更新日: February 13, 2007 11:53:04 AM
種別: Adware
バージョン: n/a
発行者: n/a
リスクインパクト: High
ファイル名: Anfad.sys FAD.sys SNHpr.dll SearchNet.exe ServeHost.dat ServeHost.exe ServeUp.exe SrvNet32.
影響を受けるシステム: Windows

動作


Adware.SearchNet は、Internet Explorer 内のデフォルトの検索ページを置き換えるブラウザヘルパーオブジェクトです。

症状


シマンテックのプログラムにより、Adware.SearchNet が検出されます。

転送


Adware.SearchNet は手動でインストールされます。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン July 21, 2019 リビジョン 005
  • Daily Certified 初回バージョン July 18, 2006
  • Daily Certified 最新バージョン July 21, 2019 リビジョン 020
  • Weekly Certified 初回リリース日 July 19, 2006

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート


Adware.SearchNet が実行されると、次のことを行います。

  1. 次のファイルを作成します。

    • %Windir%\Downloaded Program Files\[ランダムな名前].dll
    • %Windir%\Downloaded Program Files\[ランダムな名前].dll
    • %System%\drivers\Anfad.sys
    • %System%\drivers\[ランダムな名前].sys
    • %System%\drivers\FAD.sys
    • %System%\drivers\[ランダムな名前].sys
    • %System%\ServeHost.dat
    • %System%\ServeHost.exe
    • %ProgramFiles%\SearchNet\SearchNet.exe
    • %ProgramFiles%\SearchNet\ServeUp.exe
    • %ProgramFiles%\SearchNet\SNHpr.dll
    • %ProgramFiles%\SearchNet\SrvNet32.dll
    • %ProgramFiles%\SearchNet\UnInstall.exe


      注意:
    • %System% は可変でシステムフォルダを参照します。デフォルトでは、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。
    • %Windir% は可変で Windows のインストールフォルダを参照します。デフォルトでは、このフォルダは C:\Windows (Windows 95/98/Me/XP) または C:\Winnt (Windows NT/2000) です。
    • %ProgramFiles% は可変でプログラムファイルフォルダを参照します。デフォルトでは、このフォルダは C:\Program Files です。

  2. 次のレジストリサブキーを作成します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2A0176FE-008B-4706-90F5-BBA532A49731}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3CE496D1-1746-41CD-9489-3C0B93DF10E2}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{52BEA5F9-7E3F-490A-B7E8-9BD5DDDEE5DF}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D1AFED83-9133-4660-8C8F-DAF1B4A3D5A8}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{158919D3-4CAB-4109-9755-9AE794D5B2DE}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E8D3778F-47D3-4F1F-9245-3D46856936E4}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHpr.InterCept
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHpr.InterCept.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2A0176FE-008B-4706-90F5-BBA532A49731}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CE496D1-1746-41CD-9489-3C0B93DF10E2}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZSXZ
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cdnup.exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{04152c5b-7ca9-4bb1-8077-5ea42f787eb8}
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{515bafd0-86a0-4b2a-9dfe-4440bf60c355}
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{5c20c0e0-9a22-424f-92c8-6f408563ce98}
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{93506e82-31e9-47b4-901e-2d04d6aa3b86}
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{b9b553a9-77ff-44de-8c24-fe88ccdc4e93}
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{c8a82950-abe8-4b7d-a5de-19c249a9cfac}
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{cf3780c4-33ba-44bd-981f-e37940887d8b}
    HKEY_LOCAL_MACHINE\SOFTWARE\SearchNet
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ANFAD
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_[RANDOM NAME]
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FAD
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2A0176FE-008B-4706-90F5-BBA532A49731}
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CE496D1-1746-41CD-9489-3C0B93DF10E2}


  3. 次のレジストリサブキーを作成して、これがサービスとして実行されるようにします。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Anfad
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[RANDOM NAME]
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FAD
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remote Log

