私は Windows 7 のコンピューターを使用しています。所有者によると、コンピューターがマルウェアに感染していると思われるとのことで、海外の会社に問題の解決を依頼したが、その会社が行ったある操作によってコンピューターが起動できなくなってしまったとのことです。
C:\Windows\System32\Drivers に trjaaake.sys というやや疑わしいドライバ ファイルを見つけました。このファイルは最近作成/変更されたばかりですが、感染が疑われる約 2 日後に作成/変更されたように見えます。このファイルのバージョン タブには、次の情報が表示されています。
Description: Boot Time Removal Tool
Company: Microsoft Corporation
File Version: 1.1.16.0
Internal Name: BootTimeRemoval
Original File Name: BTR.sys
Product Name: Microsoft Malware Protection
Product Version: 1.1.0016.0
ファイルはデジタル署名で署名されているようですが、署名が正当/有効かどうかを確認する方法がわかりません。
このファイルを Virus Total に送信したところ、42 種類のウイルス対策エンジンすべてが、このファイルは正常であると報告しました。また、Norton File Insight によると、このファイルは何千人ものコンピュータ ユーザーによって使用されており、信頼できる評価が与えられているとのことです。
C:\Windows\Temp に BootClean.log というファイルを見つけました。このファイルには次の内容が含まれています (ユーザー名を「[編集済み]」に変更しました)。
Boot Time Removal Tool started
Error 0xc0000034 opening (\??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk
Error 0xc0000034 opening (\??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk
Error 0xc0000034 opening (\??\C:\ProgramData\1yfOZG3BLWgtFb.exe) for reparse check.
Unable to strip attributes from \??\C:\ProgramData\1yfOZG3BLWgtFb.exe with error 0xc0000034
Error 0xc0000034 removing: \??\C:\ProgramData\1yfOZG3BLWgtFb.exe
Removed \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\smart hdd\
BTR Completed Successfully
それで、私の質問は、このファイルが何であるか知っている人はいますか? これは Microsoft の悪意のあるソフトウェアの削除ツールの一部でしょうか?
答え1
まずは走ることから始めるのが良いかもしれませんシグベリフ- これは署名の検証に役立つ可能性があります。そこから、信頼できる会社によって署名されている場合は、問題になる可能性は低いですが、そうでない場合は削除することをお勧めします。
一方、一度マシンが侵害されると、その時点からそのマシンを信頼することはできません。個人ファイルや OS 固有ではないその他のデータをバックアップし、OS を再フォーマット/再インストールすることをお勧めします。
答え2
これらのファイルは実際には Windows Defender によって動的に作成されます。目的は、再起動時にシステムに感染したマルウェアを削除することです。
各ファイルのプロパティを確認すると、名前がランダムであり、Microsoft 証明機関によってデジタル署名されていることがわかります。再起動すると、.SYS ファイルは、再起動時にマルウェアを削除するという本来の目的を果たした後、実際に消えます。
これらは良いファイルであり、悪いファイルではありません。