更新日: May 01, 2007 4:30:13 AM
種別: Adware
リスクインパクト: High
影響を受けるシステム: Windows

動作

Adware.Memini は、広告を表示するプログラムです。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン July 11, 2019 リビジョン 009
  • Daily Certified 初回バージョン April 16, 2007
  • Daily Certified 最新バージョン July 11, 2019 リビジョン 023
  • Weekly Certified 初回リリース日 April 18, 2007

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート

このリスクは、いったん実行されると、次のファイルを投下します。
minime.exe

上記のファイルは、このリスクがバンドルされているプログラムに応じて、異なるロケーションに投下されます。一般的には、これは次のフォルダ内に投下されます。ここで [プログラム名] は、バンドルされているプログラムの名前です。
%Program Files%\[プログラム名]

またこのリスクは、次のファイルを投下する可能性もあります。
%UserProfile%\Applications\Atomcreative\Rect Bike.exe
%UserProfile%\[8 つのランダムな文字].exe

その後これは次のレジストリエントリを作成して、Windows が起動されるたびにこれが実行されるようにします。
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run\"Time jugs" = "%UserProfile%\atomcreative\Rect Bike.exe"

またこれは、次のレジストリエントリを作成する可能性もあります。
HKEY_CURRENT_USER\Software\Hope CORN FILEMulti\"Open Drive" = "[バイナリデータ]"
HKEY_CURRENT_USER\Software\Hope CORN FILEMulti\"StyleRoam" = ""
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\"netbios-wait.com" = ""
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\"netsearchsoft.com" = ""
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\"www.netbios-wait.com" = ""
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\"www.netsearchsoft.com" = ""

このセキュリティリスクは、hosts ファイルへテキストを追加して、クエリーを、誤解を招くアプリケーションの広告サイトの URL へリダイレクトすると報告されています。


駆除方法

以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテックアンチウイルス製品のお客様を対象にして記述されています。

  1. システムの復元機能を無効にします(Windows Me/XP)。
  2. hosts ファイルに追加された全エントリを削除します。
  3. ウィルス定義を最新版に更新します。
  4. システム全体のスキャンを実行します。
  5. レジストリに追加された値を削除します。

具体的な手順については、以下のセクションをご覧ください。

1. システムの復元オプションを無効にする(Windows Me/XP)
Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。 システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。 コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。

Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。 この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。

システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。

注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。

システムの復元機能についての詳細および別の無効化方法については、「マイクロソフト サポート技術情報 - 263455 - _RESTORE フォルダにウィルスが発見された場合の対応方法について 」を参照してください。

2. このリスクが hosts ファイルに追加したすべてのエントリを削除する

  1. 次のロケーションへナビゲートします。

    • Windows 95/98/Me:
      %Windir%
    • Windows NT/2000/XP:
      %Windir%\System32\drivers\etc

      注意:
    • hosts ファイルのロケーションは、異なる場合があり、またコンピュータによってはこのファイルが存在しない場合もあります。また、異なるロケーション内にこのファイルのコピーが複数存在する可能性もあります。 このファイルが上記のフォルダに存在しない場合は、ディスクドライブで hosts ファイルを検索してから、発見した各インスタンスについて次の手順を実行してください。
    • %Windir% は可変で Windows のインストールフォルダを参照します。デフォルトでは、このフォルダは C:\Windows (Windows 95/98/Me/XP) または C:\Winnt (Windows NT/2000) です。

  2. hosts ファイルをダブルクリックします。
  3. 必要な場合は、[Always use this program to open this program(これらのファイルを開くときは、いつもこのアプリケーションを使う)]チェックボックスの選択を解除します。
  4. プログラムリストをスクロールし、[Notepad(メモ帳)] をダブルクリックします。
  5. ファイルが開いたら、このリスクによって追加されたエントリをすべて削除します。(エントリの完全なリストについては、テクニカルノートセクションをご覧ください。)
  6. Notepad(メモ帳) を閉じ、プロンプトが表示されたら変更を保存します。

3. ウイルス定義ファイルを更新する
ウイルス定義ファイルを最新版に更新します。 最新版のウイルス定義ファイルは、次の 2 通りの方法で入手できます。
  • LiveUpdate を使用して入手する方法:

    Norton AntiVirus 2006、Symantec AntiVirus Corporate Edition 10.0 以上をご使用の場合は、LiveUpdate の定義は毎日更新されます。これらの製品には、より新しいテクノロジーが含まれています。

    Norton AntiVirus 2005、Symantec AntiVirus Corporate Edition 9.0 またはそれ以前の製品をご使用の場合は、LiveUpdate の定義は 1 週間ごとに更新されます。 メジャーなウイルスが流行した場合は例外で、定義はより頻繁に更新されます。


  • Intelligent Updater を使用して入手する方法: Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日(日本時間の火曜日~土曜日)に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。

注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお薦めします。Intelligent Updater のウイルス定義ファイルは、こちら からダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちら をご参照ください。

4. システム全体のスキャンを実行する
  1. シマンテックのウイルス対策ソフトを起動して、すべてのファイルがスキャン対象として設定されているか確認します。

    個人のお客様向け Norton AntiVirus 製品をお使いの場合(パッケージ製品): 次の文書をお読みください。「すべてのファイルをウイルススキャンするように設定する方法

    法人のお客様向け Symantec AntiVirus 製品をお使いの場合(ライセンス製品): 次の文書をお読みください。「NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法


  2. システム全体のスキャンを実行します。
  3. 何らかのファイルが検出された場合は、ご使用のアンチウイルスプログラムによって表示される手順に従ってください。
重要: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。 このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。 コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法 」をご覧ください。コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。
ファイルの削除後、コンピュータを通常モードで再起動してから次のセクションに進んでください。

この時点でワームが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性があります。これらのメッセージは無視して、[OK] をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。

タイトル: [ファイルパス]
本文: Windows cannot find [ファイル名]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

5. レジストリから値を削除する
重要: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。 レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。 指定されたキーのみを修正するよう注意してください。 レジストリの編集作業を始める前に必ず 「レジストリのバックアップ方法 」をお読みください。
  1. スタートメニューで[Run(ファイル名を指定して実行)] をクリックします。
  2. regedit と入力します。
  3. [OK] をクリックします。

    注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。 Security Response はこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。
  4. 次のエントリへ移動して、削除します。

    HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run\"Time jugs" = "%UserProfile%\atomcreative\Rect Bike.exe"
    HKEY_CURRENT_USER\Software\Hope CORN FILEMulti\"Open Drive" = "[バイナリデータ]"
    HKEY_CURRENT_USER\Software\Hope CORN FILEMulti\"StyleRoam" = ""
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\"netbios-wait.com" = ""
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\"netsearchsoft.com" = ""
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\"www.netbios-wait.com" = ""
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\"www.netsearchsoft.com" = ""

  5. レジストリ エディタを終了します。