FAQ

Gumblar 感染は PDF と Flash ファイル（.pdf と .swf）経由で拡大し、ほとんどの場合、このようなファイルのコピーを作成する感染した FTP サーバーからダウンロードされます。

Adobe Acrobat Reader または Adobe Flash Player アプリケーションの脆弱性パッチを適用していない場合、.pdf および .swf ファイルのエクスプロイト経由で感染する可能性があります。保存されている FTP サーバーへの接続を検索することで、FTP サーバーのセキュリティは低下します。したがって、感染が除去された後は、パスワードを変更することをお勧めします。

Gumblar として知られるマルウェア感染は、トロイの木馬 Agent2.HYG、Defiler、トロイの木馬の変種 Exploit、あるいは Exploit.PDFとして、AVG で検出されます。

感染されたウェブページにアクセスした場合は、JS/Psyme が「Temporary Internet Files」フォルダに見つかる場合があります。JS/PsymeあるいはJS/Downloaderは、その ウェブページ に属するものであるため、 この感染を修復することはできません・

この感染を除去する最も簡単な方法は、Internet Explorerブラウザから一時ファイルを削除することです。以下の方法で削除することができます：

• Internet Explorerを起動します
• 「ツール」メニューをクリックします
• 「インターネットオプション...」アイテムを選択します
• 「ファイルの削除...」ボタンをクリックします
• 「すべてのオフライン コンテンツを削除する」オプションにチェックを付けます
• 「OK」ボタンをクリックして確定します
• 次に、完全検査を再度実行して、AVGが感染を検出しなくなったことを確認して下さい

場所と項目は、Internet Explorerのバージョンによって多少ことなる場合があります。

感染したウェブページに再度アクセスした場合は、AVGが繰り返し感染を検出する可能性があります。

AVG検査中にウィルスが検出され、ステータスが感染した埋め込みの場合、ウィルスファイルがアーカイブファイル（ZIP、RAR、CAB等）の一部であるか自己抽出アーカイブ（EXE）の一部であることを意味します。AVGは当然このファイルを検出しますが、データセキュリティのため、アーカイブから自動的にこのファイルを除去し、再度感染ファイルを含まずに圧縮したり自動的にウィルス隔離に移動することはできません。

ウィルス除去の場合、ユーザー連携方法を選択しました。

以下のステップに従い、この種のウィルスファイルを除去して下さい。

1. アーカイブのサイズが5MB以下の場合、ウィルス隔離に移動します。

検査結果を選択します（AVGを実行->選択 履歴メニュー->検査結果アイテムをクリック）検査結果で、感染の行をマークします（赤色のエクスクラメーションマークアイコンの行をクリックします）->ウィルス隔離へ移動ボタンを選択します。

2. アーカイブを削除します – アーカイブのサイズが5MB以上の場合は、ウィルス隔離へ移動することはできません。

アーカイブが重要なデータを含んでいないことを確認して下さい。

検査結果を選択します（AVGを実行->選択 履歴メニュー->検査結果アイテムをクリック）検査結果で、感染の行をマークします（グレイのエクスクラメーションマークアイコンの行をクリック）->ファイルに進むボタンを選択します。自動的にアーカイブファイルに移動し、名前を右クリックし、メニューの「削除」オプションを左クリックするとそれを削除できます。

ご注意下さい

アーカイブファイルを削除した場合は、削除済アーカイブファイルが除去された先のごみ箱も空にする必要があります。

• コンピュータのデスクトップのごみ箱アイコンをダブルクリックします。
• ファイルメニューのごみ箱を空にするオプションを選択します。

Windows NT/2000/XP/2003/XP Pro x64/2003 Server x64:

この場合、AVG レスキュー CD製品を使用することを推奨します（この製品に関する詳細な情報は、ここをクリックして下さい）。AVG レスキュー CDは基本的にWindows PEのプラットフォーム上での持ち運び可能なAVGの改良版です。起動可能なCDとして、例えば、重大なウィルス感染により、システムが通常の方法ではロードできない場合等におけるオペレーティングシステムのリカバリのために配布されています。最初はAVG レスキュー CDは、一時的なオペレーティングシステムをWindows PE版にロードし、AVGを実行します。そこで、ウィルスやスパイウェア検出、除去といった通常の方法でAVGが使用可能になります。

