Malware-removal-preparation-for-removal
マルウェアの削除-削除の準備
マルウェアは、いくつかのイベントを利用して、プログラムに自分自身を添付し、他のプログラムに送信します。 これらのイベントは、自分で起動したり、実行不可能なファイルを使用して自分自身を送信したり、他のネットワークやコンピューターに感染したりすることができないため、発生する必要があります。
削除フェーズの準備をするために、最初にマルウェアを殺すためにどのコンピュータープロセスがマルウェアによって使用されているかを理解する必要があります。 それらをブロックするためにどのトラフィックポートが使用されていますか? これらのマルウェアに関連するファイルは何ですか?したがって、それらを修復または削除する機会があります。 このすべてには、この情報を収集するのに役立つツールの束が含まれています。
調査プロセス
上記の結論から、いくつかの異常なプロセスまたはサービスが単独で実行される場合、可能性のあるウイルスとの関係をさらに調査する必要があることを知っておく必要があります。 調査プロセスは次のとおりです-
プロセスを調査するには、次のツールを使用して開始する必要があります-
fport.exe
pslist.exe
handle.exe
netstat.exe
*Listdll.exe* には、使用されているすべての* dllファイル*が表示されます。 *netstat.exe* とその変数は、それぞれのポートで実行されているすべてのプロセスを示します。 次の例は、 *Kaspersky Antivirus* のプロセスをコマンドnetstat-anoにマッピングしてプロセス番号を表示する方法を示しています。 所属するプロセス番号を確認するには、タスクマネージャーを使用します。
Listdll.exeについては、https://technet.microsoft.com/en-us/sysinternals/bb896656.aspxからダウンロードし、実行しているDLLに接続されているプロセスを確認できます。中古。
次のスクリーンショットに示すように、CMDを開いてListdll.exeのパスに移動し、実行します。
次のスクリーンショットに示すような結果が得られます。
たとえば、PID 16320は dllhost.exe によって使用されており、左側に COM Surrogate という説明があります。 このプロセスで表示されているすべてのDLLが表示されており、グーグルで確認できます。
次に、Fportを使用します。これは、https://www.mcafee.com/hk/downloads/free-tools/fport.aspx#からダウンロードでき、サービスとPIDをポートにマップします。
サービスを監視し、それらが消費しているリソースの数を確認する別のツールは「プロセスエクスプローラー」と呼ばれ、次のリンクからダウンロードできます。https://download.sysinternals.com/files/ProcessExplorer.zip以降それをダウンロードするには、exeファイルを実行する必要があり、次の結果が表示されます-
