BKDR_IESER.Aに感染

BKDR_IESER.Aに感染してしまいました！
処理できず困っています。対応策を教えてください！！

No.1 回答者： noname#10679 回答日時： 2004/12/31 17:00

【BKDR_IESER.A】

ウィルバスターを使用している場合
【TROJ_IESER.A】らしいです
日本語の説明HPが見つからないので
海外の参考サイトHPです
http://www.trendmicro.com/vinfo/virusencyclo/def …

ブラウザーのツールバー強制取り付き又は
強制ホームページ変更の場合は下記を参考にしてね
http://www.higaitaisaku.com/

http://www.higaitaisaku.com/database/database.cg …

参考URL：http://www.trendmicro.com/vinfo/virusencyclo/def …

この回答への補足

ありがとうございます。でもせっかく教えていただいたのですが英語が・・・そしてPCにもそんなに詳しくないのですが・・・。
もしよろしければ具体的にどうすればいいか教えていただけると幸いです。

補足日時：2004/12/31 17:07

No.2 回答者： syunmaru 回答日時： 2004/12/31 17:14

翻訳ソフトで、翻訳しました。

参考にしてください。

Overview
概要 Technical Details
技術的な詳細

QUICK LINKS Solution | Understanding New Pattern Format
速い関連解決手段|理解がある新しいパターン・フォーマット

--------------------------------------------------
Virus type: Backdoor
ウイルス・タイプ：裏口

Destructive: No
破壊的な：いいえ

Aliases: APP:Adware-Isearch, Trojan-Downloader.Win32.Ieser.a, W32/Downloader.YQ, TrojanDownloader.Win32.Ieser.A
エイリアス：アプリ：Adware-Isearch、トロイのDownloader.Win32.Ieser.a、W32/Downloader.YQ、TrojanDownloader.Win32.Ieser.A

Pattern file needed: 2.326.04
必要とされるパターン・ファイル：2.326.04

Scan engine needed: 6.810
必要とされる走査エンジン：6.810

Overall risk rating:
全体的な危険評価： Low
低く

--------------------------------------------------
Reported infections:
伝染病を報告した： Low
低く

Damage Potential:
損害可能性： High
高さ

Distribution Potential:
配布可能性： Low
低く
--------------------------------------------------
Description:
記述：
This Trojan arrives as a .DLL file that acts as a Browser Helper Object (BHO). As a BHO, this Trojan may redirect browser addresses to the site http://toolbar.isearch.com/bundle/update.php?h=.
ブラウザ・ヘルパー物（BHO）の働きをする.DLLファイルとして、この勇士は、到着する。BHOとして、この勇士は、ブラウザ・アドレスをサイトhttp://toolbar.isearch.com/bundle/update.php?h=にリダイレクトするかもしれない。

It may also download updated versions of itself from http://toolbar.isearch.com/bundle/update.exe. The downloaded file is then saved in the following path:
それは、また、http://toolbar.isearch.com/bundle/update.exeからそれ自体の更新されたバージョンをダウンロードするかもしれない。ダウンロードされたファイルは、それから以下の道で保存される：

C:\Documents and Settings\<user name>\My Documents\Sources\iSearch Applications\BHO Download & Update\_IEBrowserHelper.pas
C:\Documents そして、Settings\<ユーザーname> \My Documents\Sources\iSearch Applications\BHOは、& Update\_IEBrowserHelper.pasをダウンロードする
This Trojan executes on browsers running on Windows 95, 98, ME, NT, 2000, and XP platforms.
この勇士は、Windows 95（98）上で動作しているブラウザで私、NT、2000とXPプラットホームを実行する。

Solution:
解決手段：
Note: Since this malware executes every time a browser window is opened, first close all browser windows before performing the clean solution below.
注：このmalwareがブラウザ・ウインドウが開けられるというあらゆる時を実行するので、最初に、きれいな解決を下で実行する前に、全てのブラウザ・ウインドウを閉じなさい。

Removing Autostart Entries from the Registry
レジストリからオートスタート・エントリを取り除くこと

Removing autostart entries from the registry prevents the malware from executing at startup.
レジストリからオートスタート・エントリを取り除くことは、malwareが起動時に実行するのを防ぐ。

Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
開いたレジストリ・エディタ。Start>走力（タイプREGEDIT）をクリックしなさい、そして、プレスは入る。
In the left panel, double-click the following:
左のパネルにおいて、以下をダブルクリックしなさい：
HKEY_CLASSES_ROOT>CLSID
HKEY_CLASSES_ROOT> CLSID
Still in the left panel, locate and delete the entry:
しかし左では、パネルはエントリを見つけて、削除する：
{5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993}
｛5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993｝
Again in the left panel, double-click the following:
左のパネル（ダブルクリック以下）の中の、再び：
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>
HKEY_LOCAL_MACHINE> Software> Microsoft> Windows> CurrentVersion>
Explorer>Browser Helper Objects>
Explorer>ブラウザ・ヘルパーObjects>
Still in the left panel, locate and delete the entry:
しかし左では、パネルはエントリを見つけて、削除する：
{5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993}
｛5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993｝
Close Registry Editor.
親しいレジストリ編集者。

