データのバックアップ（削除前に必須）

トロイの木馬の削除作業では、システムファイルの変更や、場合によっては初期化が必要になることもあります。そのため、重要なデータのバックアップは必須の準備作業です。ただし、感染したシステムからのバックアップには特別な注意が必要です。
**感染ファイルを含まない安全なバックアップ方法**
バックアップを取る際、最も重要なのは、トロイの木馬自体をバックアップに含めないことです。以下の手順で、安全なバックアップを実施してください。
まず、バックアップ対象を厳選します。実行ファイル（.exe、.dll、.scr など）は避け、以下のデータのみをバックアップ対象とします：
文書ファイル：
- Microsoft Office文書（.docx、.xlsx、.pptx）
- PDFファイル
- テキストファイル（.txt）
- 画像ファイル（.jpg、.png、.gif）
- 動画ファイル（.mp4、.avi、.mov）
- 音楽ファイル（.mp3、.wav）
これらのファイル形式は、一般的にトロイの木馬が潜伏しにくいため、比較的安全にバックアップできます。ただし、マクロを含むOfficeファイルには注意が必要で、マクロが有効になっている文書は避けるか、マクロを無効化してから保存し直すことを推奨します。
バックアップ先の選択も重要です。外付けハードディスクを使用する場合は、バックアップ専用のものを用意し、バックアップ後は感染していない別のPCでウイルススキャンを実施してください。また、バックアップメディアには日付と「要スキャン」というラベルを付けておくと、後の管理が容易になります。
手動でのファイルコピー手順：
1. 新しい外付けHDDまたはUSBメモリを接続
2. エクスプローラーで必要なファイルを選択
3. 右クリックして「コピー」を選択
4. バックアップ先に移動して「貼り付け」
5. コピー完了後、すぐに取り外す
**クラウドへの自動同期を一時停止する理由**
多くのユーザーが利用しているクラウドストレージサービス（OneDrive、Google Drive、Dropbox、iCloudなど）は、通常は便利なバックアップ手段ですが、トロイの木馬感染時には逆に危険をもたらす可能性があります。
自動同期を停止すべき理由は主に3つあります：
第一に、感染ファイルがクラウドにアップロードされ、他のデバイスに自動的に同期される可能性があります。例えば、自宅のPCがトロイの木馬に感染した状態でクラウド同期が有効だと、職場のPCや個人のノートPCにも感染が拡大する恐れがあります。
第二に、トロイの木馬がファイルを暗号化したり改ざんしたりした場合、その破損したファイルがクラウド上の正常なファイルを上書きしてしまう可能性があります。多くのクラウドサービスではファイルの履歴機能がありますが、無料プランでは保存期間に制限があるため、気づいた時には元のファイルが復元できない状況になることもあります。
第三に、クラウドサービスのアカウント情報がトロイの木馬に盗まれると、攻撃者がクラウド上のデータに直接アクセスできるようになる危険性があります。
各クラウドサービスの同期停止方法：
OneDrive（Windows）：
1. タスクトレイのOneDriveアイコンを右クリック
2. 「設定」を選択
3. 「アカウント」タブで「このPCのリンクを解除」をクリック
4. 確認メッセージで「アカウントのリンク解除」を選択
Google Drive：
1. タスクトレイのGoogle Driveアイコンをクリック
2. 設定（歯車アイコン）→「設定」を選択
3. 「Google ドライブを終了」をクリック
Dropbox：
1. タスクトレイのDropboxアイコンをクリック
2. プロフィール画像→「基本設定」を選択
3. 「同期」タブで「選択型同期」から全てのチェックを外す
**外付けHDDの安全な使用方法**
外付けHDDを使用したバックアップは、クラウドよりも高速で大容量のデータを保存できる利点がありますが、感染リスクを避けるための適切な手順が必要です。
安全な外付けHDD使用の原則：
1. 専用の外付けHDDを用意する
バックアップ専用の新しい外付けHDDを使用することが理想的です。既存のものを使う場合は、事前に別の安全なPCでフォーマットしてから使用してください。
2. 書き込み保護を活用する
一部の外付けHDDやUSBメモリには、物理的な書き込み保護スイッチが付いています。バックアップ完了後は、このスイッチをONにして、誤って感染ファイルが書き込まれることを防ぎます。
3. 段階的なバックアップ
すべてのデータを一度にバックアップするのではなく、重要度に応じて段階的に実施します：
- 第1段階：置き換え不可能な個人データ（家族写真、個人文書など）
- 第2段階：仕事関連のファイル
- 第3段階：再ダウンロード可能なデータ
4. バックアップ後の検証
バックアップ完了後、別の安全なPCで外付けHDDをスキャンし、トロイの木馬が含まれていないことを確認します。可能であれば、複数のセキュリティソフトでクロスチェックを行うことを推奨します。

