こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

-広告-

解決済みの質問

悪意のあるソフトウェア削除ツールについて その2

前回の質問には、486HA さん、narashinngo さんにお答えいただきました。有り難うございます。その後に私がしたことを書く欄がありませんので、質問その2として書かしていただきます。
MRT.exe によるスキャニングは2回行いました。
一回目のクイックスキャンは数分間で終わり、問題は発見されませんでした。
二回目はフルスキャンで30時間以上掛かり、感染しているファイル数が31と嫌な数字が出ました。バックアップを保存したHDもスキャンニングの対象ですから一つの感染ファイルが二度数えられているとも思われます。
実行後、C:\Windows\debug\mrt.log  を調べると記録がありました。
====
https://support.microsoft.com/ja-jp/help/890830/remove-specific-prevalent-malware-with-windows-malicious-software-remo
Windows 悪意のあるソフトウェアの削除ツールで流行している特定の悪質なソフトウェアを削除する
というサイトは読みました。但し隅から隅まで読むには大きすぎ、拾い読み程度です。
====
さて質問です。上記 mrt.log の一部を転写いたします。
---------------------------------------------------------------------------------------
Microsoft Windows Malicious Software Removal Tool v5.49, June 2017 (build 5.49.13902.0)
マイクロソフトウィンドウズの悪意あるソフトウェア除去ツール(バージョン5.49)2017年6月版
Started On Sat Jun 17 08:58:38 2017
スタート2017年6月17日(土)8:58:38 (私はこの日にスキャニングを行っておりません。自動で実行されたのでしょうか。)

Engine: 1.1.13804.0 (ソフトを動かすエンジンでしょうか??)
Signatures: 1.245.112.0(何のサインでしょう。)
Run Mode: Preparing Heartbeat Telemetry
稼働モード:Heartbeat Telemetry準備中
Successfully Submitted Heartbeat Report
Heartbeat 報告は成功裏に提出された。
Microsoft Windows Malicious Software Removal Tool
Finished On Sat Jun 17 08:59:46 2017
マイクロソフトウィンドウズの悪意あるソフトウェア除去ツールは
終了2017年6月17日(土)8:59:59
Return code: 0 (0x0)
リターンコード:0 (0x0)
---------------------------------------------------------------------------------------
質問:
稼働モードとは何ですか。
Heartbeat Telemetryとは何ですか。
Heartbeat Report とは何ですか。
====  
ここからは、7月21日のスキャンニングの結果です。
前半は、上記と本質的には変わりありません。
Microsoft Windows Malicious Software Removal Tool v5.50, July 2017 (build 5.50.14000.0)
Started On Fri Jul 21 04:40:26 2017
Engine: 1.1.13903.0
Signatures: 1.247.28.0
Run Mode: Interactive Graphical Mode
稼働モードが今回は異なります。フルスキャンの故でしょうか。
Full Scan Results:
------------------
Threat Detected: TrojanDownloader:Win32/Bredolab.X, not removed.
脅威検出:TrojanDownloader(悪意あるソフトウェア名)/
Bredolab (トロイの木馬型)、
not removed (除去せず)。
Action: NoAction, Result: 0x00000000
処理:処理せず、
結果:0x00000000
file://D:\Becky\既定\3a2745e1.mb\ひとまず隔離\#Attach\641346886.31287749614258@server341.com\DHL_print_label_74cb5.zip.b64->(Base64)->DHL_print_label_74cb5.exe

ここに記されているfile://D:\Becky\既定\3a2745e1.mb\...... 
はメールソフトBecky関連ファイルです。
ひとまず隔離というフォールダも出来ていました。
SigSeq: 0x00003078D72288F9
この一行は分かりません。
====
質問:
ひとまず隔離というのは、MRT.exe では削除できなかったので、悪意あるソフトをひとまず隔離したという意味でしょうか。したがって、このフォールダを手動で消去せよというのでしょうか。
====
以上です。不勉強で申し訳ありませんが、よろしくご援助の程を。

投稿日時 - 2017-07-25 10:49:07

QNo.9355661

困ってます

質問者が選んだベストアンサー

>2017年6月17日

この日にWindows Updateを行っていませんか?
Windows Updateの更新履歴を確認してください。
毎月の定期更新時には、必ず、MRT.exeを自動で実行しますので。

Heartbeatは、「フィードバック」のことだと思います。
つまり、Microsoftへのデータ送信と考えられ、スキャン結果などを報告して、ソフトの改善などに資するための機能と思います。
(参考:Firefox】Heartbeat機能を無効にする方法)
https://blog.halpas.com/archives/6687

今回のスキャンでは、次の部分に注目と思います。

>Threat Detected: TrojanDownloader:Win32/Bredolab.X, not removed.
脅威検出:TrojanDownloader(悪意あるソフトウェア名)/
Bredolab (トロイの木馬型)、
not removed (除去せず)。
Action: NoAction, Result: 0x00000000
処理:処理せず、
>file://D:\Becky\既定\3a2745e1.mb\...... 
はメールソフトBecky関連ファイルです。

Beckyの関連ファイルのうち、.mbはフォルダになっていて、どれかのトレイにあるメールの中に感染またはウィルスが混入していると思われます。
削除ツールでは、対処できないのだとしか思えません。

このMicrosoftのツールは、セキュリティソフトのアンチウィルス機能の代わりを完全に行うことはないですから、導入しておられるセキュリティソフトでのPCの完全スキャンを行わないといけないと思います。
そちらでは何も出てこないのですか?

それと7月12日以降の自動的なMRTによるスキャン結果はログにないのですか?

