Windowsコンピューターがウイルスまたはマルウェアに感染していると思われる場合はどうすればよいですか？

• 感染症の症状は何ですか？
• 感染に気付いた後はどうすればよいですか？
• 私はそれを取り除くために何ができますか？
• マルウェアによる感染を防ぐ方法

この質問は頻繁に発生し、提案される解決策は通常同じです。このコミュニティwikiは、最も包括的な、可能な限り包括的な回答としての役割を果たすことを目的としています。

編集を介して自由に貢献を追加してください。

ここに問題があります：近年のマルウェアは、卑劣で厄介なものになっています：

Sneakierは、ルートキットやEEPROMハックで隠れるだけでなく、パックで移動するためです。微妙なマルウェアは、より明らかな感染の背後に隠れることがあります。ここの回答には、マルウェアの99％を見つけることができる優れたツールが多数リストされていますが、まだ1％がまだ見つけられないことが常にあります。ほとんどの場合、その1％は新しいものです。マルウェアツールは、出てきたばかりであり、ツールがまだ知らない新しい悪用または手法を使用しているため、それを見つけることができません。

マルウェアの有効期間も短い。感染している場合、その新しい1％の何かが感染の一部である可能性が非常に高くなります。感染全体ではなく、その一部にすぎません。セキュリティツールは、より明白で有名なマルウェアを見つけて削除するのに役立ち、ほとんどの場合目に見える症状をすべて削除します（そこまで掘り続けることができるため）または、セキュリティツールがまだ確認方法を知らない新しい悪用の背後に隠れているルートキット。マルウェア対策ツールにはまだ場所がありますが、後で説明します。

Nastierは、単に広告を表示したり、ツールバーをインストールしたり、コンピューターをゾンビとして使用したりすることはありません。現代のマルウェアは、銀行やクレジットカードの情報に適している可能性があります。このようなものを構築する人々は、もはや名声を求めている単なる脚本の子供ではありません。彼らは現在、利益に動機付けられた組織化された専門家であり、あなたから直接盗むことができない場合、彼らは好転して売ることができるものを探します。これは、コンピューターの処理またはネットワークリソースですが、社会保障番号またはファイルを暗号化して身代金のために保持することもあります。

これら2つの要素を組み合わせると、インストールされたオペレーティングシステムからマルウェアを削除しようとすることすら価値がなくなります。私はかつてこのようなものを取り除くのが非常に得意で、そのようにして自分の生活のかなりの部分を占めていたので、もはや試みさえしませんでした。私はそれができないと言っているわけではありませんが、コスト/便益とリスク分析の結果が変わったと言っています：もう価値がないだけです。危機にmuchしすぎて、効果があるとしか思えない結果を得るのは簡単すぎます。

多くの人がこれについて私に反対しますが、失敗の結果を十分に重視していないことに挑戦します。あなたは、毎日何百万人もそれをしている詐欺師よりもこれに優れているというあなたの人生の節約、あなたの良い信用、あなたのアイデンティティさえ賭けますか？ マルウェアを削除してから古いシステムを実行し続けようとすると、まさにそれがあなたのしていることです。

「ねえ、私はさまざまなマシンからいくつかの感染を取り除いたが、悪いことは一度もなかった」という考えを読んでいる人々がいることは知っています。私も、友達。私も。過去数日で、感染したシステムのシェアをクリーンアップしました。それにもかかわらず、私は今、その文の最後に「まだ」を追加する必要があることを提案します。99％の効果が得られるかもしれませんが、一度間違えるだけでよく、失敗の結果は以前よりもはるかに高くなります。1つの失敗のコストは、他の成功のすべてを簡単に上回る可能性があります。マシンが既に存在し、その中に時限爆弾がまだある場合、アクティベートされるのを待つか、適切な情報を収集してから報告することもできます。たとえ100％の効果的なプロセスを手に入れたとしても、このことは常に変わります。覚えておいてください：あなたは毎回完璧でなければなりません。

要約すると、残念ですが、マルウェアの感染が確認されている場合は、コンピュータを完全に再舗装することが最後の場所ではなく最初の場所になります。

これを実現する方法は次のとおりです。

感染する前に、内蔵ハードディスクに保存されているものに依存しない、オペレーティングシステムを含む購入したソフトウェアを再インストールする方法があることを確認してください。この目的のために、通常は単にcd / dvdsまたはプロダクトキーにハングアップすることを意味しますが、オペレーティングシステムでは、リカバリディスクを自分で作成する必要がある場合があります。¹これにはリカバリパーティションに依存しないでください。再インストールする必要があるものがあることを確認するために感染後まで待つと、同じソフトウェアの料金を再度支払うことに気付く場合があります。ランサムウェアの台頭により、データの定期的なバックアップ（さらに、ハードドライブ障害などの悪意のない定期的なバックアップ）をとることも非常に重要です。

マルウェアの疑いがある場合は、他の回答をご覧ください。推奨される多くの優れたツールがあります。私の唯一の問題は、それらを使用する最良の方法です。検出にのみ依存しています。ツールをインストールして実行しますが、実際の感染の証拠（「トラッキングCookie」以上のもの）が見つかったらすぐにスキャンを停止します。ツールはその仕事を完了し、感染を確認しました。²

感染が確認された時点で、次の手順を実行します。

1. クレジットおよび銀行口座を確認してください。感染について知るまでに、実際の被害はすでに行われている可能性があります。カード、銀行口座、IDを保護するために必要な手順を実行します。
2. 侵入先のコンピューターからアクセスしたWebサイトのパスワードを変更します。侵入先のコンピューターを使用してこれを実行しないでください。
3. データのバックアップを取ります（すでに持っている場合はさらに良い）。
4. OS発行元から直接入手した元のメディアを使用して、オペレーティングシステムを再インストールします。再インストールにディスクの完全な再フォーマットが含まれていることを確認してください。システムの復元またはシステムの回復操作では不十分です。
5. アプリケーションを再インストールします。
6. オペレーティングシステムとソフトウェアが完全にパッチ適用され、最新であることを確認してください。
7. 完全なウイルス対策スキャンを実行して、手順2のバックアップをクリーンアップします。
8. バックアップを復元します。