AVG レスキュー CD作成に関する詳細情報は、FAQ 491を参照して下さい。

• ウィルスエンサイクロペディアウェブページを確認し、検査結果で示されるウィルスの正確な名前を検索して下さい。
• これができない場合は、テクニカルサポート に問い合わせ、最新の検査結果のエクスポートを添付して下さい。
  

AVGプログラム（基本あるいは高度なインターフェース）を実行し、履歴メニューから検査結果を選択して下さい。ここで、完了した検査のリストが表示されるので、最新のもの（日付）をダブルクリックします。これで、感染したオブジェクトのパス、名前、ステータスを含む検出されたウィルス（該当する場合）の全リストを取得できます。開かれたら、「概要をファイルにエクスポート...」オプションをクリックして下さい。詳細な分析のためこのファイルをお送り下さい。

VCLEANER.EXEは、特定のウィルスとその変種を除去するために使用できます。詳細は、下記のウェブページをご参照下さい。

使用:

vcleaner.exeをダウンロードし、感染したコンピュータで実行します。

注意：ウイルスによっては、駆除処理中に活動を停止する可能性があります。この場合、vcleaner.exe を別の名前 (something.exe など) に変更してください。ウイルスに感染したコンピュータをセーフ モード (推奨) で再起動してから、ウイルス駆除ユーティリティを実行します。

また、他の除去ツールは上記のウェブページで入手できます。

AVG& システムをアップデートし、 完全コンピュータスキャン を再度実行してみて下さい。ファイルが検出されず、それでもなお疑わしい場合は、そのファイルをパスワード保護されたアーカイブに入れ（WinZip, WinRar, PowerArchive等を使用して）、このアーカイブを電子メールに添付し、virus@avg.com宛てに送信します。このファイルを送信する理由を説明し、電子メールにアーカイブのパスワードを記載します。電子メールを送信します。

AVG がPCのあるファイルを感染として検出した場合、このファイルはAVGウイルス隔離室に移動されます。このファイルが正常で、安全だということが確かである場合には、誤検出の可能性があります。
そのような場合は、弊社ではすぐに修正を行います。
残念ながら、誤検出はすべてのウイルス対策ソフトウェアで時々発生します。

問題を解決するために、このファイルをAVG プログラムから
以下の方法で分析に送信してください。

• AVGユーザーインターフェースを開きます。
• [履歴]メニューから[ウイルス隔離室]オプションを選択します。
• 偽陽性のファイルを右クリックし、コンテキストメニューから [分析に送信]オプションを選択します。
• メールアドレスを入力します。
• ダイアログを確認します。

このようにして、ファイルは弊社のウイルス専門家に分析のために送信され、結果が通知されます。

この FAQ トピックでは、通常は Antivirus 2009 感染とつながっている TDDSserv.sys/MSQPD*.sys に関するルートキット感染について説明しています。
この種の感染の場合、以下のような症状があります。

• 感染を除去するという偽のウィルス対策アプリケーション（例：Antivirus 2009、Antivirus XP）をユーザーに購入するように推奨する偽のポップアップ感染警告。
• デスクトップ背景が警告メッセージに変わり、元に戻すことができなくなります。
• タスクマネージャへのアクセスやレジストリエディタへのアクセスが無効化されます。
• インターネットブラウザでは、不正なウェブページにリダイレクトします。
• Windows のアップデートができなくなります（www.windowsupdate.com ページにアクセスできなくなります）。
• AVG をアップデートできなくなります。
• ルートキット対策スキャンを使用すると、システムフォルダの非表示のドライバまたはファイルとして AVG が感染を検出します。検出されるファイル名は「TDSS/MSQPD」で始まります。例えば、TDSSserv.sys、tdsslog.dll、TDSSl.dll, msqpdxserv.sys などです。

