マルウェアを手動で検出・駆除しシステムの問題を解決するツール
マルウェアに感染した PC の問題を診断し解決のための色々な操作を実行できるツール。通常時またはセーフモードで使用できます。Windows 回復環境(RE)でも機能するので、起動時に問題が発生している PC に対処することもできます。
Farbar Recovery Scan Tool (FRST)の役割
Farbar Recovery Scan Tool は、マルウェアや疑わしいファイルがウイルス対策ソフトで検知または駆除できない時に威力を発揮するツールで、システムのあらゆる項目をスキャンしてリストしマルウェアの発見に役立てることができます、また、マルウェアを削除するために強力なコマンドを実行することができます。
ウイルススキャンで発見できないマルウェアを調べる場合や、ファイルやフォルダやレジストリがロックされていて通常時またはセーフモードで削除や移動・コピー・名前の変更ができない、回復環境でバックアップしたレジストリから復元したい、MBR を復元したい要な場合に役に立つでしょう。
FRST の機能(マルウェア診断と削除・修復)
ツールはシステム全体をスキャンし、レジストリ・サービス・ドライバ・プロセス・インターネット接続・ブラウザの拡張機能・最近作成または変更されたファイル / フォルダ・インストール済みのプログラム・CLSID・スケジュールタスク・実行されているモジュール・ファイアウォールのルール・イベントログのエラーなどの情報を収集してテキストファイルにリストを出力します。問題がないシステムデフォルトや信頼できる情報は FRST によってホワイトリスト化されているので、効率よく問題の可能性がある場所を見ることができます。
スキャンが完了すると FRST.txt と Addition.txt というログファイルが FRST と同じディレクトリに作成されます。
オプションで、 BCD(ブート構成データ)、ドライバの MD5 ハッシュ、ショートカット(lnk)のリストをログに出力することも可能です。
基本的な使い方
ログファイルで見つかったファイルやレジストリ、プロセスに対して削除や修復などの操作をする場合は、ログファイルのエントリをコピーして「
fixlist.txt
」というファイルを作成し、FRST から操作を実行します。fixlist.txt 内には FRST 用のコマンドを書く必要があるので事前にコマンドについて知っておく必要があります。具体的に何ができるかとか実際の使い方はこのページの下の「インストール・使い方」の場所を参考にして下さい。
使用上の注意
FRST は実行時に自動的にレジストリのバックアップを作成します。また、ホワイトリストに入っている安全なエントリは操作しても削除できなかったり、一部のレジストリはデフォルトに修復されるなどの安全装置があります。ですが、使い方によってはコンピュータに不具合を起こす可能性があるので、必ずログファイルの項目を理解してからツールを実行して下さい。
使うにはまずコマンドの使い方を覚えよう
マルウェアを手動で発見するのは簡単なことではありません、また、ファイルに権限が割り与えられていて Windows の標準機能では削除や移動ができない場合が多いので、感染を削除できず悩むこともあります。FRST はそのような時にスキャンとスクリプトの実行をして緊急のトラブルを解決します。
FRST は某アンチウイルスベンダーも推奨している便利なツールですが、使うにはコマンドの使い方を覚える必要があります。初心者が使うには難しいかもしれませんが、システム管理者や熱心なユーザーには助けになるツールでしょう。
機能
- システムをスキャンして各項目をリスト化
- プロセス・ファイル・フォルダ・レジストリなどに対して操作を実行
- ファイルの検索
- レジストリの検索
仕様
画像
使い方
基本的な使い方
- FRST の EXE ファイルを管理者で実行します。起動時に「使うのは自己責任で」「営利目的の使用は許可しません」という注意書きが表示されます。[はい]をクリックして使用を開始します。
- メイン画面です。
- [ Scanning ]をクリックするとスキャンを開始します。
- オプションを利用してスキャンする場合は Optional Scan の項目にチェックを入れてからスキャンして下さい。
- スキャンが完了すると。FRST.txt とオプションで選択したテキストファイルが保存されて開きます。
- スキャン結果の FRST.txt の内容です。これらのログファイルからマルウェアを探します。
- FRST を使って削除や移動などの操作を行う場合には、操作するファイルやレジストリのパスをコピーします。
- [ fixlist.txt ]という名前のテキストファイルを作成し、コマンドとパスを記入して保存します。(例:移動とファイル名の変更を行う場合)
- FRST の[ Fix ]ボタンをクリックすると fixlist.txt の内容が実行されて、実行結果の Fixlog.txt というログファイルが保存されます。
