製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
Prova
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4217
対応定義ファイル
(現在必要とされるバージョン)
4245 (現在7593)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Trojan.prova (NAV)
情報掲載日02/08/20
発見日(米国日付)02/02/06
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/20RDN/Generic....
10/20FakeAV-M.bfr...
10/20FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る
  • Prova は、イタリア語のメッセージを表示し、レジストリを改変するトロイの木馬です。また、システムが再起動されるたびに、システムをシャットダウンします。
  • このトロイの木馬が実行されると、次のことが行われます。
    • Sistray.exe および Sistrai.exe ファイルを C:\Windows\Command\ フォルダにドロップ(作成)する。 Sistrai.exe ファイルは、システムをシャットダウンするユーティリティで、'Reboot-Q trojan' として検出されます。
    • Explorer.exe ファイルを C:\Windows\System\ フォルダにドロップ(作成)する。
    • Autoexec.bat を置換する(元のファイルは Autoexec.bac という名前に改変する)。
    • C:\Windows\System\ の MSconfig.exeをsystem12.sys という名前に改変する。
  • システムが再起動されるたびにシステムをシャットダウンするように、レジストリ キーを次のように改変します。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\ Run"Sistray" C:\Windows\Command\sistrai.exe
    • HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\ RunOnce"Sistray" C:\Windows\Command\sistray.exe
  • 次のキー値を 1 に設定することで Windows の REGEDIT ユーティリティを無効にし、ユーザがレジストリ キーを編集できないようにします。
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System\DisableRegistryTools
  • また、"スタート" メニューから "ファイル名を指定して実行"、"お気に入り"、"最近使ったファイル"、"ログオフ" の各オプションを削除します。これは、次のレジストリにあるそれぞれのキー値を 1 に設定することで行います。
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • "スタート" メニューに "ファイル名を指定して実行" オプションがない。
  • Regedit.exe を使用できない。
  • Windows を再起動した後、自動的にシャットダウンする。
  • Autoexec.bac が存在する。
  • C:\Windows\Command\にSistrai.exe が存在する。
  • C:\Windows\CommandにSistray.exe が存在する。
  • C:\Windows\SystemにSystem12.sys が存在する。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run sistray c:\windows\command\sistrai.exe が存在する。

感染方法TOPへ戻る
  • Prova.exeファイル(690688バイト) が実行されると感染する。

駆除方法TOPへ戻る
手動駆除方法
  • このトロイの木馬は、システムが再起動されるたびに、システムをシャットダウンします。そのため、GUI スキャナを使って駆除することはできません。
  • 下記の手順に従うと、感染後でも Windows にログインできるようになります。現在お使いの定義ファイルが対応定義ファイルより古い場合は、この手順に従ってください。
  • 定義ファイル 4217 以降をインストールしている場合、コマンドライン スキャナを使って、検出されたファイルをすべて削除できます。すべてのファイルが削除されたら、ファイル名を次のように変更してください。
    • System12.sys → MSconfig.exe
  • ファイル名を変更したら、コンピュータを再起動します。従来のデスクトップ環境を使用できるようになります。
  • 下記の「Regedit.exeの復元方法」に進んでください。
定義ファイル 4217 より古い定義ファイルをお使いの場合
    • 上記のファイルすべて(autoexec.bacとsystem12.sysを除く)を手動で削除します
    • autoexec.bac のファイル名を autoexec.bat に変更します。
    • system12.sys のファイル名を MSconfig.exe に変更します。
  • ファイル名を変更したら、コンピュータを再起動します。従来のデスクトップ環境を使用できるようになります。

Regedit.exeの復元方法

  1. "スタート" をクリックし、"プログラム" → "アクセサリ" → "メモ帳" をクリックします。
  2. 次のテキストをコピーして、メモ帳のウィンドウ内にペーストします。

    REGEDIT4
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000

  3. "ファイル" → "上書き保存" をクリックし、デスクトップ上に RegedFix.reg という名前で保存します。
  4. メモ帳を終了します。
  5. デスクトップ上にあるRegedFix.regアイコンをダブルクリックし、変更をレジストリに読み込みます。
  6. メッセージが表示されたら、"はい"、"OK"の順にクリックします。
  7. コンピュータを再起動します。

この作業を行うことでレジストリ エディタが使用可能になり、トロイの木馬によって改変されたキーを修正できます。

C:\Windows\ run Regedit.exe から、次のキーに移動します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoLogoff と Norun の値を 0 にリセットします。

コンピュータを再起動します。