削除に必要なツールの準備

トロイの木馬を効果的に削除するためには、適切なツールを事前に準備しておく必要があります。感染したPCで直接ダウンロードすることは避け、安全な環境で準備を整えることが重要です。
**別の端末での駆除ツールダウンロード**
感染したPCでセキュリティツールをダウンロードすることは、以下のリスクを伴います：
1. 偽のセキュリティソフトをダウンロードしてしまう危険
2. トロイの木馬がダウンロードを妨害する可能性
3. ダウンロードしたファイルが改ざんされるリスク
そのため、以下の手順で安全にツールを準備してください：
準備すべき必須ツールリスト：
基本ツール（全て無料）：
1. Malwarebytes Free
- 公式URL: www.malwarebytes.com
- ファイルサイズ: 約200MB
- 用途: 総合的なマルウェア検出・削除
2. AdwCleaner（Malwarebytes提供）
- 公式URL: www.malwarebytes.com/adwcleaner
- ファイルサイズ: 約8MB
- 用途: アドウェアとPUP（潜在的に迷惑なプログラム）の削除
3. ESET Online Scanner
- 公式URL: www.eset.com/int/home/online-scanner
- ファイルサイズ: 約15MB
- 用途: セカンドオピニオンとしての詳細スキャン
4. Microsoft Safety Scanner
- 公式URL: docs.microsoft.com/en-us/microsoft-365/security/intelligence/safety-scanner-download
- ファイルサイズ: 約130MB
- 用途: Microsoftによる公式スキャナー
上級者向け追加ツール：
1. GMER
- 用途: ルートキットの検出と削除
- ファイルサイズ: 約400KB
2. RootkitRevealer（Microsoft）
- 用途: 高度なルートキット検出
- ファイルサイズ: 約230KB
3. Process Explorer（Microsoft）
- 用途: 実行中プロセスの詳細分析
- ファイルサイズ: 約3MB
ダウンロード時の注意事項：
- 必ず公式サイトからダウンロードする
- HTTPSで始まるセキュアな接続であることを確認
- ダウンロード後、ファイルのハッシュ値を確認（可能な場合）
- 広告やポップアップ経由のダウンロードリンクは使用しない
**USBメモリでの安全な移動方法**
ダウンロードしたツールを感染PCに移動する際は、USBメモリを使用しますが、以下の手順で安全性を確保します：
USBメモリの準備：
1. 新品のUSBメモリを使用するか、既存のものを完全にフォーマット
2. 容量は8GB以上を推奨（複数のツールとログファイル保存用）
3. 可能であれば書き込み保護機能付きのものを選択
安全な転送手順：
1. 清潔なPCでUSBメモリをフォーマット（NTFSファイルシステム推奨）
2. ダウンロードしたツールをUSBメモリのルートディレクトリにコピー
3. 「ツール実行用」というフォルダを作成し、整理
4. ReadMe.txtファイルを作成し、各ツールの用途を記載
5. 安全なPCでUSBメモリ全体をウイルススキャン
6. USBメモリを安全に取り外し
感染PCでの使用手順：
1. 感染PCを起動する前にUSBメモリを挿入
2. セーフモードで起動（F8キーまたはShift+再起動）
3. USBメモリからツールを実行（インストール不要のポータブル版を優先）
4. 使用後は必ずUSBメモリを取り外す
5. USBメモリは他のPCで使用する前に必ず再スキャン
**オフライン環境での作業準備**
トロイの木馬の削除作業は、可能な限りオフライン環境で実施することが推奨されます。これにより、追加の感染やデータ流出を防ぐことができます。
オフライン作業環境の構築：
物理的な準備：
1. LANケーブルを抜く、またはWi-Fiをオフにする
2. Bluetoothを無効化
3. 他のデバイスとの接続をすべて切断
4. プリンターなどの周辺機器も取り外す
ソフトウェアの準備：
1. Windows Defenderのオフライン定義ファイルを事前に更新
2. 各削除ツールの最新版を準備
3. システム復元ポイントの作成（可能な場合）
4. レジストリのバックアップ（上級者向け）
作業スペースの準備：
1. 作業手順を印刷して手元に置く
2. 別のデバイス（スマートフォンなど）で手順を参照できるように準備
3. 作業ログを記録するためのノートと筆記具
4. 十分な時間の確保（最低2-3時間）

Step1：Windows標準機能での削除

Windows Defenderでのフルスキャン実行

Windows 10/11に標準搭載されているWindows Defender（Microsoft Defender）は、近年大幅に性能が向上し、多くのトロイの木馬を検出・削除できるようになっています。
フルスキャンの実行手順：
1. Windowsセキュリティを開く
- スタートメニューから「Windowsセキュリティ」を検索
- または、設定→更新とセキュリティ→Windowsセキュリティ
2. ウイルスと脅威の防止を選択
- 「ウイルスと脅威の防止」タイルをクリック
- 「保護の更新」があれば先に実行
3. スキャンオプションを展開
- 「スキャンのオプション」をクリック
- 利用可能なスキャンの種類が表示される
4. フルスキャンを選択して実行
- 「フルスキャン」のラジオボタンを選択
- 「今すぐスキャン」ボタンをクリック
- スキャン時間は通常1-4時間（ファイル数による）
スキャン中の注意事項：
- PCの使用は可能だが、パフォーマンスが低下する
- スキャン中は電源を切らない
- ノートPCの場合は電源に接続しておく
- 他の重いアプリケーションは終了しておく
スキャン結果の確認方法：
1. スキャン完了後、検出された脅威の一覧が表示される
2. 各項目の詳細を確認（クリックで展開）
3. 脅威のレベル（高、中、低）を確認
4. ファイルパスから感染源を特定

