更新日: February 13, 2007 11:53:23 AM
種別: Adware
感染サイズ: 不定
バージョン: n/a
発行者: n/a
リスクインパクト: Medium
影響を受けるシステム: Windows

動作



Adware.PPRich は、コンピュータ上に中国語のインターネット広告を表示するプログラムです。

症状



シマンテックのプログラムにより、Adware.PPRich が検出されます。

転送


Adware.PPRich は手動でインストールされます。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン May 07, 2019 リビジョン 006
  • Daily Certified 初回バージョン September 14, 2006
  • Daily Certified 最新バージョン May 07, 2019 リビジョン 008
  • Weekly Certified 初回リリース日 September 20, 2006

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート



Adware.PPRich が実行されると、次のことを行います。

  1. 次のファイルを作成します。

    • %ProgramFiles%\SystemInspect\config.ini
    • %ProgramFiles%\SystemInspect\iexplore.exe
    • %ProgramFiles%\SystemInspect\SerInf.ini
    • %ProgramFiles%\SystemInspect\SVCHAST.exe
    • %ProgramFiles%\SystemInspect\SystemInspect1.dll
    • %ProgramFiles%\SystemInspect\download\iexplore.exe
    • %ProgramFiles%\SystemInspect\download\SVCHAST.exe
    • %ProgramFiles%\SystemInspect\download\SystemInspect.dll
    • %ProgramFiles%\SystemInspect\Log\[実行日付].Log
    • %ProgramFiles%\PPRich\Logo.swf
    • %ProgramFiles%\PPRich\MiniPPGou.dll
    • %ProgramFiles%\PPRich\MiniPPGou.exe
    • %ProgramFiles%\PPRich\MiniPPGou2Core.dll
    • %ProgramFiles%\PPRich\PPRich.ocx
    • %ProgramFiles%\PPRich\PPRichFileSource.ax
    • %ProgramFiles%\PPRich\PPSConfig.bin
    • %ProgramFiles%\PPRich\sysOption.fsc
    • %ProgramFiles%\PPRich\MiniData\CurrentDownFileList.blb
    • %ProgramFiles%\PPRich\MiniData\CurrentDownFileList.dat
    • %ProgramFiles%\PPRich\MiniData\CurrentDownFileList.idx
    • %ProgramFiles%\PPRich\MiniData\ShareFileList.dat
    • %ProgramFiles%\PPRich\MiniData\ShareFileList.idx
    • %ProgramFiles%\PPRich\MiniData\Users.dat
    • %ProgramFiles%\PPRich\MiniData\Users.idx
    • %ProgramFiles%\PPRich\Temp\Logo.swf
    • %ProgramFiles%\PPRich\Temp\MiniPPGou.dll
    • %ProgramFiles%\PPRich\Temp\MiniPPGou.exe
    • %ProgramFiles%\PPRich\Temp\PPRich.ocx
    • %ProgramFiles%\PPRich\Temp\PPRichFileSource.ax
    • %ProgramFiles%\PPRich\Temp\sysOption.fsc
    • %Windir%\SysPPMultThd.dll
    • %Windir%\SysPPHash.dll


      注意:
    • %ProgramFiles% は可変でプログラムファイルフォルダを参照します。デフォルトでは、このフォルダは C:\Program Files です。
    • %Windir% は可変で Windows のインストールフォルダを参照します。デフォルトでは、このフォルダは C:\Windows (Windows 95/98/Me/XP) または C:\Winnt (Windows NT/2000) です。

  2. 次のレジストリサブキーを作成します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{4CCBC79C-7F0D-4BE0-94D7-E69E236488CF}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4CCBC79C-7F0D-4BE0-94D7-E69E236488CF}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9D966685-3D58-4170-B008-05BD7C1628B0}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A4CA69A9-5CA7-4110-9922-62DFDD902A07}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{57523ABF-6C26-4FB9-B6EA-6CECFC403764}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6B32AA76-2071-4B16-AE16-D206FC99EA5A}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{780BB4CB-F55B-4965-8CEC-86834D7A14D8}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{45E3D498-DA44-40D2-8F3B-59B34426FFAB}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{819B7E0D-3ED5-4217-9FD6-5E8241AE6A25}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MiniPPGou.CoMiniPPGou
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MiniPPGou.CoMiniPPGou\Clsid
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PPRich.Player
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PPRich.Player\Clsid


  3. 次のレジストリサブキー内の

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

    次の値を変更します。


    "Start Page" = " [http://]www.9991.com/index[削除済み]"

  4. 次のプロパティを持つサービスを作成します。

    サービス名: SystemInspect
    表示名: SVCHAST
    イメージパス: %Program Files%\SystemInspect\SVCHAST.exe

