ウイルス・マルウェアのポップアップを駆除する方法

何かスキャンする前にブラウザの通知権限を確認。「ウイルスだ」と思っているものの約72%は、通知送信を許可してしまったウェブサイト。「このサイトは通知を送信します」のプロンプトでワンクリック許可すると、偽のWindowsセキュリティ警告が30秒ごとに画面隅にポップアップ。×ボタンを押すと増える。ロボット音声で「シャットダウンしないでください」と再生するものもある。マルウェアはゼロ。

深夜近くに泣きながら電話してきたフリーランスデザイナーがまさにこれ。「WINDOWSが47の脅威を検出」のポップアップが閉じるより速く生成される。5つの「ダウンロード」ボタンがある無料PDF変換サイトで、読まずに通知プロンプトの「許可」をクリック。Chrome設定→プライバシーとセキュリティ→サイトの設定→通知——「許可」リストから不明ドメインを取り消し、閲覧データ消去、10分で完了。スキャン不要。ポップアップが偽ウイルス警告に見える場合、表示される電話番号に電話してしまった場合のガイドを参照。

ブラウザクリーンアップ

症状が通知ポップアップ、見知らぬ検索エンジンへのホームページ変更、広告を表示する新しいタブ、先週現れたツールバーなら——ブラウザレベルのゴミでシステムマルウェアではない。

拡張機能から。アドレスバーにchrome://extensionsと入力。日常的に使っていないものはすべて削除。容赦なく。名前に「search」「toolbar」「PDF Helper」「Download Assistant」「Smart Coupon」が入っていたらほぼ確実にアドウェアの偽装。クーポン拡張機能を6個入れた大学生——各拡張機能が無言でAmazonのアフィリエイトリンクを書き換え、すべての購入でランダムな第三者がコミッションを獲得。しかも3GB以上のRAM消費。ポップアップと一緒にブラウザが遅いならChromeメモリガイドを確認。

Chromeが「組織によって管理されています」と表示して仕事用PCでなければ、ポリシーベースのブラウザハイジャッカーでレジストリエントリの清掃が必要。

拡張機能の後、通知スパムを停止（設定→プライバシーとセキュリティ→サイトの設定→通知→許可リストの不明エントリを削除）。次にブラウザ完全リセット。Chrome：設定→設定のリセット→「設定を元の既定値に戻す」。Firefox：about:supportと入力→「Firefoxをリフレッシュ」。リセットで拡張機能が削除される——先ほどクリーンアップしたので好都合。ブックマークと保存パスワードは残る。通知の一部はマルウェアですらない——Windows 11にはアドウェアに見える組み込みプロモーション機能があるが設定でオフにできる。

本物のマルウェア

症状が異なる場合——スタートメニューに不明プログラム、タスクマネージャーで何かがCPU 80-100%を食っている、Windows Defenderが無効化され元に戻せない、ファイル名が謎の拡張子に変わった、アイドル時のネットワーク活動——実際のマルウェアでスキャンが必要。

まずインターネット切断。みんなこれを飛ばす。1月に2時間かけてスキャンとクリーンアップしたのに10分後に同じトロイの木馬が戻った客——ずっとトロイの木馬がリモートサーバーに接続し、削除と同じ速さで置き換えコピーをダウンロードしていたから。LANケーブルを抜き、WiFiオフ。

セーフモードとネットワークで起動——スタートメニューの電源ボタンでShiftを押しながら「再起動」→トラブルシューティング→詳細オプション→スタートアップ設定→5を押す。セーフモードはMicrosoftの基本ドライバのみを読み込みマルウェアのスタートアップエントリはレジストリに存在するが実行されない。

Windows Defenderオフラインスキャンを最初に。Windowsセキュリティ→ウイルスと脅威の防止→スキャンオプション→Microsoft Defenderオフラインスキャン。PCを再起動しWindowsが完全に読み込まれる前にスキャンするのでマルウェアが隠れるチャンスがない。15-20分。AV-TEST InstituteがDefenderに99.7%の検出率を付与。KasperskyやBitdefenderと同等。馬鹿にする人が多いが数字はそう言っていない。

次にMalwarebytes無料版。フルスキャン、クイックではない。malwarebytes.comに直接アクセス——Googleで検索して最初の結果をクリックしない、偽バージョンのスポンサー広告が何度もトップに出ている。見つかったものをすべて隔離。検出150件でも150個のウイルスではない——多くはトラッキングCookieとレジストリキー。だがMalwarebytesはDefenderが意図的に無視するアドウェアとPUPを検出——Microsoftが「マルウェア」の定義に保守的な立場を取っているため。

タスクスケジューラが再感染の原因

ほとんどの駆除ガイドが言及しない部分。Win+R→taskschd.msc。タスクスケジューラライブラリを閲覧。ランダム文字列の名前のタスク、ログオン時・起動時・繰り返しタイマーで実行予定の自分が作っていないタスクを探す。

4月にMalwarebytesがマルウェア実行ファイルを3回削除したマシンを対応。3回クリーンパス。1時間以内に復活し続けた。スケジュールタスクが60分ごとにサーバーに接続し新しいコピーをダウンロード。スキャナーは症状を殺し続けたがメカニズムは残っていた。

タスクマネージャーのスタートアップタブも確認——見覚えのないものを右クリック→「ファイルの場所を開く」。実行ファイルがTempフォルダーやj2k9df83のような名前のディレクトリにあれば正規ではない。本物のsvchost.exeはC:\Windows\System32に存在。偽物はマルウェアがドロップした場所に存在。

以上すべて試してもまだおかしければルートキットかファイルレス感染で消費者向けスキャナーの範囲外。その場合はクリーンなWindowsインストール——ただし設定の「このPCをリセット」ではなくMicrosoft Media Creation ToolでブータブルUSBを作成しインストール中にドライブをフォーマット。内蔵リセットは既存インストールの一部を再利用し感染が生き残ることがある。初期化ガイドでリセットが安全なケースとUSBクリーンインストールが必要なケースを解説。

再感染防止の4つの習慣：積極的に更新を受け取りたいサイト以外の通知プロンプトはすべて「ブロック」、ソフトウェアURLはGoogleの最初の結果（特にスポンサー広告）をクリックせず直接入力、Windows Defenderをオンのまま、uBlock Originで悪意ある広告スクリプトをブロック。マルウェアが検出前にファイルを削除または暗号化した場合まだ回復できるかもしれない——より深い問題があるなら無料ツールが見逃すものを検出するエンタープライズグレードスキャナーをリモートで実行可能。