Puper.dll削除方法

★「Troj/Puper」 幾つもの亜種があるようです。詳細は下記サイトを参照してください。 http://www.sophos.com/search/search-results/?search=Troj%2FPuper&x=58&y=20 Troj/Puper-D（Sophos）の例 http://www.sophos.com/virusinfo/analyses/trojpuperd.html 「Advanced」タブを開いて詳細を参照してください。 作成される主なファイル C:\WINDOWS\system32\shnlog.exe C:\WINDOWS\system32\hhk.dll C:\WINDOWS\system32\intmon.exe C:\WINDOWS\system32\hpXXXX.tmp 「XXXX」の部分には2または4文字のランダムな文字が入ります。 ★Startup登録 下記レジストリに「C:\WINDOWS\system32\shnlog.exe」が登録されWindowsの起動と同時に起動されます。 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run paint.exe = shnlog.exe ★「Watcher」登場 また、別途「C:\WINDOWS\system32\intmon.exe」が、おそらくExplorerからハンドルを使って起動されメモリーに常駐します。 「intmon.exe」は、常時「shnlog.exe」の状態を監視して、「shnlog.exe」が終了したり、削除されたりすると、「shnlog.exe」を再起動させたり、再インストールさせたりします。 ★「Puper.dll」とは？ 「windows/system32/hp929B.tmp was infected by the Puper.dll trojan」 どうやらマカフィーさんが、例えば、「windows/system32/hp929B.tmp」というファイルを見つけて「Puper.dll trojan」に汚染されているので削除したと騒いでいるだけで「Puper.dll」というファイル自体は存在しないようです。 また「hp????.tmp」は「shnlog.exe」を復活させるためのテンポラリーファイルでしょう。「intmon.exe」が「shnlog.exe」の状態を監視していますから、削除されるたびに同様のファイルが作成され、「intmon.exe」を削除しない限り永遠にこの状態が続くと思います。 ☆修復 No.2　mama_aneさんご紹介の「SmitfraudFix」で駆除できると思います。 いくつかの亜種についても調べてみましたが、殆どのパターンに対応しているようです。 唯一、「hp????.tmp」には対応しているが「hp??.tmp」には対応していないようですが、テンポラリーファイルをすべて除去すれば片付くので大した問題ではないと思います。 「C:\WINDOWS\system32\dcomcfg.exe」も駆除ルーチンの中に含まれているので自動的に駆除されます。 ☆ダウンロード（v2.42） http://siri.urz.free.fr/Fix/SmitfraudFix_En.php 解凍するといくつかのファイルが作成されます。 「Process.exe」について、一部のウィルス対策ソフトから警告が出ますが、問題ありませんので、削除、隔離等はしないでください。 １．「SmitfraudFix.cmd」をダブルクリック 　コマンドプロンプトが開かれ、注意書きに続いて「Press a key to continue...」と表示されるので、例えば、リターンキーを押してください。 ２．メニューの「2. Clean (safe mode recommended)」を実行 「Enter your choice (1,2,3,L,Q) :」の次に「２」を半角で入力します。 ３．あとは自動的に、スキャン、有害なファイルの削除、レジストリの修復が実行されます。 ４．途中「process -k explorer.exe」というコマンドが実行され、エキスプローラの画面や、デスクトップアイコン、ツールバー等が消えてしまいますが、異常ではありません。 ５．作業が終了するとメモ帳が起動され「C:\rapport.txt」というファイルに作業結果が表示されます。 ６．削除に成功した場合は「ファイル名　Deleted」、失敗した場合は「Problem　ファイル名」と表示されます。 ７．自動的に再起動の画面になると思うんですが、もし、ファイル操作や、キーボード操作を受け付けない場合は、電源キーの長押しで強制終了して再起動してください。 とにかく、巨大なバッチファイルで、Desktop Hijack系で駆除の難しい多くのマルウエアに対応しています。 Smitfraud, Win32.puper, AVGold, Security iGuard, Spyware Vanisher, quicknavigate.com, updateSearches.com, startsearches.net, Virtual Maid, SpySheriff, PSGuard, SpyAxe, WinHound, AlphaCleaner, AdwarePunisher, SpywareQuake...

いや…この感染、かなり複雑かも知れません。一応情報は探したのですが…。 http://vil.nai.com/vil/content/v_133665.htm マカフィーの情報ページは英語版しかありませんでした。で他にavira（日本でも利用者のいるフリーの対策ソフトAntiVirのベンダー） http://www.avira.com/jp/threats/section/fulldetails/id_vir/1380/tr_puper.ba.1.html トレンドマイクロ http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_PUPER.AP など複数の関連ページは見つかるものの…内容は細部で全て異なります。安直に書かれた通りの作業は出来ない（そもそもどのような作業をして良いかという明確な表現もされていない）ので、これらの情報だけでは削除は困難でしょう。 それ以外の感染も懸念されますので、更に詳細な解析を行った上で対処を検討する必要がありそうです。レジストリ上にどのような書き込みがされたかも含め、きちんと内情が分からないと対処は難しいでしょう。 まず、No.3さんも書いてらっしゃいますが、セーフモードでのスキャンを試してみることを勧めます。マカフィ、Spybot-S&D双方を試してください。 それでも解決しない場合、ここでの回答にはやはり限界がありそうですから、No.2さんの仰せの通り『アダルトサイト被害対策の部屋』 http://www.higaitaisaku.com/ に移動されることをお勧めします。移動される際は事前にこの質問を終了してください。 あちらの質問掲示板で質問される前に、 http://www.higaitaisaku.com/hijackthis.html を読んでHijackThisというツールの使い方を理解し、実際に使ってログ（検査結果を出力したファイル）を取っておいてください。質問時にはこのログの内容をコピーし貼り付ける必要があります。 あとはあちらで回答される方の指示に従うようにしてください。

せっかくマカフィーが見つけてくれたので、マカフィーでもう少しがんばってみてはどうでしょうか。 まずPuper.dllですが、_restoreフォルダ内のファイルでしょうか？その場合は、システムの復元を無効にします。 http://www.mcafee.com/Japan/mcafee/faq/ssi_answerCSVirusScan.asp?ancQno=VS-00043&ancProd=VirusScan Puper.dllについては、最新の定義のマカフィーで削除もレジストリの修正もできる、とあります。アップデートはしてありますか？ http://vil.nai.com/vil/content/v_133665.htm ただし、Puper.dllが活動している場合はマカフィーも何もできないでしょうから、まずはタスクマネージャで終了させます（Ctrl+Alt+Delで起動し、「プロセス」タブをクリック。Puper.dllを探して選択し、プロセスの終了ボタンで終了させます）。それからもう1回、マカフィーウイルススキャンでスキャンをかけて、Puper.dllの処理が行われるかどうか確認してください。 うまくいかなかったら、セーフモードでスキャンするのも手です。 http://www.mcafee.com/Japan/mcafee/faq/ssi_answerCSVirusScan.asp?ancQno=VS-00097&ancProd=VirusScan を参考にしてください。

日本語版は２日後に出るのですが・・・ http://www.microsoft.com/athome/security/spyware/software/default.mspx で一度スキャンしてください。 また、スパイに感染していますとでるのはたぶんそういう嘘をついているだけのソフトです。 「スパイに感染している、このソフトを買えば直る」 みたいな感じでお金請求がうざいはずです。 Spybotなどで検出されなかったのであれば、 マカフィーを一旦削除し、NOD32の体験版でいいのですのでスキャンしてみると何とかしてくれるかもしれません。