ウイルスに感染した場合にチェックするレジストリ

[パソコン]

ウイルスに感染した場合にチェックするレジストリ

PCの動きがおかしい時、まずネットワークケーブルを抜いてから
以下のレジストリをチェックしてみるとよい。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{BCBCC560-78FC-F8A5-C50B-2FDCBECFBECB}
※最後のものは最後の部分が変わるため、中身をみてその他のレジストリと同じ名前の
ファイルを起動していないかチェックをする。

テンポラリにあるファイルを実行していたり、普通実行ファイルを置かないところから
.exeを実行しているものがある場合おおよそ感染している。
駆除する時は通常のモードで起動している場合は、以下のエントリから消そうとしても、
すぐに復活してくるのでセーフモードで実行する。

情報収集のために別のPCを使いと思うが、決してUSBメモリを感染PCに使用しない事。
これはAutorun.infでウイルスを拡散しようとするのを防ぐ為である。

上記エントリで起動の記述があるが、該当のファイルが見つからない時は、
システムファイルやフォルダとしてウイルスプログラムを隠している場合があるので、
エクスプローラーで
「ツール」->「フォルダオプション」->「表示」->「保護されたオペレーティングシステムファイルを表示しない（推奨）」のチェックを外す。
これでレジストリで起動してる怪しいファイルを削除する。
(cleansweepが出てきました)

狡猾なウイルスプログラムの場合、そのファイル名やアイコンを有名なソフトウェアの
ふりをしている場合がある。
私がこの情報を乗せるにあたって作業したときにはウイルスはGoogle Chromeの
アイコンやプロパティで見るとウイルス対策ソフトのAVGの説明文や
adobe.exeなんて名前のものもあった。（しかもご丁寧にadobeのフォルダに入る）
本当にウイルスかどうか確証がとれない場合は、通常の起動モードで起動し
そのプログラムを別の場所に移動してみると良い。
ウイルスの場合は、ウイルスが自分で想定している位置にプログラムがなくなると
すぐに新しいものを作る。
面倒な作業ではあるが、確証のないプログラムの場合はこれを繰り返して
ウイルスかどうかのチェックをする事。

これまでに食らったウイルス？マルウェア？

EliteBar
adobe.exe novi.exe bs.exe cleansweep.exe
いずれも表示確認の為にIEを使った後。

会社のPCなので、ウイルス対策ソフトが入っているのだが
ウイルスセキュリティZeroは無反応、やっぱり常駐ウイルス対策ソフトなんて
リソース泥棒なだけな気がする・・。