更新日: March 03, 2008 6:16:30 AM
種別: Adware
バージョン: n/a
発行者: n/a
リスクインパクト: Low
影響を受けるシステム: Windows

症状

シマンテックのプログラムが、Adware.Appztoolbar を検出します。

転送

このセキュリティリスクは手動でインストールされるか、あるいは他のプログラムのコンポーネントとしてインストールされる可能性があります。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン May 07, 2019 リビジョン 006
  • Daily Certified 初回バージョン February 01, 2005
  • Daily Certified 最新バージョン May 07, 2019 リビジョン 008
  • Weekly Certified 初回リリース日 February 02, 2005

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート


Adware.Appztoolbar がインストールされると、次のことを行います。

  1. 次のファイルを作成します。

    • %ProgramFiles%\Underground Toolbar\assniffer.log
    • %ProgramFiles%\Underground Toolbar\blank.bmp
    • %ProgramFiles%\Underground Toolbar\blankh.bmp
    • %ProgramFiles%\Underground Toolbar\btn1.bmp
    • %ProgramFiles%\Underground Toolbar\btn2.bmp
    • %ProgramFiles%\Underground Toolbar\btn3.bmp
    • %ProgramFiles%\Underground Toolbar\btnh1.bmp
    • %ProgramFiles%\Underground Toolbar\btnh2.bmp
    • %ProgramFiles%\Underground Toolbar\btnh3.bmp
    • %ProgramFiles%\Underground Toolbar\cookie.bmp
    • %ProgramFiles%\Underground Toolbar\cookieh.bmp
    • %ProgramFiles%\Underground Toolbar\hl.bmp
    • %ProgramFiles%\Underground Toolbar\hlh.bmp
    • %ProgramFiles%\Underground Toolbar\options.html
    • %ProgramFiles%\Underground Toolbar\search.bmp
    • %ProgramFiles%\Underground Toolbar\searchh.bmp
    • %ProgramFiles%\Underground Toolbar\taf.bmp
    • %ProgramFiles%\Underground Toolbar\tafh.bmp
    • %ProgramFiles%\Underground Toolbar\Underground Toolbarlogo.bmp
    • %ProgramFiles%\Underground Toolbar\Underground Toolbarlogoh.bmp
    • %ProgramFiles%\Underground Toolbar\update.cfg
    • %ProgramFiles%\Underground Toolbar\update.dll
    • %ProgramFiles%\Underground Toolbar\version.txt

      注意: %ProgramFiles% は可変で、プログラムファイルフォルダを指します。デフォルトでは、これは C:\Program Files です。

  2. 次のファイルを作成します。これらは正規のプログラムによって使われる可能性があります。

    • %Windir%\cwClean.bat
    • %Windir%\extract.exe

      注意: %Windir% は可変で Windows のインストールフォルダを指します。デフォルトでは、これは C:\Windows または C:\Winnt です。

  3. 次のレジストリサブキーを作成します。

    HKEY_CLASSES_ROOT\CLSID\{cca00000-0000-0000-0000-000000000000}
    HKEY_CLASSES_ROOT\TypeLib\{6d3f5de4-e980-4407-a10f-9ac771abaae6}
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall
    \Underground Toolbar
    HKEY_LOCAL_MACHINE\Software\Classes\interface\{7b9a715e-9d87-4c21-bf9e-f914f2fa953f
    HKEY_LOCAL_MACHINE\Software\Classes\Pugi.PugiObj
    HKEY_LOCAL_MACHINE\Software\Classes\Pugi.PugiObj.1
    HKEY_USERS\Software\CentralWare\IE Toolbar\Underground Toolbar
    HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
    \{cca00000-0000-0000-0000-000000000000}

  4. 次の値を追加します。

    "{cca00000-0000-0000-0000-000000000000}" = ""

    次のレジストリサブキーへ

    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar

    これにより、必ずこのツールバーが Internet Explorer ブラウザにロードされるようにします。

  5. 次の値を追加します。

    "{cca00000-0000-0000-0000-000000000000}" = "00 00 a0 cc 00 00 00 00 00 00 00 00 00 00 00 00"

    次のレジストリサブキーへ

    HKEY_USERS\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

  6. appzplanet.com ドメインから、自分自身を定期的にアップデートします。



駆除方法


以下の手順は、セキュリティリスクに対応したすべてのシマンテックアンチウイルス製品のお客様を対象に記述されています。

  1. 定義を更新します。
  2. システム全体のスキャンを実行します。
  3. レジストリに追加された値を削除します。
具体的なステップについては、以下の手順をご覧ください。