適切に行われた場合、アプリのインストール、Windowsの更新プログラムのダウンロード、大きなバックアップファイルなどを待つ間に2〜3日（またはそれ以上）の時間を要し、実際の時間は2〜6時間かかります。転送する...しかし、詐欺師があなたの銀行口座を使い果たしたことを後で知るよりはましです。残念ながら、これはあなたが自分でやるべきことです。およそ100ドル/時間の通常のコンサルティングレートでは、これを行うためにショップに支払うよりも新しいマシンを購入する方が安くなる可能性があります。友人があなたのためにそれをするなら、あなたの感謝を示すために何か良いことをしてください。あなたが新しいものをセットアップしたり、壊れたハードウェアを修正するのを手伝うのが大好きなオタクでさえ、しばしば嫌いですクリーンアップ作業の退屈。また、自分でバックアップを取ることをお勧めします。友人は、どこにどのファイルを置いているのか、どのファイルがあなたにとって本当に重要なのかを知りません。あなたは彼らよりも良いバックアップを取るのに良い立場にいます。

ファームウェアに感染する可能性のあるマルウェアが存在するため、すぐにこれらすべてでも十分ではないかもしれません。ハードドライブを交換しても感染を除去できない場合があり、新しいコンピューターを購入することが唯一の選択肢になります。ありがたいことに、私がこれを書いている時点では、まだその時点までではありませんが、それは間違いなく水平線にあり、近づいています。

すべての理由を超えて、最初からやり直すのではなく、既存のインストールを本当に削除することを絶対に主張する場合は、神の愛のために、使用する方法に次の2つの手順のいずれかが含まれていることを確認してください：

• ハードドライブを取り外し、別の（クリーンな！）コンピューターのゲストディスクとして接続して、スキャンを実行します。

または

• 独自のカーネルを実行する独自のツールセットを使用して、CD / USBキーから起動します。このためのイメージが取得され、クリーンなコンピューターで焼かれていることを確認してください。必要に応じて、友人にディスクを作成してもらいます。

いかなる状況でも、侵害されたオペレーティングシステムのゲストプロセスとして実行されているソフトウェアを使用して、感染したオペレーティングシステムを駆除しようとしてはなりません。それは単なる愚かなことです。

もちろん、感染を修正する最善の方法は、そもそも感染を回避することです。これを支援するためにできることがいくつかあります。

1. システムにパッチを適用してください。Windows Updates、Adobe Updates、Java Updates、Apple Updatesなどを速やかにインストールするようにしてください。これは、ウイルス対策ソフトウェアよりもはるかに重要です。それらの会社のほとんどは、毎月同じ日にすべての新しいパッチをリリースすることに非公式に決着しているので、最新の状態に保てば、それほど頻繁に中断することはありません。通常、Windows Updateの中断は、無視する時間が長すぎる場合にのみ発生します。これが頻繁に起こる場合、あなたの行動を変えるのはあなた次第です。これらは重要であり、「後でインストール」オプションを選択するだけでは、たとえそれがより簡単な場合でも、継続的に大丈夫ではありません。
2. デフォルトでは管理者として実行しないでください。Windowsの最近のバージョンでは、UAC機能をオンのままにしておくのと同じくらい簡単です。
3. 適切なファイアウォールツールを使用します。最近では、Windowsのデフォルトのファイアウォールで十分です。フロントエンドでの悪意のある活動を阻止するのに役立つWinPatrolのようなものでこのレイヤーを補完することができます。Windows Defenderは、この能力でもある程度機能します。このレベルでは、基本的なAd-Blockerブラウザープラグインもセキュリティツールとしてますます便利になっています。
4. ほとんどのブラウザプラグイン（特にFlashとJava）を「アクティブにするように要求」に設定します。

5. 現在のウイルス対策ソフトウェアを実行します。これは、他のオプションに比べて5番めの距離です。従来のA / Vソフトウェアは、多くの場合、もはやそれほど効果的ではないからです。「現在」を強調することも重要です。世界で最高のウイルス対策ソフトウェアを使用できますが、最新でない場合は、アンインストールすることもできます。

   このため、現在、Microsoft Security Essentialsを推奨しています。（Windows 8以降、Microsoft Security EssentialsはWindows Defenderの一部です。）はるかに優れたスキャンエンジンが存在する可能性がありますが、Security Essentialsは登録が期限切れになるリスクを負うことなく最新の状態を保ちます。AVGとAvastもこの方法でうまく機能します。有料のサブスクリプションが期限切れになり、定義が古くなってしまうことは非常に一般的であるため、実際に支払う必要があるアンチウイルスソフトウェアはお勧めできません。

   Macユーザーもウイルス対策ソフトウェアを実行する必要があることにも注意してください。彼らがそれなしで逃げることができた時代は、長い間過ぎ去っています。余談として、私はそれがだと思う陽気な私は今、Macユーザーはアンチウイルスソフトウェアを購入をお勧めしますが、それに対して、Windowsの利用者に助言する必要があります。

6. トレントサイト、ウェアーズ、海賊版ソフトウェア、および海賊版映画/ビデオを避けてください。このようなものには、それをクラックまたは投稿した人によってマルウェアが注入されることがよくあります。常にではありませんが、多くの場合、混乱を回避するのに十分です。それは、クラッカーがこれを行う理由の一部です。多くの場合、彼らは利益の削減を得るでしょう。
7. Webを閲覧するときは頭を使用してください。あなたはセキュリティチェーンの中で最も弱いリンクです。何かが本当であるには余りにも良いと思われる場合、それはおそらくです。最も明らかなダウンロードボタンが新しいソフトウェアをダウンロードする際に使用することはめったにないため、リンクをクリックする前にWebページのすべてを読んで理解してください。ポップアップが表示されるか、Microsoftに電話するかセキュリティツールをインストールするように求める音声メッセージが聞こえる場合、それは偽物です。
   また、サードパーティのファイルホスティングWebサイトではなく、ベンダーまたは開発者からソフトウェアと更新/アップグレードを直接ダウンロードすることをお勧めします。

