パソコンのセキュリティ問題を解決します!オレンジセキュアサービス株式会社。訪問エリア埼玉県を中心に拡大中。東京、栃木、茨城、群馬。宅配エリア全国対応。
トップページ法人のお客様個人のお客様宅配サービス資料・コラム会社案内
security

パソコン・ウイルス(スパイウェア・トロイの木馬)の仕組みと駆除方法

トップページ > 資料・コラム > ウイルス対策
公開日 : 2008年12月12日

今回はパソコン・ウイルスを駆除するための概要です

ウイルス駆除イメージ

ウイルスに感染すると、他人にウイルスを移してしまい迷惑をかけてしまったり、WEBサイトへのクラッキング(不正アクセス)に使用されてしまう、ネット銀行やオンラインゲームなどのパスワードが盗まれてしまう、パソコン内に保管してあるデータを流出したり… さまざまな被害にあう恐れがあります。そこでウイルス対策ソフトを購入し、しっかり予防しているのではないでしょうか。

しかしながら、ウイルス対策ソフトは強力であっても、絶対ではありません。そしてウイルスに感染してしまうこともあります。さらに残念なことに駆除ができなかったり、検疫に失敗することもあります。またウイルス感染している症状があるのに、検出すらされないことも。

それではウイルス対策ソフトを使っていて、万が一、ウイルスに感染してしまった場合はどのようにすればよいのでしょう。リカバリして購入時の状態に戻すか、手動でウイルスを駆除するしかありません。

そこでウイルスの駆除方法について、シリーズでご説明します。今回は手動によるウイルス駆除を試す前に知っておきたい基本的な概要をご説明します。なお、スパイウェアやトロイの木馬も同じ考え方で作業します。

ウイルスを知る - もっとも大切なこと -

ウイルス駆除を行う上で知っておきたい最も大切なことは「ウイルスとは悪意で作られた害のあるプログラム」ということです。そしてあくまでもプログラムなので、実行しない限りは無害です。たとえば Windowsに標準でインストールされているソリティアというゲームがありますが、クリックして実行しない限り、パソコンに保存されているだけです。クリックして実行することによってゲームを楽しめます。

それではなぜ? 同じプログラムなのにウイルスに感染すると、自動的に他人へ迷惑をかけたり、パスワードが漏えいしたりするのでしょうか? それはユーザーがクリックして実行しなくても、ウイルスが起動してしまう仕掛けが施されているためです。

ウイルスが自動的に起動する仕掛けとは?

ウイルスが自動的に起動するためには「レジストリのスタートアップに登録する」、「 Windows プロセスを悪用する」、「アプリケーションソフトを悪用する」、「その他」のどれかを行う必要があります。そしてウイルスが自動的に起動する仕掛けを知ることで、ウイルス活動のしっぽがつかめるようになり、手動による駆除が簡単になります。

なお、今回は手動によるウイルス駆除を試すのに必要な概要をご説明します。そのため詳細については、次回から項目ごとにご説明します。

1. レジストリのスタートアップに登録する

ウイルスが Windows のスタートアップに登録されていると、パソコンの起動とともに自動的に立ち上がるようになります。この仕組みを使うウイルスは多いです。また簡単な仕組みのため駆除も容易です。

ちなみにキーボードの「 Windows 」ボタンと「 R 」ボタンを同時に押します。「ファイル名を指定して実行」画面が開いたら、「 msconfig 」と入力します。「システム構成ユーティリティ」画面が開いたら、「スタートアップ」タブをクリックします。

システム構成ユーティリティ

たとえば Antivirus 2009 という偽セキュリティソフトなら、コマンドのところに「C:\Program Files\Antivirus 2009\av2009.exe」や「C:\Program Files\SAV\sav.exe」といった行が表示されます。そしてそのフォルダごと削除すれば、 Antivirus 2009 は表示されなくなります。

2. Windows プロセスを悪用する、その他

Antivirus 2009 をプログラムごと削除しても、感染状況によってはすぐに再発してしまうこともあります。なぜかというと、スタートアップ以外にもウイルスを自動起動させる仕掛けを設けることができ、違うウイルスが起動しているためです。そしてその違うウイルスが再び Antivirus 2009 をダウンロードするため、すぐに再発します。

ここでのポイントとしては「 Windows のスタートアップ 以外でも自動的に立ち上がる仕組みが構築できる」ということです。たとえばレジストリを改ざんし、Windows プロセスの winlogon.exe がウイルスファイルを使うように関連付けたり、lsass.exe に関連付けることによって、電源を入れるだけでウイルスが起動するようにできます。また Windows の一時ファイル、ドライバー、dllcache、その他に埋め込むなど。

Windows プロセス
「winlogon.exe」 や 「lsass.exe」 は Windows の正規プログラムです

なお、ウイルス感染によってこのような設定がされてしまうと、ウイルス対策ソフトでは駆除や検疫ができなくなります。これは Windows が使用中のプログラムを、ウイルス対策ソフトが横から割り込んで削除することができないためです。また手動で削除しようとしても Windows が使用中ということでブロックされてしまいます。ちなみにセーフモードで起動したり、レジストリを修正してその関連付けを無効にすると、削除できるようになります。

3. アプリケーションソフトを悪用する

上記まではパソコンの電源を入れるとウイルスが自動的に起動するケースですが、ある条件で自動的に起動するウイルスもあります。たとえばブラウザのアドオンに登録したり、ブラウザの一時ファイルに潜りこんで、インターネット閲覧中にだけ自動的に起動するといったケースもあります。このようにアプリケーションソフトの拡張機能などを悪用し、そのアプリケーションソフトを起動すると同時にウイルスも起動します。