検出されたトロイの木馬の隔離と削除

Windows Defenderが脅威を検出した場合、適切な対処を選択する必要があります。
対処オプションの説明：
1. 削除（推奨）
- 検出されたファイルを完全に削除
- トロイの木馬の場合は通常これを選択
- 削除後は復元できないため注意
2. 検疫（隔離）
- ファイルを特別な場所に移動して無害化
- 後で確認や復元が可能
- 誤検出が疑われる場合に選択
3. 許可
- 脅威として検出されたが使用を続ける
- 信頼できるソフトウェアの誤検出時のみ使用
- トロイの木馬では絶対に選択しない
4. デバイスから削除
- 複数のユーザーアカウントから完全削除
- 管理者権限が必要
処理の実行手順：
1. 「操作の開始」ボタンをクリック
2. 推奨される操作（通常は削除）を確認
3. 「クリーンアップの開始」を選択
4. 処理完了まで待機（数分から十数分）
5. 「操作は正常に完了しました」を確認
削除後の追加確認：
1. PCを再起動
2. Windows セキュリティで「クイックスキャン」を実行
3. 脅威が検出されないことを確認
4. 「保護の履歴」で処理結果を確認

Windows Malicious Software Removal Tool活用

Microsoft が提供する悪意のあるソフトウェアの削除ツール（MSRT）は、Windows Updateで毎月更新される特別なツールで、特定の既知のマルウェアファミリーを標的とした削除を行います。
MSRTの実行方法：
手動実行の手順：
1. Windows + Rキーで「ファイル名を指定して実行」を開く
2. 「mrt」と入力してEnterキー
3. 悪意のあるソフトウェアの削除ツールが起動
4. 「次へ」をクリックしてウィザードを開始
スキャンの種類を選択：
- クイックスキャン：最も感染しやすい場所のみ（10分程度）
- フルスキャン：システム全体を詳細にスキャン（1時間以上）
- カスタムスキャン：特定のフォルダを指定してスキャン
フルスキャンの実施：
1. 「フルスキャン」を選択
2. 「次へ」をクリック
3. スキャンの進行状況が表示される
4. 検出されたマルウェアがあれば自動的に削除
5. 完了後、結果レポートが表示される
MSRTの特徴と制限：
- 特定の流行しているマルウェアに特化
- Windows Defenderとは異なる検出エンジン
- リアルタイム保護機能はない
- 月1回の定期更新で最新の脅威に対応