_{¹ MicrosoftはWindows 10インストールメディアを公開し、8GB以上のフラッシュドライブを無料で合法的にダウンロードして書き込むことができるようになりました。それでも有効なライセンスが必要ですが、基本的なオペレーティングシステム用に別のリカバリディスクは必要ありません。}

_{²これは、アプローチをやや緩和したことを指摘する良い機会です。今日、ほとんどの「感染」は、PUP（潜在的に望ましくないプログラム）と他のダウンロードに含まれるブラウザー拡張機能のカテゴリーに分類されます。多くの場合、これらのPUP /拡張機能は従来の方法で安全に削除できますが、今ではマルウェアの十分な割合であるため、この時点で停止し、プログラムの追加と削除機能または通常のブラウザーオプションを試して拡張機能を削除します。ただし、より深い何かの最初の兆候-ソフトウェアが正常にアンインストールするだけではないというヒント-で、マシンの修復に戻ります。}

PCが感染しているかどうかを確認するにはどうすればよいですか？

マルウェアの一般的な症状は何でもあります。通常は次のとおりです。

• マシンは通常よりも低速です。
• ランダムな障害と、そうでないときに起こること（たとえば、一部の新しいウイルスは、タスクマネージャーまたは他の診断プログラムの実行を防ぐために、グループポリシーの制限をコンピューターに適用します）。
• マシンがアイドル状態であると思われる場合（5％未満など）、タスクマネージャーは高いCPUを示します。
• ランダムにポップアップする広告。
• インストールした覚えのないアンチウイルスからウイルス警告がポップアップします（アンチウイルスプログラムは偽物であり、「bankpasswordstealer.vir」のような名前の恐ろしいサウンドウイルスがあると主張しようとします。 ）。
• ポップアップ/偽のブルースクリーン（BSOD）で、感染を修正するための電話番号を尋ねます。
• リダイレクトまたはブロックされたインターネットページ、たとえば、AV製品またはサポートサイト（www.symantec.com、www.avg.com、www.microsoft.com）のホームページは、広告で埋められたサイト、または偽のアンチを宣伝する偽サイトにリダイレクトされます。ウイルス/「有用な」駆除ツール、または完全にブロックされています。
• アプリケーション（またはパッチ）をインストールしていないときの起動時間の増加...これは厄介です。
• 個人ファイルは暗号化され、身代金メモが表示されます。
• 青色のものは何でも、システムを「知っている」場合、通常は何かが非常に間違っていることを知っています。

どうすればこれを取り除くことができますか？

ライブCDを使用する

感染したPCのウイルススキャナが危険にさらされる可能性があるため、Live CDからドライブをスキャンする方がおそらく安全です。CDはコンピューターの専用オペレーティングシステムを起動し、ハードドライブをスキャンします。

たとえば、Avira Antivir Rescue Systemまたはubcd4winがあります。無料のブータブルアンチウイルスレスキューCDダウンロードリストには、次のようなその他の提案があります。

• カスペルスキーレスキューCD
• BitDefender Rescue CD
• F-Secure Rescue CD
• Avira Antivir Rescue Disk
• トリニティレスキューキットCD
• AVG Rescue CD

ハードドライブを別のPCに接続する

感染したハードドライブをスキャンするために感染したハードドライブをクリーンシステムに接続する場合は、感染したドライブのスキャンに使用するすべての製品のウイルス定義を更新してください。ウイルス対策プロバイダーが新しいウイルス定義をリリースできるように1週間待つと、すべてのウイルスを検出する可能性が高くなります。

感染したシステムは、感染していることが判明したらすぐにインターネットから切断されたままにしてください。これにより、（特に）新しいバージョンのウイルスをダウンロードできなくなります。

Spybot Search and DestroyやMalwarebytes 'Anti-Malwareなどの優れたツールから始めて、フルスキャンを実行します。関連検索ComboFixを、そしてSuperAntiSpyware。すべてのウイルス定義を持つ単一のウイルス対策製品はありません。複数の製品を使用することが重要です（リアルタイム保護のためではありません）。ウイルスが1つでもシステムに残っている場合、新しいウイルスの最新版をすべてダウンロードしてインストールできる可能性がありますが、これまでの努力はすべて無駄でした。

疑わしいプログラムをブートから削除する

1. セーフモードで起動します。
2. msconfig起動時に起動するプログラムやサービスを決定するために使用します（またはWindows 8のタスクマネージャーで起動します）。
3. 疑わしいプログラム/サービスがある場合は、それらをブートから削除します。それ以外の場合は、ライブCDの使用にスキップします。
4. 再起動。
5. 症状が消えない場合や、起動時にプログラムが自動的に置き換わる場合は、Autorunsというプログラムを使用してプログラムを見つけ、そこから削除してみてください。コンピューターを起動できない場合、自動実行には「オフラインPCの分析」と呼ばれる2番目のPCから実行できる機能があります。タブLogonとScheduled tasksタブには特に注意してください。
6. それでもプログラムの削除に成功せず、それが問題の原因であることが確実な場合は、通常モードで起動し、Unlockerというツールをインストールします
7. そのウイルスであるファイルの場所に移動し、ロック解除プログラムを使用してそれを殺そうとします。いくつかのことが起こるかもしれません：
   1. ファイルは削除され、再起動時に再表示されません。これが最良のケースです。
   2. ファイルは削除されますが、すぐに再表示されます。この場合、Process Monitorというプログラムを使用して、ファイルを再作成したプログラムを見つけます。そのプログラムも削除する必要があります。
   3. ファイルは削除できません。ロック解除プログラムは、再起動時に削除するように求めます。それを行い、それが再表示されるかどうかを確認します。存在する場合は、起動するプログラムを起動して、起動中に実行されるプログラムのリストを再検査する必要があります。

復元後の処理

これで、（以前は）感染したシステムを起動しても安全です（できれば）。それでも、感染の兆候に目を開けておいてください。ウイルスは、ウイルスが削除された後でも再感染しやすくする変更をコンピューターに残すことができます。

