clear clear
Symantec.com logo Security Response
japan
グローバルサイト
製品とサービス
製品の購入
サポート
セキュリティ・レスポンス
ダウンロード
シマンテックについて
サーチ
フィードバック
grey


© 1995-2006 Symantec Corporation.
All rights reserved.
商標について
プライバシーポリシー
Adware.FindemNow

最終更新日: 2004年3月1日 15:01:57 (米国時間)

種別:アドウェア
影響を受けるシステム:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
影響を受けないシステム:DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x
駆除:容易
ダメージ:

検出
  • 対応日(Intelligent Updater)*
    		•

    2004年02月29日
  • 対応日 (Live UpdateTM) **
    		•

    2004年02月29日

    *

    Intelligent Updater を通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。

    **

    LiveUpdate を通じたウイルス定義は毎週水曜日に更新されています。
    LiveUpdate の使用方法については、こちらをクリックしてください。

    この脅威を検出するには、広義の脅威 (expanded threats) に対応したシマンテック製品が必要です。広義の脅威の詳細については、こちらをご覧ください。

    概要

    動作
    Adware.FindemNow は、UPX パック済みのブラウザ・ヘルパー・オブジェクト (BHO) です。"about:blank" のHTML ページをインターネット・エクスプローラで表示します。

    症状
    ホーム・ページの設定がリセットされている場合でも、また、コンピュータがインターネットに接続していない場合であっても、インターネット・エクスプローラのホームページが webcoolsearch.com に変更されます。

    感染経路

    Adware.FindemNow は、ほかのプログラムによってインストールされます。その多くが Trojan.Bookmarker.F です。

    テクニカルノート
    ファイル名: Msxmlpp.dll


    Adware.FindemNow は .dll ファイルであるため、直接実行されることはありません。 そのため、Trojan.Bookmarker.F などのプログラムによって実行されます。

    Adware.FindemNow は、ほかのプログラムによって実行されると、次のことを行います。

    1. システムの Hosts ファイルを上書きします。

      上書きされた新しい Hosts ファイルには、次の 2 つのエントリが含まれます。

      127.0.0.1 localhost
      213.159.117.235 auto.search.msn.com

    2. 次のレジストリ・キーを作成し、自分自身を登録します。

      HKEY_LOCAL_MACHINE\TypeLib\{53B95204-7D77-11D2-9F80-00104B107C96}
      HKEY_CLASSES_ROOT\Interface\{53B95210-7D77-11D2-9F80-00104B107C96}
      HKEY_CLASSES_ROOT\Xmlmimefilter.XMLMimeFilterPP.1
      HKEY_CLASSES_ROOT\CLSID\{53B95211-7D77-11D2-9F80-00104B107C96}

    3. 以下のレジストリ・キーの値を次のように変更します。

      "CLSID"="{53B95211-7D77-11D2-9F80-00104B107C96}"

      レジストリ・キー:

      HKEY_CLASSES_ROOT\PROTOCOLS\Handler\about

    4. インターネット・エクスプローラが起動されると、設定されているホーム・ページの代わりに別の HTML ページを表示します。 さらに、上記の手順 3. を繰り返してホーム・ページを "about:blank" に変更し、Hosts ファイルを上書きします。

    駆除方法

    以下の手順は、広義の脅威に対応したすべてのシマンテック・アンチウイルス製品のお客様を対象に記述されています。

    1. ウイルス定義を最新版に更新します。
    2. アドウェアによって追加されたレジストリの値を削除します。
    3. セーフ・モードでコンピュータを再起動します。
    4. システム全体のスキャンを実行し、Adware.FindemNow として検出されたファイルをすべて削除します。次に、コンピュータを通常モードで再起動します。
    5. インターネット・エクスプローラの設定をリセットします。
    6. Hosts ファイルに追加された行を削除します。
    具体的な手順については、以下のセクションをご覧ください。

    1. ウイルス定義を更新する
    最新のウイルス定義を入手するには、シマンテック・アンチウイルス・プログラムを開き LiveUpdate を実行します。

      2. アドウェアをロードするレジストリの値を削除する

      注意:システム・レジストリを変更する際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず "レジストリのバックアップ方法" をお読みください。
      1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。([ファイル名を指定して実行] ダイアログ・ボックスが表示されます。)

      2. regedit

        と入力します。次に、[OK] をクリックします(レジストリ・エディタが起動します。)

