Trojan.puperの被害報告の急増と除去方法について

症状について

感染すると、ブラウザ(IE)を開くと、aboutblankページ(開始ページが、ハイジャックされている)が表示され、その後、以下のサイトに接続されます。使っているコンピュータに脆弱性があるので危険だと警告を出しています。

さらに以下のポップアップが表示されウィルスの感染に付いて警告を表示します。(偽の警告)

ＯKまたはキャンセルで、次の画面に移動します。偽のセキュリティ対策ソフトウェア MalwareWipeおよびPest Trapをダウンロード/購入するよう誘導します。

製品をインストールしても、購入するまで除去機能は利用できません。

またスキャンで検出されるマルウェアは、このソフトウェア自身がインストールしたファイル (simpole.tlb
stdole3.tlb)を表示しています。

除去方法について

準備するもの

XRayPCやHijackThisを利用してシステムログを取得しておきます。

すべてのファイルが表示されるよう、エクスプローラの設定を確認します。

1. エクスプローラを開きます->[メニュー]->[ツール]->[フォルダ オプション]を開きます
2. [表示]タブを選択します。

a. [すべてのファイルとフォルダを表示する] をチェックします。
b. [保護されたオペレーティング システム ファイルを表示しない]のチェックを解除します

作業手順

1. コンピュータをセーフモードで起動します。
2. タスクマネージャを表示します。( Ctrl+Atl+Del キー)
3. タクマネージャ から[プロセス]タブを選択し、以下のプロセスが実行されているのを見つけます。
実行されている場合は、停止してください。

atmclk.exe
dcomcfg.exe

4. エクスプローラからSystem32フォルダ (通常 C:\Windows\system32 )を開き、以下のファイルを見つけて削除します。

C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\hp100.tmp
C:\WINDOWS\system32\ld101.tmp
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\wpa.tbl
C:\WINDOWS\system32\regperf.exe

5. regeditを実行します。(スタートメニュー->名前を指定してプログラムを実行->regedit とタイプします。)

a. atmclk.exe および dcomcfg.exe を検索します。見つかったら削除します。
以下の箇所で見つかります:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\

b. {686a161d-5bd1-4999-8832-6393f41e564c} を検索し、見つかったら削除します。

HKCR\Software\Classes\CLSID\{686a161d-5bd1-4999-8832-6393f41e564c}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{686a161d-5bd1-4999-8832-6393f41e564c}

注意: これらの値を削除しても復活している場合は、手順3でプロセスが停止されていることを再度確認してください。

6. X-Cleanerを起動して、[スパイウェア検出]タブから検出を実行します。

7. コンピュータをセーフモードで再び再起動します。

8. X-Cleanerを起動して、再度[スパイウェア検出]タブから検出(ディープスキャン)を実行します。

9. コンピュータを通常モードで起動します。

10. IEの設定を初期化するためのレジストリパッチを適用します。(fix_iestart.zip) その後、開始ページを適切なページに変更します。