たとえば、ウイルスがDNSまたはプロキシ設定を変更した場合、コンピューターは正当なWebサイトの偽のバージョンにリダイレクトするため、有名で信頼できるプログラムと思われるものをダウンロードすると、実際にウイルスがダウンロードされます。

また、偽の銀行口座サイトや偽のメールサイトにリダイレクトしてパスワードを取得することもできます。DNSとプロキシの設定を確認してください。ほとんどの場合、DNSはISPによって提供されるか、DHCPによって自動的に取得されます。プロキシ設定を無効にする必要があります。

hostsファイル（\%systemroot%\system32\drivers\etc\hosts）で疑わしいエントリを確認し、すぐに削除してください。また、ファイアウォールが有効になっており、すべての最新のWindowsアップデートがあることを確認してください。

次に、優れたウイルス対策でシステムを保護し、マルウェア対策製品でそれを補います。多くの場合、Microsoft Security Essentialsは他の製品と共に推奨されます。

すべてが失敗した場合の対処方法

一部のマルウェアはスキャナーの回避に非常に優れていることに注意してください。一度感染すると、ルートキットなどをインストールして目に見えないようにすることができます。状況が本当に悪い場合、唯一のオプションはディスクを消去し、オペレーティングシステムを最初から再インストールすることです。ルートキットがある場合、GMERまたはKasperskyのTDSS Killerを使用したスキャンで表示されることがあります。

Spybot Search and Destroyを数回実行することもできます。3回実行した後、侵入を削除できない場合（および手動で削除できない場合）、再インストールを検討してください。

別の提案：Combofixは、ルートキットが他のものの実行またはインストールを妨げる場合の非常に強力な駆除ツールです。

複数のスキャンエンジンを使用すると、隠れているマルウェアを見つけるのに役立ちますが、それは気難しい作業であり、優れたバックアップ/復元戦略はより効率的で安全です。

ボーナス：Sysinternals ProcessExplorer＆Autorunsの作成者であるMark Russinovichによる「マルウェアの理解と戦い：ウイルス、スパイウェア」から始まる興味深いビデオシリーズがあり、マルウェアのクリーニングについて説明しています。

Jeff Atwoodの「Windows Spyware Infestationをクリーンアップする方法」には、マルウェアと戦うためのヒントがいくつかあります。基本的なプロセスは次のとおりです（スクリーンショットや、この概要で説明されているその他の詳細については、ブログの投稿を必ずお読みください）。

1. 現在実行中のスパイウェアをすべて停止します。Windowsのビルトインタスクマネージャーはそれをカットしません。Sysinternals Process Explorerを入手します。
   1. Process Explorerを実行します。
   2. 会社名でプロセスリストを並べ替えます。
   3. 会社名を持たないプロセス（DPC、割り込み、システム、システムアイドルプロセスを除く）、または認識できない会社名を持っているプロセスをすべて終了します。
2. 次回のシステム起動時に、スパイウェアの再起動を停止します。繰り返しますが、Windowsの組み込みツールであるMSconfigは部分的なソリューションですが、Sysinternals AutoRunsが使用するツールです。
   1. AutoRunsを実行します。
   2. リスト全体をご覧ください。疑わしいエントリ-パブリッシャー名が空白のエントリーや、認識できないパブリッシャー名のあるエントリーのチェックを外します。
3. 次にリブートします。
4. 再起動後、Process ExplorerとAutoRunsで再確認します。何かが「戻ってくる」場合は、さらに深く掘り下げる必要があります。
   • ジェフの例で、戻ってきたものの1つは、AutoRunsの疑わしいドライバーエントリでした。彼は、プロセスエクスプローラーでプロセスをロードしたプロセスを追跡し、ハンドルを閉じ、不正なドライバーを物理的に削除することを通して語ります。
   • 彼はまた、Winlogonプロセスにフックする奇妙な名前のDLLファイルを見つけ、そのDLLをロードしているプロセススレッドを見つけて強制終了し、AutoRunsが最終的にエントリを削除できるようにします。

マルウェアを削除する私の方法は効果的であり、失敗するのを見たことはありません。

1. ダウンロードするAutorunsを、あなたはまだ実行した場合、32ビットは、ルートキットスキャナをダウンロードしてください。
2. セーフモードで起動し、可能な場合は自動実行を開始してから、手順5に進みます。
3. セーフモードを使用できない場合は、ディスクを別のコンピューターに接続します。
4. そのコンピューターで自動実行を開始し、[ファイル]-> [オフラインシステムの分析]に移動して入力します。
5. スキャンが完了するまで待ちます。
6. [オプション]メニューで、すべてを選択します。
7. F5キーを押して、もう一度スキャンします。これは、物事がキャッシュされるとすぐに進みます。
8. リストに目を通し、疑わしいものや検証済みの会社がないものはすべてオフにします。
9. オプション：ルートキットスキャナーを実行します。
10. 一番上のウイルススキャナーで、残っているファイルを削除します。
11. オプション：マルウェア対策およびスパイウェア対策スキャナーを実行して、ジャンクを取り除きます。
12. オプション： HijackThis / OTL / ComboFixなどのツールを実行して、ジャンクを取り除きます。
13. 再起動して、クリーンなシステムをお楽しみください。
14. オプション：ルートキットスキャナーを再度実行します。
15. コンピューターが十分に保護されていることを確認してください！

いくつかのコメント：

• AutorunsはMicrosoftによって作成されたため、自動的に開始するものの場所を示します...
• Autorunsからソフトウェアのチェックを外すと、ソフトウェアは起動せず、削除を防ぐことはできません...
• 署名が必要なため、64ビットオペレーティングシステム用のルートキットはありません...

