更新日: March 26, 2007 1:30:28 AM
種別: Adware
リスクインパクト: High
影響を受けるシステム: Windows

動作

Adware.Searchtool は、ブラウザを特定の Web サイトへリダイレクトするセキュリティリスクです。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン February 01, 2015 リビジョン 020
  • Daily Certified 初回バージョン March 01, 2007
  • Daily Certified 最新バージョン December 15, 2010 リビジョン 023
  • Weekly Certified 初回リリース日 March 07, 2007

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート

このプログラムは、実行されると次のフォルダを作成します。
C:\WINDOWS\system32\SearchTool

その後このプログラムは次のファイルを作成します。

  • C:\Documents and Settings\foo\Application Data\inifile41.ini
  • C:\Documents and Settings\foo\Application Data\internaldb1942.dat
  • C:\Documents and Settings\foo\Application Data\internaldb4827.dat
  • C:\Documents and Settings\foo\Application Data\internaldb5436.dat
  • C:\Documents and Settings\foo\Desktop\FREE IPOD NANO!.lnk
  • C:\WINDOWS\system32\SearchTool\ns[random chars].dll
  • C:\WINDOWS\system32\SearchTool\SearchTool.dll
  • C:\WINDOWS\system32\SearchTool\uninstallSE.exe
  • C:\WINDOWS\wininit.ini


またこのプログラムは、デスクトップ上に次のファイルのうちのいずれかを定期的に投下する可能性があります。
  • C:\Documents and Settings\foo\Desktop\FREE IPOD NANO!.lnk
  • C:\Documents and Settings\foo\Desktop\FREE RAZR (tm) PHONE !!.lnk


次にこのプログラムは、次のレジストリエントリを作成します。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\VersionIndependentProgID\"Default" = "fis.amo"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\TypeLib\"Default" = "{B025A407-444A-483A-8A26-93E3E468AB21}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\ProgID\"Default" = "fis.amo.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\InprocServer32\"Default" = "C:\WINDOWS\system32\SearchTool\nsg5.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\InprocServer32\"ThreadingModel" = "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\"Default" = "amo Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\VersionIndependentProgID\"Default" = "fis.ohb"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\TypeLib\"Default" = "{B025A407-444A-483A-8A26-93E3E468AB21}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\ProgID\"Default" = "fis.ohb.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\InprocServer32\"Default" = "C:\WINDOWS\system32\SearchTool\nsg5.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\InprocServer32\"ThreadingModel" = "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\"Default" = "ohb Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D7}\InprocServer32\"Default" = "C:\WINDOWS\system32\SearchTool\SearchTool.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D7}\InprocServer32\"ThreadingModel" = "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D7}\"Default" = "Search Tool"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\VersionIndependentProgID\"Default" = "fis.momo"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\TypeLib\"Default" = "{B025A407-444A-483A-8A26-93E3E468AB21}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\ProgID\"Default" = "fis.momo.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\InprocServer32\"Default" = "C:\WINDOWS\system32\SearchTool\nsg5.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\InprocServer32\"ThreadingModel" = "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\"Default" = "momo Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo\CurVer\"Default" = "fis.amo.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo\CLSID\"Default" = "{5015BF9D-173C-474B-9AF3-77D4D23A4135}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo\"Default" = "amo Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo.1\CLSID\"Default" = "{5015BF9D-173C-474B-9AF3-77D4D23A4135}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo.1\"Default" = "amo Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo\CurVer\"Default" = "fis.momo.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo\CLSID\"Default" = "{92C3F342-45DA-4511-853A-B3836AAFF5F5}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo\"Default" = "momo Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo.1\CLSID\"Default" = "{92C3F342-45DA-4511-853A-B3836AAFF5F5}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo.1\"Default" = "momo Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb\CurVer\"Default" = "fis.ohb.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb\CLSID\"Default" = "{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb\"Default" = "ohb Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb.1\CLSID\"Default" = "{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb.1\"Default" = "ohb Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\"Default" = "ohb"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchEnhancer\"DisplayName" = "Search Enhancer"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchEnhancer\"UninstallString" = "C:\WINDOWS\system32\SearchTool\uninstallSE.exe"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\iexplore\"Type" = " 3"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\iexplore\"Count" = "1"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\iexplore\"Time" = "D7 07 03 00 04 00 16 00 0A 00 31 00 07 00 8B 02"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"d" = "wonder-context.com"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"shared-ver" = "0"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"shared" = "C:\Documents and Settings\foo\Application Data\internaldb1942.dat"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"global" = "439252626-cd94679a14fc7304a4ec53ea389f1b7b"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"n" = "0x0000000F"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"contenttool-reg" = "FFF7EA335F8F1AE818529D33156C3703"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"data" = "C:\Documents and Settings\foo\Application Data\internaldb4827.dat"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"icondrops-ver" = "0x000007DA"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"icondrops" = "C:\Documents and Settings\foo\Application Data\internaldb5436.dat"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"explorerbar" = "18"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"contenttool" = "15"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"last" = "0x46025E97"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"explorerbar-reg" = "47411C5782217A10262083DDD1653AE1"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"lastf" = "0x46025F26"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\SearchEnhancer\"DllName" = "C:\WINDOWS\system32\SearchTool\nsg5.dll"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\SearchEnhancer\"RegKeyName" = "nsg5.dll"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Softwarensg5.dll\"ccat" = "1"
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Softwarensg5.dll\"ffafid" = "1111"