Step3：手動での削除作業（上級者向け）

自動ツールで削除できない頑固なトロイの木馬や、特定のコンポーネントが残っている場合は、手動での削除作業が必要になることがあります。この作業は、システムに重大な影響を与える可能性があるため、十分な知識がある場合のみ実施してください。
**レジストリエディタでの削除手順**
Windowsレジストリには、トロイの木馬が自動起動やシステム設定の変更のために作成したエントリが残っている可能性があります。
レジストリエディタの起動と準備：
1. レジストリのバックアップ（必須）：
- Windows + Rで「regedit」を入力
- ファイル→エクスポート
- 「すべて」を選択してバックアップを保存
- ファイル名に日付を含めて保存
2. 確認すべき主要なレジストリキー：
自動起動関連：
```
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
```
サービス関連：
```
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
```
ブラウザヘルパーオブジェクト：
```
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
```
不審なエントリの見分け方：
- ランダムな文字列の名前（例：svchost32x.exe、chrome1.exe）
- 存在しないファイルパスを参照
- 一時フォルダ（%Temp%）からの実行
- 最近追加された日付（右クリック→修正日で確認）
削除手順：
1. 不審なエントリを右クリック
2. 「削除」を選択
3. 確認ダイアログで「はい」
4. 削除前に値をメモまたはスクリーンショット保存
**不審なプロセスの特定と終了**
タスクマネージャーや Process Explorer を使用して、実行中の不審なプロセスを特定し、終了させます。
タスクマネージャーでの確認：
1. Ctrl + Shift + Esc でタスクマネージャーを起動
2. 「詳細」タブに切り替え
3. 以下の列を表示（列ヘッダーを右クリック）：
- プロセス名
- PID
- CPU使用率
- メモリ使用量
- 発行元
不審なプロセスの特徴：
- 高いCPU使用率（常時20%以上）
- 異常に高いメモリ使用量
- 発行元が「不明」または空白
- システムプロセスに似た名前（svhost.exe、scvhost.exe など）
- 複数の同名プロセスが大量に実行されている
Process Explorer での詳細分析（上級者向け）：
1. Process Explorer を管理者権限で起動
2. Options → Verify Image Signatures を有効化
3. View → Show Lower Pane → DLLs を選択
確認ポイント：
- 署名されていないプロセス（Verified Signer が空白）
- 異常な親プロセス（explorer.exe 以外から起動したブラウザなど）
- 隠されたプロセス（赤色で表示）
- ネットワーク接続を行うプロセス（View → Show Network Activity）
プロセスの終了手順：
1. 不審なプロセスを右クリック
2. 「Kill Process Tree」を選択（子プロセスも含めて終了）
3. 削除確認で「Yes」
4. プロセスが再起動する場合は、自動起動の設定を確認
**スタートアップ項目のクリーンアップ**
トロイの木馬は、システム起動時に自動実行されるよう、様々な場所に自身を登録します。これらを完全にクリーンアップする必要があります。
タスクマネージャーでのスタートアップ管理：
1. タスクマネージャーの「スタートアップ」タブを開く
2. 各項目を確認：
- 名前
- 発行元
- 状態（有効/無効）
- スタートアップへの影響
3. 不審な項目を右クリック→「無効化」
4. ファイルの場所を開いて確認も可能
システム構成ツール（msconfig）での確認：
1. Windows + R で「msconfig」を実行
2. 「スタートアップ」タブ（Windows 10/11では「タスクマネージャーを開く」）
3. 「サービス」タブで不審なサービスを確認
4. 「Microsoftのサービスをすべて隠す」にチェック
5. 残ったサードパーティサービスを精査
スケジュールタスクの確認：
1. タスクスケジューラを起動（taskschd.msc）
2. タスクスケジューラライブラリを確認
3. 各タスクの詳細を確認：
- トリガー（実行タイミング）
- 操作（実行されるプログラム）
- 作成日時
4. 不審なタスクを右クリック→「削除」
フォルダの直接確認：
```
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
```
これらのフォルダ内の不審なショートカットを削除
## 削除できない頑固なトロイの木馬への対処
標準的な削除方法で除去できないトロイの木馬は、より高度な技術を使用している可能性があります。ここでは、ルートキット型やファイルレス型など、特殊なトロイの木馬への対処方法を解説します。
### ルートキット型の削除方法
ルートキット型トロイの木馬は、システムの深い部分に潜伏し、通常の検出方法では発見できないよう自身を隠蔽します。これらの削除には、専門的なツールと手法が必要です。
**GMER等の専門ツール使用法**
GMERは、ルートキットの検出と削除に特化した無料ツールです。システムの深層部まで調査し、隠されたプロセス、サービス、ファイル、レジストリエントリを発見できます。
GMERの使用手順：
1. 準備作業：
- すべてのプログラムを終了
- アンチウイルスソフトを一時的に無効化
- System Restore を一時的に無効化
- インターネット接続を切断
2. GMERの起動：
- gmer.exe を管理者権限で実行
- 初回起動時の警告は「OK」で進む
- メイン画面が表示されるまで待機
3. スキャンの設定：
- 右側のチェックボックスで以下を選択：
- Processes
- Services
- Registry
- Files
- C:\ ドライブ
4. スキャンの実行：
- 「Scan」ボタンをクリック
- スキャンには30分から1時間程度必要
- 赤色で表示される項目が疑わしい要素
検出された項目の対処：
- 赤色の項目：ほぼ確実にルートキット
- 黄色の項目：疑わしいが誤検出の可能性もある
- 右クリックで「Delete」または「Disable」を選択
- ログを保存してから削除を実行
RootkitRevealerの併用：
Microsoftが提供する RootkitRevealer も併用することで、検出精度を高められます：
1. RootkitRevealer.exe を管理者権限で実行
2. 「Scan」をクリック
3. レジストリとファイルシステムの不一致を検出
4. 結果を慎重に分析（誤検出も多い）
**セーフモードでの削除作業**
セーフモードは最小限のドライバとサービスのみで起動するため、多くのトロイの木馬が動作を停止し、削除が容易になります。
セーフモードの種類と選択：
1. セーフモード：
- 基本的なドライバとサービスのみ
- ネットワーク接続なし
- オフラインでの削除作業に最適
2. セーフモードとネットワーク：
- ネットワークドライバも読み込まれる
- オンラインツールのダウンロードが必要な場合
3. セーフモードとコマンドプロンプト：
- GUIなしでコマンドラインのみ
- 上級者向けの手動削除作業用
Windows 10/11でのセーフモード起動方法：
方法1（設定から）：
1. 設定→更新とセキュリティ→回復
2. 「今すぐ再起動」をクリック
3. トラブルシューティング→詳細オプション→スタートアップ設定
4. 再起動後、F4キー（セーフモード）を押す
方法2（Shiftキー + 再起動）：
1. スタートメニューの電源ボタンをクリック
2. Shiftキーを押しながら「再起動」を選択
3. 上記と同じ手順で進む
セーフモードでの削除作業手順：
1. セーフモードで起動確認（画面四隅に「セーフモード」表示）
2. ファイルエクスプローラーで隠しファイルを表示
3. 以下の場所を確認し、不審なファイルを削除：
- C:\Windows\System32
- C:\Windows\SysWOW64（64bit版）
- C:\Users\[ユーザー名]\AppData\Local\Temp
- C:\Windows\Temp
4. コマンドプロンプトでの削除（削除できないファイル用）：
```
del /f /s /q "C:\path\to\malware.exe"
rd /s /q "C:\path\to\malware\folder"
