Trojan.PSW.Ajim_bbs - 駆除方法

1. ウイルス定義を最新版に更新します。
2. ご使用の OS に応じて次のいずれかを行います。
• Windows 95/98/Me: コンピュータをセーフモードで再起動。
• Windows NT/2000/XP: トロイの木馬のプロセス( Setup.exe, Winupdate.exe, Winver.exe または Internets.exe) を停止。
3. システム全体のスキャンを実行し、Trojan.PSW.Ajim_bbs として検出されたファイルをすべて削除します。
4. Regedit.exe を Regedit.com にコピーします。
5. トロイの木馬よってレジストリに行われた変更を元に戻します。
6. 改変されたファイル( %windir%\Winver.exe、%windir%\Hosts ) を未感染のバックアップコピーから復元します。

• LiveUpdate を実行する方法:
  シマンテックの LiveUpdate サーバーにクライアントやサーバーからアクセスし、ウイルス定義ファイルをダウンロードして自動的に更新を行います。LiveUpdate では、最後に LiveUpdate を実行した後に追加・更新された情報のみがダウンロードされます。このため、ダウンロード時のネットワークトラフィックを最小限に抑える事ができます。
  
  LiveUpdate のウイルス定義は、通常は毎週木曜日に定期的に LiveUpdate サーバーにアップロードされます。また、危険度の高いウイルスが発見された場合にも、緊急対応として LiveUpdate サーバーにアップロードされる場合があります。
  
  このウイルスへの対応は、ページ上部に記載の「対応日(LiveUpdate）」欄の日付をご覧ください。

• Intelligent Updater を使用してウイルス定義をダウンロードする方法:
  Intelligent Updater は、.シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。
  
  Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日～土曜日) に毎日アップロードされています。Intelligent Updater 形式のウイルス定義は LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。
  
  このウイルスへの対応は、ページ上部に記載の「対応日(Intelligent Updater）」欄の日付をご覧ください。
  

  ---

  注意: Intelligent Updater は、ウイルス定義とスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義の更新を行い、疑わしいファイルからウイルスを検知出来ない場合などに、Intelligent Updater でウイルス定義を更新する事をお薦めします。
  

  ---

  
  Intelligent Updater のウイルス定義は、こちらからダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちらをご参照ください。

• Windows 95/98/Me をお使いの場合
  コンピュータをセーフモードで再起動します。Windows NT 以外のすべての Windows 32-ビット OS はセーフモードで再起動することができます。具体的な手順については、"Windows 9x または Windows Me をセーフモードで起動する方法"をご覧ください。
  
• Windows NT/2000/XP をお使いの場合
  ワームのプロセスを停止するには:　
  1. Ctrl+Alt+Delete キーを同時に押します。
  2. [タスクマネージャ] をクリックします。
  3. [プロセス] タブをクリックします。
  4. リスト最上部のイメージ名を2度クリックしてプロセスをアルファベット順に並び替えます。
  5. リストをスクロールして、Setup.exe, Winupdate.exe, Winver.exe, Internets.exe を探します。
  6. 該当するファイルを発見したら、それをクリックして [プロセスの終了] をクリックします。
  7. タスクマネージャを閉じます。
  

a. Norton AntiVirus (NAV) を開き、すべてのファイルがスキャン対象として設定されているか確認します。
• 個人のお客様向け NAV 製品をお使いの場合（パッケージ製品）：詳しくは、"すべてのファイルをウイルススキャンする方法"をご覧ください。
• 企業・法人のお客様向け NAV 製品をお使いの場合（ライセンス製品）：詳しくは、"NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
b. システム全体のスキャンを実行します。
c. Trojan.PSW.Ajim_bbs に感染しているファイルが検出されたら、[削除] をクリックします。

