Threat Encyclopedia Mobile Page
クイックリンク
  • お住まいの国は?:
TROJ_FAKEAL.SMDP

ウイルスタイプ: トロイの木馬型

感染報告の有無 : あり

破壊活動の有無: なし

言語: 英語

プラットフォーム: Windows 98, ME, NT, 2000, XP, Server 2003

暗号化: なし

危険度:

感染報告:

ダメージ度:

感染力:

特 徴: 

 これは一般的に「トロイの木馬」に分類される不正プログラムです。この不正プログラムは、他のプログラムに感染したり、他のコンピュータに頒布することはありません。

 「トロイの木馬」型不正プログラムには、一般的には役に立つものに見せかけて配布され、実は不正を働くプログラムという意味があります。不正プログラムは、インターネット上からダウンロードされ、ユーザが誤ってインストールすることによりコンピュータに侵入する場合があります。

 不正プログラムは、Windows起動時に自身が自動実行されるよう、システム設定を改変する場合があります。

 不正プログラムを削除するためには、この不正プログラムのプロセスを停止する必要があります。また、感染コンピュータを復元するためには、該当の削除手順を行なった上、ウイルス対策製品を用いてウイルス検索を実行してください。


[その他の用語については用語集をご覧ください。]

このウイルスに関しては次の情報も参照してください。

情報公開日: 2010/02/07 6:32:47 PM GMT -0800


対応パターンファイル: 6.854.06

パターンリリース日: Feb 17, 2010

対応方法:

警告:
以下の手動削除手順には、レジストリの編集が含まれます。
レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
なお、レジストリの編集前に、必ずバックアップを作成することを推奨いたします。バックアップ方法の詳細は、ご使用のWindowsのヘルプまたはこちらをご参照ください。

・手動削除手順:

  1. Windowsをセーフモードで再起動してください。

  2. 不正プログラムの自動起動設定を削除します。
    以下のレジストリの値を削除してください。レジストリ値の削除方法はこちらをご覧ください。

    場所:
    HKEY_CURRENT_USER\Software\Microsoft\
    Windows\CurrentVersion\Run
    値:
    Security Antivirus = "<システムのルート(通常C:ドライブ)>\Documents and Settings\All Users\Application Data\b9cc10f\SAb9cc.exe" /s /d"

  3. 不正プログラムが追加したレジストリ値を削除します。
    以下のレジストリの値を削除してください。レジストリ値の削除方法はこちらをご覧ください。

    場所:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
    Services\SharedAccess\Parameters\
    FirewallPolicy\StandardProfile\AuthorizedApplications\
    List
    値:
    <システムのルート(通常C:ドライブ)>\Documents and Settings\All Users\Application Da ta\b9cc10f\SAb9cc.exe = "<システムのルート(通常C:ドライブ)>\Documents and Settings\All Users\Application Data\b9cc10f\SAb9cc.exe:*:Enabled:Security Antivirus"


    場所:
    HKEY_CLASSES_ROOT\CLSID\
    {3F2BBC05-40DF-11D2-9455-00104BC936FF}LocalServer32
    値:
    (既定) = "<システムのルート(通常C:ドライブ)>\Documents and Settings\All Users\Application Data\b9cc10f\SAb9cc.exe"


    場所:
    HKEY_CLASSES_ROOT\SAb9cc.DocHostUIHandler\Clsid
    値:
    (既定) = "{3F2BBC05-40DF-11D2-9455-00104BC936FF}"


    場所:
    HKEY_CURRENT_USER\Software\Microsoft\
    Internet Explorer\Download
    値:
    RunInvalidSignatures = "1"


    場所:
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    CLSID\
    {3F2BBC05-40DF-11D2-9455-00104BC936FF}\LocalServer32
    値:
    (既定) = "<システムのルート(通常C:ドライブ)>\Documents and Settings\All Users\Application Data\b9cc10f\SAb9cc.exe"


    場所:
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    SAb9cc.DocHostUIHandler\Clsid
    値:
    (既定) = "{3F2BBC05-40DF-11D2-9455-00104BC936FF}"


    場所:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
    Tracing\FWCFG
    値:
    ConsoleTracingMask = "ffff0000"


    場所:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
    Tracing\FWCFG
    値:
    EnableConsoleTracing = "0"


    場所:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
    Tracing\FWCFG
    値:
    EnableFileTracing = "0"


    場所:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
    Tracing\FWCFG
    値:
    FileDirectory = "<16進法値>"


    場所:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
    Tracing\FWCFG
    値:
    FileTracingMask = "ffff0000"


    場所:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
    Tracing\FWCFG
    値:
    MaxFileSize = "00100000"