アドオン

ちなみにアドオンに登録されたウイルスはレジストリを修正し、本体を削除します。ブラウザの一時ファイルは「履歴の削除」を行って削除します。

ウイルスを駆除するときのポイント

まずはバックアップをとります。ウイルス駆除の理屈は極めて簡単なことなのですが… 実務的というか細かい判断については専門知識が求められます。そしてパソコンに詳しくない方がミスしてしまってもおかしくありませんし、むしろ成功できればスゴイというのが実際のところです。そして駆除レベルの低いウイルスであっても、作業中に間違えて重要なファイルや設定を削除してしまい、パソコンが起動しなくなることも。ちなみに「ウイルス駆除で失敗してしまって、データを救出してほしい」という依頼も当社には入ってきます。このように失敗する恐れもあるので、ウイルス駆除を行うときは必ずバックアップをとって重要なデータを保護しましょう。

バックアップがとり終わったら、セーフモードという必要最低限のプログラムだけで Windows を起動します。これによって Windows が使用中ということでブロックされていたウイルスファイルを削除できるようになります。また通常起動であればウイルスが起動してしまっているため、削除した瞬間に復活など、作業妨害をされる可能性もあります。そしてセーフモードならウイルスが起動しないので、作業妨害もありません。

セーフモードで起動したら、ウイルス本体を削除します。これでウイルス駆除は完了です。なお、これは失敗すると Windows が壊れてしまうため「出来れば」で良いのですが、ウイルスが改ざんしたレジストリ設定を修正し、復旧完了です。

ただしセーフモードで起動しても自動起動してしまうウイルスもあります。レジストリの winlogon.exe に関連付けされている場合や Windows の一時ファイルに埋め込まれている場合、その他など。この場合は、ある程度の専門知識がないとまず失敗します。最悪の場合は、ウイルスを駆除したつもりが残っていて情報漏えいなどの被害を受けることも。万が一、ウイルス対策ソフトの完全スキャンを行ってウイルスが検出されたり、ウイルスの症状が改善しない場合は、リカバリをするか、当社のようなサポート会社への依頼を検討してください。

【関連リンク】

東日本震災復興支援特別割引サービス(中長期実施)のご案内

トロイの木馬/Trojan Horse ウイルスを駆除する方法

損をしないPCウイルス駆除の依頼方法

大規模ウイルス駆除サービス

ウイルス駆除サービス(出張、宅急便、お持込み)

当社サービスをピックアップ

大規模、高度、保守

法人のお客様

200台規模ネットワークの Downadup ウイルスの駆除、RAID サーバのデータ復旧など、大規模でも高度な障害でも復旧実績が数多くあります。またトラブルの現場をよく知る当社には、事故を未然防止するセキュアなノウハウや IT 活用事例がぎっしりと詰まっています。障害復旧も保守もぜひお任せください。

PC 1台や周辺機器

法人/個人のお客様

これまで培ってきた技術と経験でパソコン 1 台やビデオカメラ、周辺機器のトラブルを、情熱を持ってしっかりと解決します。ひとつでも多くの困ったを解決し、これからもお客様との信頼関係を築いていきます。法人のお客様も個人のお客様も、高度な障害でも復旧する当社にお任せください。

お持ち込みは秋葉原

法人/個人のお客様

オンサイト(出張)でのサポートを基本としている当社ですが、宅配・持込みも受付けています。ひとりのエンジニアが複数台を作業できるため効率が良く、料金を格安に抑えています。もちろん品質はオンサイトと変わりません。ぜひお持ち込みもご検討ください。宅配で全国の困ったも解決します!


オレンジセキュアサービスとは?

2006年に創業し、サーバ保守メンテナンスやセキュリティ対策の提案と施工、またウイルス駆除やデータ復旧といったトラブルレスキューを一貫して行ってきました。本社は埼玉県の杉戸町にあり、埼玉県の熊谷市、行田市、東京都の秋葉原(千代田区)に支社があります。

敷地の大きな本社でサーバやネットワークの技術研究、導入前テストを行い、また小さな事務所ですが世界に誇る IT の街 東京・秋葉原でサポート業務や営業活動を展開しています。サーバや IT 業界の最新の情報を得るために(社)コンピュータソフトウェア協会に加盟しています。

トラブルレスキューやセキュリティ構築、保守の実績としては、市町村、国公立大学、高校、上場企業、中小企業、特殊法人、一般のお客様と幅広くご利用いただいています。また大手 SIer、事務機器販売店、地域電器店の皆様の保守やサポートを代行しています。

トップページ | 法人のお客様 | 個人(法人)のお客様 | 宅配・持込み | 資料とコラム | 会社案内 | 


オレンジセキュアサービスとぜひ交流を! Twitter | Facebook | データ復旧実績ブログ | 社長のブログ

  

このコラムで紹介している予防法や駆除方法など、すべての情報はユーザーの自己責任で利用して頂きます。もし情報を利用することで損害等が発生しても一切責任を負いません。また記事・画像など、すべてのコンテンツの無断複写・転載等を禁じます。もちろん引用は可能ですが、引用元となる当サイトへのリンクは必ず行ってください(リンクはページリンク可)。ご不明な点はお問い合わせください。

Copyright© オレンジセキュアサービス株式会社 All rights reserved.
東京都千代田区神田佐久間河岸70 第二田中ビル 5 F
ウイルス駆除、データ復旧、データ消去、サーバ・ネットワーク・セキュリティ構築、保守・代行サポート
出張エリア : 東京・埼玉・茨城・栃木・群馬・千葉