マルウェア/スパイウェア/ウイルスの起動を無効にするため、効果的
です。オプションのツールを自由に実行して、システムに残っているジャンクを一掃できます。

PCを消毒するには、以下の順序に従ってください

1. 感染していないPCで、ブートAVディスクを作成し、感染したPCのディスクから起動して、ハードドライブをスキャンし、見つかった感染を削除します。私が好むWindows Defenderのオフラインそれがブートセクタウイルスを削除することができますので、ブートCD / USBを、下記の「注意」を参照してください。

   または、他のAVブートディスクを試すことができます。

2. ブートディスクを使用してマルウェアをスキャンして削除したら、無料のMBAMをインストールしてプログラムを実行し、（更新）タブに移動して更新し、（スキャナー）タブに移動してクイックスキャンを実行し、見つかったものを選択して削除します。

3. MBAMが完了したら、SAS無料版をインストールし、クイックスキャンを実行して、自動的に選択したものを削除します。

4. Windowsシステムファイルが感染している場合、SFCを実行してファイルを置き換える必要があります。感染したシステムファイルが削除されて起動しない場合は、オフラインにする必要があります。感染の除去が完了したら、SFCを実行することをお勧めします。

5. 場合によっては、スタートアップ修復（Windows VistaおよびWindows7のみ）を実行して、適切に再起動する必要がある場合があります。極端な場合には、3回連続してスタートアップ修復が必要になる場合があります。

MBAMとSASはノートンのようなAVソフトウェアではありません。これらはオンデマンドスキャナーであり、プログラムの実行時に厄介なものだけをスキャンし、インストールされているAVに干渉しません。毎日、毎週のスキャンの前に必ず更新してください。

注：Windows Defender Offline製品は、最近よく見られる永続的なMBR感染の除去に非常に優れています。

。

上級ユーザー向け：

「システム修正」「AVセキュリティ2012」など、それ自体をソフトウェアとして表す単一の感染がある場合 、特定の駆除ガイドについてはこのページを参照してください

。

症状に気付いた場合、確認する必要があるのは、ネットワーク接続のDNS設定です。

これらが「DNSサーバーアドレスを自動的に取得する」から、または本来あるべきサーバーとは異なるサーバーに変更された場合、感染していることを示す良い兆候です。これが、マルウェア対策サイトからのリダイレクトの原因になるか、サイトにまったくアクセスできなくなる可能性があります。

感染が発生する前にDNS設定をメモしておくとよいでしょう。また、詳細はISPのWebサイトのヘルプページで入手できます。

DNSサーバーのメモがなく、ISPサイトで情報が見つからない場合は、Google DNSサーバーを使用することをお勧めします。プライマリサーバーとセカンダリサーバーについては、それぞれ8.8.8.8と8.8.4.4にあります。

DNSをリセットしても問題は解決しませんが、a）マルウェア対策サイトにアクセスして、PCをクリーニングするために必要なソフトウェアを取得し、b）DNS設定が再び変更されるときに感染が再発するかどうかを見つけることができます。

ランサムウェア

新しい、特に恐ろしいマルウェアはランサムウェアです。この種のプログラムは、通常、トロイの木馬（電子メールの添付ファイルなど）またはブラウザーのエクスプロイトで配信され、コンピューターのファイルを通過して暗号化し（完全に認識不能および使用不可になります）、使用可能な状態に戻すために身代金を要求します状態。

ランサムウェアは通常、非対称キー暗号化を使用します。これには、公開キーと秘密キーの 2つのキーが含まれます。ランサムウェアに見舞われると、コンピューターで実行されている悪意のあるプログラムが悪意のあるサーバー（コマンドアンドコントロール、またはC＆C）に接続し、両方のキーが生成されます。ファイルを暗号化するために必要なのはそれだけなので、コンピューター上のマルウェアに公開キーを送信するだけです。残念ながら、ファイルは秘密キーでしか復号化できません。これは、ランサムウェアが適切に作成されている場合、コンピューターのメモリにも入りません。悪者は通常、支払いをすれば秘密鍵を提供する（それによりファイルを復号化できる）と言いますが、もちろんそれを信頼する必要があります。

できること

最善のオプションは、OSを再インストールし（マルウェアの痕跡をすべて削除する）、以前に作成したバックアップから個人ファイルを復元することです。現在バックアップがない場合、これはより困難になります。重要なファイルをバックアップする習慣をつけてください。

支払いを済ませれば、おそらくファイルを回復できますが、そうしないでください。そうすることで、ビジネスモデルがサポートされます。また、私は「おそらく回復させます」と言います。これは、少なくとも2つの系統が非常に不十分に書かれているため、ファイルを修復できないほど破壊するからです。対応する復号化プログラムも実際には機能しません。

代替案

幸いなことに、3番目のオプションがあります。多くのランサムウェア開発者がミスを犯し、優れたセキュリティプロフェッショナルが損害を取り消すプロセスを開発できるようになりました。そのためのプロセスは、ランサムウェアの負担に完全に依存しており、そのリストは常に変化しています。すばらしい人々の中には、ロックされたファイルに適用される拡張子や身代金メモの名前など、ランサムウェアの亜種の大きなリストをまとめて、どのバージョンを持っているかを特定するのに役立つものがあります。かなりの数の株について、そのリストには無料の復号化ツールへのリンクもあります！適切な指示（リンクは[復号化]列にあります）に従ってファイルを回復します。始める前に、この質問に対する他の回答を使用して、ランサムウェアプログラムがコンピューターから削除されていることを確認してください。

拡張機能と身代金メモ名だけで​​ヒットしたものを特定できない場合は、身代金メモからいくつかの特徴的なフレーズをインターネットで検索してみてください。スペルミスや文法ミスは通常かなりユニークであり、ランサムウェアを識別するフォーラムスレッドに出くわす可能性があります。

お使いのバージョンがまだ知られていない場合、またはファイルを復号化する無料の方法がない場合、希望をあきらめないでください！セキュリティ研究者はランサムウェアの取り消しに取り組んでおり、法執行機関は開発者を追跡しています。復号化機能が最終的に表示される可能性があります。身代金の期限が限られている場合、修正が開発されたときにファイルがまだ回復可能であると考えられます。そうでなくても、絶対に必要な場合を除いて、支払わないでください。待っている間、この質問に対する他の回答を使用して、コンピューターにマルウェアがないことを確認してください。ファイルの暗号化されたバージョンをバックアップして、修正プログラムが公開されるまで安全に保管することを検討してください。