    場所:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    値:
    Debugger = "svchost.exe"

  4. 不正プログラムが追加したレジストリキーを削除します。
    以下のレジストリキーを削除してください。レジストリキーの削除方法はこちらをご覧ください。

    キー:
    HKEY_CLASSES_ROOT\CLSID\
    {3F2BBC05-40DF-11D2-9455-00104BC936FF}


    キー:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<ランダム>.exe

  5. 不正プログラムの変更したレジストリ値を修正します。
    以下のレジストリの値を修正してください。レジストリ値の修正方法はこちらをご覧ください。

    場所:
    HKEY_CURRENT_USER\Software\Microsoft\
    Internet Explorer\Download
    値(修正前):
    CheckExeSignatures = "no"
    値(修正後):
    CheckExeSignatures = "yes"

  6. Windowsの検索機能([スタート] → [検索] → [ファイルとフォルダすべて] を選択)などを使用して、この不正プログラムが作成した以下の不要なファイルを検索し、検出した場合は削除してください。

    • <Application Data>\Microsoft\Internet Explorer\Quick Launch\Security Antivirus.lnk
    • <Application Data>\Security Antivirus\Instructions.ini
    • <デスクトップ>フォルダ\Security Antivirus.lnk
    • <スタートメニュー>\Security Antivirus.lnk
    • <システムのルート(通常C:ドライブ)>\Documents and Settings\All Users\Application Data\b9cc10f\276.mof
    • <システムのルート(通常C:ドライブ)>\Documents and Settings\All Users\Application Data\b9cc10f\BackUp\BG Info.lnk
    • <システムのルート(通常C:ドライブ)>\Documents and Settings\All Users\Application Data\b9cc10f\BackUp\Process Explorer.lnk
    • <システムのルート(通常C:ドライブ)>\Documents and Settings\All Users\Application Data\b9cc10f\SAV.ico
    • <システムのルート(通常C:ドライブ)>\Documents and Settings\All Users\Application Data\b9cc10f\SAVSys\vd952342.bd
    • <システムのルート(通常C:ドライブ)>\Documents and Settings\All Users\Application Data\SAFWWTUPV\SARWEPV.cfg

     (註: <スタートメニュー>フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Start Menu" 、Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu "、Windows 2000, XP, Server 2003の場合、"C:\Windows\Start Menu" および "C:\Documents and Settings\<ユーザ名>\Start Menu " です。)

     (註: <デスクトップ>フォルダは、Windows 98 および MEの場合、通常 ""C:\Documents and Settings\<ユーザ名>\デスクトップ"" です。 Windows NTの場合、""C:\WINNT\Profiles\<ユーザ名>\Desktop""、Windows 2000, XP, Server 2003の場合は ""C:\Documents and Settings\<ユーザ名>\Desktop"" です。)

    • <User Profile>\Recent\ANTIGEN.exe
    • <User Profile>\Recent\exec.exe
    • <User Profile>\Recent\cid.dll
    • <User Profile>\Recent\DBOLE.exe
    • <User Profile>\Recent\tempdoc.dll
    • <User Profile>\Recent\hymt.dll
    • <User Profile>\Recent\energy.exe
    • <User Profile>\Recent\ANTIGEN.dll
    • <User Profile>\Recent\DBOLE.sys
    • <User Profile>\Recent\dudl.drv
    • <User Profile>\Recent\PE.sys
    • <User Profile>\Recent\CLSV.exe

    (註:<User Profile>フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)

  7. Windowsの検索機能([スタート] → [検索] → [ファイルとフォルダすべて] を選択)などを使用して、この不正プログラムが作成した以下の不要なフォルダを検索し、検出した場合は削除してください。

    • <Application Data>\Security Antivirus
    • <システムのルート(通常C:ドライブ)>\Documents and Settings\All Users\Application Data\b9cc10f
    • <システムのルート(通常C:ドライブ)>\Documents and Settings\All Users\Application Data\SAFWWTUPV

