手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「TROJ_FAKEAV.TY」で検出したファイル名を確認し、そのファイルを終了します。

• 検出ファイルが、Windows のタスクマネージャまたは Process Explorer に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
  セーフモードについては、こちらをご参照下さい。
• 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 3

このレジストリ値を削除します。

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • {random file name} = "%System Root%\Documents and Settings\All Users\Application Data\{random file name}.exe"
    
• In HKEY_CURRENT_USER\Software
  • 75fa38b7-8b94-4995-ad32-52e938867954 = ""
    
• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
  • NoChangingWallPaper = "1"
    
• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
  • LowRiskFileTypes = ".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"
    
• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
  • SaveZoneInformation = "1"
    
• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • DisableTaskMgr = "1"
    
• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  • NoDesktop = "1"
    
• In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
  • DisableTaskMgr = "1"
    

手順 4

変更されたレジストリ値を修正します。

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

• In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download
  • From: CheckExeSignatures = "no"
    To: CheckExeSignatures = "yes"
    
• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • From: Hidden = "0"
    To: Hidden = "1"
    
• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • From: ShowSuperHidden = "0"
    To: ShowSuperHidden = "1"
    

手順 5

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_FAKEAV.TY」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

註：以下の手順で、このマルウェアが隠しファイル属性に設定したファイルを表示します。

1. コマンドプロンプトを開きます。
• Windows 2000、Windows XP および Windows Server 2003 の場合
  [スタート]-[ファイル名を指定して実行]を選択し、"CMD" と入力し、[Enter]キーを押します。
  ※"CMD" は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
• Windows Vista および Windows 7 の場合
  [スタート]-[検索の開始]を選択し、"CMD" と入力し、[Enter]キーを押します。
  ※"CMD" は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
2. コンピュータのすべてのドライブに対し、以下のコマンドを入力します。

attrib -h ＜ドライブレター＞:\*.* /s /d

※"attrib"、"-h"、"＜ドライブレター＞:\*.*"、"/s"、"/d" の間に半角スペースを入れてください。

3. 以下のコマンドを入力し、コマンドプロンプト閉じます。

exit

また、このマルウェアが移動したファイルを元の場所に復元します。

"%User Temp%\smtmp" フォルダを開き、次のようにファイルをコピーします。

OSのメジャーバージョンが5（Windows XP、Windows 2000、Windows Server 2003）の場合

• "%User Temp%\smtmp\1\" 内のファイルをコピーし、"%System Root%\Documents and Settings\All Users\Start Menu\" へ復元。

• "%User Temp%\smtmp\2\" 内のファイルをコピーし、"%User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\" へ復元。

• "%User Temp%\smtmp\4\" 内のファイルをコピーし、"%System Root%\Documents and Settings\All Users\Desktop\" へ復元。

OSのメジャーバージョンが6（Windows Vista、Windows Server 2008、Windows 7）の場合

• "%User Temp%\smtmp\1\" 内のファイルをコピーし、"%System Root%\ProgramData\Start Menu\" へ復元。

• "%User Temp%\smtmp\2\" 内のファイルをコピーし、"%User Profile%\Application Data\Roaming\Microsoft\Internet Explorer\Quick Launch\" へ復元。

• "%User Temp%\smtmp\3\" 内のファイルをコピーし、"%User Profile%\Application Data\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\" へ復元。

• "%User Temp%\smtmp\4\" 内のファイルをコピーし、"%System Root%\ProgramData\Desktop\" へ復元。

すべてのファイルを元の場所に復元した後、以下のフォルダを削除します。

• %User Temp%\smtmp