可能な限り復旧したら（そして、外部メディアにバックアップを作成してください！）、OSをゼロからインストールすることを強く検討してください。繰り返しになりますが、それはシステムの奥深くに潜んでいるマルウェアを吹き飛ばします。

バリアント固有の追加のヒント

大きなスプレッドシートにはまだないランサムウェアバリアント固有のヒント：

• LeChiffre の復号化ツールが機能しない場合は、16進エディターを使用して、各ファイルのデータの最初と最後の8 KBを除くすべてを復元できます。アドレス0x2000にジャンプし、最後の0x2000バイトを除くすべてをコピーします。小さなファイルは完全に破壊されますが、多少の手間をかけることで、大きなファイルから何か役立つものを得ることができるかもしれません。
• あなたがヒットしてきた場合WannaCryptし、Windows XPを実行している、感染するので、再起動、および幸運でいない、あなたが持つ秘密鍵を抽出することができるかもしれませんWannakeyを。
• Bitdefenderには、バリアントの特定と特定のバリアントの暗号化解除に役立つ無料のツールが多数あります。
• （他の人は発見されると追加されます）

結論

ランサムウェアは厄介であり、悲しい現実は、そこから回復することが常に可能ではないということです。将来的に自分自身を安全に保つには：

• オペレーティングシステム、Webブラウザー、およびウイルス対策を最新の状態に保つ
• 特に送信者がわからない場合は、予期しない電子メールの添付ファイルを開かないでください
• 大ざっぱなウェブサイト（つまり、違法または倫理的に疑わしいコンテンツを扱うサイト）を避けます
• アカウントで個人的に作業する必要があるドキュメントのみにアクセスできることを確認してください
• （コンピューターに接続されていない）常に外部メディアにバックアップを作成してください！

多種多様なマルウェアがあります。見つけて削除するのは簡単です。それのいくつかはより複雑です。その一部は見つけるのが非常に難しく、削除するのが非常に困難です。

ただし、軽度のマルウェアがある場合でも、OSの再構築と再インストールを強く検討する必要があります。これは、セキュリティがすでに失敗しており、単純なマルウェアで失敗した場合、すでに悪質なマルウェアに感染している可能性があるためです。

機密データを扱う人や機密データが保持されている内部ネットワークでは、ワイプと再インストールを強く検討する必要があります。貴重な時間を費やしている人は、ワイプと再インストールを強く検討する必要があります（最も早くて簡単で確実な方法です）。高度なツールに慣れていない人は、ワイプと再インストールを強く検討する必要があります。

しかし、時間がある人は、他の投稿にリストされている方法を試すことができます。

ウイルス感染の解決策は、（1）ウイルス対策スキャン、（2）システム修復、（3）完全再インストールの順です。

まず、すべてのデータがバックアップされていることを確認してください。

いくつかのアンチウイルスをロードしてインストールし、それらが最新であることを確認し、ハードディスクを詳細にスキャンします。少なくともMalwarebytes 'Anti-Malwareを使用することをお勧めします。私もアバストが好きです。

それが何らかの理由で機能しない場合は、レスキューライブCDウイルススキャナーを使用できます。1 日数回更新されるため、ダウンロードCDが最新であるため、Avira AntiVir Rescue Systemが最適です。ブートCDとしては自律的であり、Windowsシステムを使用しても機能しません。

ウイルスが見つからない場合は、「sfc / scannow」を使用して重要なWindowsファイルを修復します。
こちらの記事をご覧ください。

それでも解決しない場合は、修復インストールを実行する必要があります。

何も機能しない場合は、ハードディスクをフォーマットしてWindowsを再インストールする必要があります。

ディスカッションに追加したいもう1つのツールは、Microsoft Safety Scannerです。数か月前にリリースされたばかりです。Malicious Software Removal Toolに少し似ていますが、オフラインで使用するために設計されています。ダウンロードした時点で最新の定義が適用され、定義ファイルが「古すぎる」と見なされるため、10日間しか使用できません。別のコンピューターでダウンロードして、セーフモードで実行します。かなりうまくいきます。

最初にちょっとした理論：理解に代わるものはないことを理解してください。

究極のウイルス対策は、あなたが何をしているか、そして一般的にあなたのシステムで何が起こっているかを、あなた自身の心で、そしていわゆる現実で理解することです。

あなた自身やあなた自身の行動からあなたを完全に保護するソフトウェアやハードウェアはありません。これは、ほとんどの場合、マルウェアが最初にシステムに侵入する方法です。

最新の「プロダクションレベル」のマルウェア、アドウェア、スパイウェアは、さまざまな「ソーシャルエンジニアリング」の手法に依存して、「便利な」アプリ、アドオン、ブラウザーツールバー、「ウイルススキャナー」のDownloadインストール、またはマルウェアをインストールする大きな緑色のボタンのクリックを欺きますあなたのマシン。

uTorrentなどの信頼できるアプリのインストーラーでさえ、Nextボタンをクリックするだけでデフォルトでアドウェアとスパイウェアをインストールし、すべてのチェックボックスの意味を読むのに時間をかけません。

ハッカーが使用するソーシャルエンジニアリングのトリックと戦う最良の方法はリバースソーシャルエンジニアリングです。この手法を習得すれば、ほとんどの種類の脅威を回避し、ウイルス対策やファイアウォールがなくてもシステムをクリーンで健全に保つことができます。

システムに悪意のある/未承諾の生命体の兆候があることに気付いた場合、唯一のクリーンなソリューションは、システムを完全に再フォーマットして再インストールすることです。ここの他の回答で説明されているようにバックアップを作成し、ディスクをすばやくフォーマットしてシステムを再インストールするか、さらに便利なデータを外部ストレージに移動し、以前に作成したクリーンパーティションダンプからシステムパーティションを再イメージ化します。

一部のコンピューターには、システムを元の工場出荷時設定に戻すBIOSオプションがあります。これは少しやり過ぎに見えるかもしれませんが、それは決して痛いことはなく、さらに重要なことに、これは他のすべての最終的な問題を、あなたがそれらに気づいているかどうかにかかわらず、各問題を1つずつ処理することなく解決します。