投稿日時 - 2017-07-25 11:20:04

補足

narashinngoさん
早速のお返事有り難うございます。
1.>>毎月の定期更新時には、必ず、MRT.exeを自動で実行しますので。
了解/理解いたしました。

2.>>Heartbeatは、「フィードバック」のことだと思います。
分かりました。
(参考:Firefox】Heartbeat機能を無効にする方法)
https://blog.halpas.com/archives/6687
は確認いたしました。しかし、英語の辞書にはありませんね。

3.今回のスキャンでは、次の部分に注目と思います。
処理:処理せず、
>>Beckyの関連ファイルのうち、.mbはフォルダになっていて、どれかのトレイにあるメールの中に感染またはウィルスが混入していると思われます。削除ツールでは、対処できないのだとしか思えません。
分かりました。ヴィールスバスターは導入しており、問題は発見できておりません。と云うことで、安心していたのです。

4.>>それと7月12日以降の自動的なMRTによるスキャン結果はログにないのですか?
スキャン結果のログは、沢山あります。今回は一二の例を記入し少しずつ理解をしていこうと思いました。ログのその他の部分もこれから調べます。
又、ひとまず隔離というフォールダを削除し、もう一度スキャンを掛けます。
再度のスキャンには、時間が掛かりますから、ご報告は数日後となるでしょう。

ご援助に感謝いたします。

投稿日時 - 2017-07-25 12:16:26

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

-広告-
-広告-

回答(3)

ANo.3

A.No2です。

>メール関係の場所、バックアップのHD内を除去、更に【ゴミ箱の中】まで掃除をいたしました。
>現在【感染している悪質のあるソフトウェアのファイル数が0】となりました。

前記の処理などや、ウィルスバスターでの完全スキャンでクリアー状態であって、現在も不可思議な動きがないのでしたら、まず、安心と思います。

Windows Update更新時の悪意のあるソフトウェアの削除ツール(MRT.exe)のプロセス出現時間は、何時間もあることはなく、通常は20分以内で消えますから、それほど詳細なスキャンを行っているとは思えません。
従って、セキュリティソフトによる監視(私は、週一回のシステムの完全スキャンを定期的にスケジュールしています)を第一に考えるのがよいと私は思っています。

>wiatrace.log というファイルは何でしょう。

これは、C:\Windows\debug\WIAにありますね。
今日のPC起動時のlog記述もありました。その記述の冒頭は次の記述です。

「Started trace for Module: [wiaservc.dll] in Executable [svchost.exe] ProcessID: [2396] at 2017/07/28 06:56:41:579 ****************」

過去の内容を見ると、プリンターなどの接続の成功、切断など結構スタンプされています。
プロセスは、wiaacmgr.exeのようで、次のページを見ると、
「wiaacmgr.exe は危険ですか?」に対して、「このプロセスは安全と考えられます。システムに何らかの害を及ぼす可能性は低いです。」(英訳)
とあり、オペレーションシステムで使われるもので問題はなさそうです。
(プロセスダイアリー:wiaacmgr.exe)
http://www.processlibrary.com/ja/directory/files/wiaacmgr/29024/

投稿日時 - 2017-07-28 08:16:54

お礼

有り難うございました。
質問の欄を閉じさせていただきます。

MRT.exe についても知識を整理し、日本語取扱説明書が書けるくらいに、研究したく思います。
いつも掛け声ばかりの リケロ(理系老人)ですが
今後とも、よろしく。

投稿日時 - 2017-07-28 10:54:00

ANo.2

A.No1です。

>スキャン結果のログは、沢山あります。

そうですか。
6月のこのスキャン結果が、7月の更新時のスキャンでどういった処理(結果)を出しているのか知りたいだけです。
それらの記述に何の変化もなければ、問題ないと判断したかっただけです。

投稿日時 - 2017-07-25 12:43:10

補足

486HA さん、narashinngo さん 一応の報告です。
フルスキャンを行い、結果を(C:\Windows\debug\mrt.log など)で調べました。
色々な処置も行いましたが、想像で判断したこともあり、正しいかどうかは分かりません。

1.最初に【感染している悪質のあるソフトウェアのファイル数が31】と出て嫌な思いをしました。また、スキャニングをを終わった後の、レポートにも、除去されなかったソフト数も記されていました。但しその数は31ではなく2でした。

1.1.しかし log を調べると【ひとまず隔離】という名のフォールダーが、メール関連の場所に複数あり、このフォールダーは、ヴィールスバスターによって作られたと、想像/判断いたしました。いくつかの悪意あるソフトは、除去はされなかったが、隔離され無害であろうという理解です。

1.2.そこで、【ひとまず隔離フォールダー】の削除に掛かりました。メール関係の場所、バックアップのHD内を除去、更に【ゴミ箱の中】まで掃除をいたしました。後から考えれば、当たり前ですが、一度にスッキリ出来たわけではありません。

1.3.この様にして、再々々度のフルスキャンを行い、現在【感染している悪質のあるソフトウェアのファイル数が0】となりました。

2.Microsoft には不満もあります。以上のようなことは説明してくれればよいではありません。英語の問答サイトには、多くの書き込みがありましたが、確たる解説は発見できませんでした。
2.1.MRT.log の中には、意味不明の単語が沢山あります。wiatrace.log というファイルは何でしょう。

以上です。もう少し様子を見ます。フルスキャンには10時間以上掛かりますので、中々再テストが出来ないのです。

私はこれで安心していてよいのでしょうか。

投稿日時 - 2017-07-28 06:29:52

-広告-
-広告-

あなたにオススメの質問

オススメのQ&Aはありません。
-広告-
-広告-