Sophos Anti-Virus でマルウェアを除去する方法

  • 文章 ID: 112129
  • 更新日: 2015 6 30

'マルウェア' とは、トロイの木馬、ワーム、コンピュータウイルスなどのコンピュータに関するすべての脅威の総称です。Sophos Anti-Virus によって、検出された大半のマルウェアは迅速、簡単にクリーンアップできます。ただし、検出された特定の脅威によっては、クリーンアップのプロセスに多数のステップが必要になる場合があります。

この文章では、 Enterprise Console またはローカルのウイルス対策プログラムを使用して大半のマルウェアをクリーンアップするための手順を説明しています。

影響を受けるソフォス製品とバージョン

Sophos Anti-Virus for Windows 2000+
Sophos Anti-Virus for Unix
Sophos Anti-Virus for OpenVMS
Sophos Anti-Virus for Mac OS X
Sophos Anti-Virus for Linux
Enterprise Console

Enterprise Console からマルウェアをクリーンアップする

注:

  • ウイルス対策および HIPS ポリシーのデフォルトの設定では、すべてのマルウェア検出を自動的にクリーンアップする設定になっており、クリーンアップが正常に実行されるとコンソール内のエンドポイントに対しては警告が表示されなくなります。これは仕様上の動作です。このため、お客様側で操作が必要な場合にのみ警告されます。正常にマルウェアがクリーンアップされたかどうかを確認する必要がある場合、コンピュータの「コンピュータの詳細」(コンピュータ名をダブルクリックして開く) を確認するか、レポートを生成して、検出されたエンドポイントコンピュータとマルウェアがクリーンアップされたことを確認してください。
  • マルウェアが正常にクリーンアップされるかどうかは、問題の発生しているコンピュータ上でフル検索が実行されたかどうかで変わってきます。一部のコンピュータではフル検索が必要になります。既にフル検索を完了している場合には、以下の手順を引き続き実行してください。クリーンアップが失敗している場合はフル検索を実行していないことが原因である可能性があります。

コンソールで検出をクリーンアップするには以下を実行します。

  1. 単一のコンピュータまたはコンピュータグループ上で右クリックし、「警告とエラーの対処」を選択します。例:



  2. 「警告」タブで「表示」のフィルタを設定して検出が必要なマルウェアの種類 (ウイルス/スパイウェア、疑わしい動作/ファイル、アドウェア/不要と思われるアプリケーション) を制限するか、「すべての警告」を選択してすべての警告を表示します。

  3. 「クリーンアップのステータス」の列を確認します。「クリーンアップできます」と表示されている必要があり、それ以外の場合にはクリーンアップは失敗します。ステータスが「クリーンアップできます」ではない場合、フル検索をまだ行っていないことを示しているため、フル検索を実行します。フル検索を実行していながらも、「クリーンアップできます」というステータスが表示されない場合は、この文章の下部に記載されている「マルウェアをクリーンアップするためのその他の方法」のセクションをご覧ください。

  4. コンピュータ名の横にあるチェックボックスを選択して「クリーンアップ」を選択します。または「すべてを選択」をクリックして一覧されているすべての警告のチェックボックスを選択して警告を同時にクリーンアップを行うこともできます。注: 複数のアイテムを選択する場合、上記でも説明したようにクリーンアップできない警告を選択してしまう可能性があります。1つまたは複数のアイテムが「クリーンアップできない」場合、コンソールにはクリーンアップ可能なアイテムのみをクリーンアップするというメッセージが表示されます。

    処理が完了するまでの間「クリーンアップのステータス」の列が「クリーンアップ実行中」に変わります。例:



    この時点でメッセージが (Sophos Remote Management System (RMS) 経由で) エンドポイントコンピュータに送信されます。ローカルのウイルス対策ソフトがアイテムをクリーンアップするとコンソールにレポートを行い、アイテムは一覧に表示されなくなります。RMS での通信に遅延や問題がある場合には、アイテムが表示されなくなるまで時間がかかります。