--------------------------------------------------
NOTE: If you were not able to terminate the malware process as described in the previous procedure, restart your system.
注：前の手順において述べられるように、あなたがmalwareプロセスを終了することができないならば、あなたのシステムを再開しなさい。
Additional Windows ME/XP Cleaning Instructions
付加的なWindows ME/XP掃除指示

Users running Windows ME and XP must disable System Restore to allow full scanning of infected systems.
Windows MEとXPを走らせているユーザーは、感染するシステムの完全なスキャンを許すためにSystem Restoreを働かなくしなければならない。

Users running other Windows versions can proceed with the succeeding procedure set(s).
他のWindows版を走らせているユーザーは、後続する手順set(s)を続行することができる。

Running Trend Micro Antivirus
走っている傾向ミクロのアンチ・ウィルス

Scan your system with Trend Micro antivirus and delete all files detected as TROJ_IESER.A. To do this, Trend Micro customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, Trend Micro’s online virus scanner.
傾向ミクロのアンチ・ウィルスであなたのシステムを調べなさい、そして、TROJ_IESER.Aとして見つけられる全てのファイルを削除しなさい。こうするために、傾向ミクロの顧客は、最新のパターン・ファイルをダウンロードしなければならなくて、彼らのシステムを調べなければならない。他のインターネット利用者は、HouseCall（傾向Micro’sオンライン・ウイルス・スキャナ）を使うことができる。

Trend Micro offers best-of-breed antivirus and content-security solutions for your corporate network, small and medium business or home PC.
ミクロの傾向は、最高品質のアンチ・ウィルスと内容-セキュリティ・ソリューションをあなたの会社ネットワーク、小規模で中程度のビジネスまたは家庭用ＰＣに対して提供する。

For additional information about this threat, see Technical Details.
この脅威に関する付加的な情報のために、技術的な詳細を見なさい。

No.3 回答者： noname#10679 回答日時： 2004/12/31 18:06

もう少し詳細な情報がなければ、より良い情報が

書き込めません

>具体的にどうすればいいか・・・
日本語のHPが見つからないので、英語のHPの説明
内容で症状は合っていますか?
スパイ関係の場合は下記の参考サイトHPで調べる
ここに対応方法が色々載っています
http://www.higaitaisaku.com/

>英語が・・・そしてPCにもそんなに・・
簡易翻訳はANo.#2さんが載せてくれた内容を確認
して下さい。
内容を読むとスパイウェア、アドウェア類に属する
ウイルスのようです
PCに詳しくない場合
パソコン付属の説明書を調べてリカバリー方法に
ついて確認して下さい。
リカバリーすれば、購入時の状態に戻せます
ただし、個人のデーターは消えますので
データーのバックアップをおこなって下さい

その他
【トレンドマイクロ社】
サポートセンター受付のHPから問い合わせをして
正確な情報を確認して下さい。
http://inet.trendmicro.co.jp/esolution/supform.asp
(トレンドからの返事が多分にかなり後になります)

No.4 回答者： noname#10679 回答日時： 2004/12/31 18:12

isearchツールバーの場合

参考サイトHPです。
http://okweb.jp/kotaeru.php3?q=817149

参考URL：http://okweb.jp/kotaeru.php3?q=817149

No.5 回答者： noname#10679 回答日時： 2004/12/31 18:15

シマンテック社の場合

【Spyware.ISearch】
http://www.symantec.com/region/jp/avcenter/venc/ …

ここは日本語の説明です。
使用しているウイルス対策ソフトが違う場合は
対応方法に違いが出ますので注意して下さい

参考URL：http://www.symantec.com/region/jp/avcenter/venc/ …

No.6 ベストアンサー 回答者： Baran 回答日時： 2004/12/31 18:24

英語情報だけでは分かり辛いでしょうから、僕が具体的に説明しましょう。

文章だけなので、視覚的に説明することは難しいですが、解決の糸口に利用して頂ければ幸いです。


■レジストリエディタを開く

・[スタート]-[ファイル名を指定して実行]を起動し、「regedit」と入力。
・レジストリエディタという左右に画面が分かれたウインドウが出てくる。

■レジストリのBACKUPを作成

・レジストリエディタは、Windowsの重要な領域を操作するので、万が一の為にバックアップを作成します。
・上部のメニューバーから、[ファイル]-[エクスポート]の順でクリックする。
　※OSによっては、[レジストリ]-[レジストリファイルの書き出し]の手順の場合もある。
・保存する場所をデスクトップにし、ファイル名を「registory」とする。
・下部の"エクスポート範囲"（OSによっては"書き出し範囲"となる）を全てにチェックして、[保存]をクリック。

■レジストリキーを削除。No.1

・ここからの作業が一番難しい操作なので、よく確認して下さい。

・左側のパネルから[HKEY_CLASSES_ROOT]を見て、＋マークをクリック。
　すると＋が－に切り替わり、"HKEY_CLASSES_ROOT"の直下にズラっと項目が並んで来る。

・その中から[CLSID]を探し出し、同じように＋をクリック。

・更に"CLSID"の直下にある、{5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993}　を右クリックして、[削除]をクリック。警告が出たら[はい]をクリック。