```
**システムファイルの修復（sfc /scannow）**
トロイの木馬によって破損したシステムファイルを修復するため、System File Checker を実行します。
SFCの実行手順：
1. 管理者権限でコマンドプロンプトを起動
2. 以下のコマンドを実行：
```
sfc /scannow
```
3. スキャンの進行状況が表示される（15-30分）
4. 完了後、結果メッセージを確認：
- 「整合性違反を検出しませんでした」：問題なし
- 「破損したファイルを検出し、修復しました」：修復成功
- 「破損したファイルを検出しましたが、修復できませんでした」：追加対処が必要
修復できない場合の追加手順：
DISMツールの使用：
```
DISM /Online /Cleanup-Image /RestoreHealth
```
このコマンドは、Windows Updateから正常なシステムファイルをダウンロードして修復します。
### ファイルレス型への対応
ファイルレス型トロイの木馬は、ハードディスクにファイルを作成せず、メモリやレジストリ、正規のシステムツールを悪用して動作します。従来の検出方法では発見が困難なため、特別な対処が必要です。
**PowerShellスクリプトの確認と削除**
多くのファイルレス型マルウェアは、PowerShellを悪用します。不審なPowerShellスクリプトの確認と削除方法を説明します。
PowerShell実行ポリシーの確認：
1. PowerShellを管理者権限で起動
2. 現在の実行ポリシーを確認：
```
Get-ExecutionPolicy -List
```
3. 過度に緩い設定（Unrestricted）の場合は変更：
```
Set-ExecutionPolicy Restricted -Force
```
PowerShellログの確認：
1. イベントビューアーを起動（eventvwr.msc）
2. アプリケーションとサービスログ→Microsoft→Windows→PowerShell/Operational
3. 不審なスクリプト実行の痕跡を確認：
- Base64でエンコードされたコマンド
- 外部URLからのダウンロード
- 非表示ウィンドウでの実行（-WindowStyle Hidden）
スケジュールされたPowerShellタスクの確認：
```
Get-ScheduledTask | Where-Object {$_.Actions.Execute -like "*powershell*"}
```
不審なタスクを削除：
```
Unregister-ScheduledTask -TaskName "不審なタスク名" -Confirm:$false
```
**WMIリポジトリのリセット**
Windows Management Instrumentation（WMI）は、ファイルレス型マルウェアの永続化によく使用されます。
WMIイベントコンシューマーの確認：
1. PowerShellで以下を実行：
```
Get-WMIObject -Namespace root\Subscription -Class __EventFilter
Get-WMIObject -Namespace root\Subscription -Class __EventConsumer
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding
```
2. 不審なエントリを削除：
```
Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "Name='不審な名前'" | Remove-WmiObject
```
WMIリポジトリの再構築（最終手段）：
1. WMIサービスを停止：
```
net stop winmgmt /y
```
2. リポジトリをリセット：
```
winmgmt /resetrepository
```
3. WMIサービスを再起動：
```
net start winmgmt
```
注意：この操作は、一部のアプリケーションの再インストールが必要になる場合があります。
**メモリ上のマルウェア対策**
メモリに潜むマルウェアの検出と削除には、特殊なアプローチが必要です。
Volatility Frameworkの使用（上級者向け）：
1. メモリダンプの作成：
- DumpIt.exe などのツールでメモリダンプを取得
- ファイルサイズはRAM容量と同等
2. Volatilityでの分析：
```
volatility -f memory.dmp imageinfo
volatility -f memory.dmp --profile=Win10x64 pslist
volatility -f memory.dmp --profile=Win10x64 malfind
```
簡易的な対処法：
1. すべてのブラウザを完全に終了
2. タスクマネージャーで以下のプロセスを確認：
- rundll32.exe（複数ある場合は要注意）
- regsvr32.exe
- mshta.exe
- wscript.exe
- cscript.exe
3. 不審なプロセスを終了
4. PC を完全にシャットダウン（再起動ではなく）
5. 電源を30秒以上切ってから起動
## OS別の削除方法詳細ガイド
オペレーティングシステムごとに、トロイの木馬の削除方法は異なります。ここでは、主要なOSそれぞれに最適化された削除手順を詳しく解説します。
### Windows 11/10での削除手順
Windows 11/10は、強力なセキュリティ機能を標準搭載しており、これらを適切に活用することで、多くのトロイの木馬を効果的に削除できます。
**Microsoft Defender オフラインスキャン**
Microsoft Defender オフラインスキャンは、Windowsが起動する前の段階でマルウェアスキャンを実行する強力な機能です。
実行手順の詳細：
1. 事前準備：
- 重要なファイルのバックアップ完了を確認
- 実行中のアプリケーションをすべて保存して終了
- ノートPCの場合は電源アダプターを接続
2. オフラインスキャンの開始：
- Windowsセキュリティを開く
- ウイルスと脅威の防止→スキャンのオプション
- 「Microsoft Defenderオフラインスキャン」を選択
- 「今すぐスキャン」をクリック
3. 再起動とスキャン：
- 保存していない作業の確認ダイアログで「スキャン」を選択
- PCが自動的に再起動
- 青い画面でスキャンが開始（Windows PE環境）
- 進行状況バーが表示される（15-45分）
4. スキャン完了後：
- 自動的にWindowsが起動
- Windowsセキュリティで結果を確認
- 「保護の履歴」で詳細を確認
**リセット機能を使った削除**
Windows 10/11の「このPCをリセット」機能は、個人ファイルを保持しながらシステムをクリーンな状態に戻すことができます。
リセットオプションの選択：
1. 個人用ファイルを保持：
- ユーザーファイルは保持される
- インストールしたアプリは削除される
- Windows設定はデフォルトに戻る
- トロイの木馬も削除される可能性が高い
2. すべて削除する：
- 完全なクリーンインストールと同等
- すべてのファイル、アプリ、設定が削除
- 最も確実なトロイの木馬削除方法
実行手順：
1. 設定→更新とセキュリティ→回復
2. 「このPCをリセット」の「開始する」をクリック
3. オプションを選択（通常は「個人用ファイルを保持」）
4. 追加の設定：
- クラウドダウンロード：最新のWindows をダウンロード
- ローカル再インストール：既存のファイルから再インストール
5. 「リセット」をクリックして実行（1-3時間）
**クリーンブートでの駆除**
クリーンブートは、最小限のドライバとスタートアッププログラムでWindowsを起動し、トロイの木馬の削除を容易にします。
クリーンブートの設定：
1. システム構成の起動：
- Windows + R で「msconfig」を実行
- システム構成ウィンドウが開く
2. サービスの無効化：
- 「サービス」タブを選択
- 「Microsoftのサービスをすべて隠す」にチェック
- 「すべて無効」をクリック
3. スタートアップの無効化：
- 「スタートアップ」タブを選択
- 「タスクマネージャーを開く」をクリック
- すべての項目を「無効」に設定
4. 再起動と削除作業：
- OK→再起動
- クリーンブート状態でセキュリティソフトを実行
- トロイの木馬の削除を実施
5. 通常モードへの復帰：
- msconfig を再度実行
- 「全般」タブで「通常スタートアップ」を選択
- 再起動