侵害されたシステムを「修正」する最善の方法は、システムをまったく修正せず、Paragon Disk Manager、Paragon HDD Manager、Acronys Disk Managerなどのパーティションイメージングソフトウェアを使用して、既知の「良好な」スナップショットに戻すことです。またはdd、Linuxからバックアップを作成した場合など。

参照してウィリアムHilsum「どのように私はこれを取り除くください：ライブCDの使用」を上記：

ウイルスはライブCD環境では実行できないため、さらなる感染を恐れることなくコンピュータを一時的に使用できます。何よりも、すべてのファイルにアクセスできます。2011年6月20日、ジャスティンポットは、「ライブCDの50のクールな使用」というタイトルの小冊子を書きました。この小冊子の冒頭では、CD、フラッシュドライブ、またはSDカードから起動する方法について説明し、19〜20ページでは、すでに説明したさまざまな「マルウェア」をスキャンする方法について説明しています。与えられたアドバイスはこのシナリオにとって非常に貴重であり、わかりやすい英語で説明されています。もちろん、小冊子の残りの部分は、他のコンピューティングニーズにとって非常に貴重です。（ダウンロードへのリンク（PDF形式）は、以下のリンクから提供されます。インターネットを使用するときは、常に「場所」に迷い出さないように気をつけてください。マルウェアが潜んでいる可能性が非常に高いため、大丈夫です。使用している可能性のあるアンチウイルス、インターネットセキュリティスイートなどはすべて最新の更新プログラムを使用する必要があり、使用している可能性のあるOSも最新の状態に保つ必要があります。

http://www.makeuseof.com/tag/download-50-cool-live-cds/

上記のリンクをクリックまたはコピーして貼り付けたら、クリックしてください

Live CDの50のクールな使用法をダウンロード（青で記述）

コメントセクションでこれを記述しようとしましたが、それを収めることができませんでしたのでご注意ください。非常に貴重であるため、公式の回答で示しました。

2つの重要なポイント：

1. そもそも感染しないでください。優れたファイアウォールとウイルス対策を使用し、「セーフコンピューティング」を実践します。疑わしいサイトに近づかないで、どこから来たのかわからない場合はダウンロードを避けます。
2. ウェブ上の多くのサイトは、あなたがそうでないときにあなたが「感染している」とあなたに告げることに注意してください-彼らはあなたをだましてアンチスパイウェアを買わせたいと思っています。実際、スパイウェアは「無料のスパイウェア対策アプリケーション」を装っています。同様に、このサイトの多くは、ほとんどが愚かであるため、「奇妙な」エラー、特にスパイウェアの兆候としてWindowsで有名な種類のレジストリ破損を診断します。

このトピックで前述したように、感染していることが確実な場合は、LinuxライブCDを使用してコンピューターを起動し、すべての機密データをすぐにバックアップしてください。

また、OSの起動ドライブとは異なるハードドライブに機密ファイルを保存することをお勧めします。これにより、感染したシステムを安全にフォーマットし、安全のために機密データに対して包括的なスキャンを実行できます。

実際のところ、システムパーティションをフォーマットして、ウイルスとマルウェアのない環境を実行することを確認する以外に、最善の解決策はありません。優れたツールを実行したとしても（そして間違いなく多くのツールが存在します）、常に残されたものが残っており、システムは現時点ではきれいに見えるかもしれませんが、後で爆発するのを待っている時限爆弾になります。

2012年12月8日、Remove-Malwareは、「Remove Malware Free 2013 Edition」というタイトルのビデオチュートリアルと、感染したPCからマルウェアを無料で駆除する方法を概説する補足ガイドをリリースしました。

彼らは概説します

• バックアップ– PCにアクセスできなくなった場合に備えて、重要な個人文書をバックアップする方法。
• このガイドに必要なソフトウェアの収集。
• ブータブルウイルス対策–マルウェアを削除する最善の方法がブータブルウイルス対策である理由。
• ブータブルウイルス対策ディスク–ブータブルウイルス対策ディスクの作成方法。
• ブータブルアンチウイルスディスク-ブータブルアンチウイルスディスクでPCをスキャンする方法。
• クリーンアップ-残りを切り上げて削除します。
• 二度と起こらないようにする

ビデオチュートリアルは1時間以上の長さで、書かれたガイドとともに優れたリソースです。

ビデオチュートリアル：リンク

書面によるガイド：リンク

更新：

本日2013年2月1日にJ. Brodkinが書いた「ウイルス、トロイの木馬、ワーム」という非常に有益な記事：マルウェアの基礎モバイルマルウェアは流行しているかもしれませんが、PCマルウェアは依然として大きな問題です。arstechnica.comからは、マルウェアとさまざまな種類のマルウェアの継続的な問題が強調されており、それぞれの説明が強調されています。

• バックドア
• リモートアクセストロイの木馬
• 情報窃盗
• ランサムウェア

この記事では、マルウェア、ボットネットの運用、攻撃を受けている企業の拡散も強調しています。

簡潔な答え：

1. すべてのファイルをバックアップします。
2. システムパーティションをフォーマットします。
3. Windowsを再インストールします。
4. ウイルス対策をインストールします。
5. ウィンドウを更新します。
6. バックアップを使用する前に、ウイルス対策ソフトウェアでバックアップをスキャンしてください。

今日、ドライブを完全に消去して最初からやり直す場合を除いて、感染を完全に除去したことを確認することはできません。

MSE、MCAfee、Norton、KasperskyなどのAVプログラムは、その定義ファイルが常に事実の後に来るため、マルウェアが既にWeb上に存在し、多くのことができたため、100％を保護できるとは思いません。損傷の。そしてそれらの多くは、PUPやアドウェアからあなたを保護しません。

また、Malwarbytes、Superantispyware、Bitdefenderスキャナーなどのスキャナーは、マルウェアが既にシステムに損傷を与えている場合、大いに役立つとは思いません。十分なスキャナーがある場合、マルウェアを削除することはできますが、このマルウェアが行った損傷を修復することはできません。