コンピュータが上記の感染を受けているようであれば、次の方法で感染を除去できます。

• AVGRTK_removerユーティリティをダウンロードします。
• ダウンロードしたアーカイブを新しいフォルダに抽出します。
• フォルダで AVGRTK_remover.vbs ファイルを見つけてください。
• このファイルをダブルクリックして実行します。
• 確認が表示されます。
• コンピュータを再起動します。
• AVGをアップデートします。
• AVG 完全スキャンを実行し、検出されたすべての感染を除去します。

このユーティリティを使用して、システム機能へのアクセスの無効化などの感染による副作用も除去することができます。一部の機能を利用できない場合は、上記の方法で再度ユーティリティを実行してください。

これで感染は完全に除去されました。問題が解決しない場合は、カスタマサービスまでお問い合わせください。

コンピュータが、Antivirus 360と呼ばれる偽のスパイウェア対策アプリケーションに感染することがあります。このアプリケーションは、通常のウイルス対策ソフトウェアアプリケーションのように見せかけて、実は実在するウイルス対策製品ベンダーの製品ではありません。このアプリケーションは、コンピュータで偽の脅威を警告し、アプリケーションの完全版を買わせようとするものです。残念ながら、支払いをしてしまっても、価値のあるサービスは一切提供されません。感染すると他の多くの症状を引き起こすことがあります。

• コンピュータ速度の低下
• 重要なシステムファイルの偽陽性
• 望ましくないポップアップウィンドウの表示
• 他のウイルスやトロイの木馬のコンピュータへのダウンロード

AVG プログラムでは、上記のアプリケーションの変種のほとんどを検出し、正常に削除できます。ただし、多くの新しいウイルスの変種が毎日発生しているため、AVG ではその一部を検出、削除できないことがあります。 上記の偽の Antivirus 360 アプリケーションに関する問題が発生したり、AVG プログラムでは問題を除去できない場合、以下の簡単な手順に従って、必要な情報すべてを弊社まで提出することで、問題を解決し、検出されない変種を AVG 検出機能に追加することをお願いいたします。

• 自動実行ユーティリティ出力
  • 以下のリンクをクリックして AvgProci ユーティリティをダウンロードします（ファイルをデスクトップに保存することをお勧めします）。
    avgproci_en.exe
  • ダウンロードしたファイルを実行し、画面上の指示に従って、診断出力を生成します。
• AVG テクニカルサポートに問い合わせる
  • AvgProci ツールをインストールしたフォルダにある runner.avgdxファイルを実行します。
  • 有効なメールアドレスを AVG 診断ツールの該当するフィールドに入力します。
  • 説明として、「Undetected Antivirus 360」あるいはこのような内容を明記してください。
  • [ファイルを添付] ボタンをクリックし、前の手順で作成した avgproci 診断出力（result.7zファイル）を添付します。
  • [結果の診断と送信] をクリックして、必要な情報すべてを AVG テクニカルサポートに送信してください。

AVG プログラムが重要なシステムファイルでウィルスを検出した場合は、自動的に削除されません。 この機能は OS を動かしている感染システムファイルを誤って削除しないように追加されています。

以下に重要なシステムファイルの例を示します。

• "%WINDOWS%\system32\winlogon.exe"
• "%WINDOWS%\system32\user32.dll"
• "%WINDOWS%\explorer.exe"

注: 変数 %Windows% は、C:\Windows フォルダを表しています。

システムファイルでウィルス感染が検出された場合は、システムのバックアップから感染したファイルを回復します。OS を前の状態に回復する方法の詳細については、次にある Microsoft のナレッジベースに記載されています。 

• Windows XP
  http://support.microsoft.com/kb/306084 
• Windows Vista
  http://windowshelp.microsoft.com/Windows/en-US/help/517d3b8e-3379-46c1-b479-05b30d6fb3f01033.mspx

感染が発生し続ける場合、メニューにある [AVG ヘルプ] オプションの[オンラインヘルプ] から AVG テクニカルサポートチームまでお問い合わせください。AVG カスタマーサービスへの問い合わせに関する詳細は、FAQ 1467 – カスタマーサービスに問い合わせる方法を参照してください。