・これまでの手順で＋を－にしたが、今度は逆に－にしたものを全て＋に戻していく。


■レジストリキーを削除。No.2

・NO.1の手順と同じような手順です。

・[HKEY_LOCAL_MACHINE]の＋を－にし、更に下記の順序で－にしていく。

・[Software] → [Microsoft] → [Windows] → [CurrentVersion] → [Explorer] → [Browser Helper Objects]

・最後に－にした"Browser Helper Objects"の直下にある、{5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} を
　右クリックして[削除]をクリック。警告が出たら[はい]をクリック。

・これまでの手順で＋を－にしたが、今度は逆に－にしたものを全て＋に戻していく。
・その後パソコンを再起動する。


■ウイルスバスターで隔離させる

・ウイルスバスターを起動し、アップデートさせて最新版にする。
・ウイルス検索をすることによって、目的のウイルスが隔離されればもう安全です。

この回答への補足

ありがとうございます。
ウイルスバスターは最新版にアップデートされています。
間違えたりしないかちょっと不安ですが、上記の方法を試してみようと思います。
この「BKDR_IESER.A」というウイルスはトレンドマイクロのHPでも見つからないということは新しいものなのでしょうか？

補足日時：2004/12/31 19:25

No.7 回答者： noname#10679 回答日時： 2004/12/31 18:30

★【情報検索方法】

検索する単語、用語、造語、関連情報語句などが
解かれば、下記参考サイトで検索して見て下さい
例(isearch)の場合
http://okweb.jp/
で検索すると関連情報が表示されます
(過去質問にずばり当たればビンゴ)

定番検索サイト
http://www.google.co.jp/

ここは表示情報が多すぎで訳わかりません(笑
日本語ページを検索する表示された上位20件位は
確認の為読んでみる
調べる場合は100件くらい見る(調べるのに疲れる)
英語が翻訳できる場合がある

この回答への補足

いろいろありがとうございます。
ウイルスバスターで「BKDR_IESER.A」に感染しているとメッセージが出てしまったのでgoogle、yahooなどでこの名前を検索していたのですが見つけられずokwebに頼ることにしました。

補足日時：2004/12/31 19:27

No.8 回答者： syunmaru 回答日時： 2004/12/31 19:52

>ウイルスバスターは最新版にアップデートされています。

間違えたりしないかちょっと不安ですが、上記の方法を試してみようと思います。
この「BKDR_IESER.A」というウイルスはトレンドマイクロのHPでも見つからないということは新しいものなのでしょうか？

英語サイトにしか無いと言う事は、新しいウィルスです。

トレンドマイクロに、メールして、日本語サイトに無いのはおかしいので、日本語サイトに、掲載してください。
と、言ってください。

そうすると、載せてくれます。

NO.6さんが、具体的に書いてくださいましたので、試して見てください。

駆除しない事には、始まりません。

これからのウィルスは、巧妙ですから、レジストリエディタの使い方を覚えましょう。

レジストリは、Windowsの情報を、バイナリファイルの形で、管理しています。

普通のテキストエディタとか、バイナリエディタで見ても、理解出来ません。

ですから、レジストリエディタと言う形で、標準に、装備されています。

簡単解説の本も売っていますから、使い方をマスターしてください。

どうしても、無理でしたら、大事なデーターをバックアップして、リカバリーしか有りません。

リカバリーをすれば、ウィルスも消えます。

頑張ってくださいね。(*^_^*)

この回答への補足

回答をいただいてからずいぶん時間がたってしまい申し訳ないのですが、今NO.6の方が書いてくださった手順で操作をしましたが、{5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993}を削除しようとすると「削除中にエラーが発生しました」というメッセージが出てしまいます。

補足日時：2004/12/31 23:17

No.9 回答者： noname#10679 回答日時： 2004/12/31 20:18

トレンドマイクロ社のバスターで検査しても

見つからない場合、他社で検査をする方法
他社のウイルス名で詳細情報がわかる場合があります

【オンライン検査】
★シマンテック社
http://security.symantec.com/ssc/home.asp?j=1&la …

http://www.symantec.com/region/jp/securitycheck/ …

★マカフィー社
http://jp.mcafee.com/root/mfs/default.asp?cid=9992

上記検査で見つかれば、そのサイトの会社HPで検索
http://www.symantec.com/region/jp/sarcj/vinfodb. …

http://www.mcafeesecurity.com/japan/security/vli …

来年はウイルスに感染しないようにね

No.10 回答者： syunmaru 回答日時： 2004/12/31 23:45

削除出来ない時の削除方法は、セーフモードで、起動して削除してください。

削除出来ると思います。

電源を入れたら、F8キーです。

トントントントンと、押してください。

変わった画面が出ましたら、Safe Modeを選んでください。

この回答への補足

セーフモードを選んだら真っ黒な画面に左上にカーソルキーが点滅したまま進まなくなってしまいました。
ハードは動いているみたいです。一度電源を切ってしまっても大丈夫でしょうか？
XPです。

補足日時：2005/01/01 00:23