次の方法で共有

マルウェアに感染しているのかの調査について教えて下さい。

T.K 0 評価のポイント
2024-09-19T04:51:56.0866667+00:00

外部からの不正アクセスが疑われるWindows11の端末があるため、

マルウェアに感染しているのかの調査を行いたいのですが、

どのように進めていくとよいものか分からないです。

これまで、調べたことは下の通りですが、

本当に外部から不正アクセスされていたのか、

マルウェアに感染しているのか、

何か、不正に設定変更されているのか確認できるとよいのですが、

どのような手順や方法で調査を進めていくとよいものか、教えて下さい。

▢調べたこと

イベントビューワーのセキュリティを見てみたところ

◯イベントid:4625を見ると

・ログオンの失敗が

 1秒間で10回以上発生することもあり

いずれも

・ログオンタイプは、3(ネットワーク経由のログオン)となっており

・プロセス情報は

 呼び出し側プロセスID:0x0

 呼び出し側プロセス名:-

・ネットワーク情報は

 ソースポート:0

・詳細な認証情報

 ログオンプロセスは、NtLmSsp

 認証パッケージは、NTLM

として

ユーザー名を辞書攻撃のように変えながら

ログオンを試行しており

・ネットワーク情報

 ソースネットワークアドレスについては

ある特定の外部の6つのIPアドレスのいずれかになっていました。

そのほか

・イベントid:5379を見ると

 20分に1回など

 資格情報の読み取りも頻繁に実行している感じです。

ビジネス向け Windows | IT プロフェッショナル用 Windows クライアント | ユーザー エクスペリエンス | その他

1 件の回答

並べ替え方法: 最も役に立つ
最も役に立つ 新しい順 古い順
  1. Yanhong Liu 14,205 評価のポイント Microsoft 外部スタッフ
    2024-09-20T05:50:41.5166667+00:00

    こんにちは

    Q&Aフォーラムに投稿していただきありがとうございます。

    通常、あなたはまだあなたのコンピュータを使用して、あなたのコンピュータはまだ健康であることを意味します、あなたが望むなら、この無限のログオン要求を停止する:

    1.イベントID 4625、4771、または4776で送信元IPを検索し、ファイアウォールでこのIPをブロックできます

    2.IPアドレスを変更できるため、IPアドレスが見つからないため、攻撃が停止します

    次の方法を使用して、PCからマルウェアをスキャンできます。

    1. Remove malware from your Windows PC - Microsoft Support
    2. Microsoft Safety Scanner Download - Microsoft Defender for Endpoint | Microsoft Learn
    3. OSを再インストールします

    よろしくお願いいたします

    ヤンホン

    =====================================

    回答が役に立った場合は、「回答を受け入れる」をクリックして賛成票を投じてください

    0 件のコメント

お客様の回答

回答は、質問作成者が [承諾された回答] としてマークできます。これは、ユーザーが回答が作成者の問題を解決したことを知るのに役立ちます。