正常にクリーンアップが行われたアイテムはリストには表示されなくなります。クリーンアップを完了するのにエンドポイントの再起動が必要な場合、「再起動が必要です」のメッセージが表示された後、エンドポイントが再起動され、クリーンアップが完了して警告が消去されます。その他のクリーンアップステータスに関しては、下記の「マルウェアをクリーンアップするためのその他の方法」のセクションをご覧ください。

エンドポイントコンピュータ上でローカルでマルウェアをクリーンアップする

お客様のコンピュータにインストールされている OS に該当するセクションの手順に従ってください。

Windows

ローカルコンピュータからマルウェアを削除するには以下を実行します。

  1. デスクトップでソフォスの盾のアイコンをダブルクリックして Sophos Anti-Virus のプログラムを開きます。ユーザーアカウント制御 (UAC) によるメッセージが表示された場合、「はい」を選択します。
  2. 「隔離アイテムの管理」をクリックします。
  3. 隔離マネージャで「実行可能なアクション」カラムのヘッダをクリックし、実行可能なアクションで脅威の一覧を並び替えます。
  4. 「実行可能なアクション」の列に表示される内容に従って以下の手順を実行します。

    実行可能なアクション 必要な手順
    クリーンアップ

    このオプションを表示しているアイテムを選択し、「対処方法の実行」-「クリーンアップ」の順にクリックします。追加のアクション (再起動など) が必要な場合、「実行可能なアクション」が変更され、このテーブル内の別の場所で説明されます。

    移動

    「移動」のオプションをクリックして、「はい」または「すべてはい」(複数のアイテムを選択する場合) を選択します。検出されたアイテムは現在のフォルダのパスから C:\ProgramData\Sophos\Sophos Anti-Virus\INFECTED\ に移動されます。移動でアイテムは削除またはクリーンアップされません。

    提出するサンプルファイルを取得して SophosLabs に送る際にオンアクセス検索でブロックされるような場合に役立ちます。

    削除する

    検出されたアイテムはウイルスまたはスパイウェアに分類され、アドウェアまたは PUA ではありません。このため、アイテムを「削除する」オプションがあります。注: 削除するオプションとクリーンアップのオプションが同時に表示された場合は、クリーンアップのオプションを最初に使用することをお勧めします。クリーンアップが正常が実行されなかった場合に、削除のオプションを使用してください。

    「削除」のオプションをクリックすると Sophos Anti-Virus はコンピュータからアイテム全体を削除します。これは悪意のある部分のみを削除して問題のない部分を保持する駆除のプロセスとは異なります。

    通常このオプションは、トロイの木馬 ('Troj/...' として検出) などの完全に悪意のあるファイルへの対処法のとしては有効です。ただし、検出されたファイルが正規のファイルであった場合 (自分自身で作成した重要な社内文書など) には、「削除」ではなく「クリーンアップ」を選択しておけばファイル内の重要な情報は保持される可能性があります (ただし、必ず保持されることが保証されるものではありません)。バックアップファイルを作成している場合には、ファイル全体を削除して、コンピュータのクリーンアップが行われた時点でバックアップからファイルのクリーンコピーを復元します。

    システムのフル検索が必要です
    1. 「ホーム」をクリックし、続いて「ローカルディスクの検索」をクリックして検索を開始します。
    2. 検索が終了した際には、隔離マネージャ に戻り、アクションのカラムに表示されている結果にしたがって検出されたアイテムのクリーンアップを行います。

    ローカルでのフルモード検索の詳細に関しては、61665 の文章をご覧ください。

    部分的に削除しました。クリーンアップの完了には、再起動が必要です。
    1. コンピュータを再起動します。
    2. 隔離マネージャに戻ると情報が更新されるので、一覧されている内容を確認します。
    3. アイテムが一覧表示されている場合、更新された「実行可能なアクション」をこのテーブルに一覧されている内容と比較して確認します。

    クリーンアップが正常に実行された場合、アイテムは隔離マネージャから完全に削除されます。クリーンアップが失敗した場合、アイテムに「手動クリーンアップが必要です」が表示されます (下記参照)。