Windows標準機能で削除できない場合、または追加の確認を行いたい場合は、専門的な無料ツールを使用します。これらのツールは、それぞれ異なる検出エンジンと特徴を持っているため、組み合わせて使用することで、より確実な削除が可能になります。

Malwarebytes Free版での詳細スキャン

Malwarebytesは、特にトロイの木馬やアドウェアの検出に優れた定評のあるセキュリティソフトです。無料版でも手動スキャンと削除機能は制限なく使用できます。
インストールと初期設定：
1. USBメモリから Malwarebytes インストーラーを実行
2. インストール時の注意点：
- 「14日間のプレミアム試用版」は後でスキップ可能
- インストール先はデフォルトのままで問題なし
- 「Malwarebytesをデフォルトのセキュリティソフトにする」のチェックは外す
3. 初回起動時の設定：
- 「個人使用」を選択
- プレミアム試用版の案内は「Maybe later」でスキップ
- データベースの更新を確認（オフラインの場合は後で）
詳細スキャンの実行：
1. メイン画面で「Scan」をクリック
2. スキャンの種類：
- Threat Scan（推奨）：最も一般的な感染場所を重点的にスキャン
- Custom Scan：特定のドライブやフォルダを選択
- Hyper Scan：最速だが簡易的なスキャン
3. Threat Scanの実施：
- 「Start Scan」ボタンをクリック
- スキャン時間は通常15-30分
- メモリ、スタートアップ、レジストリ、ファイルシステムを順次スキャン
検出された脅威の処理：
1. スキャン完了後、検出項目が一覧表示
2. 各項目の詳細確認：
- 脅威の名前とタイプ
- ファイルの場所
- 推奨されるアクション
3. 隔離（Quarantine）の実行：
- すべての項目にチェックが入っていることを確認
- 「Quarantine」ボタンをクリック
- 隔離完了後、PCの再起動を要求される場合あり
4. 隔離済みアイテムの管理：
- 「Detection History」で隔離済みファイルを確認
- 誤検出の場合は復元可能
- 問題なければ「Delete」で完全削除

