準備するもの:
- HijackThis
- X-Cleanerデラックス版 (最新シグネチャファイルに更新済み)
- Process Explorer
感染の見つけ方:
- HijackThisを実行し、システムログを生成します。
- HijackThis ログに、以下の行があるかどうかを確認します。
O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINDOWS\system32\vturo.dll
O20 - Winlogon Notify: vturo - C:WINDOWS\system32\vturo.dll
除去手順:
1. Process Explorer, HijackThisをデスクトップに展開します。 2. コンピュータをセーフモードで再起動します。
3. システム回復をオフにします。( XPの場合)
マイコンピュータ->プロパティ->システム回復で行います。
4. Hijackthisを実行します。
5. 以下の値を探します。(まだ、削除しないでください):
O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINDOWS\system32\vturo.dll
O20 - Winlogon Notify: vturo - C:\WINDOWSsystem32\vturo.dll
6. proexp.exeを実行します。(手順1で展開したもの)
7. 'System Idle Process'を展開します。
8. その下の'System'を展開します。
9. 'winlogon.exe'を見つけて、ダブルクリックします。プロパティ ダイアログボックスが開かれます。
10. 'Threads'タブを選択します。
11. リストの中に vturo.dllを見つけたら、その行を選択し、"Kill"ボタンをクリックします。
12. ウィンドウズの"スタート"メニューを開きます。
13. メニューから'プログラムを名前を指定して実行'を選択します。
14. "Regedit"とタイプして"OK"をクリックして、レジストリ エディタを開きます。
これを開いたまま残しておいてください。
15. タスクバーを右クリックして、タスク マネジャを開きます。
16. 'プロセス'タブを選択します。
17. プロセス "Explorer.exe"を選択し、"プロセスを終了"をクリックします。
RegeditおよびHijackthisの画面は、開いたままになっていることを確認してください。
18. Regeditから {93C6313C-9DB4-4694-8BD0-E378C573A9AD}を検索します。
メニュー->編集->検索を利用してください。
見つかったらすべて削除してください。
すべて検索し終わるまで見つけて、削除します。
20. Regeditからvturo.dllを検索して、すべて削除します。
21. Hijackthisに移動します。 22. HijackThisで以下の値を削除します。
O2 - BHO: (ATLDistrib Objec) - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINDOWS\system32\vturo.dll
O20 - Winlogon Notify: vturo - C:\WINDOWS\system32\vturo.dll
23. C:\Windows\Prefetch フォルダ内のすべてのファイルを削除します。 24. コンピュータをセーフモードで再起動します。
25. ファイル C:\WINDOWS\system32で vturo.dllを探します。
ドライブ名は、ご使用の環境によって異なります。
26. 見つけたら削除します。
削除できない場合、ステップ6から11の手順を確認してください。
27. X-cleanerでドライブを選択し、ディープスキャンを実行します。
28. システム回復をオンに戻します。
X-Cleanerをご利用のユーザは、ブロックリスト(検疫タブ)を適用することで、再び感染することを防ぐことができます。
by 2006.02.03 T.Sakamoto
|
スパイウェアに関するコラム
企業ITセキュリティ管理者のためのスパイウェア知識
|