- [ Search ]ボタンからはファイルとレジストリの検索ができます。こちらも検索結果のログファイルが保存されます。
コマンドの種類と使い方
- 通常モードでのみ使用可能
CreateRestorePoint: (システム復元ポイントの作成) TasksDetails: (実行時間に関連する追加のタスクをリスト)
- 通常モードとセーフモードで使用可能
CloseProcesses: (必須ではないすべてのプロセスを閉じます。実行後再起動します) EmptyTemp: (Windows Temp、ユーザーの一時フォルダ、ブラウザのキャッシュ、最近開いたファイルのキャッシュ、Flash Playerのキャッシュ、Javaキャッシュ、Steam HTMLキャッシュ、エクスプローラのサムネイルとアイコンキャッシュ、BITS転送キュー(qmgr * .datファイル)、ごみ箱が空になります。実行後再起動します) Powershell: (PowerShell コマンドを実行) Reboot: (強制的に再起動) RemoveProxy: (Internet Explorerポリシー制限設定を削除) StartPowershell: ― EndPowershell: (複数の行を含む PowerShell ファイルを作成して実行) VerifySignature: パス (ファイルのデジタル署名を確認) VirusTotal: パス;パス (VirusTotal でファイルを確認) Zip: パス;パス (ファイル/フォルダを圧縮)
通常モードとセーフモードと回復環境(RE)で使用可能
cmd: コマンドの実行 Copy: 元ファイル/フォルダのパス コピー先パス(フォルダファイルまたはフォルダをコピーします) CreateDummy: パス(不正なファイル・フォルダの復元を防ぐために、ロックされたダミーフォルダを作成します) DeleteJunctionsInDirectory: パス(ジャンクションを削除) DeleteKey: キー(レジストリキーを削除) DeleteValue: キー/値 (レジストリキー/値を削除) DeleteQuarantine: (FRST の隔離フォルダを削除) DisableService: サービス名(サービスまたはドライバサービスを無効にする) ExportKey: キー(レジストリキーを表示) ExportValue: キー(値を表示) File: パス1;パス2 (ファイルのプロパティを表示) FilesInDirectory: パス/パターン;パターン(1つ以上のワイルドカード*パターンに一致する特定のファイルを一覧表示) Folder: パス(フォルダの全内容を取得) FindFolder: (システムドライブ上のフォルダを検索) Hosts: (Hosts ファイルをリセット) ListPermissions: パス/キー(ファイル/ディレクトリ/キーに対する権限を一覧表示) Move: 移動元 移動先(ファイルの名前変更や移動) Reg: regコマンド(レジストリを操作) RemoveDirectory: パス(制限された権限と無効なパスや名前を持つディレクトリを削除) Replace: ソース 置換先(ファイルを置換) RestoreQuarantine: パス(検疫の全部または一部を復元) SaveMbr: Drive=# (MBR のコピーを作成、# は番号) SetDefaultFilePermissions: パス(ロックされたシステムファイルにアクセス権を付与) StartBatch: — EndBatch: (バッチファイルを作成して実行) StartRegedit: — EndRegedit: (レジストリファイル .reg を作成およびインポート) testsigning on: (ドライバのテスト署名を有効にする) Unlock: パス(ファイル/ディレクトリのロックを解除・アクセス権を付与)
回復環境(RE)のみで使用可能
LastRegBack: (システムによって行われた最後のレジストリバックアップを一覧表示) Restore From Backup: HiveName (%SystemDrive%¥FRST¥Hives にバックアップされたレジストリから復元) RestoreErunt: パス (Erunt からハイブを復元) RestoreMbr: Drive=# (MBR を復元、# は番号)
FRST のアンインストール方法
- FRST の実行ファイルを[ uninstall.exe ]というファイル名に変更します。
- その uninstall.exe を実行するとルートディレクトリに作成されたファイルは削除されます。
- アンインストール後は自動的に再起動するので、他の作業中のファイルやアプリを閉じてからアンインストールを実行して下さい。
- Windows 回復環境で使う(起動時にコマンドプロンプトを開く)場合は下の記事を参考に。
https://softaro.net/open-command-prompt-boot-windows/