更新日: 2007 年 7 月 3 日 5:58:22 AM
種別: アドウェア
発行者: Outerinfo; outerinfo.com
リスクの危険度: 中
影響を受けるシステム: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows Server 2003, Windows 2000
以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテックアンチウイルス製品のお客様を対象にして記述されています。
- システムの復元機能を無効にします (Windows Me/XP)。
- ウイルス定義を最新版に更新します。
- システム全体のスキャンを実行します。
- レジストリに追加された値を削除します。
具体的な手順については、以下のセクションをご覧ください。
1. システムの復元オプションを無効にする(Windows Me/XP) Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE 内に作成されている可能性があります。
Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。
また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。
システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。
注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。
システムの復元機能についての詳細と別の無効化方法については、「
マイクロソフトサポート技術情報 - 263455 - _RESTORE フォルダにウイルスが発見された場合の対応方法について」を参照してください。
2. ウイルス定義ファイルを更新する ウイルス定義ファイルを最新版に更新します。最新版のウイルス定義ファイルは、次の 2 通りの方法で入手できます。
- LiveUpdate を使用して入手する方法:
Norton AntiVirus 2006、Symantec AntiVirus Corporate Edition 10.0 以上をご使用の場合は、LiveUpdate の定義は毎日更新されます。これらの製品には、より新しいテクノロジーが含まれています。
Norton AntiVirus 2005、Symantec AntiVirus Corporate Edition 9.0 またはそれ以前の製品をご使用の場合は、LiveUpdate の定義は 1 週間ごとに更新されます。メジャーなウイルスが流行した場合は例外で、定義はより頻繁に更新されます。
- Intelligent Updater を使用して入手する方法: Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日(日本時間の火曜日~土曜日)に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。
注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお勧めします。Intelligent Updater のウイルス定義ファイルは
こちら からダウンロードすることができます。 ダウンロード、インストールする方法に関しては、
こちらをご参照ください。
3. 感染ファイルを探して削除する - シマンテックのウイルス対策ソフトを起動して、すべてのファイルがスキャン対象として設定されているか確認します。
個人のお客様向け Norton AntiVirus 製品をお使いの場合(パッケージ製品): 次の文書をお読みください。「すべてのファイルをウイルススキャンするように設定する方法」
企業・法人のお客様向け Symantec AntiVirus 製品をお使いの場合(ライセンス製品): 次の文書をお読みください。「NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法.
- システム全体のスキャンを実行します。
- 何らかのファイルが検出された場合は、ご使用のアンチウイルスプログラムによって表示される手順に従ってください。
重要: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。コンピュータをセーフモードで再起動する方法については、「
コンピュータをセーフモードで起動する方法」をご覧ください。 コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。
ファイルの削除後、コンピュータを通常モードで再起動してから、次のセクションに進んでください。
この時点でワームが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性があります。これらのメッセージは無視して、[OK]をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。
タイトル: [ファイルパス]
本文: Windows cannot find [ファイル名]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.
4. レジストリから値を削除する 警告: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず「
レジストリのバックアップ方法」をお読みください。
- [Start(スタート)]、[Run(ファイル名を指定して実行)]の順にクリックします。
- regedit と入力します。
- その後、[OK]をクリックします。
注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response はこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。
- 次のレジストリエントリへ移動して削除します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Content Service" = %System%\winserv[文字].exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"twhe" = %Windir%\Application Data\wbta.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Ussi" = %Windir%\Application Data\rwsa.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Ussi" = "%System%\wnscpit.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Oesi" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\srts.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Eech" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\hoor.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"WNSI" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\rwsa.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Esph" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\ortu.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Content Service" = %System%\winserv[文字].exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"twhe" = %Windir%\Application Data\wbta.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Ussi" = %Windir%\Application Data\rwsa.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Ussi" = "%System%\wnscpit.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Oesi" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\srts.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Eech" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\hoor.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"WNSI" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\rwsa.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Esph" = "%SystemDrive%\Documents and Settings\[ユーザー名]\Application Data\ortu.exe"
- 次のレジストリサブキーへ移動して、削除します。
HKEY_CURRENT_USER\software\purityscan
HKEY_LOCAL_MACHINE\SOFTWARE\ClickSpring
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared\ClickFlag
HKEY_USERS\.DEFAULT\Software\Ttee
HKEY_CURRENT_USER\Software\Toos
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PuritySCAn
HKEY_CURRENT_USER\Software\Aubt
- レジストリエディタを終了します。
Hatena
Yahoo
Livedoor
Buzzurl
Delicious
FC2
Google
Newsvine
newsing
Digg