2016/10/20

うっかり・・・

・・・アクセスしたサイト や 導入してしまったアプリケーション に 因り、意図せず不要なモノを導入されてしまうコトは少なくない。
そのような経緯で仕込まれたマルウェアなどを駆除するには、ひと手間必要になるケースもある。

導入経緯が判るモノなら [プログラムと機能] から対象を含んだアプリケーションをアンインストールする事で一緒に消えるモノもある。
だが、経緯不明であったり、[プログラムと機能]で一覧されない対象もあり、その場合は更に別の手順を踏むしかない。

軽度なモノであれば、
・EMSISOFT EmergencyKit
・Malwarebytes AdvCleaner
 など著名なツールで、それなりに検出と排除を完了出来、  それで終わるに越したコトは無いだろう。
しかし、やはり悪質なモノになると、検出しても消せないコトは、結構ある。
既に スタートアップ ないし、サービスとして バックグラウンドで暗躍してしまってるモノは、
ファイルへの 削除を含むアクセスが出来ない。
スタートアップとして起動している場合なら起動を抑制して駆除するのは容易だが、今回は このケースを扱わない。
それで済む対象なら、多くの無償駆除ツールで対応出来ている。
手の込んだマルウェアの場合、[サービス]管理画面に表示されず、UIで自動開始の無効化不能なモノが多い。 該当するレジストリキーの値さえ変更も出来ないよう、キーへのアクセス権限が設定されているケースもある。
このような対象への対処は、一般的には 対応した有償/無償ツールを導入して頼るのが一番楽だ。 とは云え、正直ドレを信用したモノかと云うコトになる・・・ 因って、それらは用いず対応するコトにした。
得てして こうした状態の対象の多くは、Windowsをセーフモードで起動して
駆除作業を行うのがセオリーだろう。 だが これも面倒、別の策を講じる。
問題の対象は、AdvCleaner等のログの値から対象ファイルを特定出来、それを基にレジストリも特定し 手作業で駆除する。 具体的な作業としては、レジストリエディタで対象を消す、ないし 自動起動を停止せた後再起動して 削除を済ませる。
レジストリキーの値変更すら出来ない細工が施された対象の場合、
権限改変機能(ACLエディタ など)を搭載した[激動たる俺RegEdit改]などのフリーのレジストリエディタで、
対象キーに [自分のアカウント] を [フルアクセス] で追加してアクセス権限を確保して進める。

レジストリを扱う場合、操作ミスによるリスクはあるのだが、対象キーさえ分かっていれば簡単な作業だ。
サービスとして潜伏している対象には、対象キー配下に サービス開始キー[Start] が存在する。 この値を 0 へ変更、コレにより [サービスの自動起動] は、実質無効指定完了。 その状態にした後、システムを通常通りに再起動。 その後であれば 対象は自動起動出来ていない為、対象キーとファイルは 簡単に削除出来るようになっている。