1. ご使用の OS に応じて、次のいずれかの手順を実行してください。
• Windows 95/98 の場合: [スタート] ボタンを押し、[プログラム] - [MS-DOS プロンプト] を選択します。C:\Windows プロンプトに DOS 画面が表示されます。その後、このセクションの次のステップに進みます。
• Windows ME の場合: [スタート]ボタンを押し、[プログラム] - [アクセサリ] - [MS-DOS プロンプト] を選択します。C:\Windows プロンプトに DOS 画面が表示されます。その後、このセクションの次のステップに進みます。
• Windows NT/2000 の場合:
  a. [スタート] ボタンを押し、[ファイル名を指定して実行] を選択します。
  b. 次のように入力し、Enter キーを押します。
  
  command
  
  DOS 画面が表示されます。
  
  c. 次のコマンドを入力し、Enter キーを押します。
  
  cd \winnt
  
  d. 次のステップへ進みます。
  
• Windows XP の場合:
  a. [スタート] ボタンを押し、[ファイル名を指定して実行] を選択します。
  b. 次のように入力し、Enter キーを押します。
  
  command
  
  DOS 画面が表示されます
  
  c. 次のコマンドを入力し、入力するたびに Enter キーを押します。
  
  cd\
  cd \windows
  
  d. 次のステップへ進みます。

2. 次のコマンドを入力し、Enter キーを押します。

copy regedit.exe regedit.com

3. 次のコマンドを入力し、Enter キーを押します。

start regedit.com

レジストリ エディタが、DOS ウィンドウの前面に開きます。レジストリの編集作業が終了したら、最初にレジストリ エディタを閉じた後で、DOS ウィンドウを閉じてください。

5. レジストリを編集してトロイの木馬によって行われた変更を元の状態に戻す

1. 次のレジストリキーを選択します。

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command



---

注意: HKEY_LOCAL_MACHINE\Software\Classes キーには、他のファイル拡張子を参照するサブキー エントリが多数含まれています。参照されるファイル拡張子の一つに .exe があります。この拡張子を変更すると、ファイル名の末尾に .exe 拡張子を持つファイルが起動しなくなる恐れがあります。はるかに深い階層にある \command サブキーが表示されている部分を選択するように注意してください。


---



変更が必要なキーは、HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command サブキーです(下図参照）。
　<<=== 注意: 変更対象となるのはこのキーです。

2. 画面右側で、（標準）値をダブルクリックします。

3. 現在の値データを削除し、"%1" %* (具体的には、ダブルクォーテーション、パーセント記号、 1 、ダブルクォーテーション、スペース、パーセント記号、アステリスク)を入力します。

備考：
• Windows 95/98/Me/NT システム上では、入力された値は自動的にダブルクォーテーションで囲まれます。[OK] をクリックすると、（標準）値は次のように表示されます。
  
  ""%1" %*"
  
• Windows 2000 システム上では、余分な引用符は表示されず、[OK] をクリックすると、（標準）値は次のように表示されます。
  
  　　"%1" %*
  
• 正しい値を入力する前に、必ず command キー内の値データすべてを完全に削除したか確認してください。エントリの先頭にスペースが残っている場合、プログラムファイルを実行しようとしても、「Windows は .exe を検出できません。」というエラーメッセージが表示されプログラムを実行できません。その場合は、このページに記載の駆除手順を最初からやり直し、現在の値データを完全に削除してください。

4. 次のレジストリキーを選択します。

　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command

5. 画面右側で（標準）値をダブルクリックします。
6. 現在の値データを削除し、正しい値で置き換えます。

備考: 正しい値はご使用の OS、システム、インストール先のパスによって異なります。OS と構成が作業対象のコンピュータと同じコンピュータのレジストリキーを調べて、正しい値を確認してください。通常の値は以下のとおりです。
Windows 98: C:\Windows\Notepad.exe %
Windows 2000: %SystemRoot%\system32\NOTEPAD.EXE %1

7. 次のレジストリキーを選択します。

　HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

8. 画面右側で、次の値をそれぞれダブルクリックし、トロイの木馬が変更した URL を任意のアドレスで置き換えます。以下はその一例です。

　Default_Page_URL http://www.msn.com
　Start Page http://www.msn.com
　CustomizeSearch http://www.google.com
　SearchAssistant http://www.google.com

備考: 上記のうち下の2つの値は任意の設定項目のため、削除しても問題ありません。また、Internet Explorer の様々なメニューを使用して上記の値すべてをリセットすることもできます。詳しくは、Internet Explorer のドキュメントをご覧ください。

9. レジストリエディタを終了し、コンピュータを通常通り再起動します。