そのため、2層戦略を開発しました。

1. 私は、システムパーティションとデータパーティションの毎週のイメージ（無料のMacriumを使用）を、イメージング中にのみ接続される2つの外部ディスクに作成します。したがって、マルウェアはそれらに到達できません。システムで何か機能しない場合は、常に最新のイメージを復元できます。私は通常、先週よりもさらに前に戻らなければならない場合に備えて、6つのフル画像を保持しています。さらに、OSでシステムの復元を有効にしているため、更新が失敗した場合にすぐに元に戻すことができます。しかし、システムイメージ（影）は、さまざまな理由で消える可能性があるため、あまり信頼できません。システムイメージだけに依存するだけでは十分ではありません。

2. 私のインターネット作業のほとんどは、仮想Linuxパーティションから行っています。Linux自体はマルウェアのターゲットではなく、WindowsマルウェアはLinuxに影響を与えることはできません。そのシステムを使って

すべてのダウンロードをWindowsシステムに移動する前にVirus Totalでチェックします。Virus Totalは、最もよく知られている60のAVプログラムを介してファイルを実行し、きれいになった場合、きれいである可能性が非常に高くなります。

私が100％確実ではないWebサイトへのすべてのインターネットアクセス。たとえば、このWebサイトはこちらです。

私のすべてのメール。それがGmailとAOLの利点です。ブラウザでメールを確認できます。ここでは、ウイルスに感染することを恐れることなく、あらゆるメールを開くことができます。そして、Virus Totalを介して実行する添付ファイル。

すべてのオンラインバンキング。Linuxは追加のセキュリティ層を提供します

このアプローチでは、何年もマルウェアを見たことはありません。仮想Linuxパーティションを試してみたい場合は、 こちらをご覧ください。

感染症の症状は何ですか？

ユーザーがパフォーマンスやその他の方法で理解できるものは何もありません。これらの場合、100％の精度がなければ、タスクマネージャーで実行中の何かを見ることができ、彼はそれが何であるか、またはそれがどのように発生したのかわかりませんしかし、コンピューターのパフォーマンスが低下したり、プログラムの実行が遅くなったり、まったく実行されなかったり、何でもある場合があります...症状は実際にはさまざまで、感染がほとんど考えなくても明らかになる場合があります。何かがうまくいかないことを理解するのはとても難しいです。すべては、あなたが感染したもの（ウイルス、トロイの木馬、あなたが望むように名前を付けてください）と、主にそれから引き起こされたディスタータに依存します。

感染に気付いた後はどうすればよいですか？私はそれを取り除くために何ができますか？1.コンピューターをアンチウイルスでスキャンします。（カスペルスキーインターネットセキュリティ、マカフィー、アバストなど）。BEST Antivirusを使用しても、感染元を検出できる可能性がありますが、駆除はそうではないことに注意してください100％保証されています。2.ファイルのバックアップを保存し（それらも感染していないことを確認します）、コンピューター内のすべての感染ファイルを削除します。それらを使用すると、再び感染するため、とにかく失われたと考えてください。別のウイルス対策プログラムを使用してみることもできますが、大丈夫ですが、大きな期待はありません。3.感染を取り除くための最良/高速/最も効果的な方法は、ディスクドライブをフォーマットし、オペレーティングシステムをクリーンインストールすることです。4.バックアップを使用する場合は、適用する前にウイルス対策プログラムで再スキャンしてください。何かが間違っていることを理解できるようになる前に、感染する可能性もあります。

マルウェアによる感染を防ぐ方法

1. アンチウイルスを使用することで、今日ではほとんどのアンチウイルスプログラムはほぼすべての種類のマルウェア/ウイルスなどのソリューションです。後で問題を解決するよりも予防​​する方が良いことに留意してください。ほとんどの場合、彼らは大きな助けをします。SpyHunter、Malware bytes、Spybotなどのアプリケーションも、保護を強化するのに最適です。ファイアウォールの使用も役立ちます。お使いのコンピュータがオフラインでインターネットに接続していない場合でも、ウイルス対策が必要であることを忘れないでください。理由？CD、USBスティック、DVD、または感染している可能性のある友人/クライアントなどからのその他のファイルを使用する場合があります。それでもこの場合でもアンチウイルスが提供する保護は非常に貴重です
2. 信頼できるソースからのソフトウェアのダウンロード/インストール/使用。
3. 信頼できるインターネットサイトを入力します。
4. オペレーティングシステムが常に最新であることを確認してください！更新は最高のパフォーマンスのためだけでなく、セキュリティのためにもあります。

マルウェアを外部でスキャンしたり、ライブCDでスキャンした場合の問題は、これらの厄介なソフトウェアの多くがメモリプロセス、ドライバーなどにフックすることです。PCのオペレーティングシステムがロードされていない場合も、イライラする除去プロセスになります。感染したOSの起動中は常にマルウェアをスキャンします。

つまり、WindowsにRKILLのコピーをUSBドライブにロードします。このユーティリティを実行すると、マルウェアプロセスがバックグラウンドで一気に消滅し、削除を進めることができます。とても効果的です。私はプログラムがその仕事に失敗したという状況にまだ出会っていないし、多くの技術者がそれを聞いたことがないことに驚いている。

次に、Malware bytesまたはComboFixでスキャンすることを選択します。これらのスキャナーの良い点は、ウイルス定義を利用するのではなく、振る舞いに基づいてマルウェアを執locateに特定することです。これは非常に効果的な手法です。しかし、警告の言葉-彼らはまた、はるかに危険であり、本当にあなたのOS上でいくつかの深刻な店を台無しにすることができます。バックアップがあることを確認してください。

上記のプロセスが私にとって有効な時間の90％で、毎日これらのことのトンを削除します。あなたの余分な妄想、AVG、SuperAntiSpywareまたはMicrosoft Security Essentialsのようなものでスキャンを実行することは悪い考えではないかもしれません。これらのプログラムが無害なトラッカーCookieをはるかに超えるものを検出するのを見たことはありませんが、一部の人々はそれらに誓います。心に安らぎを与え、必要ならそれをしてください。