TROJ CWS.ABに感染

TROJ_CWS.AB http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FCWS%2EAB&VSect=Sn マルウェアプログラムの終了 このマルウェアがさらに、正当なプロセスのファイル名であるファイル名を使用するので、 マルウェアプロセスを自体分離するためにProcess Explorerのようなサードパーティのプロセスビューアを使用することが必要です。 捜しているプロセスがProcess Explorerによって表示されたリストに載っていない場合は、次の処理に移ってください。 Process Explorerをダウンロード。好みの位置へ圧縮した(ZIP)ファイルの内容を抽出してください。 procexp.exeのダブルクリックによりProcess Explorerを実行します。 Process Explorerウィンドウで、プロセス:SERVICES.EXEを見つけてください。 マルウェアプロセスを右クリックして、Propertiesを選んでください。 カレント・ディレクトリが下記:%Windows%￥inet20001 の値があるか調べてください。 (注:%Windows%は通常 C:￥WindowsまたはC:￥WINNT がデフォルトのWindows フォルダーです。) ある場合、マルウェアプロセスを右クリックして、Kill Process Tree をクリックしてください。 Process Explorerを終了してください。 -------------------------------------------------------------------------------- * 注:捜しているプロセスがProcess Explorerによって表示されたリストに載っていない場合は、追加の指示に注意して、次の処理を継続してください。 マルウェアプロセスがタスクマネージャーあるいはProcess Explorerのいずれかによって表示されたリストに載っている場合、それを終了することができません. セーフモードでシステムを再起動します。 セーフモードで再起動する。 Windows98とME コンピューターを再起動してください。 起動時のメニューが現われるまで、CTRLキーを押してください。 セーフモード・オプションを選び、その後、Enterを押します。 Windows2000 コンピューターを再起動してください。 Windowsがスタートする画面の下のバーがでたら、F8キーを押してください。 Windowsオプション・メニューからセーフモード・オプションを選び、進めてください。 その後、Enterを押します。 Windows XP コンピューターを再起動してください。 パワー・オン・セルフテスト(POST)が終わった後、F8を押してください。 Windows を高度なオプション・メニューが現われない場合は、再起動し次に、POST画面の後にF8を数回押してみてください。 Windowsオプション・メニューからセーフモード・オプションを選び、進めてください。 その後、Enterを押します。 レジストリの編集 このマルウェアはシステムのレジストリを修正します。 このマルウェアによって影響を受けたユーザは特定のレジストリ・キーあるいはエントリーを修正するか削除する必要があるかもしれません。 レジストリから自動スタートエントリーを撤去する レジストリから自動スタートエントリーを撤去することは、マルウェアが操業開始で実行するのを防ぎます。 下記のレジストリエントリーが見つからない場合、マルウェアは検知の時点で実行しなかったかもしれません。 そうならば、次の処理に移ってください。 レジストリエディターの起動 スタート>プログラムを指定して実行、REGEDIT　と入力、 Enter を押してください。 左のパネルでは、下記をダブルクリックします HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows >CurrentVersion>Run 右のパネルでは、エントリーを見つけて削除してください xp_system="%Windows%￥inet20001￥services.exe" 左のパネルでは、下記がダブルクリックします HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run 右のパネルでは、エントリーを見つけて削除してください xp_system="%Windows%￥inet20001￥services.exe" 左のパネルでは、下記がダブルクリックします HKEY_CURRENT_USER>Software>Microsoft>Windows NT>CurrentVersion>Windows 右のパネルでは、エントリーを見つけて削除してください run ="%Windows%￥inet20001￥services.exe" レジストリから他のマルウェアキーを取り除く。 レジストリーエディターの中で左のパネルの中で、下記をダブルクリックする HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows >CurrentVersion>Explorer>Browser Helper Objects 左のパネルでは、キーを見つけて削除してください {5321E378-FFAD-4999-8C62-03CA8155F0B3} レジストリーエディターを終了する。 システム・ファイルから自動スタートエントリーを撤去する。 マルウェアはそれらがWindows スタートアップで自動的に実行するように、時々システム・ファイルを修正します。 影響を受けたシステムを安全に再起動することができる前に、これらの自動スタートエントリーが撤去されるに違いありません。 SYSTEM.INIファイルを開いてください。 スタート>プログラムを指定して実行。開いた入力ボックスでは、SYSTEM.INIをタイプして、 次に、Enterを押してください。 これで、あなたのデフォルト・テキストエディター(通常ノートパッド)中のファイルを開きます。 [windows]セクションの下で、次のものから始まるラインを見つけてください run = 同じラインから、マルウェアパスおよびファイル名を削除してください。 load = %Windows%\inet20001\services.exe SYSTEM.INIファイルを閉じて、保存するように促された時、はいをクリックしてください。 マルウェアフォルダーの削除 スタートを右クリックしてください、 その後、検索をクリックする。実行しているWindows のバージョンに依存する 指定された入力ボックスでは、次のものをタイプしてください INET20001 ドロップダウンリスト中では、Windows を含んでいるドライブを選択して、次に、Enterを押してください。 以前検知したファイルを選択して、削除します。 ウィンドウズME/XPをクリーンにするための重要な指示 ウィンドウズMEとXPを実行するユーザは感染したシステムを十分にスキャンすることを可能にするために、システムの復元を無効にしなければなりません 他のWindows ・バージョンを実行するユーザは、次の処理を続けることができます。 トレンドマイクロ・アンチウイルスの実行 セーフモードで現在走っている場合は、次の処置を行なう前にシステムを通常再起動してください。 トレンドマイクロのアンチウイルスでシステムをスキャンして、TROJ_CWS.ABとして検知されたファイルを削除してください。 これをするために、トレンドマイクロの顧客は最新のウィルス・パターン・ファイルをダウンロードし、システムをスキャンしなければなりません。 他のインターネット・ユーザはHouseCall(トレンドマイクロ・オンライン・ウィルス・スキャナ)を使用することができます。

このウイルスの原型になったウイルスの駆除方法を見ていくと、最初にレジストリの改修をして、 それから、感染しているウィルスのファイルを削除するようです。 TROJ_CWS.A（英語） http://de.trendmicro-europe.com/consumer/vinfo/encyclopedia.php?VName=TROJ_CWS.A ですから、今回のウイルス駆除の処置については、トレンドマイクロのサポートセンターに電話を掛けて指示を受けて下さい。 単純に、感染したファイルを削除して終了と言うことではなさそうです。

参考に　　↓ http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=11812