ESET Online Scannerでのセカンドオピニオン

異なる検出エンジンを使用することで、見逃されたトロイの木馬を発見できる可能性があります。ESET Online Scannerは、インストール不要で使用できる強力なスキャナーです。
ESET Online Scannerの使用手順：
1. 実行ファイルの起動：
- esetonlinescanner.exe を管理者権限で実行
- 使用許諾に同意
2. スキャン設定：
- 「Enable detection of potentially unwanted applications」にチェック
- 「Enable detection of potentially unsafe applications」にチェック
- 「Scan archives」にチェック（時間はかかるが徹底的）
3. アップデートの実行：
- オンラインの場合は自動的にデータベースを更新
- オフラインの場合は事前にダウンロードした定義ファイルを使用
4. スキャン対象の選択：
- 「Computer」を選択してフルスキャン
- または特定のドライブ/フォルダを選択
5. スキャンの実行：
- 「Start」ボタンをクリック
- スキャン時間は1-3時間程度
- 進行状況と検出数がリアルタイムで表示
検出後の対処：
- ESETは自動的に脅威を削除または隔離
- ログファイルが C:\Program Files\ESET\ESET Online Scanner\log.txt に保存
- 削除できなかったファイルは手動での対処が必要

AdwCleanerでの関連アドウェア削除

トロイの木馬は、しばしばアドウェアやPUP（潜在的に迷惑なプログラム）と一緒にインストールされます。AdwCleanerは、これらの除去に特化したツールです。
AdwCleanerの使用方法：
1. 起動と初期画面：
- adwcleaner.exe を管理者権限で実行
- 使用許諾に同意
- メイン画面が表示される
2. スキャンの実行：
- 「Scan Now」ボタンをクリック
- スキャンは通常1-2分で完了
- 以下の項目を自動的にチェック：
- サービス
- フォルダ
- ファイル
- ショートカット
- レジストリ
- タスク
- ブラウザ
3. 検出結果の確認：
- 各カテゴリーごとに検出項目が表示
- 項目をクリックして詳細を確認
- 削除したくない項目はチェックを外す
4. クリーニングの実行：
- 「Quarantine」ボタンをクリック
- PCの再起動を求められる
- 再起動後、削除完了レポートが表示
5. ログファイルの確認：
- C:\AdwCleaner\Logs\ に保存
- 削除された項目の詳細リスト
- 問題があれば復元も可能

macOSでの削除方法

macOSは比較的セキュアなシステムですが、トロイの木馬に感染する可能性はゼロではありません。適切な対処法を知っておくことが重要です。

Malwarebytes for Macの使用

Malwarebytes for Macは、macOS向けの効果的な無料マルウェア削除ツールです。
インストールと使用方法：
1. ダウンロードとインストール：
- 公式サイトからDMGファイルをダウンロード
- DMGをマウントし、アプリケーションフォルダにドラッグ
- 初回起動時にセキュリティ許可を与える
2. スキャンの実行：
- Malwarebytes を起動
- 「Scan」ボタンをクリック
- スキャン完了まで待機（10-30分）
3. 検出項目の処理：
- 検出された脅威の一覧を確認
- 「Remove Selected Items」をクリック
- 管理者パスワードを入力
- 削除完了後、必要に応じて再起動

アクティビティモニタでの確認

macOSのアクティビティモニタで、不審なプロセスを特定できます。
確認手順：
1. アクティビティモニタの起動：
- アプリケーション→ユーティリティ→アクティビティモニタ
- または Spotlight で「アクティビティモニタ」を検索
2. 不審なプロセスの特定：
- CPU使用率が異常に高いプロセス
- メモリを大量に消費するプロセス
- 見覚えのない名前のプロセス
3. プロセスの詳細確認：
- プロセスを選択して「i」ボタンをクリック
- 「サンプル」タブでプロセスの動作を確認
- 「開いているファイルとポート」で通信を確認

LaunchAgentsの手動削除

macOSのトロイの木馬は、LaunchAgentsやLaunchDaemonsを使用して永続化することがあります。
確認と削除の手順：
1. LaunchAgentsの場所：
```
~/Library/LaunchAgents/
/Library/LaunchAgents/
/System/Library/LaunchAgents/
```
2. LaunchDaemonsの場所：
```
/Library/LaunchDaemons/
/System/Library/LaunchDaemons/
```
3. Finderで隠しフォルダを表示：
- Command + Shift + . （ピリオド）
4. 不審なplistファイルの特定：
- 最近の日付のファイル
- ランダムな文字列の名前
- 見覚えのない開発者名
5. 削除手順：
- 不審なplistファイルをゴミ箱に移動
- ターミナルで以下を実行：
```
launchctl unload ~/Library/LaunchAgents/不審なファイル.plist
launchctl remove 不審なラベル名
```