またこのプログラムは、次のレジストリサブキーも作成します。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\ProgID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\Programmable
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\ProgID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\Programmable
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D7}\Implemented Categories
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D7}\Implemented Categories\{00021493-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D7}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\ProgID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\Programmable
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo\CurVer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo.1\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo\CurVer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo.1\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb\CurVer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb.1\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchEnhancer
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\iexplore
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\SearchEnhancer
HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Softwarensg5.dll

このプログラムは、ブラウザのエラーページを次のロケーションへリダイレクトします。
http://www.serverunavailab1e.com

これは、デスクトップ上にたとえば次のような .lnk ファイルを定期的に投下します。
  • FREE IPOD NANO!.lnk
http://GET_YOUR_FREE_IPOD_NANO_BY_CLICKING.directory.453searches.com/?kwd5=freei pod
  • FREE PLATINUM CARD.lnk
http://APPLY_FOR_A_CREDIT_CARD_HERE.directory.453searches.com/?kwd5=freecreditca rd
  • FREE MASTERCARD.lnk
http://apply_for_a_credit_card_here2.directory.453searches.com/?kwd5=freecreditc ard2
  • FREE POKER TOURNAMENT.lnk
http://ENTER_FREE_TEN_THOUSAND_DOLLAR_TOURNEY_HERE.directory.453searches.com/?kw d5=poker
  • FREE DIGITAL CAMERA.lnk
http://get_a_free_sony_digital_camera_here.directory.453searches.com/?kwd5=camer a
  • FREE LAPTOP.lnk
http://get_your_free_hp_laptop_here.directory.453searches.com/?kwd5=laptop
  • $1 000 GIFT CARD.lnk
http://get_your_free_ikea_giftcard_here.directory.453searches.com/?kwd5=ikeacard
  • FREE RAZR (tm) PHONE !!.lnk
http://GET_YOUR_FREE_MOTOROLLA_RAZR_BY_CLICKING.directory.453searches.com/?kwd5= razrstyle
  • RATE MY BODY ;).lnk
http://PERSONALS_AND_DATING_SITE.directory.453searches.com/?kwd5=dating1
  • FREE RING TONE.lnk
http://RINGTONESFORYOURCELLPHONEFREEHERE.directory.453searches.com/?kwd5=ringtone

このプログラムは、上記のリンクに使われる次のアイコンファイルをダウンロードする可能性があります。
  • http://icons.453searches.com/3.ico
  • http://icons.453searches.com/9.i co
  • http://icons.453searches.com/16.ico
  • http://icons.453searches.com/12.ico
  • http://icons.453searches.com/13.ico
  • http://icons.453searches.com/10.ico
  • http://icons.453searches.com/17.ico
  • http://icons.453searches.com/5.ico
  • http://icons.453searches.com/11.ico
  • http://icons.453searches.com/15.ico


駆除方法

以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック アンチウイルス製品のお客様を対象にして記述されています。

