pslaboが試したことの記録

はてなダイヤリーからはてなブログに引っ越してきました

この日記は現在実行中の減量記録を含む個人的なメモとして始めましたが、最近はコンピュータやガジェット、ハック、セキュリティネタのほうがメインになっております。

はてなダイヤリー時代はカテゴリ分けが適当だったのですが、これはそのうち直します。


インストール不要のアンチウイルスソフト Microsoft Safety Scanner で検査してみる

Windows

マシンの挙動が変なので、普段使いのアンチウイルスソフトとは違うエンジンで検査してみようと考えた

仕事用のPCは Cylance のアンチウイルスソフトウェアが導入されているのですが、1日に1回くらい、explorer.exe が再起動する謎の現象が出るようになってしまいました。

また、誤検知かどうかはわからないけれど、いくつかのファイルを脅威と検知されてしまい、隔離が行われてしまいました。

少なくとも explorer.exe が再起動する状況というのは気持ち悪状況であることは確かです。誤検知は、安全のためなら少々の誤検知はやむを得ないけど、これもちょっと不便。

しかし環境の再インストールは大変なので、まずは別のアンチウィルスで検査してみることにします。

Microsoft Safety Scanner とは?

Microsoft Safety Scanner は、アンチウイルスのためにメインで使うものではなく、あくまで予備的に使うツールです。

このソフトウェアでは次の機能が提供されます。

  • 無料
  • 常駐しない
  • 手動実行のみ
  • インストール不要
  • スキャンして脅威を検出し、復旧
  • ダウンロードから10日間だけ利用可能
  • Windows10 - 7 にで利用可能

常駐しないし、手動実行だけなのですから、メインの目的には当然使えません。なんか変だなーと思ったときの二重チェック用です。

Windows Defender (Windows10, 8) や Microsoft Security Essential (Windows7) を利用している場合に、Microsoft Security Scanner との組み合わせが意味を持つかどうかは不明。検出エンジンは同じだと思うので、あんまり意味ないかも。サードパーティアンチウイルス製品を利用しているなら、ダブルチェックになるので意味があります。

入手方法、使い方

下記URLから入手できます。

Safety Scanner - Windows Defender Security Intelligence

使い方はこちらのページに掲載されていますが、実行して「クイックスキャン」「フルスキャン」「カスタムスキャン」のいずれかを選ぶだけ。

Microsoft Safety Scanner で PC の状態を確認し、ウイルスを駆除する

私の場合はこの手のツールは「フルスキャン」のみを行います。カスタムスキャンで検査されない場所に何かが潜んでいても困りますし。

実行結果

サマリはアプリに表示されますが、実行時のログは "C:\Windows\debug\mrt.log" にも出力されていますので、何か問題があったときはこちらを見るほうがよいです。

自分の環境では2つの脅威が検知されましたが、片方はアンチウィルス製品の試験用ファイル (eicar.com) であり、もう一つは Cylance の隔離フォルダでの検知でした。

今回の実行時ログのサマリはこんな感じでした。

---------------------------------------------------------------------------------------

Microsoft Safety Scanner v1.0, (build 1.263.1819.0)
Started On Sat Mar 31 14:31:16 2018

Extended Scan Results
---------------
(略)

Threat detected: Virus:DOS/EICAR_Test_File
    file://D:\Users\pslabo\Downloads\eicar.com
        SigSeq: 0x00000555DC2DDDB0
        SHA1:   3395856ce81f2b7382dee72602f798b642f14140
Threat detected: TrojanSpy:Win32/Ursnif
    file://C:\ProgramData\Cylance\Desktop\q\828bd4f3.exe.quarantine
        SigSeq: 0x0000157E1BA61378
        SHA1:   047bb2cf07954ca758ba4fa2e50b019c99eda290

Extended Scan Removal Results
----------------
Start 'remove' for file://\\?\D:\Users\pslabo\Downloads\eicar.com
Operation succeeded !

Start 'remove' for file://\\?\C:\ProgramData\Cylance\Desktop\q\828bd4f3.exe.quarantine
Operation succeeded !


Results Summary:
----------------
Found TrojanSpy:Win32/Ursnif and Removed!
Found Virus:DOS/EICAR_Test_File and Removed!

とりあえず、この結果から考えると、自分のPCのウィルス感染は無さそうですし、やばそうなファイルは Cylance が隔離してくれているようです。

なお、eicar.com の試験ファイルはココから入手できるのですが、全てのアンチウィルス製品が脅威として検知しますのでウィルス検出時の挙動を確認しておくことができるので、PCユーザはこういうのを使って検出時の挙動を把握したり、あるいはメール等で添付ファイルが送りつけられた場合の対応を練習しておくと良さげです。

なお、実際のファイルは全く安全なファイルですが、それはあくまで eicar.com から直接入手したものに限られます。よくわからない経路で eicar.com を受け取っても、それを信用してはいけません。

www.eicar.org