Step3 スキャン結果の確認

• 

  このステップでは、パワーイレイサーで検出された項目を一つ一つ確認して、誤検出かどうかを確認する方法をご説明します。

  1/35

• まず最初に「やらないほうが良いこと①」を説明します。

  

  「修正する」という、検出項目をまとめて駆除する機能がありますが、本書の「はじめに」のページでご説明のとおり不具合を起こすことがあるので、やらない方が良いです。

  2/35

• 

  検出された項目をクリックすると詳細が表示されますので、それを見て、駆除するべきかどうかを判断します。

  3/35

• 

  詳細画面の見本です。

  4/35

• 

  詳細画面の項目の左側にある種類が「ファイル」となっているものは「ウイルスだ！」と判定された物の実体のファイル、またはそれに関係する別のファイルです。

  5/35

• 

  種類が「レジストリキー」のものは、ウイルスの実体等ではなく、ウイルスを動かすために設定された（または設定改ざんされた）ものです。
  
  一般の方がこのレジストリキーの値を見ても、何が何やらチンプンカンプンだと思います。
  そのため本書ではとりあえずレジストリキーは無視して、種類が「ファイル」の項目だけ確認していきます。

  6/35

• ファイルの確認方法の説明をする前に、冒頭の「やらないほうが良いこと①」に続いて詳細画面でもやらないほうが良いことがありますので、先にそれを説明しておきます。

  7/35

• やらないほうが良いこと②

  

  詳細画面に「ターゲットを検索する」という便利機能がありますが、これをクリックするとパワーイレイサーが勝手に終了するという現象が起こります。（２０２３年９月時点）
  そうするとスキャンのやり直しになりますので、これには触れないほうが良いと思います。

  8/35

• やらないほうが良いこと③

  

  うっかりウインドウ右上のX印を押すと、確認なしで即座にパワーイレイサーが終了します。
  そうするとはじめからスキャンをやり直すことになるので、詳細画面から前の画面に戻るときは、必ず「戻る」ボタンを押して下さい。

  9/35

• やらないほうが良いことの話は以上です。
  ファイルの確認方法に話を戻します。

  

  見本の赤線部分の文字列は「ファイルパス」というもので、ファイルが存在する場所を示しています。

  10/35

• 先程のファイルパスを手がかりに、ウイルスと判定されたファイルがある場所を確認します。
  エクスプローラを開いて下さい。

  

  11/35

• 

  先程のファイルパスのうち、一番最後に現れる￥マークまでを、アドレスバーに入力してEnterして下さい。
  （この例では下の赤色太字の￥マークが最後のものです）
  C:¥LTS-LC-Short ¥ short_logs_copy_and_compress.bat

  12/35

• 

  ファイルパスによっては、上の見本のように「このフォルダーにアクセスする許可がありません」と表示される場合がありますが、「続行」を押して下さい。

  13/35

• 

  ウイルスと判定されたファイルが表示されます。
  これを見るだけで誤検出かどうか判断できることもありますが、ここでは更に詳しく調べます。
  この画面は開いたままにして次の作業にお進み下さい。

  14/35

• 

  キーボードのWindowsキーとRを同時押しして下さい。
  ファイル名を指定して実行というダイアログが表示されますので、入力欄に「cmd」と入力してEnterして下さい。

  15/35

• 

  表示された黒い画面に下記のように入力して下さい。
  （入力後、まだEnterはしないで下さい）

  

  16/35

• 

  先程見たウイルスと判定されたファイルを、黒い画面にドラッグ＆ドロップして下さい。

  17/35

• すると下の見本のようにファイルパスが自動的に入力されます。

  

  これでコマンド全文は下記の形となりました。
  certutil -hashfile 【自動入力されたファイルパス】
  この状態でEnterを押して下さい。

  18/35

• 

  赤線部分のように、数字とアルファベットが並んだ値が表示されます。
  これを「ファイルハッシュ」と言います。
  このファイルハッシュを後で使いますので、黒い画面は開いたままにしておいて下さい。

