発見日: 2002 年 2 月 20 日
更新日: 2007 年 2 月 13 日 11:55:21 AM
別名: Backdoor.Infector, Win32.Theinf
種別: トロイの木馬
このトロイの木馬を駆除するには、 Backdoor.Surgeonとして検出されたファイルをすべて削除し、レジストリのスタートポイントとWindowsスタートアップファイル(Windows 95/98/Meのみ)を調べ、トロイの木馬ファイルを参照している値を削除する必要があります。
Backdoor.Surgeonを駆除するには:
ウイルス定義を更新する
ウイルス定義を最新版に更新します。最新版のウイルス定義は次の2通りの方法で入手することができます。
- LiveUpdate を実行する方法:
シマンテックの LiveUpdate サーバーにクライアントやサーバーからアクセスし、ウイルス定義ファイルをダウンロードして自動的に更新を行います。LiveUpdate では、最後に LiveUpdate を実行した後に追加・更新された情報のみがダウンロードされます。このため、ダウンロード時のネットワークトラフィックを最小限に抑える事ができます。
LiveUpdate のウイルス定義は、通常は毎週木曜日に定期的に LiveUpdate サーバーにアップロードされます。また、危険度の高いウイルスが発見された場合にも、緊急対応として LiveUpdate サーバーにアップロードされる場合があります。
このウイルスへの対応は、ページ上部に記載の「対応日(LiveUpdate)」欄の日付をご覧ください。
- Intelligent Updater を使用してウイルス定義をダウンロードする方法:
Intelligent Updater は、.シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。
Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日~土曜日) に毎日アップロードされています。Intelligent Updater 形式のウイルス定義は LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。
このウイルスへの対応は、ページ上部に記載の「対応日(Intelligent Updater)」欄の日付をご覧ください。
注意: Intelligent Updater は、ウイルス定義とスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義の更新を行い、疑わしいファイルからウイルスを検知出来ない場合などに、Intelligent Updater でウイルス定義を更新する事をお薦めします。
Intelligent Updater のウイルス定義は、こちらからダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちらをご参照ください。
感染ファイルを探して削除する
a. Norton AntiVirus (NAV) を開き、すべてのファイルがスキャン対象として設定されているか確認します。
b. システム全体のスキャンを実行します。
c. Backdoor.Surgeonとして検出されたファイルの名前を書き留め、その後すべて削除します。
レジストリを編集する
注意:システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法」をお読みください。
1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。[ファイル名を指定して実行]ダイアログボックスが表示されます。
2. regeditと入力し、[OK]をクリックします。レジストリ エディタが開きます。
3. 次のレジストリキーを選択します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
4. 前述のセクションで説明されている手順を実行したときに記録しておいた感染ファイル名の一覧を参照しながら、画面右側に表示されている[名前]と[データ]の値に、感染ファイル名が含まれる項目を探します。
5. 感染ファイル名が含まれている項目を発見した場合は、その項目を選択してDeleteキーを押し、削除の確認メッセージが表示されたら[はい]をクリックして削除を確定します。
6. 次のレジストリキーを選択します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
7. 前述のセクションで説明されている手順を実行したときに記録しておいた感染ファイル名の一覧を参照しながら、画面右側に表示されている[名前]と[データ]の値に、感染ファイル名が含まれる項目を探します。
8. 感染ファイル名が含まれている項目を発見した場合は、その項目を選択してDeleteキーを押し、削除の確認メッセージが表示されたら[はい]をクリックして削除を確定します。
9. [レジストリ]-[レジストリエディタの終了]をクリックします。
Windowsのスタートアップファイルの編集方法
注意:
- このセクションで説明している手順は、Windows 95/98/Meをご使用の場合にのみ行ってください。Windows NT/2000をご使用の方は、このセクションでの作業を行う必要はありません。
- (Windows Meをご使用のお客様のみ)Windows Meをご使用の場合、そのファイル保護機能によって、このセクションで編集するファイルのバックアップコピーがC:Windows\Recentフォルダ内に自動的に作成されます。このセクションで説明している作業を行う際には、最初にそのファイルを削除しておくことをお勧めします。Windowsエクスプローラを使って削除を行う場合は、C:\Windows\Recentフォルダを表示し、画面右側からWin.iniフィルを選択し、それを削除してください。そのファイルに行った変更を保存するときに編集したファイルのコピーが再度作成されます。
1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。
2. 次のコマンドを入力し、[OK]をクリックします。
edit c:\windows\win.ini
MS-DOSエディタが開きます。
注意:Windowsを上記以外の場所にインストールしていた場合は、パスの部分を適宜置き換えてください。
注意:以下の作業では、Win.iniファイルのload=行およびrun=行からテキストを削除することになります。旧版のプログラムの中には、システム起動時にこれらの行のいずれかから起動されている可能性があるため、旧版のプログラムをお使いの方はご注意ください。トロイの木馬は、これらのファイルにload=c:\windows\temp\pkg2350.exe や run=hpfsched <空白スペース> msrexe.exe(hpfschedは正規のプログラムですが、msrexe.exeはトロイの木馬の一部です。)のように、システム起動時に自分自身を実行するための命令を追加する可能性があります。
これらの行に含まれているテキストが通常使っているプログラムをロードするためのものであるという確信がある場合は、その行は削除しないことをお勧めします。確信はないけれども、前述の作業で書き留めておいたファイル名が含まれていない場合は、その行の先頭にセミコロン(;)を追加することによってその行の命令が読み込まれることを防ぐことができます。例えば、run=accounts.exeの場合は、次のようにセミコロンを追加します。
; run=accounts.exe
3. Win.ini ファイルの[windows]セクション内でload=行を探します。通常はファイルの最上部付近にあります。
4. カーソルを =(イコール記号)のすぐ右側に移動します。
5. Shift+Endキーを押して = の右側にあるテキストをすべて選択し、Deleteキーを押して削除します。
6. run= 行を探し、手順3~手順5を行います。run= 行は通常、load= 行の下にあります。
7. [ファイル]-[終了]を選択し、変更の確認メッセージが表示されたら[はい]をクリックします。
8. [スタート]ボタンをクリックし、[ファイル名を指定して実行]をクリックします。
9. 次のコマンドを入力し、[OK]をクリックします。
edit c:\windows\system.ini
MS-DOSエディタが開きます。
注意:Windowsを上記以外の場所にインストールしていた場合は、パスの部分を適宜置き換えてください。
10. System.ini ファイルの[boot]セクションでshell=explorer.exe 行を探します。このセクションは通常、ファイルの最上部付近にあります。
11. カーソルを explorer.exe のすぐ右側に移動します。
12. Shift+Endキーを押してexplorer.exeの右側にあるテキストをすべて選択し、Deleteキーを押します。
注意:コンピュータによっては、shell=の後にExplorer.exe以外のエントリが含まれる場合があります。その場合に該当し、かつ、別のWindowsシェルを実行している場合、shell=行を一時的にshell=explorer.exeに変更し、駆除作業が完了した時点で元のシェルに戻してください。
13. [ファイル]-[終了]をクリックし、変更の保存を確認するメッセージが表示されたら、[はい]をクリックして保存します。
これで駆除作業が完了したことになります。この後、NAVを開き、(以前にスキャンを実行していた場合でも)システムの完全スキャンを再度実行し、このトロイの木馬に感染しているファイルが検出された場合は該当ファイルをすべて削除してください。スキャンが終わったら、コンピュータを再起動してください。
記述: Andre Post
Hatena
Yahoo
Livedoor
Buzzurl
Delicious
FC2
Google
Newsvine
newsing
Digg