none
ウィルス?の駆除方法 RRS feed

  • 質問

  • すこし本件から外れますが、状況を説明させていただきます。

    一応、小さな会社でPC関係の管理者をさせてもらっています。
    全然ド素人です。

    前任者が、会社側ともめて辞める際にウィルスを仕込んでいったようです。

    それは、挙動から推測するに【PC起動からランダム時間後に再起動】する
    アプリケーションをレジストリから起動しているようです。
    ただ、レジストリには多数の実行パスが登録されており、どれがどれなのか
    解りません。

    そのような状況で、アプリケーションがどのような動作をしているか
    ReBootを掛けているのはどれなのかを解析する方法はありますでしょうか?

    質問する場所を間違っていたらすみません。

    技術的にも、興味のある内容ですし、駆除ソフトで対応できるものでもないですし
    ぜひ有用なご意見を頂戴できたらと存じます。

    どうぞ、よろしくお願い致します。

    2013年5月14日 2:47

回答

  • ありがとうございます。

    また、場所違いだったようで、すみません。

    本件は、.Netで開発されたと想定していますが、そうでない場合も
    あるため、そちらにて質問したいと思います。

    ありがとうございました。

    • 回答としてマーク 星 睦美 2013年5月14日 4:45
    2013年5月14日 4:41

すべての返信

  • フォーラム オペレーターの星 睦美です。
    コーベル さん、投稿ありがとうございます。

    今回の質問にはMSDN フォーラムよりも、IT 管理者向けのTechNet フォーラムが役立ちそうです。

    アプリケーションが動作している環境(OS)のフォーラムに質問を投稿いただくとコミュニティの回答者からアドバイスを得られるのではないかと思います。

    イベントログやプロセスを監視してみると、手がかりになりそうな情報があるかも知れません。
    ご参考までに以下のユーティリティに関するページをご紹介しますね。

    ・Sysinternals のプロセス関連のユーティリティ:
    http://technet.microsoft.com/ja-jp/sysinternals/bb795533.aspx


    日本マイクロソフト株式会社 フォーラム オペレーター 星 睦美

    2013年5月14日 4:32
  • すみません、自己解決しました。

    .NET framework付属のildasm.exeというツールを使ってMSILを得てから
    .NET Reflectorというソフトでソースを得ることできるようです。

    これで、あやしい実行ファイルを全部みていきたいと思います。

    2013年5月14日 4:34
  • ありがとうございます。

    また、場所違いだったようで、すみません。

    本件は、.Netで開発されたと想定していますが、そうでない場合も
    あるため、そちらにて質問したいと思います。

    ありがとうございました。

    • 回答としてマーク 星 睦美 2013年5月14日 4:45
    2013年5月14日 4:41
  • その推測は妥当なのでしょうか?

    元々、不定期の時間で再起動してしまうようなハードウェアトラブル・ソフトウェアトラブルはなかったのか?
    PC 内の温度が上がるようになってしまい熱暴走するようになってしまったと言うことはないのか?
    何らかのハードウェアの故障・劣化などが原因で再起動を引き起こしている可能性はないのか?

    これらは、不定期に再起動する要因として考えられますが、あなたは「退職者がウィルスを仕込んでいった」と断定しています。
    その根拠は何かあるのでしょうか?そうであれば、退職者に対して民事・刑事の責任を問うような場面かもしれませんので、証拠となっているものを取り除く前に法務担当者に相談された方がよいかもしれません。

    逆に、証拠もなく、断定されているのであれば、その方向で進める前に出張して診断してもらえるような業者に見てもらった方がいいかもしれません。(証拠保全が必要そうであれば、診断だけにとどめた方がよいかもしれませんが)

    2013年5月14日 13:26
    モデレータ
  • >トラブルによる再起動

    こちらは、ありません。
    ハードウェアに関しては、購入してまだ1年もたっておらず経年劣化ということは考えられず
    ソフトウェアに関しても、新規のレジストリを操作やDLLの追加等の作業は行われていません。
    当該PCには私しかログイン出来ず、前任者以降、私しか操作していないから間違いないと思います。

    >訴訟関係について

    ありがとうございます。
    こちらは、諸々の理由があって、処置しない方向で確定しております。

    断定というか、そう推察できる理由としては
    ・引き継ぎ時には、そういった現象は起きていなかった
    ・退社をトリガに同現象が起こり始めた
    ・VSの中の履歴に、おかしな名前のプロジェクトを複数発見するが、本体が消されていた
    等です。
    おかしな話で申し訳ないです。。

    管理者様:

    申し訳ありません。
    本投稿に関してですが、マルチポストをしてしまいました。
    最適な対応をお願いしてもよろしいでしょうか?
    お手数をお掛けしますが、宜しくお願いします。



    2013年5月15日 0:34
  • こちらの質問は、適切なフォーラムを案内して回答とさせていただきました。

    コーベル さんから新しい質問としてTechNet フォーラムに投稿されていますので、
    質問内容に役立つ情報がありましたら、以下のスレッドに回答をお願いします。

    TechNet -Windows 7 全般フォーラム 「プロセスの監視」:


    日本マイクロソフト株式会社 フォーラム オペレーター 星 睦美

    2013年5月15日 1:19