  19/35

• Webブラウザで下記のURL（VirusTotal）にアクセスして下さい。
  
  https://www.virustotal.com/gui/home/search

  20/35

• VirusTotalとは、Googleが運営するウイルスなどに関する脅威情報の検索サービスです。（無料で使用できます）
  
  VirusTotalで先程のファイルハッシュを検索すると、世界中のアンチウイルスエンジンのスキャン結果を確認することができます。

  21/35

• 

  先程の黒い画面で表示されているファイルハッシュを、マウスでドラッグして選択し、右クリックして下さい。
  
  右クリックしても画面上は何も反応しませんが、ファイルハッシュがコピーされた状態となります。

  22/35

• 

  VirusTotalの「Search」の検索ボックスにファイルハッシュを貼り付けてEnterすると、検索結果が表示されます。
  次のページから結果画面の例を３つご案内します。

  23/35

• 結果例①　安全なファイルの場合

  

  一番左上に、緑色の数値（０）が表示されている場合は、そのファイルは安全だと判定された結果です。

  24/35

• VirusTotalで安全と判定された場合、パワーイレイサーの誤検出だった可能性が高いです。
  絶対にそうだと断言できないのですが、ほとんどの場合は誤検出です。
  
  そのためこのようなファイルに関しては、なるべく駆除しない方向で考えて下さい。

  25/35

• 結果例②　不明な場合

  

  当該ファイルに関する情報が無い場合の結果です。
  平たく言うと、世界中のアンチウイルスエンジンでも「よくわからん」という結果です。

  26/35

• 不明な場合でも問題ないことの方が多いのですが、しかし特定の個人に狙いを定めた標的型攻撃の場合は、不明なファイルのうちの一つにウイルスが含まれているケースがよくあるので、状況によってはかなり怪しいものとなります。
  
  ただし前述のとおり全体の割合では問題ないことの方が多いので、不明だからといって慌てて駆除しないで下さい。
  他の結果を見てから駆除するかどうかを判断すべきです。

  27/35

• 結果例③　ウイルスの場合

  

  一番左上に、赤色の数値が表示されている場合は、そのファイルがウイルスに関連している可能性がかなり高いです。

  28/35

• 赤色の５５という数は、５５個のアンチウイルスエンジンが「ウイルスだ！」と判定したことを示しています。
  
  このような場合は、当該ウイルスを駆除するべきです。
  ただしウイルスのファイルのみを単純に削除するだけでは不完全で、これに関連するファイルの削除およびレジストリの正常化も必要です。そのため、ウイルスが見つかったからといって慌てて削除しないで下さい。

  29/35

• パワーイレイサーの詳細画面を見ると、ウイルスと判定されたファイルだけでなく、それに関連する別のファイルやレジストリキーが表示されています。

  

  30/35

• パワーイレイサーの駆除処理をおこなうと、関連ファイルや設定（レジストリ）が全て影響を受けますので、詳細画面の写真を撮るなどしておけば、万が一にウイルス駆除が原因でパソコンに不具合が生じても対処しやすくなります。
  
  例えば駆除したらエラーが出るようになったりアプリが動かなくなったりしたとき、何が消されたのか分からないと最悪の場合は復旧不能となってしまいますので、念のため消す物の記録を残しておいた方が良いのです。

  31/35

• ここまでの流れのおさらい

  • ①スキャン結果の一覧から、詳細画面を開く。
  • ②詳細画面のファイルパスをもとにし、ウイルスと判定されたファイルのあるフォルダを開く。
  • ③ファイルハッシュを取得する。
  • ④VirusTotalでファイルハッシュを検索する。
  • ⑤ウイルスだと判定されたら、駆除に備えて関連ファイルやレジストリキーの写真を撮っておく。
  32/35

• さて、詳細画面から「戻る」をクリックしてスキャン結果の画面を見ますと、合計５つの項目がウイルスと判定されていました。

  

  33/35

• 

  結果の一覧にある全ての項目に対し、ここまでの例と同様にしてVirusTotalで安全／不明／危険を確認して下さい。

  34/35

• 以上でパワーイレイサーのスキャン結果に対する確認方法の説明は終了です。
  次のステップで駆除と復元のやり方をご説明します。
  下のリンクからお進み下さい。

  Step4
  駆除と復元 35/35