジストリが発見され、修復されます。レジストリクリーナーを使用すると、逆にシステムに影響を与えてしまう可能性があり危険です。絶対にこの場合は行わないでください。
7.パソコンを再起動
これですべて作業が終了したはずです。パソコンを再起動し、ログインしたらタスクマネージャーを開き、怪しいプログラムが動作していないか確認してください。アプリケーションが動作している場合はCPUの使用率やディスクの使用率でわかります。マルウェアが動作していないことを確認したら他のアプリケーションの動作も一通り確認し、システムの復元ポイントを作成することをお勧めいたします。
以上でマルウェアの除去の一連の作業が終了したことになります。一番最初に記した通り、あくまでもこの方法はマルウェアを除去する1つの方法でこれがベストとは限りません。あくまでも自己責任で操作をお願いいたします。
これらの前後の記事を検索する場合はタグを「マルウェア削除」でブログ内を検索してください。
1.サービスの削除
マルウェアの一部はスタートアップにサービスを利用しているものもあります。本体の実行ファイルは削除してもサービスは残っていますので、それを削除していきます。
Windows10の場合は「スタート」から「ファイル名を指定して実行」で「services.msc」と入力します。
Windows7/8.1の場合はスタートクリックし「プログラムとファイルの検索」に「services.msc」と入力します。
サービス一覧が出てきます。この中で「説明」の欄が空白で、状態が「実行中」でないもの(空白のもの)、スタートアップの種類が「自動」のものがマルウェアが使用した怪しいサービスとなります。
該当するサービスを右クリックし、「プロバティ」を選択します。「全般」のタブに「実行ファイルのパス」が表示されますので、これを確認し、前回削除したフォルダに該当する場合はサービスを一覧から削除します。
サービスを削除する方法は Windows10の場合は「スタート」から「ファイル名を指定して実行」で「cmd.exe」と入力し、管理者として実行します。
Windows7/8.1の場合はスタートクリックし「プログラムとファイルの検索」に「cmd.exe」と入力し、管理者として実行します。
コマンドプロンプトが立ち上がったら、次のコマンドでサービスを削除します。
sc.exe delete 「サービス名」
この「サービス名」のところは先ほどのサービスのプロバティで「全般」のタブの上部に記載されている「サービス名」です。
「サービス名」 DeleteService SUCCESS
と表示されれば削除されたことになります。この方法でマルウェアが使用したサービスを削除してください。
2.スタートアップの削除
次にスタートアップを削除します。最初に元スタートアップに入っていたアイコン(任意の場所に保存したもの)はそのままゴミ箱に捨てます。
次に「Argente Autorun」をインストールし、実行します。
マルウェアが残したスタートアップにチェックを入れ、右クリックを行い「Remove」(またはXマーク)を行います。これでスタートアップは削除されました。
3.アプリケーションの一覧の削除
次に、アプリケーションのインストール項目の削除を行います。ここではWindows10の場合設定からのアプリのアンインストールではなく、コントロールパネルの「プログラムと機能」を使用します。
Windows10の場合は「スタート」から「ファイル名を指定して実行」で「appwiz.cpl」と入力します。
Windows7/8.1の場合はスタートクリックし「プログラムとファイルの検索」に「appwiz.cpl」と入力します。
マルウェアのプログラムを選択し、「アンインストール」を選択します。すでに削除されていますので「一覧から削除しますか?」とメッセージがでてきますので「はい」を選択します。
4.ブラウザの設定の確認
使用しているブラウザにマルウェアのアドオンがインストールされていないか確認してください。またスタートページも書き換えられている可能性もあります。その場合は変更しましょう。
5.hostsファイルの確認
hostsファイルとはDNSより先に参照されるIPアドレスとドメイン名を登録しておくファイルです。マルウェアの場合、このhostsファイルを書き換えるものもあります。
hostsファイルは次の場所にあります。
C:\Windows\System32\drivers\etc\hosts
このファイルはテキストファイルです。メモ帳などで開きます。
hostsの記述例は
IPアドレス(スペース or タブ) ホスト名
となっています。ただし先頭に「#」の文字が入っている場合は注釈部分になります。
この中に記述した覚えのないアドレスが記載されている場合はその部分を削除し、上書き保存を行います。
6.最後にウイルスチェック
すべての作業が終わりましたら、ウイルスチェックをフルスキャンで行ってください。
ただし、レジストリのチェックはレジストリクリーナーなどは使用しないでください。ウイルスチェックを行うことにより、不正のレジストリが発見され、修復されます。レジストリクリーナーを使用すると、逆にシステムに影響を与えてしまう可能性があり危険です。絶対にこの場合は行わないでください。
7.パソコンを再起動
これですべて作業が終了したはずです。パソコンを再起動し、ログインしたらタスクマネージャーを開き、怪しいプログラムが動作していないか確認してください。アプリケーションが動作している場合はCPUの使用率やディスクの使用率でわかります。マルウェアが動作していないことを確認したら他のアプリケーションの動作も一通り確認し、システムの復元ポイントを作成することをお勧めいたします。
以上でマルウェアの除去の一連の作業が終了したことになります。一番最初に記した通り、あくまでもこの方法はマルウェアを除去する1つの方法でこれがベストとは限りません。あくまでも自己責任で操作をお願いいたします。
これらの前後の記事を検索する場合はタグを「マルウェア削除」でブログ内を検索してください。
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/33d66e47.69743159.33d66e48.f37c3978/?me_id=1409719&item_id=10000254&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbestlife-store%2Fcabinet%2F09572204%2Fwhitepc_rtx3070_bwn.jpg%3F_ex%3D300x300&s=300x300&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/33d67014.35368b22.33d67015.77fb54da/?me_id=1407733&item_id=10000637&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_gold%2Fdospara-r%2Fimg%2Fitem%2Fdospara-r_12058.jpg%3F_ex%3D300x300&s=300x300&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
コメント