    対処なし (手動クリーンアップが必要です)

    または

    対処なし (クリーンアップに失敗しました。手動で削除を行ってください。)

    手動クリーンアップは通常、次の 2つの理由のいずれかで必要になります。

    • ファイル/アイテムがその場所から既に削除されてアクセスできなくなっている (USB ドライブが外されたような状態)。
    • または、Sophos Anti-Virus が削除できないファイル/アイテムがある。この場合は削除が必要です。

    検出されたアイテムがアンインストールのできないプログラムである場合があるため、最初にそれを確認する必要があります。

    1. 隔離マネージャに表示されているアイテム名をメモします。例:


    2. コントロールパネルから「プログラムの追加と削除」を開きます。
    3. インストールされているプログラムのアルファベット順の一覧をスクロールして表示されていたアイテムがあるかどうかを確認します。例:


    4. プログラムの追加と削除のプログラムを使用してプログラムをアンインストールします。複数のアイテムが一覧されている場合があります。
    5. アンインストールが完了した場合、隔離マネージャに戻るとアイテムは依然として表示されています。
    6. 「詳細」カラムにある [詳細...] のオプションをクリックすると検出されているコンポーネントの一覧が表示されます。


    7. 一覧されている最初のアイテム (1つまたは複数のアイテムが表示されている場合があります) を右クリックし、「検出先の表示」を選択します。Windows エクスプローラでアイテムを含むフォルダーが表示されます。  
    8. マウスの左ボタンでアイテムをクリックし、Shift + Delete キーを押すと、アイテムはフォルダから削除されてごみ箱に移動されます。「はい」をクリックして、削除を行います。

      注:
      同じフォルダ内にある複数のアイテム上にマウスで選択して Shift + Delete キーを押して複数のアイテムを同時に削除できます。この方法で削除を行うことが必ずしも必要ではありませんが、推奨される操作方法です。ただし、通常の方法で削除を行った場合には、最後に「ごみ箱」を空にする必要があります。

      アイテムが存在しない場合、「このフォルダのコンテンツを表示中、エラーが発生しました」というエラーが表示されます。これはその場所が既に存在しないことを意味するので、2番目のアイテムの場所を開いてアイテムが存在するかどうかを確認できます。
       
      注:
      検出されたコンポーネントの最後に FILE:0000 またた類似した内容の情報が表示されている場合には、コンポーネントは実行されようとしたがディスク上には存在しないことを意味するため、このように表示されているすべてのコンポーネントは無視できます。



    9. 残りのアイテムに関してステップ 7 を繰り返し実行します。

    コンピュータからファイルを手動で削除した場合、アイテムを隔離マネージャから削除します。

    コンピュータにマルウェアが存在しないことを確認するために、最後にフル検索を実行することをお勧めします。

    問題のあるマルウェアの削除に関する詳細については、下記の「マルウェアをクリーンアップするためのその他の方法」のセクションをご覧ください。

    十分な権限がありません。管理者にお問い合わせください。

    アイテムが、お客様のアカウント情報 (コンピュータにログオンする際に使用する情報) ではアクセスが許可されていない領域にあるコンピュータのハードドライブで検出されました。お客様のアカウントがコンピュータのローカル管理者でない場合に、通常この問題が発生します。アクション変更の実行に使用されるアカウントはアクションによって変わってきます。コンピュータからログオフして、ローカル管理者アカウントとして再度ログオンします (正しいアカウントを使用していると考えられる場合には、別にアカウントを使用します。ドメイン管理アカウントを使用している場合にはローカル管理アカウントのみでログインします)。

    お客様がコンピュータの IT 管理者ではない場合、社内の IT 担当者にクリーンアップを依頼します。

    また、お客様のアカウントが隔離マネージャに対して権限を持っているかどうかを確認することも重要です。Sophos Endpoint Security and Control のメイン画面から、「ウイルス対策および HIPS」-「Sophos Anti-Virus と HIPS の環境設定」-「環境設定」-「隔離マネージャ用ユーザー権限」の順に選択します。Windows の管理者としてログオンしている場合、'Sophos Administrator' として設定されていることも確認します。

