マルウェアの削除スタート キット
感染時の処理
公開日: 2007年9月14日
ダウンロード
いかなる組織においても、悪意のあるソフトウェアによる脅威がなくなることはありません。ここでは、ご使用のコンピュータまたは組織の他のコンピュータが悪意のあるソフトウェアに感染していると推測される充分な理由があることを前提として説明します。このセクションで説明する 4 段階のプロセスによって、マルウェア攻撃の性質の確認、攻撃拡散の防止、マイクロソフトまたはサードパーティ製の無料のマルウェア スキャン ツールを使用したマルウェアの除去、マルウェアの除去の確認、必要に応じた次のステップの実行、を行うことができます。
マルウェアの性質は変化し続けているため、1 つのウイルス対策ソリューションまたはスパイウェア対策ソリューションですべての攻撃からコンピュータを完全に保護することはできません。このセクションの各段階の手順を実行しても、マルウェア関連の問題が解決されない場合は、次の Microsoft 製品サポート サービスまでお問い合わせください。
米国内およびカナダの場合 : フリーダイヤル (866) PCSAFETY (866) 727-2338
米国およびカナダ以外の場合 : 「IT プロフェッショナル向けのセキュリティ関連のヘルプとサポート」
トピック
段階 1: 対策の開始
段階 2: マルウェアのスキャン
段階 3: 本キットを使用してオフライン スキャンを実行する
段階 4: 次のステップ
段階 1: 対策の開始
マルウェアに感染したコンピュータを特定したが、そのコンピュータ上でウイルス対策ソフトウェアを実行できない場合は、コンピュータをネットワークから切断し、電源をオフにして、「段階 3: 本キットを使用してオフライン スキャンを実行する」に進んでください。
**情報の収集。**可能であれば問題の見つかったユーザーに次の質問をし、回答を得ます。
問題が発生したときの状況を教えてください。
問題が発生する直前、コンピュータ上でどのような操作を実行していましたか。
コンピュータにインストールされているウイルス対策プログラムによって生成されたレポートの内容を教えてください。
コンピュータに、バックアップしていない重要なデータが格納されていますか。
最近アクセスした Web サイトを教えてください。
コンピュータ上で、標準プロセス以外のプロセスが実行されていますか。
感染に関してできる限りの情報を収集したら、マルウェアの除去を開始します。
注意
疑わしいプロセス名やファイル名のリストを取得し、インターネットで検索してそれらがマルウェアかどうかを確認しておくと役に立ちます。
段階 2: マルウェアのスキャン
コンピュータにインストールされているマルウェア対策ソフトウェアを最も効果的に利用するために、規定の順序で次の各ステップを実行し、オンラインおよびオフラインでマルウェアのスキャンを行います。
コンピュータにインストールされているウイルス/スパイウェア対策プログラムを実行する。
オンライン スキャン ツールを実行する。
セーフ モードでネットワーク オプションを使用して、オンライン スキャン ツールを実行する。
手順 1: コンピュータにインストールされているウイルス/スパイウェア対策プログラムを実行する
コンピュータのフル スキャンを起動してウイルスに感染しているかどうかを確認する方法は、ウイルス対策アプリケーションによって異なります。ウイルスのフル スキャンの実行方法については、各プログラムのヘルプで確認してください。
スパイウェアのスキャンは、ウイルスのスキャンと同様にして実行できます。それには、コンピュータ上でリアルタイムのスパイウェア スキャン ソフトウェアが稼働している必要があります。Windows XP が動作するコンピュータでは、無料の Windows Defender を使用できます。Windows Vista では、オペレーティング システムに Windows Defender が含まれています。Windows Defender を起動するには、[スタート]、[すべてのプログラム]、[Windows Defender] の順にクリックします。プログラムが起動したら、[スキャン] をクリックします。
Windows Defender の動作方法の詳細については、TechNet の「Windows Defender の技術概要」をご覧ください。
手順 2: オンライン スキャン ツールを実行する
Windows Live OneCare PC セーフティなどのツールを使用してオンライン スキャンを実行し、最新のウイルス/スパイウェア用の定義ファイルと照合してコンピュータがマルウェアに感染していないか、また、その他の不要なソフトウェアが動作していないかを確認します。
