|||||
Symantec.com > セキュリティレスポンス > Backdoor.Haxdoor.D
印刷

Backdoor.Haxdoor.D - 駆除方法

危険度 1: ほとんど影響なし

ドキュメントを印刷する

発見日: 2005 年 1 月 24 日
更新日: 2007 年 2 月 13 日 12:41:47 PM
別名: Backdoor.Win32.Haxdoor.bg [Kas, BackDoor-BAC [McAfee]
種別: トロイの木馬
感染サイズ: 46,708 バイト
影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP


以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック アンチウイルス製品のお客様を対象にして記述されています。
  1. システムの復元機能を無効にします (Windows Me/XP の場合)。
  2. ウイルス定義を最新版に更新します。
  3. システム全体のスキャンを実行し、Backdoor.Haxdoor.D として検出されたファイルをすべて削除します。
  4. レジストリに追加された値を削除します。
具体的な手順については、以下のセクションをご覧ください。

1. システムの復元オプションを無効にする (Windows Me/XP)
Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。システムの復元機能は、Windows Me/XP の機能のひとつで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。

Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内のリスクが検出されることがあります。

システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。
注意: 駆除作業が完全に終わり、リスクが駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。

システムの復元機能についての詳細および別の無効化方法については、"マイクロソフト サポート技術情報 - 263455 - _RESTORE フォルダにウィルスが発見された場合の対応方法について" をご覧ください。


2. ウイルス定義ファイルを更新する
ウイルス定義ファイルを最新版に更新します。最新版のウイルス定義ファイルは次の 2 通りの方法で入手することができます。
  • LiveUpdate を使用して入手する方法
    シマンテックの LiveUpdate サーバーにクライアントやサーバーからアクセスし、ウイルス定義ファイルをダウンロードして自動的に更新を行います。LiveUpdate では、最後に LiveUpdate を実行した後に追加・更新された情報のみがダウンロードされます。このため、ダウンロード時のネットワークトラフィックを最小限に抑えることができます。

    LiveUpdate のウイルス定義ファイルは、通常は毎週木曜日に定期的に LiveUpdate サーバーにアップロードされます。また、危険度の高いウイルスが発見された場合にも、緊急対応として LiveUpdate サーバーにアップロードされる場合があります。

    このウイルスへの対応は、ページ上部に記載の「    対応日(LiveUpdate)」欄の日付をご覧ください。
  • Intelligent Updater を使用して入手する方法
    Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。

    Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日~土曜日) に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。

    このウイルスへの対応は、ページ上部に記載の「    対応日(Intelligent Updater)」欄の日付をご覧ください。

    注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお薦めします。

    Intelligent Updater のウイルス定義ファイルは、こちらからダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちらをご参照ください。

3. 感染ファイルを探して削除する
  1. シマンテックのウイルス対策ソフトを起動して、すべてのファイルがスキャン対象として設定されているか確認します。
  2. システム全体のスキャンを実行します。
  3. Backdoor.Haxdoor.D に感染しているファイルが検出されたら、[削除] をクリックします。

    注意: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。コンピュータをセーフモードで再起動する方法については、"コンピュータをセーフモードで起動する方法" をご覧ください。コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。

    (ファイルの削除後、セーフモードのままセクション 4 へ進み、作業が完了した時点で、コンピュータを通常モードで再起動してもかまいません。)

4. レジストリから値を削除する
警告: システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず "レジストリのバックアップ方法" をお読みください。

  1. [スタート] ボタンを押し、[ファイル名を指定して実行] をクリックします。
  2. regedit と入力します。

    その後、[    OK] をクリックします。
  3. 次のレジストリキーを選択します。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  4. 画面右側で、次の値を削除します。

    "Secboot" = "w32tm.exe"
    "hws" = "[0xRandom]"
  5. 次のレジストリキーを選択して、削除します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_VDMT16
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW
  6. 次のレジストリキーを選択します。

    HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters
  7. 画面右側で、次の値を削除します。

    "Disable TrayIcon" = "1"
  8. 次のレジストリキーを選択します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
  9. 画面右側で、次の値を削除します。

    "StackSize" = "21:10"
    "Impersonate" = "[TIMESTAMP]"
  10. 次のレジストリキーを選択します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Session Manager\Memory Management
  11. 画面右側で、次の値を削除します。

    "EnforceWriteProtect" = "0"
  12. 次のレジストリキーを選択します (Windows 95/98/Me の場合)。 

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MPRServices\
    TestService
  13. 画面右側で、次の値を削除します。

    "DllName" = "draw32.dll"
    "EntryPoint" = "MedManager"
    "StackSize" = "0"
  14. 次のレジストリキーを選択します (Windows 2000/NT/XP の場合)。 

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16
  15. 画面右側で、次の値を削除します。

    "DllName" = "drct16.dll"
    "Startup" = "MedManager"
    "Impersonate" = "dword:00000001"
    "Asynchronous" = "dword:00000001"
    "MaxWait" = "dword:00000001"
  16. レジストリエディタを終了します。


記述: Ka Chun Leung
ノートン 2010 シリーズ登場
Symantec Endpoint Protection
©1995 - 2009 Symantec Corporation
サイトマップ|
利用規約|
プライバシーポリシー|
お問い合わせ|
各国サイト|
使用許諾契約