  5. 自分自身の入手可能な最新バージョンをダウンロードします。

  6. Internet Explorer のホームページを "[http://]www.9991.com/index[削除済み]" に変更します。

  7. Internet Explorer ブラウザに広告を定期的に表示します。


駆除方法



以下の手順は、セキュリティリスクに対応したすべてのシマンテック アンチウイルス製品のお客様を対象に記述されています。

  1. ウイルス定義を最新版に更新します。
  2. システム全体のスキャンを実行します。
  3. レジストリに追加されたすべての価を削除します。
具体的な手順については、以下のセクションをご覧ください。

1. ウイルス定義を更新する


最新のウイルス定義を入手するには、シマンテックアンチウイルスプログラムを開き LiveUpdate を実行します。


2. スキャンを実行する

  1. シマンテックアンチウイルスプログラムを開き、システム全体のスキャンを実行します。

  2. ファイルが検出された場合、使用しているソフトウェアのバージョンに応じて、次のうち 1 つ以上のオプションが表示されます。


    注意: このオプションは、セキュリティリスクに対応したバージョンの Norton AntiVirus 製品でのみ表示されます。セキュリティリスクに対応した Symantec AntiVirus Corporate Edition で、セキュリティリスクの検出機能が有効に設定されている場合は、スキャンの結果を知らせるメッセージボックスが表示されるだけです。これについて不明な点がある場合は、ネットワーク管理者に問い合わせてください。

    • 除外 (Exclude) (このオプションは推奨しません):このボタンをクリックすると、以後このリスクが検出されないように設定されます。すなわち、このセキュリティリスクはコンピュータ上に保持され、以後駆除対象として検出されることはありません。

    • 無視またはスキップ (Ignore or Skip):このオプションを選択すると、今回に限りこのリスクは無視されます。次回スキャンを実行した際に再び検出されます。

    • キャンセル(Cancel):Norton AntiVirus 2005 で新しく追加されたオプションです。セキュリティリスクを削除できないと判断された場合に表示されます。このオプションを選択すると、今回に限りこのリスクは無視されます。次回スキャンを実行した際に再び検出されます。

      実際に脅威を削除するには、次の手順に従ってください。
      • [ファイル名] 欄から削除する脅威のファイル名をクリックします。
      • 表示される [項目情報] ボックスに、ファイル名と完全なパスを入力します。
      • 次に、Windows エクスプローラ を使用して該当するファイルを探し出して削除します。

    • 削除 (Delete):このオプションを選択すると、検出されたファイルが削除されます。ただし、場合によっては、削除できないこともあります。
      • 「削除できませんでした」 というメッセージ (またはこれに類するメッセージ) が表示された場合は、手動で削除します。
      • [ファイル名] 欄から削除する脅威のファイル名をクリックします。
      • 表示される [項目情報] ボックスに、ファイル名と完全なパスを入力します。
      • 次に、Windows エクスプローラ を使用して該当するファイルを探し出して削除します。


重要: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。コンピュータをセーフモードで再起動する方法については、" コンピュータをセーフモードで起動する方法 " をご覧ください。コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。

(ファイルの削除後、コンピュータを通常モードで再起動してから次のセクションに進んでください。)


この時点でリスクが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性があります。これらのメッセージは無視して、[OK] をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。

タイトル: [ファイルパス]
本文: Windows cannot find [ファイル名].Make sure you typed the name correctly, and then try again.To search for a file, click the Start button, and then click Search.

3. レジストリから値を削除する


重要: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず " レジストリのバックアップ方法 " をお読みください。
  1. [スタート] - [ファイル名を指定して実行] をクリックします。

  2. regedit と入力します。

    その後、[
    OK] をクリックします。


    注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response はこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。

  3. 次のサブキーを選択して、削除します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{4CCBC79C-7F0D-4BE0-94D7-E69E236488CF}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4CCBC79C-7F0D-4BE0-94D7-E69E236488CF}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9D966685-3D58-4170-B008-05BD7C1628B0}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A4CA69A9-5CA7-4110-9922-62DFDD902A07}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{57523ABF-6C26-4FB9-B6EA-6CECFC403764}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6B32AA76-2071-4B16-AE16-D206FC99EA5A}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{780BB4CB-F55B-4965-8CEC-86834D7A14D8}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{45E3D498-DA44-40D2-8F3B-59B34426FFAB}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{819B7E0D-3ED5-4217-9FD6-5E8241AE6A25}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MiniPPGou.CoMiniPPGou
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MiniPPGou.CoMiniPPGou\Clsid
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PPRich.Player
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PPRich.Player\Clsid

  4. 次のサブキーを選択します。

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

  5. 画面右側で、値をデフォルトの値へリセットします。

    "Start Page" = "[http://]www.9991.com/index[削除済み]"

  6. レジストリエディタを終了します。