スマートフォンでの削除

スマートフォンのトロイの木馬は、PCとは異なる特性を持つため、専用の対処法が必要です。

Androidセーフモードでの削除

Androidデバイスでトロイの木馬を削除する最も効果的な方法の一つです。
セーフモード起動方法（機種により異なる）：
一般的な方法：
1. 電源ボタンを長押し
2. 電源オフアイコンを長押し
3. 「セーフモードで再起動」をタップ
4. 画面左下に「セーフモード」表示を確認
セーフモードでの削除作業：
1. アプリ一覧の確認：
- 設定→アプリと通知→すべてのアプリを表示
- インストール日でソート
- 不審なアプリを特定
2. 不審なアプリの削除：
- アプリをタップ
- 「アンインストール」または「無効にする」
- デバイス管理者権限がある場合は先に解除
3. デバイス管理者の確認：
- 設定→セキュリティ→デバイス管理アプリ
- 不審なアプリのチェックを外す
- その後アンインストール

iOSプロファイル削除

iOSでは、悪意のあるプロファイルがトロイの木馬のように動作することがあります。
プロファイルの確認と削除：
1. 設定→一般→プロファイルとデバイス管理
2. インストールされているプロファイルを確認
3. 不審なプロファイル：
- 見覚えのない企業名
- 最近インストールされた
- 過度な権限を要求
4. 削除手順：
- プロファイルをタップ
- 「プロファイルを削除」
- パスコードを入力
- 「削除」をタップ

工場出荷時リセットの判断基準

最終手段として工場出荷時リセットを検討すべき状況：
リセットが必要な場合：
- 複数の削除方法を試しても改善しない
- 個人情報の大規模な流出が疑われる
- デバイスが正常に動作しない
- ランサムウェアに感染した
リセット前の準備：
1. 重要データのバックアップ（写真、連絡先等）
2. アカウント情報の記録
3. 2段階認証の再設定準備
4. アプリの再インストールリスト作成

完全削除の確認方法

削除作業が成功したかどうかを確実に判断するため、複数の方法で確認を行います。

再起動後の動作確認ポイント

システムを再起動した後、以下の点を確認して正常動作を検証します：
1. 起動時間の確認：
- 以前より起動が速くなったか
- 不要な待機時間がないか
- エラーメッセージが表示されないか
2. CPU/メモリ使用率：
- タスクマネージャーでアイドル時のCPU使用率を確認（通常5%以下）
- メモリ使用率が正常範囲内か
- ディスク使用率が異常に高くないか
3. プログラムの動作：
- ブラウザが正常に起動するか
- ホームページが変更されていないか
- セキュリティソフトが正常に動作するか

ネットワーク通信の監視

不審な通信が行われていないことを確認します：
1. Resource Monitor での確認（Windows）：
- resmon.exe を実行
- ネットワークタブを選択
- ネットワーク活動を監視
2. netstat コマンドでの確認：
```
netstat -an | find "ESTABLISHED"
```
不明な外部IPアドレスへの接続がないか確認
3. ファイアウォールログの確認：
- Windowsファイアウォールの詳細セキュリティ
- ブロックされた接続の確認

パフォーマンスの改善確認

トロイの木馬削除後、システムパフォーマンスが改善されているか確認：
1. ベンチマークテスト：
- 削除前後でベンチマークスコアを比較
- ディスク速度、メモリ速度の改善を確認
2. 体感速度の確認：
- アプリケーションの起動速度
- ファイルのコピー速度
- ウェブブラウジングの快適性

再感染を防ぐための設定

トロイの木馬の再感染を防ぐため、セキュリティ設定を強化します。

リアルタイム保護の有効化

Windows Defenderの設定最適化：
1. ウイルスと脅威の防止設定
2. リアルタイム保護をオン
3. クラウド提供の保護をオン
4. 自動サンプル送信をオン
5. 改ざん防止をオン

ファイアウォール規則の強化

1. 受信規則の見直し：
- 不要なポートを閉じる
- 特定のプログラムのみ許可
2. 送信規則の設定：
- 不審なプログラムの通信をブロック
- 特定の国へのアクセスを制限（必要に応じて）

定期スキャンのスケジュール設定

1. Windows Defenderの定期スキャン：
- 週1回のフルスキャンをスケジュール
- 毎日のクイックスキャン
2. 月1回の徹底スキャン：
- 複数のツールでクロスチェック
- ルートキットスキャンも実施

ランサムウェアへの発展防止

トロイの木馬がランサムウェアをダウンロードすることを防ぐための対策です。

Controlled Folder Accessの設定

Windows 10/11の機能で、重要なフォルダを保護：
1. Windowsセキュリティ→ウイルスと脅威の防止
2. ランサムウェアの防止を管理する
3. コントロールされたフォルダーアクセスをオン
4. 保護されたフォルダーで重要フォルダを追加

バックアップの3-2-1ルール

確実なバックアップ体制の構築：
- 3つのコピー（オリジナル + 2つのバックアップ）
- 2種類の異なるメディアに保存
- 1つは物理的に離れた場所（クラウド等）に保管

サプライチェーン攻撃への対策

1. ソフトウェアのダウンロード元を限定
2. デジタル署名の確認を習慣化
3. 自動更新は信頼できるソフトのみ有効化
4. 定期的なソフトウェア監査の実施