      3. 次のレジストリ・キーを選択します。

        HKEY_LOCAL_MACHINE\TypeLib\
      4. 左側ペイン内で、次のサブキーを削除します。

        {53B95204-7D77-11D2-9F80-00104B107C96}

      5. 次のレジストリ・キーを選択します。

        HKEY_CLASSES_ROOT\Interface\
      6. 左側ペイン内で、次のサブキーを削除します。

        {53B95210-7D77-11D2-9F80-00104B107C96}

      7. 次のレジストリ・キーを選択します。

        HKEY_CLASSES_ROOT\
      8. 左側ペイン内で、次のサブキーを削除します。

        Xmlmimefilter.XMLMimeFilterPP.1

      9. 次のレジストリ・キーを選択します。

        HKEY_CLASSES_ROOT\
      10. 左側ペイン内で、次のサブキーを削除します。

        {53B95211-7D77-11D2-9F80-00104B107C96}

      11. 次のレジストリ・キーを選択します。

        HKEY_CLASSES_ROOT\PROTOCOLS\Handler\about
      12. 右側ペイン内で、"CLSID" を元の値に戻します。
        元の値としては、次の値が考えられます。

        "CLSID" = "{53B95211-7D77-11D2-9F80-00104B107C96}"
      3. コンピュータをセーフ・モードで再起動する
      コンピュータをシャットダウンして電源を切ります。少なくとも 30 秒間待ってから、セーフ・モードでコンピュータを再起動します。具体的な手順については、次のうち、ご使用の OS に該当するドキュメントをご覧ください。
      4. 感染ファイルを探して削除する
      1. シマンテック・アンチウイルス・プログラムを開き、システム全体のスキャンを実行します。
      2. Adware.FindemNow に感染しているファイルが検出されたら、[削除] をクリックします。
      3. 通常モードでコンピュータを再起動します。具体的な手順については、次のうち、ご使用の OS に該当するドキュメントをご覧ください。


      5. インターネット・エクスプローラの設定をリセットします。
      1. インターネット・エクスプローラを起動します。
      2. [ツール] メニューの [インターネット オプション] をクリックします。
      3. [プログラム] タブをクリックして、[Web の設定のリセット] をクリックします。
      4. [Web の設定のリセット] ボックス内で [ホームページもリセット] が選択されていることを確認し、[はい] をクリックします。
      6. Hosts ファイルに追加された行を削除する

      注意: Hosts ファイルが存在する場所は、コンピュータによって異なる場合があります。また、Hosts ファイルがない場合もあります。 たとえば、Windows 98 では通常 C:\Windows フォルダ、Windows 2000 では C:\WINNT\system32\drivers\et フォルダに存在します。また、ファイルが複数の場所にコピーされる場合もあります。

      次に示すお使いのオペレーティング・システムの操作手順に従ってください。
      • Windows 98/Me/2000 の場合:
        1. [スタート] をクリックします。次に、[検索] をポイントし、[ファイルやフォルダ] をクリックします。
        2. [Look in] が [(C:)] に設定されていて、[Include subfolders] がチェックされているか確認します。
        3. [ファイルまたはフォルダの名前] または [含まれる文字列] ボックスに、次のファイル名を入力します。

          hosts
        4. [Find Now] または [Search Now] をクリックします。
        5. ファイルが見つかったら、該当するファイルを右クリックし、表示されるメニューで [アプリケーションから開く] をクリックします。
        6. [これらのファイルを開くときは、いつもこのアプリケーションを使用する] のチェックを外します。
        7. アプリケーションの一覧から Notepad を選択し、ダブルクリックします。
        8. 次の値で始まる行をすべて削除します。

          213.159.117.235
        9. Notepad の終了時にメッセージが表示されるので変更を保存します。

      • Windows XP
        1. [スタート] ボタンをクリックし、[検索] をクリックします。
        2. [ファイルとフォルダすべて] をクリックします。
        3. [ファイル名のすべてまたは一部] ボックスに、次のファイル名を入力します。

          hosts

        4. [探す場所] が [ローカル・ハード・ドライブ] または [(C:)] に設定されていることを確認し、
        5. [詳細設定オプション] をクリックします。
        6. [システム・フォルダの検索] のチェックをオンにします。
        7. [サブフォルダの検索] のチェックをオンにします。
        8. [検索] をクリックします。
        9. [Find Now] または [Search Now] をクリックします。
        10. ファイルが見つかったら、該当するファイルを右クリックし、表示されるメニューで [アプリケーションから開く] をクリックします。
        11. [これらのファイルを開くときは、いつもこのアプリケーションを使用する] のチェックを外します。
        12. アプリケーションの一覧から Notepad を選択し、ダブルクリックします。
        13. 次の値で始まる行をすべて削除します。

          213.159.117.235.
        14. Notepad の終了時にメッセージが表示されるので変更を保存します。