WORM_SOHANAD.DQ

マルウェアのファイルの確認および削除：

• Windows XP および Server 2003 の場合

1. 最新のバージョン（エンジン、パターンファイル）を導入したセキュリティ対策製品を用いてウイルス検索を実行し、検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
2. [スタート]-[ファイル名を指定して実行]を選択し、secpol.msc と入力し、Enter を押します。
3. 左側のパネルにある [ローカル ポリシー]-[セキュリティ オプション] をダブルクリックします。
4. 右側のパネルにある [回復コンソール：すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する] をダブルクリックします。
5. [有効] を選択し、[OK] をクリックします。
6. Windows のインストール CD を使用して、コンピュータを再起動します。
7. [セットアップへようこそ] 画面で、修復の R キーを押します。
8. キーボードを選択します。
9. 修復する Windows がインストールされているドライブを選択します（通常は 1 を選択します）。
10. 管理者のパスワードを入力し、Enter を押します。管理者パスワードがない場合は、何も入力せずに Enter を押します。
11. 以下のコマンドを入力し、Enter を押します。
    SET AllowAllPaths = TRUE
    del "＜上記で確認したマルウェアのパス名およびファイル名＞"

    ※del と "＜上記で確認したマルウェアのパス名およびファイル名＞" の間に半角スペースを入れてください。

12. コマンドプロンプトに exit と入力し、コンピュータを通常どおり再起動してください。

• Windows Vista および 7 の場合

1. 最新のバージョン（エンジン、パターンファイル）を導入したセキュリティ対策製品を用いてウイルス検索を実行し、検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
2. Windows のインストール DVD を使用して、コンピュータを再起動します。
3. 再起動するかどうかの確認画面が表示されたら、いずれかのキーを入力し、表示される指示に従います。
4. Windows のインストール DVD によっては、インストールする言語の選択が必要になる場合があります。Windows のインストール画面で、言語、ロケール情報およびキーボードの種類と入力方法を選択します。[コンピュータを修復する]をクリックします。
5. [Windows の起動に伴う問題の修復用の回復ツールを使用します。]を選択します。オペレーティングシステム（OS）を選択し、[次へ]をクリックします。
6. [スタートアップ修復]画面が表示された場合、[キャンセル]-[はい]-[完了]をクリックします。
7. [システム回復オプション]メニューで、[コマンドプロンプト]をクリックします。
8. 以下のコマンドを入力し、Enter を押します。
   BoorRec.exe /fixmbr
   del "＜上記で確認したマルウェアのパス名およびファイル名＞"

   ※del と "＜上記で確認したマルウェアのパス名およびファイル名＞" の間に半角スペースを入れてください。

9. コマンドプロンプトに exit と入力し、Enter を押して、コマンドプロンプト画面を閉じてください。
10. [再起動]をクリックし、コンピュータを通常どおり再起動してください。

レジストリエディタおよびタスクマネージャ、フォルダオプション機能の有効：

1. メモ帳などのテキストエディタを開きます。
   
   • Windows 2000、 XP および Server 2003 の場合
   
   [スタート]-[ファイル名を指定して実行]を選択し、notepad と入力し、[OK]をクリックします。
   • Windows Vista および 7 の場合
   
   [スタート]をクリックし、[プログラムとファイルの検索]に notepad と入力し、Enter を押します。
   ※notepad は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
2. 以下の文字列をコピーしてください。
   On Error Resume Next Set shl = WScript.CreateObject("WScript.Shell") shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools" shl.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools" shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr" shl.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr" shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions" shl.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
3. "C:\RESTORE.VBS" のファイル名でこのファイルを保存してください。
4. [スタート]-[ファイル名を指定して実行]を選択し、C:\RESTORE.VBS と入力し、Enter を押します。
5. 確認画面が表示されたら[はい]を選択し、画面を終了してください。

このマルウェアが追加したレジストリ値の削除：

1. 「レジストリエディタ」を起動します。
   [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、[OK]をクリックします。
   ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
2. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
3. 右側のパネルで以下のレジストリ値を検索し、削除します。
   Yahoo Messengger = "%System%\gphone.exe"
4. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Schedule
5. 右側のパネルで以下のレジストリ値を検索し、削除します。
   AtTaskMaxHours "0" =
6. 「レジストリエディタ」を閉じます。

このマルウェアが変更したレジストリ値の修正：

1. 「レジストリエディタ」を起動します。
   
   • Windows 2000、XP および Server 2003 の場合
     [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。。
   • Windows Vista および 7 の場合
     [スタート]をクリックし、[プログラムとファイルの検索]に regedit と入力し、Enter を押します。
     ※"regedit" は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
2. レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Winlogon
3. 右側のパネルで以下のレジストリ値を検索します。
   Shell = "Explorer.exe gphone.exe"
4. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
   Shell = Explorer.exe
5. レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Internet Explorer>Main
6. 右側のパネルで以下のレジストリ値を検索します。
   Default_Page_URL = "http://{BLOCKED}inindia.blogspot.com <!-- {BLOCKED} http://googleinindia.blogspot.com -->"
7. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
   Default_Page_URL = {default homepage}
8. 再び、右側のパネルで以下のレジストリ値を検索します。
   Default_Search_URL = "http://{BLOCKED}inindia.blogspot.com <!-- {BLOCKED} http://googleinindia.blogspot.com -->"
9. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
   Default_Search_URL = {default search page}
10. 再び、右側のパネルで以下のレジストリ値を検索します。
    Search Page = "http://{BLOCKED}inindia.blogspot.com <!-- {BLOCKED} http://googleinindia.blogspot.com -->"
11. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
    Search Page = {default search page}
12. 再び、右側のパネルで以下のレジストリ値を検索します。
    Start Page = "http://{BLOCKED}inindia.blogspot.com <!-- {BLOCKED} http://googleinindia.blogspot.com -->"
13. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
    Start Page = {default homepage}
14. レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
    HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer>Main
15. 右側のパネルで以下のレジストリ値を検索します。
    Start Page = "http://{BLOCKED}inindia.blogspot.com <!-- {BLOCKED} http://googleinindia.blogspot.com -->"
16. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
    Start Page = {default homepage}
17. レジストリエディタを閉じます。

マルウェアのコンポーネントファイルの削除：

作成された AUTORUN.INF の検索および削除：

1. [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
   註：Windowsのバージョンによって異なります。
2. [ファイル名のすべてまたは一部]に以下を入力してください。
   AUTORUN.INF
3. [探す場所]の一覧から該当ドライブを選択し、[検索]を押します。
4. 検索が終了したら、ファイルを選択し、メモ帳などテキストエディタを用いて開いてください。
5. 以下の文字列が存在するか確認してください。
   
   [Autorun]
   Open=gphone.exe
   Shellexecute=gphone.exe
   Shell\Open\command=gphone.exe
   Shell=Open
6. この文字列が存在する場合はファイルを削除してください。
7. 他のリムーバブルドライブ内の残りの AUTORUN.INF についても、この手順3.)から6.)を繰り返してください。
8. [検索結果]画面を閉じてください。