見慣れないファイルを見つけたときの3つのステップ

見慣れないファイル C:\temp\ProxyName.ini が生成されていたので、気になって調べてみた。そのときの3つのステップを紹介する。

最近の行動を思い出す

最近アプリケーションや、プラグインをインストールした記憶があれば、それが原因かもしれない。詳しい人に生成されたファイル名と、インストールしたアプリケーションを伝えたら、有用な情報を得られるかもしれない。
そういえば、Android のアプリケーションを実機でデバッグをするために、MOTOROLA のサイトからデバイスドライバーをインストールした。その内容で調べて見たけど、あまり有用な情報は見つからなかった。

Google で調べる

Google でファイル名を調べる。このタイミングで、トレンドマイクロやシマンテック、マカフィーのサイトがヒットするようならばウイルスに感染している可能性が高い。速やかにネットワークから切り離した方がいいだろう。電源を落としてしまうと、2度と起動しなくなることもあるので、電源は入れたままにしておいて対処方法を調べる。ウイルスが除去できない場合は、データを退避して再インストールする。
※ウイルスに感染していたら、怖いので除去できたとしても再インストールした方がいいと思う。待避したデータは、再インストール後に最新のパターンファイルでチェックする必要がある。

今回は残念ながら、ファイル名で調べても有用な情報は得られなかった。

Windows の監査機能を使う

Windows には、各種監査機能が用意されている(※)。今回は現象が発生した、Windows 7 Professional を例に説明していく。
※Home Edition など、家庭向けエディションの場合は設定画面が用意されていない。

オブジェクトの監査機能を有効にする

監査機能は、デフォルト無効だ。設定によっては、かなりのログを出力することになるため、システムのパフォーマンスに影響がある。トラブルシューティングが終わったら、無効にしておいた方がよい。監査機能を有効にするには、ローカル セキュリティ ポリシーで設定を行う。ローカル セキュリティ ポリシーは「スタートメニュー >> すべてのプログラム >> 管理ツール >> ローカル セキュリティ ポリシー」で起動できる。監査の有効・無効の設定は、「セキュリティの設定 >> ローカルポリシー >> オブジェクトアクセスの監査」で行う。
監査設定1
「オブジェクトアクセスの監査」をダブルクリックして、「成功」と「失敗」のチェックボックスをオンにする。
監査設定2

ファイルの監査を有効にする

ファイルが生成されるフォルダーを右クリックして、プロパティを表示、[セキュリティ]タブを開く。
ファイルのセキュリティタブ
「詳細設定」ボタンを押して、[監査]タブを開く。
ファイルの監査タブ
「続行」ボタンを押して、設定を行う。下記のウィンドウで「追加」ボタンを押下すれば、誰に対して何を監査するのかを設定できる。対象は、Everyone を指定すれば、すべてのユーザーを監視できる。
ファイルの監査設定1
ファイルの監査設定2
あとは、ファイルが生成されるのを待つだけだ。ファイルが生成されたら、コンピューターの管理(※)で、「システム ツール >> イベント ビューアー >> Windows ログ >> セキュリティ」を開く。監査ログが大量に出力されているので、イベント ID 4656などでフィルターをすると探しやすい。

※デスクトップ上のコンピューターを右クリックして「管理」を選ぶか、スタートメニューで「コンピューターの管理」で検索。

今回の場合は、以下のような結果が出た・・・MOTOROLA のサイトからデバイスドライバーをインストールしたって最初に書かなかったっけ・・・単に、某有名サイト風に書いてみたかったのです。
イベントビューアー


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

Time limit is exhausted. Please reload CAPTCHA.