他にも次のようなオンライン スキャン ソフトウェアがあります。
手順 3: セーフ モードでネットワーク オプションを使用して、オンライン スキャン ツールを実行する
オンライン スキャンを実行しても、まだ、マルウェアが存在する疑いが残る場合は、セーフ モードでコンピュータを再起動してから、再度、オンライン スキャンを実行します。セーフ モードでオンライン スキャンを再実行したら、オフライン スキャン ツール (たとえば、ガイダンスで本キットと一緒に使用するよう勧められているツール) でスキャンを実行します。
コンピュータをセーフ モードで起動する方法の詳細については、次を参照してください。
Windows XP の場合 : 「Windows XP のセーフ モード ブート オプションについて」(サポート技術情報 315222)
Windows Vista の場合 : 「詳細起動オプション (セーフ モードを含む)」
段階 3: 本キットを使用してオフライン スキャンを実行する
マルウェアの削除スタート キットを使用するには、CD-ROM からコンピュータを起動し、プライマリ ハード ディスクが "オフライン" の状態で、オフライン スキャン ツールを使用してディスクを修復します。この方法では、ハード ディスクを使用せずにコンピュータを起動しスキャンします。オンライン スキャンを実行するには、通常のブート シーケンスでコンピュータを起動する必要があります。ブート シーケンスではシステム ファイルが読み込まれ、オペレーティング システムによってロックされます。こうした通常はロックされているシステム ファイルの改ざんや破損を引き起こすマルウェアを除去するには、このガイダンスで説明しているようにオフラインのプロセスを使用する必要があります。
重要
ディスクが BitLocker™ などのツールで暗号化されている場合、ディスクが RAID ボリュームの一部として管理されている場合、またはディスクが破損している場合は、マルウェアを検出するディスク スキャンを実行できません。これらのいずれかのケースに該当する場合、またはディスクの状態が不明な場合は、専門家に相談してディスクの状態を確認してください。
マルウェアは絶えず変化する特性を備えているため、どのようなプロセスを実行しても、コンピュータからマルウェアを "完全に" 除去するのは不可能です。このセクションで説明する方法「オフライン スキャン用のキットを作成する」は、マイクロソフトにてテスト済みであり、最善のソリューションであると考えられます。このガイダンスの「対応計画」セクションでは、組織内の Windows XP SP2 または Windows Vista が動作しているコンピュータ上でマルウェアをスキャンできるように、オンラインで入手可能な無料のツールを使用して Windows PE キットを作成する手順を説明します。
段階 4: 次のステップ
本キットのガイダンスに従って手順を実行しても、マルウェアがコンピュータに残っている疑いがある場合は、[システムの復元] を使用して、以前の健全な構成にコンピュータを戻す方法を試してください。[システムの復元] 機能では、重要なシステム ファイルと一部のプログラム ファイルの "スナップショット" を作成し、コンピュータのハード ディスク上の復元ポイントにその情報を保存します。この復元ポイントを使用して、オペレーティング システムを以前の状態に戻すことができます。システムの復元の詳細については、以下のリソースを参照してください。
Windows XP の場合 : 「システムの復元を使用して Windows XP を復元する方法」
Windows Vista の場合 : 「バックアップと復元センター」
以上の手順を実行しても、悪意のあるソフトウェアがコンピュータから完全に除去されていない兆候がある場合には、次のどちらかを実行します。
専門業者に依頼する。
システムを再構築する。
このガイドで作成手順を示した Windows PE キットのマルウェア スキャン機能を使用しても検知できないマルウェアに感染してしまった場合は、おそらく専門業者に依頼して除去してもらう必要があります。しかし、専門業者に依頼するとたいてい費用と時間がかかるため、通常は、ハード ディスク上のファイルを削除し、オペレーティング システムとプログラムを再インストールしたほうが、迅速かつ安価に修復できます。
システムを再構築する方法を選択する場合は、必ず信頼できるインストール メディアだけを使用してください。システムを再構築したら、ウイルスがまだネットワークに蔓延している場合に備えて、すべてのアップデートとウイルス対策ソフトウェアを適用してから、ネットワークに接続します。