パソコンを使っている最中に、突然「Run Script:」という見慣れないポップアップが何度も表示されて困っていませんか。実は、私も以前まったく同じ症状に悩まされ、ファイルの場所が分からずに右往左往した経験があります。今回は、そんな困ったマルウェア「wthtruh」の削除方法を、誰でも実践できるように解説していきます。
そもそもwthtruhとは何か
wthtruhはAutoIt V3 Scriptというスクリプト技術を悪用したマルウェア(ウイルス)の一種です。AutoItというのは本来、Windows上での作業を自動化するためのツールとして開発されたものですが、その仕組みを不正利用してコンピューター内部にスクリプトを仕込み、不審な動作を実行することがあります。特に今回のwthtruhに感染すると、タスクマネージャーやプロセス監視ツールに「wthtruh」というプロセスが居座り、「Run Script:」というポップアップがしつこく表示されるのが特徴です。
同時発生しやすいXMRigマイナーへの注意
wthtruhに限らず、AutoIt系のスクリプトマルウェアでは、仮想通貨マイニングソフトウェア(XMRigなど)が裏で動いているケースが少なくありません。これらは知らないうちにPCのリソースを浪費し、発熱やファンの異音、パフォーマンス低下などを引き起こします。そのため、wthtruhを削除すると同時にXMRigの痕跡も徹底的に駆除する必要があります。
被害例としての私の体験談
ある日、私が自宅PCを起動して作業していると、急に見慣れないウィンドウがポンポンと立ち上がるようになりました。最初は何かのアップデートかと無視していたのですが、一向に止まりません。ウィルス対策ソフトは一部のファイルを見つけて隔離はしたものの、肝心の本体や関連サービスはどこにあるのか分からずじまい。もともと隠しファイルを表示しても怪しいものが出てこず、途方に暮れていました。ところが、後から分かったのはwthtruh本体と連動してXMRigマイナーが動いていたことです。知らぬ間にパソコンの処理能力が勝手に使われ、発熱が激しくなるわ、動作が重くなるわで大変でした。最終的にはFRST(Farbar Recovery Scan Tool)でしっかり駆除して落ち着いたのですが、そのとき学んだ対策や注意点を、ここで詳しく共有していきます。
FRST(Farbar Recovery Scan Tool)を使った具体的な駆除手順
FRSTのダウンロードと準備
FRSTはマルウェアの痕跡や不要なスタートアップエントリを詳細に調べ、削除や修復を行える強力なフリーソフトです。以下のような流れで準備します。
ダウンロード
公式サイトまたは信頼できるミラーからFRSTをダウンロードします。英語版を使う場合は実行ファイルの名前を「FRST64English.exe」に変更しておくと分かりやすいです。ダウンロードしたらデスクトップなど、分かりやすいフォルダに移動しましょう。
管理者権限で実行
Windows 10や11では、右クリックして「管理者として実行」を選択します。FRSTが起動したら、初回はライセンスに関する注意書きが表示される場合があるので内容を確認しつつ進めてください。
システムスキャン
FRSTが起動したら、大まかに以下のような手順でスキャンします。
スキャン開始
1. メイン画面に表示される「Scan」ボタンをクリックすると、システム全体をスキャンしてマルウェアの疑いがあるファイル、レジストリキー、サービス、タスクスケジューラなどをチェックしてくれます。
2. スキャンが完了すると「FRST.txt」と「Addition.txt」というテキストファイルがFRSTと同じフォルダに作成されます。
ログの確認
この2つのログファイルには非常に多くの情報が詰め込まれています。すぐに内容が理解できなくても、あとで必要部分を検索して特定のファイルやプロセスの情報を探すことが可能です。必要に応じて、専門家や詳しい人に内容を見てもらう場合には、OneDriveやGoogleドライブ等を使ってログを共有します。
Fixlist.txtでの修復作業
最も重要となるのが修復工程です。FRSTは自動でマルウェアを全削除してくれるわけではなく、何をどう削除・修正するか指示するために「Fixlist.txt」というファイルが必要です。
Fixlist.txtの作成方法
1. 「FRST.txt」と「Addition.txt」を確認し、wthtruhやAutoIt V3 Script関連の怪しい項目、あるいはXMRigマイナーに関わる不審なファイルパス、レジストリエントリ、サービスがあるかを探します。
2. これらを対象として削除や修復したい項目をFixlist.txtに記述します。書き方はFRSTの公式マニュアルや各種フォーラムを参考にしながら行うのがベストです。
3. 作成したFixlist.txtをFRSTと同じフォルダに保存します。
修復を実行する
Fixlist.txtの準備ができたら、FRSTを再度管理者権限で起動し、「Fix」をクリック。すると、指定した項目が削除または修正されます。作業途中にPCが自動で再起動することもあるので、作業前には必ず作業中に保存していないファイルがないか確認しておきましょう。再起動後に「Fixlog.txt」という結果ファイルが生成され、実際にどの項目が削除や修正されたかを確認できます。
Web Companionや不要ソフトのアンインストール
wthtruhやAutoIt V3 Script型のマルウェアを利用して入り込む不要ソフトとしては「Web Companion」などが挙げられます。これらはパソコンを保護するどころか、追加の広告や不要なプログラムを勝手に入れられる原因になることがあります。感染時に一緒にインストールされるケースもあるため、コントロールパネルの「プログラムと機能」やWindowsの設定→「アプリと機能」から見慣れないソフトや不要ソフトを見つけたらアンインストールしておきましょう。
