McAfee for Small Businesses

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

・以下のファイルがターゲットマシンにインストールされます。 %WinDir%\SVCHOST.EXE（188,416バイト） - PWS-Respaのメインコンポーネント %WinDir%\SYSTEM\USERINIT.EXE（28,672バイト） - ランチャー %WinDir%\SYSTEM32\EXPLORER.EXE（32,768バイト） - ランチャー ・以下のレジストリキーが改変されてシステム起動時にフックされます。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\ Current Version\Winlogon "Shell" ・改変前 Explorer.exe ・改変後 %WinDir%\SYSTEM32\EXPLORER.EXE ・また、以下のキーも改変されてシステム起動時にフックされます。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\ Current Version\Winlogon "Userinit" ・改変前 %WinDir%\SYSTEM32\USERINIT.EXE, ・改変後 %WinDir%\SYSTEM\USERINIT.EXE, ・また、システムが使用するデフォルトのファイルパスも改変され、EXPLORER.EXEコンポーネントがインストールされているディレクトリ名を持つ以下のキーの値を前に付加します。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Environment "Path"

感染方法	TOPへ戻る
・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

駆除方法	TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。 4.2.40エンジンでは再起動の必要なく検出を終了できますが、古いエンジンの場合、再起動が必要となります。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、現行のエンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。古いエンジンの場合、作成されたすべてのレジストリキーを削除できない可能性があります。 Windows ME/XPでの駆除についての補足