悪意のあるソフトウェア削除ツールについて その2
前回の質問には、486HA さん、narashinngo さんにお答えいただきました。有り難うございます。その後に私がしたことを書く欄がありませんので、質問その2として書かしていただきます。
MRT.exe によるスキャニングは2回行いました。
一回目のクイックスキャンは数分間で終わり、問題は発見されませんでした。
二回目はフルスキャンで30時間以上掛かり、感染しているファイル数が31と嫌な数字が出ました。バックアップを保存したHDもスキャンニングの対象ですから一つの感染ファイルが二度数えられているとも思われます。
実行後、C:\Windows\debug\mrt.log を調べると記録がありました。
====
https://support.microsoft.com/ja-jp/help/890830/remove-specific-prevalent-malware-with-windows-malicious-software-remo
Windows 悪意のあるソフトウェアの削除ツールで流行している特定の悪質なソフトウェアを削除する
というサイトは読みました。但し隅から隅まで読むには大きすぎ、拾い読み程度です。
====
さて質問です。上記 mrt.log の一部を転写いたします。
---------------------------------------------------------------------------------------
Microsoft Windows Malicious Software Removal Tool v5.49, June 2017 (build 5.49.13902.0)
マイクロソフトウィンドウズの悪意あるソフトウェア除去ツール(バージョン5.49)2017年6月版
Started On Sat Jun 17 08:58:38 2017
スタート2017年6月17日(土)8:58:38 (私はこの日にスキャニングを行っておりません。自動で実行されたのでしょうか。)
Engine: 1.1.13804.0 (ソフトを動かすエンジンでしょうか??)
Signatures: 1.245.112.0(何のサインでしょう。)
Run Mode: Preparing Heartbeat Telemetry
稼働モード:Heartbeat Telemetry準備中
Successfully Submitted Heartbeat Report
Heartbeat 報告は成功裏に提出された。
Microsoft Windows Malicious Software Removal Tool
Finished On Sat Jun 17 08:59:46 2017
マイクロソフトウィンドウズの悪意あるソフトウェア除去ツールは
終了2017年6月17日(土)8:59:59
Return code: 0 (0x0)
リターンコード:0 (0x0)
---------------------------------------------------------------------------------------
質問:
稼働モードとは何ですか。
Heartbeat Telemetryとは何ですか。
Heartbeat Report とは何ですか。
====
ここからは、7月21日のスキャンニングの結果です。
前半は、上記と本質的には変わりありません。
Microsoft Windows Malicious Software Removal Tool v5.50, July 2017 (build 5.50.14000.0)
Started On Fri Jul 21 04:40:26 2017
Engine: 1.1.13903.0
Signatures: 1.247.28.0
Run Mode: Interactive Graphical Mode
稼働モードが今回は異なります。フルスキャンの故でしょうか。
Full Scan Results:
------------------
Threat Detected: TrojanDownloader:Win32/Bredolab.X, not removed.
脅威検出:TrojanDownloader(悪意あるソフトウェア名)/
Bredolab (トロイの木馬型)、
not removed (除去せず)。
Action: NoAction, Result: 0x00000000
処理:処理せず、
結果:0x00000000
file://D:\Becky\既定\3a2745e1.mb\ひとまず隔離\#Attach\641346886.31287749614258@server341.com\DHL_print_label_74cb5.zip.b64->(Base64)->DHL_print_label_74cb5.exe
ここに記されているfile://D:\Becky\既定\3a2745e1.mb\......
はメールソフトBecky関連ファイルです。
ひとまず隔離というフォールダも出来ていました。
SigSeq: 0x00003078D72288F9
この一行は分かりません。
====
質問:
ひとまず隔離というのは、MRT.exe では削除できなかったので、悪意あるソフトをひとまず隔離したという意味でしょうか。したがって、このフォールダを手動で消去せよというのでしょうか。
====
以上です。不勉強で申し訳ありませんが、よろしくご援助の程を。
お礼
回答ありがとうございます。