更新日: March 13, 2007 5:20:16 AM
別名: Adware.ACEbar [Symantec]
種別: Adware
感染サイズ: 488,912 バイト
リスクインパクト: Low
影響を受けるシステム: Windows

動作

Adware.BarACE は、PCTurbo のインストール時にユーザーの了承を得ることなく Web ブラウザ内にアドレスツールバーとしてインストールされるアドウェアプログラムです。またこれは、キーワードをサードパーティの URL へ送信もします。

注意: 2007 年 2 月 16 日以前のウイルス定義では、このリスクを Adware.ACEbar として検出する可能性があります。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン May 07, 2019 リビジョン 006
  • Daily Certified 初回バージョン February 16, 2007
  • Daily Certified 最新バージョン May 07, 2019 リビジョン 008
  • Weekly Certified 初回リリース日 February 21, 2007

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート

キーワードをサードパーティの URL へ送信します。このアドレスツールバーは、URL のトランスレーションを行うと報告されていますが、このアドレスバーへ入力されたキーワードはトランスレーションされず、検索は次へリダイレクトされます。 http://search.startn.net

このプログラムが実行されると、これは次のファイルを作成します。

  • %ProgramFiles%\acetoolbar\acebar.dll
  • %ProgramFiles%\acetoolbar\acebarext.dll
  • %ProgramFiles%\acetoolbar\acebarupdate.exe
  • %ProgramFiles%\acetoolbar\uninstall.exe
  • %ProgramFiles%\acetoolbar\License.txt
  • %ProgramFiles%\Internet Explorer\atlapp.sys
  • %UserProfile%\Administrator\Start Menu\Programs\Windows ACE ToolBar\Uninstall.lnk
  • %UserProfile%\Administrator\Start Menu\Programs\Windows ACE ToolBar\[KOREAN CHARACTERS].lnk


次に、このプログラムは次のレジストリサブキーを作成します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Acebarext.AceSearch
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Acebarext.AceSearch.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ACEToolBar.ACEToolBarObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ACEToolBar.ACEToolBarObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A83C19E3-55A4-4a75-AC5B-5BA0CE86CDB2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E0AACEAB-625A-4DDE-865F-16763445E314}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{476EDC78-540F-42F0-B6BC-D3CA1BAE169D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CF93DF46-0AF7-4E54-A199-6401CD7E9C21}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F39E0BA6-5B04-4F44-9973-16F15EA1A7DD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F4CE3077-EFDD-4985-AAB8-3CF1A032440E}
HKEY_LOCAL_MACHINE\SOFTWARE\intmedia\toolbar
HKEY_LOCAL_MACHINE\SOFTWARE\Windows ACEbar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E0AACEAB-625A-4DDE-865F-16763445E314}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\acetoolbar
HKEY_LOCAL_MACHINE\SOFTWARE\Windows ACEbar\KEY
HKEY_LOCAL_MACHINE\SOFTWARE\Windows ACEbar\MSG

このプログラムは、次のレジストリエントリも作成します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\acetoolbar\"DisplayName" = "Windows ACE ToolBar"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\acetoolbar\"UninstallString" = "%ProgramFiles\acetoolbar\uninstall.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Windows ACEbar\"acebarver" = "20061113"
HKEY_LOCAL_MACHINE\SOFTWARE\Windows ACEbar\"address" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Windows ACEbar\"setupdata" = ""
HKEY_USERS\[USER NUMBER]\Software\Microsoft\Windows\CurrentVersion\Run\"WindowsACEbar" = "%ProgramFiles%\acetoolbar\acebarupdate.exe"
HKEY_LOCAL_MACHINE\Software\intmedia\toolbar\"installfile" = "%ProgramFiles%\acetoolbar\uninstall.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\"{A83C19E3-55A4-4a75-AC5B-5BA0CE86CDB2}" = "00"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Setting\"ImagePath" = "\??\%ProgramFiles%\Internet Explorer\atlapp.sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Windows ACEbar\"today" = "[現在の日付]"

これはその後次のレジストリエントリを変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Setting\Enum\"0" = "Root\LEGACY_SYSTEM_SETTING\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Setting\Enum\"Count" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Setting\Enum\"NextInstance" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Setting\"ErrorControl" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Setting\Security\"Security" = "01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Setting\"Start" = "3"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Setting\"Type" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Setting\"DisplayName" = "System Setting"

このプログラムは、次の URL にコンタクトすることによって、自動的に自分自身を更新します。
  • http://log.onmuz.com
  • http://app.wipia.com
  • http://updatechk.voneclick.com