  4. 次のレジストリサブキーへ

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    HKEY_CURRENT_USER\.DEFAULT\Software\Microsoft\Internet Explorer\Main
    HKEY_CURRENT_USER\S-1-5-19\Software\Microsoft\Internet Explorer\Main
    HKEY_CURRENT_USER\S-1-5-20\Software\Microsoft\Internet Explorer\Main
    HKEY_CURRENT_USER\S-1-5-18\Software\Microsoft\Internet Explorer\Main


    次の値を追加します。


    "Enable Browser Extensions" = "yes"

  5. 次のレジストリストリサブキーへ

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    次の値を追加します。


    "CdnCtr" = ""
    "SearchNet_Up" = "%ProgramFiles%\SearchNet\ServeUp.exe"
    "[ランダムな名前]" = "rundll32 "%Windir%\Downloaded Program Files\[ランダムな名前].dll""


    これにより、Windows が起動されるたびにこれが実行されるようにします。

  6. Internet Explorer のデフォルトの検索ページを変更して、それぞれの検索が次のドメインへリダイレクトされるようにします。

    zhongsou.com

  7. 別のブラウザヘルパーオブジェクトに関連付けられているフォルダおよびレジストリキーの削除を試みます。

  8. 自身のファイルおよびレジストリキーが変更されるのを防ぐためにカーネルモードドライバを使用することで、駆除をより困難にします。



駆除方法



以下の手順は、セキュリティリスクに対応したすべてのシマンテック アンチウイルス製品のお客様を対象に記述されています。

  1. Windows 回復コンソールを使用して、コンピュータを再起動します。
  2. ウイルス定義を最新版に更新します。
  3. 開いている Internet Explorer のウインドウをすべて閉じます。
  4. システム全体のスキャンを実行します。
  5. レジストリに追加されたすべての価を削除します。
  6. Internet Explorer の検索ページをリセットします。
具体的な手順については、以下のセクションをご覧ください。

1. Windows 回復コンソールを使用して、コンピュータを再起動する


このトロイの木馬を駆除するには、コンピュータを再起動して、Windows 回復コンソールを実行する必要があります。具体的な手順については、Microsoft Knowledge Base の文書をご覧ください。 Windows XP での回復コンソールのインストールおよび使用方法
  1. CD-ROM ドライブに Windows XP CD-ROM を挿入します。
  2. CD-ROM ドライブからコンピュータを再起動します。
  3. "セットアップの開始" 画面が表示されたら、R キーを押して回復コンソールを起動します。
  4. Recovery Console からアクセスしたいインストールを選択します。
  5. 管理者パスワードを入力して [Enter] を押します。
  6. cd system32 と入力します。
  7. Enter キーを押します。
  8. attrib -r servehost.exe と入力します。
  9. Enter キーを押します。
  10. del servehost.exe と入力します。
  11. Enter キーを押します。
  12. del servehost.dat と入力します。
  13. Enter キーを押します。
  14. cd drivers と入力します。
  15. Enter キーを押します。
  16. attrib -r fad.sys と入力します。
  17. Enter キーを押します。
  18. del fad.sys と入力します。
  19. Enter キーを押します。
  20. attrib -r anfad.sys と入力します。
  21. Enter キーを押します。
  22. del anfad.sys と入力します。
  23. Enter キーを押します。
  24. del [ランダムな名前].sys と入力します。
  25. Enter キーを押します。
  26. del [ランダムな名前].sys と入力します。
  27. Enter キーを押します。
  28. cd ..\.. と入力します。
  29. Enter キーを押します。
  30. cd downloaded program files と入力します。
  31. Enter キーを押します。
  32. del [ランダムな名前].dll と入力します。
  33. Enter キーを押します。
  34. del [ランダムな名前].dll と入力します。
  35. Enter キーを押します。
  36. exit と入力します。
  37. Enter キーを押します。コンピュータが自動的に再起動します。