    認証

    アイテムを「認証」するオプションが表示されている場合、Sophos Anti-Virus はアイテムをアドウェアまたは不要と思われるアプリケーション (PUA) として検出しています。これらのアイテムは必ずしも悪意のあるものとは限りません。

    • たとえば、アドウェアは宣伝をポップアップしたり、アクセスを選択していないサイトをブラウザウィンドウで開こうとする場合がありますが、表示されている製品を購入するようにすることを目的にしています。このような動作は一般的には煩わしいものですが、ソフトウェアは意図的にコンピュータに感染しようとしたり、危害を与えることを目的にはしてません。ただし、問題のある設計やプログラム上の不具合があった場合には、コンピュータに損傷を加える可能性もあります。アドウェアは、ユーザーのブラウザでの閲覧状況を監視して、効果的な宣伝を行えるようにすることを目的にしています。

    • PUA は、自宅やプライベートに有用であってもお客様の企業 (業務用) のコンピュータには不要であるようなプログラムで、IT 管理者が高度なトラブルシューティングを行う際に必要になるツールなども含まれる場合があります。PUA はソフォスのアプリケーション コントロール機能などでブロックされます。

    「認証」のオプションが表示されたり、「認証」または「クリーンアップ」のいずれかを選択できる場合があります。

    • 検出をクリーンアップするオプションが含まれている場合には、クリーンアップのオプションを選択してください。その後の画面の指示に従って処理した後、コンピュータを再スキャンして何も再検出されないことを確認します。
    • 「認証」のオプションのみが表示されている場合には、インストール済みのプログラムであるために、手動での削除してください。手動で削除する場合には、最初にプログラムのアンインストーラがあるかを確認してアンインストールを実行し、コンピュータ上に残っている場合には検出されたアイテムを削除します。
    詳細は上記の「対処なし (手動クリーンアップが必要です)」を参照してください。

    表示

    ルートキットディスク検索が「非表示」のファイルを検出した場合にこれが報告されます。

    1. 「表示」アクションをクリックします。
    2. コンピュータを再起動します。
    3. コンピュータのフル検索 (「ローカルディスクの検索」) を実行します。これによって '非表示' の脅威が検出されるようになります。
    4. このテーブルの別の場所で説明されているように、脅威のクリーンアップを実行します。



  5. アイテムのクリーンアップは完了したのにコンピュータが再度感染する場合は、下記の「マルウェアをクリーンアップするためのその他の方法」のセクションをご覧ください。

Mac OS X

  • サポートデータベースの文章 118117 をご覧ください。

Linux

  1. savscan を -remove オプションを使用して実行します。例として、Terminal から次を実行します。

    savscan -remove

  2. 検索を実行して、感染ファイルが削除されたことを確認します。

UNIX

  1. SWEEP を -remove オプションを使用して実行します。例として、Terminal から次を実行します。

    sweep -remove

  2. 検索を実行して、感染ファイルが削除されたことを確認します。

OpenVMS

 

マルウェアをクリーンアップするためのその他の方法

大半のマルウェアは数回のクリックでクリーンアップできます。ただし、非常に多くの種類のマルウェアがさまざまな方法でコンピュータへの感染を行うため、クリーンアップ処理には追加の処理が必要になる場合があります。

特定のシナリオを理解することで、クリーンアップに関する問題を解明するのに役立ちます。一般的な問題に関しては、推奨される対処策と併せて下記テーブルに説明されています。

問題 原因 説明・対策

Enterprise Console でのクリーンアップステータスが「クリーンアップに失敗しました」と表示される

SAV にはクリーンアップに関するすべての情報がありません。 お客様に最善の保護対策を提供するために SophosLabs では、完全なクリーンアップ方法を特定する前に保護対策を先にリリースする選択を行うことができます。その場合、新しいマルウェアは実行されないようにブロックされるため、感染の危険性は極めて低くなります。ただし、マルウェアが実行された場合にはプログラムは完全なクリーンアップ方法を実行できていないことになります。この場合、「詳細」のカラムを使用して検出されたファイル / アイテムへのパスを確認し、自動クリーンアップが失敗したことを併記してソフォスにサンプルを提出してください。SophosLabs はサンプルの解析を行い、強化・改善されたクリーンアップ方法を迅速にリリースできます。エンドポイントがアップデートされるとクリーンアップは正常に実行されるようになります。