駆除方法

以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック アンチウイルス製品のお客様を対象にして記述されています。

  1. システムの復元機能を無効にします (Windows Me/XP)。
  2. ウイルス定義を最新版に更新します。
  3. システム全体のスキャンを実行します。
  4. レジストリに追加された値を削除します。

具体的な手順については、以下のセクションをご覧ください。

1. システムの復元オプションを無効にする (Windows Me/XP)
Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。 システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。 コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。

Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。 この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。 その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。

システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。

注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。

システムの復元機能についての詳細および別の無効化方法については、「マイクロソフト サポート技術情報 - 263455 - _RESTORE フォルダにウィルスが発見された場合の対応方法について 」を参照してください。

2. ウイルス定義ファイルを更新する
ウイルス定義ファイルを最新版に更新します。 最新版のウイルス定義ファイルは、次の 2 通りの方法で入手できます。
  • LiveUpdate を使用して入手する方法:
  • Intelligent Updater を使用して入手する方法: Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日~土曜日)に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。 このウイルスへの対応は、「プロテクション」欄の「ウイルス定義 (Intelligent Updater)」の日付をご覧ください。

注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお薦めします。Intelligent Updater のウイルス定義ファイルは、こちら からダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちら をご参照ください。

3. 感染ファイルを探して削除する
  1. シマンテックのウイルス対策ソフトを起動して、すべてのファイルがスキャン対象として設定されているか確認します。
  2. システム全体のスキャンを実行します。
  3. 何らかのファイルが検出された場合は、ご使用のアンチウイルスプログラムによって表示される手順に従ってください。
重要: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。 このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。 コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法 」をご覧ください。コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。


(ファイルの削除後、コンピュータを通常モードで再起動してから次のセクションに進んでください。)

この時点でワームが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性があります。これらのメッセージは無視して、[OK] をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。

タイトル: [ファイルパス]
本文: Windows cannot find [ファイル名]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

4. レジストリから値を削除する
重要: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。 レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。 指定されたキーのみを修正するよう注意してください。 レジストリの編集作業を始める前に必ず 「レジストリのバックアップ方法 」をお読みください。
  1. スタートメニューで[Run(ファイル名を指定して実行)] をクリックします。
  2. regedit と入力して [OK] をクリックします。


  3. 注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。 Security Response はこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。

  4. 次のレジストリサブキーへナビゲートして、削除します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Acebarext.AceSearch
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Acebarext.AceSearch.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ACEToolBar.ACEToolBarObj
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ACEToolBar.ACEToolBarObj.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A83C19E3-55A4-4a75-AC5B-5BA0CE86CDB2}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E0AACEAB-625A-4DDE-865F-16763445E314}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{476EDC78-540F-42F0-B6BC-D3CA1BAE169D}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CF93DF46-0AF7-4E54-A199-6401CD7E9C21}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F39E0BA6-5B04-4F44-9973-16F15EA1A7DD}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F4CE3077-EFDD-4985-AAB8-3CF1A032440E}
    HKEY_LOCAL_MACHINE\SOFTWARE\intmedia\toolbar
    HKEY_LOCAL_MACHINE\SOFTWARE\Windows ACEbar
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E0AACEAB-625A-4DDE-865F-16763445E314}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\acetoolbar

  5. 次のレジストリエントリへナビゲートして、削除します。

    HKEY_USERS\[USER NUMBER]\Software\Microsoft\Windows\CurrentVersion\Run\"WindowsACEbar" = "%ProgramFiles%\acetoolbar\acebarupdate.exe"
    HKEY_LOCAL_MACHINE\Software\intmedia\toolbar\"installfile" = "%ProgramFiles%\acetoolbar\uninstall.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\"{A83C19E3-55A4-4a75-AC5B-5BA0CE86CDB2}" = "00"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Setting\"ImagePath" = "\??\%ProgramFiles%\Internet Explorer\atlapp.sys"

  6. 必要な場合は、次のレジストリエントリへナビゲートして元の値へ復元します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Setting\Enum\"0" = "Root\LEGACY_SYSTEM_SETTING\0000"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Setting\Enum\"Count" = "1"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Setting\Enum\"NextInstance" = "1"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Setting\"ErrorControl" = "1"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Setting\Security\"Security" = "01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Setting\"Start" = "3"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Setting\"Type" = "1"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Setting\"DisplayName" = "System Setting"

  7. レジストリエディタを終了します。

記述: Jeong Mun