不要プロセス(XMRigなど)の除去
XMRigマイナーが動作している場合は、タスクマネージャーやログからも確認できます。マイニング系のプログラムは気づかないうちにCPUやGPUに負荷をかけ続けるため、放置するとパソコンが劣化する原因になります。Fixlist.txtを作成するときに、XMRig関連のファイルパスや実行ファイルも指定しておき、一緒に根こそぎ削除を行うのがおすすめです。
サービスの状態を確認しておこう
マルウェア駆除の過程で、何らかの理由でWindows標準のサービスが停止したままになっている場合があります。特にBITSやWindows Updateなどの更新系サービスが止まっていると、今後のWindowsのセキュリティ更新プログラムが適切に適用されないおそれがあるので注意が必要です。
PowerShellによるサービスの簡易チェック
Windowsの検索からPowerShellを管理者権限で起動し、以下のコマンドを実行してみましょう。
gsv BITS, dosvc, usosvc, wuauserv | ft -auto Name, DisplayName, StartType, Status
これで、各サービスの名前、表示名、開始種別、現在の状態が一覧で確認できます。停止していたり、「Disabled」になっている場合は、サービスのプロパティから「Automatic(自動)」へ変更し、必要に応じて手動で起動してください。
完了後の最終チェックと後片付け
Run Scriptポップアップが消えたか確認
修復作業が終わったら、一度パソコンを再起動して、問題のポップアップがまだ出るかどうかを確かめましょう。タスクマネージャーにwthtruhというプロセスがあるかどうかもチェックしておくと安心です。ポップアップが表示されなくなったのなら、一旦の駆除は成功です。
FRST本体の削除
FRSTはマルウェアを駆除したあとも特に害はありませんが、もう使用しないのであればFRST.exe(FRST64English.exe)と「C:\FRST」フォルダを削除しておきましょう。誤ってFixlistを実行したりするのを防ぐ意味でも、片付けておくのが賢明です。
メリットとデメリットを整理
実際の手順をまとめた表
| ステップ | 内容 |
|---|---|
| 1. ダウンロード | FRSTを公式サイトや信頼できる場所から入手。必要に応じて「FRST64English.exe」にリネーム。 |
| 2. 実行 | FRSTを管理者権限で起動。ライセンス内容に同意しメイン画面へ。 |
| 3. スキャン | 「Scan」ボタンをクリック。終了後「FRST.txt」「Addition.txt」が生成される。 |
| 4. ログ解析 | wthtruh、XMRigに関連するファイルやサービスなどを特定。不要ソフトの有無も確認。 |
| 5. Fixlist.txt | 削除・修正対象をリストアップし、FRSTと同じフォルダに保存。 |
| 6. Fix実行 | FRSTを再度起動し「Fix」を実行。完了後に必要に応じて再起動し、「Fixlog.txt」で結果を確認。 |
| 7. 最終確認 | Run Scriptのポップアップ消失と、wthtruhがタスクマネージャーにないことを確認。 |
| 8. 後片付け | FRST本体や生成フォルダを削除。また必要に応じてサービスを再確認。 |
私自身、Fixlist.txtを最初に作ったときは手探りでしたが、FRSTのフォーラムや他の方の事例を見ると案外パターンが似ていて勉強になりました。コツとしては、怪しいエントリだけを取り除くようにすることですね。間違ってWindowsの重要ファイルを消さないように、しっかりログとにらめっこしながら進めました。
トラブルシューティングや補足情報
削除後もPCが重い場合
wthtruhとXMRigマイナーを削除しても、動作が重い場合は以下の可能性があります。
一時ファイルの肥大化
マルウェア動作中に生成された不要データが残っている可能性があります。WindowsのディスククリーンアップやCCleanerなどを活用して削除しましょう。
OSやドライバーの更新不足
Windows Updateが正しく動いていないと、重要なセキュリティパッチが適用されずに他のウイルスに感染しやすくなります。デバイスマネージャー経由でドライバーも最新にしてみてください。
再感染を防ぐためのセキュリティ対策
1. 公式サイトや信頼できるソースからしかソフトウェアをダウンロードしない
2. 広告や怪しいリンクをむやみにクリックしない
3. ウイルス対策ソフトのリアルタイム保護やファイアウォールを常に有効にしておく
4. Windows Updateを定期的にチェックし最新の状態をキープ
まとめと一言アドバイス
wthtruhのようなAutoIt V3 Scriptを悪用するマルウェアは、通常のウイルススキャンでは一部しか駆除できず、残骸が残ってしまうケースがあります。そんなとき、FRSTのようにシステム全体のログを取得し、削除対象を的確に把握してから修復する方法は非常に効果的です。特にXMRigマイナーなどが動いているとマシンの負荷が高まり、結果的にパソコン全体の寿命を縮めるリスクすらあるので、早め早めに対応しておくと安心です。Run Scriptのしつこいポップアップが消えて快適な環境を取り戻すには、今回紹介した方法をぜひ試してみてください。
私が初めてwthtruhに遭遇したときは、とにかく謎が多くて削除がスムーズに進みませんでした。しかし、FRSTというツールを知ってからは「こういったマルウェアも細かく特定して取り除けるんだ」と感動したものです。やはり困ったときは情報を調べつつ、便利なツールを積極的に活用するのが大切ですね。
コメント