  1. システムの復元機能を無効にします (Windows Me/XP)。
  2. ウイルス定義を最新版に更新します。
  3. システム全体のスキャンを実行します。
  4. レジストリに追加された値を削除します。

具体的な手順については、以下のセクションをご覧ください。

1. システムの復元オプションを無効にする (Windows Me/XP)
Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。 システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。 コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。

Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。 この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。 その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。

システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。

注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。

システムの復元機能についての詳細および別の無効化方法については、「マイクロソフト サポート技術情報 - 263455 - _RESTORE フォルダにウィルスが発見された場合の対応方法について 」を参照してください。

2. ウイルス定義ファイルを更新する
ウイルス定義ファイルを最新版に更新します。 最新版のウイルス定義ファイルは、次の 2 通りの方法で入手できます。
  • LiveUpdate を使用して入手する方法:

    Norton AntiVirus 2006、Symantec AntiVirus Corporate Edition 10.0 以上をご使用の場合は、LiveUpdate の定義は毎日更新されます。これらの製品には、より新しいテクノロジーが含まれています。

    Norton AntiVirus 2005、Symantec AntiVirus Corporate Edition 9.0 またはそれ以前の製品をご使用の場合は、LiveUpdate の定義は 1 週間ごとに更新されます。 メジャーなウイルスが流行した場合は例外で、定義はより頻繁に更新されます。このウイルスへの対応は、「プロテクション」欄の「ウイルス定義 (Live Update)」の日付をご覧ください。


  • Intelligent Updater を使用して入手する方法: Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日~土曜日)に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。このウイルスへの対応は、「プロテクション」欄の「ウイルス定義(Intelligent Updater)」の日付をご覧ください。

注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお薦めします。Intelligent Updater のウイルス定義ファイルは、こちら からダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちら をご参照ください。

3. 感染ファイルを探して削除する
  1. シマンテックのウイルス対策ソフトを起動して、すべてのファイルがスキャン対象として設定されているか確認します。

    個人のお客様向け Norton AntiVirus 製品をお使いの場合 (パッケージ製品): 次の文書をお読みください。「すべてのファイルをウイルススキャンするように設定する方法

    企業・法人のお客様向け Symantec AntiVirus 製品をお使いの場合 (ライセンス製品): 次の文書をお読みください。「NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法


  2. システム全体のスキャンを実行します。
  3. 何らかのファイルが検出された場合は、ご使用のアンチウイルスプログラムによって表示される手順に従ってください。
重要: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。 このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。 コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法 」をご覧ください。コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。


(ファイルの削除後、コンピュータを通常モードで再起動してから次のセクションに進んでください。)

この時点でワームが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性があります。これらのメッセージは無視して、[OK] をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。

タイトル: [ファイルパス]
本文: Windows cannot find [ファイル名]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

4. レジストリから値を削除する
重要: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。 レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。 指定されたキーのみを修正するよう注意してください。 レジストリの編集作業を始める前に必ず 「レジストリのバックアップ方法 」をお読みください。
  1. スタートメニューで[Run(ファイル名を指定して実行)] をクリックします。
  2. regedit と入力します。
  3. [OK] をクリックします。

    注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。 Security Response はこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。

