WORM_SKYSTLR.A

セーフモードでの起動：

• Windows 2000 の場合：

1. コンピュータを起動させます。
2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

1. コンピュータを起動させます。
2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

1. コンピュータを起動させます。
2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

1. コンピュータを起動させます。
2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
3. 「詳細ブート オプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

1. 画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
2. マウスで、[設定]－[PC設定の変更]を選択します。
3. 左側のパネルで、[全般]を選択します。
4. 右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
5. [オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
6. [スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

このマルウェアが追加したレジストリ値の削除：

1. 「レジストリエディタ」を起動します。
   [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、[OK]をクリックします。
   ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
2. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
3. 右側のパネルで以下のレジストリ値を検索し、削除します。
   SystemDLL.MICROSOFT = “{malware path}\{malware filename}”
4. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
5. 右側のパネルで以下のレジストリ値を検索し、削除します。
   SystemDLL.MICROSOFT = “{malware path}\{malware filename}”
6. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>System"
7. 右側のパネルで以下のレジストリ値を検索し、削除します。
   DisableTaskMgr = "1"
8. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced
9. 右側のパネルで以下のレジストリ値を検索し、削除します。
   Hidden = "0"
10. 「レジストリエディタ」を閉じます。

作成された AUTORUN.INF の検索および削除：

• Windows 2000、XP および Server 2003 の場合：

1. [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
   註：Windowsのバージョンによって異なります。
2. [ファイル名のすべてまたは一部]に以下を入力してください。
   AUTORUN.INF
3. [探す場所]の一覧から該当ドライブを選択し、[検索]を押します。
4. 検索が終了したら、ファイルを選択し、メモ帳などテキストエディタを用いて開いてください。
5. 以下の文字列が存在するか確認してください。
   
   • [autorun]
   • open={Drive Letter}:\HDDFile.com
   • shellexecute={Drive Letter}:\
6. この文字列が存在する場合はファイルを削除してください。
7. 他のリムーバブルドライブ内の残りの "AUTORUN.INF" についても、この手順3.)から6.)を繰り返してください。
8. [検索結果]画面を閉じてください。

• Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

1. Windowsエクスプローラ画面を開きます。
   • Windows Vista、7 および Server 2008 の場合：
     • [スタート]-[コンピューター]を選択します。
   • Windows 8、8.1 および Server 2012 の場合：
     • 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
2. [コンピューターの検索]に、以下を入力してください。
   AUTORUN.INF
3. 検索が終了したら、ファイルを選択し、メモ帳などテキストエディタを用いて開いてください。
4. 以下の文字列が存在するか確認してください。
   
   • [autorun]
   • open={Drive Letter}:\HDDFile.com
   • shellexecute={Drive Letter}:\
5. この文字列が存在する場合はファイルを削除してください。
6. 他のリムーバブルドライブ内の残りの "AUTORUN.INF" についても、この手順3.)から5.)を繰り返してください。
7. [検索結果]画面を閉じてください。

マルウェアのコンポーネントファイルの削除：

HOSTSファイルの修正：

1. メモ帳などのテキストエディタを用いて、以下のファイルを開きます。
   %System%\drivers\etc\HOSTS
   (註： %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000 の場合、"C:\WinNT\System32"、Windows XP 以降の場合、"C:\Windows\System32" です。)
2. 下記記述を含む行を削除してください。
   
   • 127.0.0.1 www.virustotal.com
   • 127.0.0.1 www.bitdefender.com
   • 127.0.0.1 www.virusscan.jotti.org
   • 127.0.0.1 www.scanner.novirusthanks.org
   • 127.0.0.1 www.chip.de
   • 127.0.0.1 www.vscan.novirusthanks.org
   • 127.0.0.1 www.avira.de
   • 127.0.0.1 www.avast.com
3. ファイルを保存し、テキストエディタを閉じます。