Enterprise Console でクリーンアップステータスが「クリーンアップを実行中です」のままになるか、「クリーンアップ タイムアウト」が表示される


エンドポイントコンピュータへのメッセージ送信を行い、クリーンアップの指示を行う Remote Management System (RMS) が正常に機能していません。 Enterprise Console からのクリーンアップには、RMS が正常に機能している必要があります。管理サーバーが最初にエンドポイントにメッセージを送信し、通信が成功したことを示すメッセージを受け取る必要があります。管理サーバー上の Envelopes フォルダにはメッセージの backlog が含まれていないことを確認し、メッセージの backlog がある場合にはエンドポイントコンピュータへの RMS 接続に関するトラブルシューティングを行います。通信の問題を解決できない場合は、エンドポイントに移動して検出されたマルウェアの問題をローカルで解決してください。
検出されたアイテムはメモリ内で実行されています。 エンドポイントコンピュータを再起動して再度検索を実行します。
アイテムがコンピュータ上に既に存在しないか、アクセスできません (USB ドライブがコンピュータから外された場合など)。 アイテムをクリア (消去) すると、アイテムは一覧にも表示されなくなります。 再度、コンピュータの検索を行います。

Enterprise Console でのクリーンアップステータスが「クリーンアップできません」と表示される

Sophos Anti-Virus はフル検索を要求していながら実行されませんでした。

フル検索を実行します。ローカルでフル検索を実行する方法については 61665、Enterprise Console からフル検索を実行する方法については 25358 をご覧ください。

注: Mac コンピュータでは、通常クリーンアップに失敗したアイテムは Time Machine のバックアップに含まれます。詳細については 118117 をご覧ください。

検出されたアイテムは圧縮ファイル (ZIP ファイルなど) から解凍されるか、アプリケーションによって一時的に開かれます (Outlook が PDF の添付を開くなど)。一時ファイルであるために検出されたもとの場所には存在しないことになります。 パスが .zip ファイルまたは FILE:0000 を示していることを確認します。該当する場合には、警告をクリア / 消去します。SAV は zip ファイル全体を削除することは適切ではないので、 zip ファイル全体へのクリーンアップは実行しません。パスには Zip ファイル名が含まれているので、Zip ファイルが不要な場合はファイル自体を見つけて削除できます。
脅威ファイルをクリーンアップ後にもファイルが再度検出される (同じファイルが再検出される) コンピュータがローカルネットワークまたはネットワークに接続している場合、マルウェアが転送されてきます。または未検出のマルウェアのアイテムが再起動時に検出済みのアイテムを再ロードします。 最初に Wi-Fi を無効にしたり、ネットワークケーブルを取り外してコンピュータをネットワークから切り離し、コンピュータの再検索、クリーンアップを実行した後、ネットワークから切り離された上体で再起動を行います。これによってマルウェアがネットワークソースから来ているものかどうかを確認できます。ネットワークに接続している場合にのみマルウェア検出される場合は、Sophos Source Of Infection (SOI) を使用する SMART プロセスを使用してネットワーク上で検出の原因となっているソースを特定してください。

お客様の問題のが上記のテーブルに記載されていない場合は、このページの下部でコメントを入力してお知らせください。できるだけ詳細な情報をご提供いただけますと、このページの更新に役立てることができます。注:このページの入力欄に個別のお問い合わせを入力いただいても返信やサポートは行えません。サポート対応を必要とされる場合にはこちらからお問い合わせください。また、マルウェアファイルの削除に関しては 14443 の文章をご覧ください。

 
詳細情報が必要な場合やご不明の点がある場合は、 テクニカルサポート までご連絡ください。

Rate this article

Very poor Excellent

Comments