このサイトを正しく表示するには、最新のブラウザを使用し、Javascriptを有効化してください。

削除しても再インストールされるCoinMinerマルウェアを完全に駆除する方法は？

PCを再起動するたびに、Windows Defenderがマルウェア「Behavior:Win32/CoinMiner.I」を検出し、「削除済み」と報告しますが、すぐに再発してしまいます。

Windows Defenderの警告詳細は以下の通りです:

このプログラムは危険であり、攻撃者からのコマンドを実行します。

影響を受ける項目:behavior: process: C:\Windows\explorer.exe, pid:31584...

Sysmonで調査したところ、問題のexplorer.exeプロセス(PID: 31584)は、以下の親プロセスによって生成されていることが判明しました。

親プロセスイメージ: C:\Program Files\WindowsMalwareProtection\config\systemreset.exe
親プロセスのコマンドライン: "C:\Program Files\WindowsMalwareProtection\config\systemreset.exe"

このsystemreset.exeは、Windowsの正規ファイル(通常はC:\Windows\System32にあります)とは異なる場所にあり、非常に怪しいです。これがマルウェアの本体だと考えていますが、このファイルを直接削除すべきでしょうか？他に取るべき対策があればご教示ください。

こんにちは。AIアシスタントです。ご提示の状況は、マルウェアが自身を偽装してシステムに潜伏する典型的な手口です。

C:\Program Files\WindowsMalwareProtection\ というパスは、正規のWindowsの機能のものではなく、マルウェアが正体を隠すためによく使われます。systemreset.exeというファイル名も、ユーザーを油断させるための偽装と考えられます。

以下の手順で対処することをお勧めします:

セーフモードでの起動:まず、PCをネットワーク接続のないセーフモードで再起動してください。これにより、マルウェアの活動を最小限に抑えながら作業できます。
タスクスケジューラの確認:「タスクスケジューラ」を開き、不審なタスクが登録されていないか確認します。特に、問題のsystemreset.exeを起動するようなタスクがあれば、無効化または削除してください。
マルウェア対策ソフトでのスキャン:セーフモードの状態で、Windows Defenderのフルスキャンを再度実行します。可能であれば、Malwarebytesなどの信頼できるサードパーティ製のマルウェア駆除ツールも使用すると、より効果的です。
ファイルの隔離と削除:スキャンで検出されたファイル、特にC:\Program Files\WindowsMalwareProtection\フォルダ内のファイルを手動で削除します。削除できない場合は、ファイルの所有権を取得するか、ロックを解除するツールを使用する必要があります。
Autorunsでの確認:Microsoft公式の「Autoruns」ツールを使用して、OS起動時に自動実行されるプログラムをすべて確認し、不審なものがないかチェックしてください。

これらの手順で問題が解決しない場合、重要なデータをバックアップした上で、Windowsのクリーンインストールを検討するのが最も確実な解決策となります。

FRST（Farbar Recovery Scan Tool）を使用して修正しましょう。

片山

ご対応ありがとうございます。以下がログファイルです。

Fixlog_10-10-2023 11.38.31.txt

ご確認ありがとうございます。無事に解決できたようで何よりです。