重複の可能性あり:
悪意のあるスパイウェア、マルウェア、ウイルス、ルートキットを PC から削除するにはどうすればよいですか?
私はこれらの指示に従ってルートキットを探していました http://computersight.com/software/how-to-manually-remove-rootkit/ ブートログに次のように表示されました:
Loaded driver \SystemRoot\System32\Drivers\awhk9fmc.SYS
Google でそのファイル名を検索してみましたが、まったく何も見つかりませんでした。ディスク上のファイルも確認してみましたが、見つかりませんでした。他のほとんどのファイルはそこにあります。Windows 98 で起動して NTFS をマウントし、ファイルを表示しようとしましたが、それでも見つかりませんでした。Microsoft Security Essentials で完全スキャンを実行しましたが、何も見つかりませんでした。再起動すると、代わりに次の行が表示されました。
Loaded driver \SystemRoot\System32\Drivers\a6n163gl.SYS
- これを削除するにはどうすればいいですか?
- それが何をするのかを知るにはどうすればよいですか?
- いつ挿入されたかはどうすれば分かりますか?
- 誰が書いたかはどうすれば分かりますか?
完全なブートログは次のとおりです。
Service Pack 3 10 31 2012 17:35:36.500
Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver sptd.sys
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver pciide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltmgr.sys
Loaded driver sr.sys
Loaded driver MpFilter.sys
Loaded driver KSecDD.sys
Loaded driver WudfPf.sys
Loaded driver Ntfs.sys
Loaded driver NDIS.sys
Loaded driver uagp35.sys
Loaded driver Mup.sys
Loaded driver \SystemRoot\system32\DRIVERS\amdk7.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisgrp.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
Loaded driver \SystemRoot\system32\drivers\cmuda.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbohci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisnicxp.sys
Loaded driver \SystemRoot\System32\Drivers\avzk9sf5.SYS
Loaded driver \SystemRoot\system32\DRIVERS\fdc.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\parport.sys
Loaded driver \SystemRoot\system32\DRIVERS\gameenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\serscan.sys
Loaded driver \SystemRoot\system32\drivers\DrmCAudio.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\tap0901.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Loaded driver \SystemRoot\system32\DRIVERS\flpydisk.sys
Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS
Did not load driver \SystemRoot\System32\Drivers\Changer.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srvkp.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver
Loaded driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \SystemRoot\system32\DRIVERS\ctxusbm.sys
Loaded driver \??\C:\WINDOWS\system32\drivers\cbfs3.sys
Loaded driver \SystemRoot\System32\Drivers\Fastfat.SYS
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Did not load driver \SystemRoot\system32\DRIVERS\rdbss.sys
Did not load driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\system32\drivers\wdmaud.sys
Loaded driver \SystemRoot\system32\drivers\sysaudio.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\system32\drivers\aec.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\drmkaud.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxdav.sys
Loaded driver \SystemRoot\System32\Drivers\ParVdm.SYS
Did not load driver \SystemRoot\System32\Drivers\StarOpen.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srv.sys
Did not load driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys
答え1
これは本当に面倒な作業です。ルートキットを検出するために特別に設計されたツールがあります。グマーそしてルートキットリベラー思い浮かびます。表示されているファイルは明らかにルートキットではありません。別の実際には隠されたファイルによって生成された可能性があります。これらは、適切に使用すればルートキットを検出します。ただし、削除するのは難しく、これらのツールを使用するにはある程度の専門知識が必要です。
まず、あなたのシステムは危険にさらされています。おそらく、それを破壊して舗装しない本当の理由はないでしょう。しかし、仮にこれが何であるかを調査したいと仮定しましょう。ルートキットはOS自体にフックして自分自身を隠します。前述のツールに加えて、ウイルスレスキューライブCDを使用してシステムをスキャンすることもできます-マイクロソフト システム スイープr が思い浮かびますが、他にもあります。
次に、Linux ライブ CD を使用して、失っても構わないファイルをコピーし、Windows を再起動します。AV スキャンを再度実行して、結果を確認します。
そしてもちろん再インストールはここでの賢明な選択。
答え2
さて、主な目標は:
これを削除するにはどうすればいいですか?
唯一の確実な方法は軌道から核攻撃する再フォーマットして再インストールします。
それを削除するにはもっと巧妙な方法があるかもしれませんが、何を扱っているのかを正確に知らない限り、確信は持てません。つまり、その PC を銀行取引に使用してはいけません。クレジットカード番号などを使ったオンライン ショッピングはもうやめましょう。
確実に有効なバックアップがない限り、これは非常に面倒な作業です。しかし、これが安全を確保する唯一の方法です。
まずHDDのコピーを作成することをお勧めします。これにはさまざまな方法があります。たとえば、次のようなイメージツールなどです。アクロニス、おばけ、クローンジラ。これで、現在の状態に戻ることができます。外付けドライブに単純にコピーする方が簡単ですが、すべてをコピーし直すことで古いWindowsインストールが復元されるとは考えないでください(特に外付けディスクがFAT32でフォーマットされている場合)。3番目の良い選択肢は、ディスクからVMDK(vmwareディスク)またはVHDを作成することです(そのためのツールテックネットはこちらそしてVmwareはこちら)。
その後、完全に消去します。クリーンなイメージから再インストールします。まだファイルを復元しないでください必要に応じてネットワーク ドライバーをインストールします。その後、Windows を完全に更新します。
今が別のシステム イメージを作成する良いタイミングです。これを再度行う必要がないことを願いますが、行うと多くの時間を節約できます。
ドライバーをインストールします。既知の安全なソースからダウンロードします。ウイルス対策をインストールして更新します。
これで安全なシステムができたので、最初に取ったバックアップの分析を開始できます。ウイルス スキャンを実行します。ウイルスが特定されれば、探している答えが得られるかもしれません。
そうでない場合は、仮想マシン(ネットワークなし)をセットアップします。そこにシステムイメージを復元します。次に、次のようなデバッグツールをインストールします。プロセスエクスプローラー、ルートキットリーバーそして企業。
これで、2 番目の質問に答える準備が整いました。
いつ挿入されたかはどうすれば分かりますか?
スパイウェア、トロイの木馬、ウイルス、またはその他の「悪質な」ものの場合: 感染したシステムを信頼することはできません。以前のバックアップを使用して感染したシステムをチェックする必要があります。定期的に多数のバックアップを取っていない限り、これはおそらく成功しません。
単なる「通常の」ソフトウェアであれば、ログ ファイルやファイル自体に日付が含まれている可能性があります。
誰が書いたかはどうすれば分かりますか?
ウイルスまたは類似のものの場合: できません。合法的に作成されたソフトウェアの場合は、プログラムまたはドライバーに属します。それらには情報が付属しているはずです。残念ながら、ドライバーは によって作成されることがよくありますfill in your name here。