  8. HOSTSファイルファイルをメモ帳などを使用して開き、下記の記述を含む行を削除してください。
    • <省略>.<省略>.45.100 <省略>-davinci.com
    • <省略>.<省略>.45.100 <省略>ivirusplusnow.com
    • <省略>.<省略>.45.100 <省略>tbillsolution.com
    • <省略>.<省略>.45.100 <省略>esecuredpayments.com
    • <省略>.<省略>.45.100 protected.<省略>ftwaremart.com
    • <省略>.<省略>.45.100 safebrowsing-cache.<省略>e.com
    • <省略>.<省略>.45.100 <省略>-plus-payments.com
    • <省略>.<省略>.45.100 secure.<省略>uresystem.com
    • <省略>.<省略>.45.100 secure.<省略>esecuredpayments.com
    • <省略>.<省略>.45.100 <省略>tysoftwarepayments.com
    • <省略>.<省略>.45.100 urs.<省略>oft.com
    • <省略>.<省略>.45.100 www.<省略>ivirusplusnow.com
    • <省略>.<省略>.45.100 www.<省略>lusnow.com
    • <省略>.<省略>.45.100 www.<省略>-plus-payments.com
    • <省略>.<省略>.45.100 www.<省略>softwarebill.com
    • <省略>.<省略>.209.236 au.<省略>.yahoo.com
    • <省略>.<省略>.209.236 ca.<省略>.yahoo.com
    • <省略>.<省略>.209.236 de.<省略>.yahoo.com
    • <省略>.<省略>.209.236 fr.<省略>.yahoo.com
    • <省略>.<省略>.209.236 <省略>e.be
    • <省略>.<省略>.209.236 <省略>e.ca
    • <省略>.<省略>.209.236 <省略>e.ch
    • <省略>.<省略>.209.236 google.<省略>o.jp
    • <省略>.<省略>.209.236 google.<省略>o.nz
    • <省略>.<省略>.209.236 google.<省略>o.uk
    • <省略>.<省略>.209.236 google.<省略>o.za
    • <省略>.<省略>.209.236 <省略>e.com
    • <省略>.<省略>.209.236 google.<省略>m.au
    • <省略>.<省略>.209.236 google.<省略>m.br
    • <省略>.<省略>.209.236 <省略>e.de
    • <省略>.<省略>.209.236 <省略>e.dk
    • <省略>.<省略>.209.236 <省略>e.fr
    • <省略>.<省略>.209.236 <省略>e.ie
    • <省略>.<省略>.209.236 <省略>e.it
    • <省略>.<省略>.209.236 <省略>e.nl
    • <省略>.<省略>.209.236 <省略>e.no
    • <省略>.<省略>.209.236 <省略>e.pl
    • <省略>.<省略>.209.236 <省略>e.se
    • <省略>.<省略>.209.236 search.<省略>o.com
    • <省略>.<省略>.209.236 uk.<省略>.yahoo.com
    • <省略>.<省略>.209.236 www.<省略>om
    • <省略>.<省略>.209.236 www.<省略>-analytics.com
    • <省略>.<省略>.209.236 www.<省略>.be
    • <省略>.<省略>.209.236 www.<省略>.ca
    • <省略>.<省略>.209.236 www.<省略>.ch
    • <省略>.<省略>.209.236 www.<省略>.co.jp
    • <省略>.<省略>.209.236 www.<省略>.co.nz
    • <省略>.<省略>.209.236 www.<省略>.co.uk
    • <省略>.<省略>.209.236 www.<省略>.co.za
    • <省略>.<省略>.209.236 www.<省略>.com
    • <省略>.<省略>.209.236 www.<省略>.com.au
    • <省略>.<省略>.209.236 www.<省略>.com.br
    • <省略>.<省略>.209.236 www.<省略>.de
    • <省略>.<省略>.209.236 www.<省略>.dk
    • <省略>.<省略>.209.236 www.<省略>.fr
    • <省略>.<省略>.209.236 www.<省略>.ie
    • <省略>.<省略>.209.236 www.<省略>.it
    • <省略>.<省略>.209.236 www.<省略>.nl
    • <省略>.<省略>.209.236 www.<省略>.no
    • <省略>.<省略>.209.236 www.<省略>.pl
    • <省略>.<省略>.209.236 www.<省略>.se
    • <省略>.<省略>.209.236 www.<省略>.yahoo.com

  9. コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。この不正プログラムは「TROJ_FAKEAL.SMDP」と検出されます。検出したファイルはすべて削除してください。

  10. 全ドライブ検索を行い何も検出されなければ、処理は完了です。

・こんなときには...

・参考:

※HOSTSファイルはWindowsの種類とインストール時の設定などにより異なります。標準設定では、

Windows 95/98/Me の場合
 HOSTSファイル = C:\Windows\hosts
Windows NT/2000 の場合
 HOSTSファイル = C:\WINNT\System32\drivers\etc\hosts
Windows XP/Server 2003 の場合
 HOSTSファイル = C:\Windows\System32\drivers\etc\hosts
 です。

[その他の用語については用語集をご覧ください。]



トレンドマイクロは 大規模ネットワーク中・小規模ビジネスホームPCの為のベストオブブリードとコンテンツセキュリティーソリューションを提供いたします。