2. ウイルス定義を更新する


最新のウイルス定義を入手するには、シマンテックアンチウイルスプログラムを開き LiveUpdate を実行します。


3. 開いている Internet Explorer のウィンドウをすべて閉じる


このトロイの木馬は Microsoft Internet Explorer のプラグインとして動作するため、これを駆除するには開いている Internet Explorer のウィンドウをすべて閉じる必要があります。本項を Internet Explorer を使ってお読みの場合は、ページのトップにある [ドキュメントを印刷する] ボタンをクリックして印刷するか、または以下に示す手順を記録してから、Internet Explorer のウインドウをすべて閉じてください。


4. スキャンを実行する

  1. シマンテックアンチウイルスプログラムを開き、システム全体のスキャンを実行します。

  2. ファイルが検出された場合、使用しているソフトウェアのバージョンに応じて、次のうち 1 つ以上のオプションが表示されます。


    注意: このオプションは、セキュリティリスクに対応したバージョンの Norton AntiVirus 製品でのみ表示されます。セキュリティリスクに対応した Symantec AntiVirus Corporate Edition で、セキュリティリスクの検出機能が有効に設定されている場合は、スキャンの結果を知らせるメッセージボックスが表示されるだけです。これについて不明な点がある場合は、ネットワーク管理者に問い合わせてください。
    • 除外 (Exclude) (このオプションは推奨しません):このボタンをクリックすると、以後このリスクが検出されないように設定されます。すなわち、このセキュリティリスクはコンピュータ上に保持され、以後駆除対象として検出されることはありません。

    • 無視またはスキップ (Ignore or Skip):このオプションを選択すると、今回に限りこのリスクは無視されます。次回スキャンを実行した際に再び検出されます。

    • キャンセル(Cancel):Norton AntiVirus 2005 で新しく追加されたオプションです。セキュリティリスクを削除できないと判断された場合に表示されます。このオプションを選択すると、今回に限りこのリスクは無視されます。次回スキャンを実行した際に再び検出されます。

      実際に脅威を削除するには、次の手順に従ってください。
      • [ファイル名] 欄から削除する脅威のファイル名をクリックします。
      • 表示される [項目情報] ボックスに、ファイル名と完全なパスを入力します。
      • 次に、Windows エクスプローラ を使用して該当するファイルを探し出して削除します。

    • 削除 (Delete):このオプションを選択すると、検出されたファイルが削除されます。ただし、場合によっては、削除できないこともあります。
      • 「削除できませんでした」 というメッセージ (またはこれに類するメッセージ) が表示された場合は、手動で削除します。
      • [ファイル名] 欄から削除する脅威のファイル名をクリックします。
      • 表示される [項目情報] ボックスに、ファイル名と完全なパスを入力します。
      • 次に、Windows エクスプローラ を使用して該当するファイルを探し出して削除します。


警告: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。コンピュータをセーフモードで再起動する方法については、" コンピュータをセーフモードで起動する方法 " をご覧ください。コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。

(ファイルの削除後、コンピュータを通常モードで再起動してから次のセクションに進んでください。)



この時点でリスクが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性があります。これらのメッセージは無視して、[OK] をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。

タイトル: [ファイルパス]
本文: Windows cannot find [ファイル名].Make sure you typed the name correctly, and then try again.To search for a file, click the Start button, and then click Search.

5. レジストリから値を削除する


警告: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず " レジストリのバックアップ方法 " をお読みください。

  1. [スタート] - [ファイル名を指定して実行] をクリックします。

  2. regedit と入力します。

    その後、[
    OK] をクリックします。


    注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response はこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。

  3. 次のサブキーを選択します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  4. 画面右側で、次の値を削除します。

    "CdnCtr" = ""
    "SearchNet_Up" = "%ProgramFiles%\SearchNet\ServeUp.exe"
    "[ランダムな名前]" = "rundll32 "%Windir%\Downloaded Program Files\[ランダムな名前].dll""


