リンク: スパイウェアノート | スパイウェアガイド スパイウェア データベース | 検出分析 | ブロックリスト

SpywareGuide powered by FaceTime Security Labs

 

 

 

スパイウェア ノート

Trojan.puperの被害報告の急増と除去方法について

 

症状について

感染すると、ブラウザ(IE)を開くと、aboutblankページ(開始ページが、ハイジャックされている)が表示され、その後、以下のサイトに接続されます。使っているコンピュータに脆弱性があるので危険だと警告を出しています。

さらに以下のポップアップが表示されウィルスの感染に付いて警告を表示します。(偽の警告)

OKまたはキャンセルで、次の画面に移動します。偽のセキュリティ対策ソフトウェア MalwareWipeおよびPest Trapをダウンロード/購入するよう誘導します。

製品をインストールしても、購入するまで除去機能は利用できません。

またスキャンで検出されるマルウェアは、このソフトウェア自身がインストールしたファイル (simpole.tlb
stdole3.tlb)を表示しています。

除去方法について

準備するもの

XRayPCHijackThisを利用してシステムログを取得しておきます。

すべてのファイルが表示されるよう、エクスプローラの設定を確認します。

1. エクスプローラを開きます->[メニュー]->[ツール]->[フォルダ オプション]を開きます
2. [表示]タブを選択します。

a. [すべてのファイルとフォルダを表示する] をチェックします。
b. [保護されたオペレーティング システム ファイルを表示しない]のチェックを解除します

作業手順

1. コンピュータをセーフモードで起動します。
2. タスクマネージャを表示します。( Ctrl+Atl+Del キー)
3. タクマネージャ から[プロセス]タブを選択し、以下のプロセスが実行されているのを見つけます。
実行されている場合は、停止してください。

atmclk.exe
dcomcfg.exe

4. エクスプローラからSystem32フォルダ (通常 C:\Windows\system32 )を開き、以下のファイルを見つけて削除します。

C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\hp100.tmp
C:\WINDOWS\system32\ld101.tmp
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\wpa.tbl
C:\WINDOWS\system32\regperf.exe

5. regeditを実行します。(スタートメニュー->名前を指定してプログラムを実行->regedit とタイプします。)

a. atmclk.exe および dcomcfg.exe を検索します。見つかったら削除します。
以下の箇所で見つかります:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\

b. {686a161d-5bd1-4999-8832-6393f41e564c} を検索し、見つかったら削除します。


HKCR\Software\Classes\CLSID\{686a161d-5bd1-4999-8832-6393f41e564c}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{686a161d-5bd1-4999-8832-6393f41e564c}

注意: これらの値を削除しても復活している場合は、手順3でプロセスが停止されていることを再度確認してください。


6. X-Cleanerを起動して、[スパイウェア検出]タブから検出を実行します。

7. コンピュータをセーフモードで再び再起動します。

8. X-Cleanerを起動して、再度[スパイウェア検出]タブから検出(ディープスキャン)を実行します。

9. コンピュータを通常モードで起動します。

10. IEの設定を初期化するためのレジストリパッチを適用します。(fix_iestart.zip) その後、開始ページを適切なページに変更します。

 

   

スパイウェア コラム

スパイウェア ノート -索引
その他コラム記事
  • Japan.Internet.comスパイウェアに関するコラム
  • Scan Security Management企業ITセキュリティ管理者のためのスパイウェア知識
  • 除去に関する相談/問い合わせ
  • スパイウェア用語集
  • よくある質問
  • スパイウェア関連ニュースの検索(Google)
  • スパイウェアガイド WhitePaper
  • スパイウェア関連記事の紹介

    IPAからのお知らせ スパイウェア関連クリップ

    2006年版 関連ニュース/記事クリップ

    2005年版 関連ニュース/記事クリップ
    無料スパイウェア オンラインスキャナ
    ご意見、ご質問
    SpyRescue(スパイレスキュー)
    X-Cleaner,SpyRescue製品は製品の開発メンテナスを終了しました。
    最近追加されたスパイウェア
    [お知らせ]
    X-Cleaner,SpyRescue製品は製品の開発メンテナスを終了しました。
    今月の報告トップ スパイウェア