1. 定義を更新する
最新のウイルス定義を入手するには、シマンテックアンチウイルスプログラムを起動し、LiveUpdate を実行します。


2. スキャンを実行する
  1. シマンテックアンチウイルスプログラムを開始し、システム全体のスキャンを実行します。
  2. ファイルが検出された場合、使っているソフトウェアのバージョンに応じて、次のオプションのうちの 1 つまたはそれ以上が表示される可能性があります。

    注意: これは、セキュリティリスクの検出をサポートする Norton AntiVirus のバージョンにのみ該当します。セキュリティリスクの検出をサポートする Symantec AntiVirus Corporate Edition のバージョンを実行しており、セキュリティリスクの検出機能が有効に設定されている場合は、スキャンの結果を知らせるメッセージボックスが表示されるだけです。これについて不明な点がある場合は、ネットワーク管理者に問い合わせてください。
    • 除外 (Exclude) (このオプションは推奨しません):このボタンをクリックすると、以後このリスクが検出されないように設定されます。すなわち、このセキュリティリスクはコンピュータ上に保持され、以後駆除対象として検出されることはありません。

    • 無視またはスキップ (Ignore or Skip): このオプションを選択すると、今回に限りこの脅威は無視されます。次回スキャンを実行した際に再び検出されます。

    • キャンセル(Cancel): Norton Antivirus 2005 で新しく追加されたオプションです。セキュリティリスクを削除できないと判断された場合に表示されます。このオプションを選択すると、今回に限りこの脅威は無視されます。次回スキャンを実行した際に再び検出されます。

      実際に脅威を削除するには、次の手順に従ってください。
      • [Filename(ファイル名)]欄から削除する脅威のファイル名をクリックします。
      • 表示される[Item Information(項目情報)]ボックスで、ファイル名と完全なパスを書きます。
      • 次に、Windows エクスプローラ を使って該当するファイルを探し出して削除します。

    • 削除 (Delete): このオプションを選択すると、検出されたファイルが削除されます。ただし、場合によっては、削除できないこともあります。
      • 「Delete Failed(削除できませんでした)」 というメッセージ (またはこれに類するメッセージ) が表示された場合は、手動で削除します。
      • [Filename(ファイル名)]欄の下にあるこのリスクのファイル名をクリックします。
      • 表示される [Item Information(項目情報)] ボックスに、ファイル名と完全なパスを入力します。
      • 次に、Windows エクスプローラ を使って該当するファイルを探し出して削除します。

重要: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法 」をご覧ください。 コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。

(ファイルの削除後、コンピュータを通常モードで再起動してから、次のセクションに進んでください。)

この時点でワームが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性がありますが、これらのメッセージは無視して、[OK] をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次のような内容で表示されます。

タイトル: [ファイルパス]
本文: Windows cannot find [ファイル名]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

3. レジストリから値を削除する
重要: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。 レジストリに不適切な変更を行うと、データの消失やファイルの破損など修復不可能な問題が生じる可能性があります。 指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず 「レジストリのバックアップ方法 」をお読みください。
  1. [Start(スタート)]、[Run(ファイル名を指定して実行)] の順にクリックします。
  2.  regedit と入力します。

    その後、[OK] をクリックします。

    注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。セキュリティレスポンスはこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。

  3. 次のサブキーへ移動します。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar

  4. 画面右側で、次の値を削除します。

    "{cca00000-0000-0000-0000-000000000000}" = ""

  5. 次のサブキーへ移動します。

    HKEY_USERS\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

  6. 画面右側で、次の値を削除します。

    "{cca00000-0000-0000-0000-000000000000}" = "00 00 a0 cc 00 00 00 00 00 00 00 00 00 00 00 00"

  7. 次のサブキーへ移動して、削除します。

    HKEY_CLASSES_ROOT\CLSID\{cca00000-0000-0000-0000-000000000000}
    HKEY_CLASSES_ROOT\TypeLib\{6d3f5de4-e980-4407-a10f-9ac771abaae6}
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall
    \Underground Toolbar
    HKEY_LOCAL_MACHINE\Software\Classes\interface\{7b9a715e-9d87-4c21-bf9e-f914f2fa953f
    HKEY_LOCAL_MACHINE\Software\Classes\Pugi.PugiObj
    HKEY_LOCAL_MACHINE\Software\Classes\Pugi.PugiObj.1
    HKEY_USERS\Software\CentralWare\IE Toolbar\Underground Toolbar
    HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
    \{cca00000-0000-0000-0000-000000000000}

  8. レジストリ エディタを終了します。