  4. 次のレジストリエントリへナビゲートして、削除します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\VersionIndependentProgID\"Default" = "fis.amo"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\TypeLib\"Default" = "{B025A407-444A-483A-8A26-93E3E468AB21}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\ProgID\"Default" = "fis.amo.1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\InprocServer32\"Default" = "C:\WINDOWS\system32\SearchTool\nsg5.dll"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\InprocServer32\"ThreadingModel" = "Apartment"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\"Default" = "amo Class"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\VersionIndependentProgID\"Default" = "fis.ohb"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\TypeLib\"Default" = "{B025A407-444A-483A-8A26-93E3E468AB21}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\ProgID\"Default" = "fis.ohb.1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\InprocServer32\"Default" = "C:\WINDOWS\system32\SearchTool\nsg5.dll"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\InprocServer32\"ThreadingModel" = "Apartment"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\"Default" = "ohb Class"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D7}\InprocServer32\"Default" = "C:\WINDOWS\system32\SearchTool\SearchTool.dll"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D7}\InprocServer32\"ThreadingModel" = "Apartment"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D7}\"Default" = "Search Tool"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\VersionIndependentProgID\"Default" = "fis.momo"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\TypeLib\"Default" = "{B025A407-444A-483A-8A26-93E3E468AB21}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\ProgID\"Default" = "fis.momo.1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\InprocServer32\"Default" = "C:\WINDOWS\system32\SearchTool\nsg5.dll"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\InprocServer32\"ThreadingModel" = "Apartment"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\"Default" = "momo Class"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo\CurVer\"Default" = "fis.amo.1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo\CLSID\"Default" = "{5015BF9D-173C-474B-9AF3-77D4D23A4135}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo\"Default" = "amo Class"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo.1\CLSID\"Default" = "{5015BF9D-173C-474B-9AF3-77D4D23A4135}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo.1\"Default" = "amo Class"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo\CurVer\"Default" = "fis.momo.1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo\CLSID\"Default" = "{92C3F342-45DA-4511-853A-B3836AAFF5F5}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo\"Default" = "momo Class"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo.1\CLSID\"Default" = "{92C3F342-45DA-4511-853A-B3836AAFF5F5}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo.1\"Default" = "momo Class"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb\CurVer\"Default" = "fis.ohb.1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb\CLSID\"Default" = "{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb\"Default" = "ohb Class"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb.1\CLSID\"Default" = "{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}"
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb.1\"Default" = "ohb Class"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\"Default" = "ohb"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchEnhancer\"DisplayName" = "Search Enhancer"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchEnhancer\"UninstallString" = "C:\WINDOWS\system32\SearchTool\uninstallSE.exe"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\iexplore\"Type" = " 3"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\iexplore\"Count" = "1"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\iexplore\"Time" = "D7 07 03 00 04 00 16 00 0A 00 31 00 07 00 8B 02"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"d" = "wonder-context.com"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"shared-ver" = "0"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"shared" = "C:\Documents and Settings\foo\Application Data\internaldb1942.dat"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"global" = "439252626-cd94679a14fc7304a4ec53ea389f1b7b"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"n" = "0x0000000F"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"contenttool-reg" = "FFF7EA335F8F1AE818529D33156C3703"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"data" = "C:\Documents and Settings\foo\Application Data\internaldb4827.dat"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"icondrops-ver" = "0x000007DA"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"icondrops" = "C:\Documents and Settings\foo\Application Data\internaldb5436.dat"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"explorerbar" = "18"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"contenttool" = "15"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"last" = "0x46025E97"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"explorerbar-reg" = "47411C5782217A10262083DDD1653AE1"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7\"lastf" = "0x46025F26"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\SearchEnhancer\"DllName" = "C:\WINDOWS\system32\SearchTool\nsg5.dll"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\SearchEnhancer\"RegKeyName" = "nsg5.dll"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Softwarensg5.dll\"ccat" = "1"
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Softwarensg5.dll\"ffafid" = "1111"

  5. 次のレジストリサブキーへナビゲートして、削除します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\InprocServer32
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\ProgID
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\Programmable
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\TypeLib
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5015BF9D-173C-474B-9AF3-77D4D23A4135}\VersionIndependentProgID
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\InprocServer32
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\ProgID
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\Programmable
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\TypeLib
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\VersionIndependentProgID
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D7}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D7}\Implemented Categories
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D7}\Implemented Categories\{00021493-0000-0000-C000-000000000046}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D7}\InprocServer32
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\InprocServer32
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\ProgID
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\Programmable
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\TypeLib
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92C3F342-45DA-4511-853A-B3836AAFF5F5}\VersionIndependentProgID
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo\CLSID
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo\CurVer
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.amo.1\CLSID
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo\CLSID
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo\CurVer
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.momo.1\CLSID
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb\CLSID
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb\CurVer
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\fis.ohb.1\CLSID
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchEnhancer
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5ED7D3DE-6DBE-4516-8712-01B1B64B7057}\iexplore
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\884E079B2F78C10334A79B210E9EA2B7
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Software\SearchEnhancer
    HKEY_USERS\S-1-5-21-448539723-413027322-839522115-1003\Softwarensg5.dll

  6. レジストリ エディタを終了します。