ウイルス情報
Trojan (001785281)
対応日 | 2010-06-19 |
驚異レベル | 低 |
種類 | トロイの木馬 |
影響のあるOS | Windows Vista Windows XP Windows 2003 Server Windows 2000 |
ファイルサイズ(バイト) | 2374656 |
別名 | Trojan-Ransom.Win32.XBlocker.aia (Kaspersky AntiVirus) |
ウイルスの挙動
- %Temp%フォルダに以下のファイルを追加する
svchosty.exe
fFollower.exe
ope7.exe - Windowsフォルダに以下のファイルを追加する
ctfmon.exe
servicelayer.exe
svc.exe - システムの起動時に自身を立ち上げるため、以下のレジストリ値を追加する
%TEMP%\ope7.exe = "%TEMP%\ope7.exe "
netc = "%Windows%\svc.exe"
ctfmon = "%Windows%\ctfmon.exe"
servicelayer = "%Windows%\servicelayer.exe"
・場所
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - 自身をサービスとして登録するため、以下のレジストリ値を追加する
ImagePath = "%TEMP%\fFollower.exe"
DisplayName = "Follower"
・場所
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\Follower - このトロイの木馬は、感染したパソコンに他のウイルスをダウンロードする
駆除方法
- ウイルスセキュリティを最新の状態にアップデートします。※アップデート方法はこちら。
- パソコンをセーフモードで起動します。※セーフモードによる起動方法はこちら。
- パソコン全体の検査を行ないます。※検査方法はこちら。
- 検知したすべての感染ファイルを削除します。(通常は自動で削除されます。)
- レジストリエディタを開きます。※手順はこちら。
- 以下のレジストリ値を削除します。
・値
%TEMP%\ope7.exe = "%TEMP%\ope7.exe "
netc = "%Windows%\svc.exe"
ctfmon = "%Windows%\ctfmon.exe"
servicelayer = "%Windows%\servicelayer.exe"
・場所
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - 以下のレジストリ値を削除します
Follower
・場所
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services - レジストリエディタを閉じます
- パソコンを再起動します
Copyright © SOURCENEXT CORPORATION All Rights Reserved.