  5. 次のサブキーを選択して削除します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2A0176FE-008B-4706-90F5-BBA532A49731}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3CE496D1-1746-41CD-9489-3C0B93DF10E2}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{52BEA5F9-7E3F-490A-B7E8-9BD5DDDEE5DF}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D1AFED83-9133-4660-8C8F-DAF1B4A3D5A8}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{158919D3-4CAB-4109-9755-9AE794D5B2DE}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E8D3778F-47D3-4F1F-9245-3D46856936E4}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHpr.InterCept
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHpr.InterCept.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2A0176FE-008B-4706-90F5-BBA532A49731}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CE496D1-1746-41CD-9489-3C0B93DF10E2}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZSXZ
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cdnup.exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{04152c5b-7ca9-4bb1-8077-5ea42f787eb8}
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{515bafd0-86a0-4b2a-9dfe-4440bf60c355}
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{5c20c0e0-9a22-424f-92c8-6f408563ce98}
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{93506e82-31e9-47b4-901e-2d04d6aa3b86}
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{b9b553a9-77ff-44de-8c24-fe88ccdc4e93}
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{c8a82950-abe8-4b7d-a5de-19c249a9cfac}
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{cf3780c4-33ba-44bd-981f-e37940887d8b}
    HKEY_LOCAL_MACHINE\SOFTWARE\SearchNet
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ANFAD
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_[RANDOM NAME]
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FAD
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2A0176FE-008B-4706-90F5-BBA532A49731}
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CE496D1-1746-41CD-9489-3C0B93DF10E2}

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Anfad
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[RANDOM NAME]
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FAD
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remote Log


  6. レジストリエディタを終了します。


6 Internet Explorer の検索ページをリセットする


次のうち、お使いの Windows バージョン用の手順を実行してください。

Windows 98/Me/2000

  1. Microsoft Internet Explorer を起動します。
  2. ツールバーにある [検索] ボタンをクリックします。
  3. 検索画面上で、[カスタマイズ] をクリックします。
  4. [リセット] をクリックします。
  5. [自動検索の設定] をクリックします。
  6. ドロップダウンリストから任意の検索サイトを選択し、[OK] をクリックします。
  7. [OK] をクリックします。


Windows XP


Windows XP では、検索で、アニメーションの文字を使用するようにデフォルトで設定されているため、これを行なう方法は各種あります。開始する前に、手順をすべてお読みください。
  1. Microsoft Internet Explorer を起動します。
  2. ツールバーにある [検索] ボタンをクリックします。
  3. 次のいずれかを行います。
    • 開いた画面が次の図に似ている場合は、カスタマイズという語をクリックしてステップ h へ進んでください。




    • 開いた画面の上部に "Search Companion" という語があり、中央部分が次の図に似ている場合は、Change preferences リンクをクリックして、ステップ d へ進んでください。




  4. Change Internet search behavior リンクをクリックします。
  5. "Internet Search Behavior,"の下で、With Classic Internet Searchをクリックします。
  6. [OK] をクリックします。Internet Explorer を閉じます。(変更を有効にするために、プログラムを閉じます。)
  7. Internet Explorer を起動します。開いた検索画面は、次の図に似ているはずです。





    [
    カスタマイズ] という語をクリックして、次のステップへ進みます。

  8. 検索画面上で、[カスタマイズ] をクリックします。
  9. [リセット] をクリックします。
  10. [自動検索の設定] をクリックします。
  11. ドロップダウンリストから任意の検索サイトを選択し、[OK] をクリックします。
  12. [OK] をクリックします。
  13. 次のいずれかを行います。
    • "クラシックインターネット検索" パネルを使用していた (または使用を継続したい) 場合は、ここで手順をストップします (または次のセクションへ進みます)。
    • [検索コンパニオン] 検索 (通常、下部にアニメーションの文字があります) に戻りたい場合は、ステップ n へ進んでください。

  14. カスタマイズという語を再度クリックしてください。
  15. [検索設定のカスタマイズ] ウィンドウで、[検索コンパニオンを使用する] > [OK] をクリックします。
  16. Internet Explorer を閉じます。次回開いた時には、再度 [検索コンパニオン] を使用します。