検出した場合の対処方法

常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより二次感染、三次感染を防げます。また、自分が作成したデータなどに感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータに戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。（検出したファイル自身がウイルスそのものである場合は、削除を行ってください）

駆除もしくは削除後、再起動すると再び同じウイルスによって活動が発生する場合は、システムをセーフモードで起動し、検査および駆除・削除を実施してください。

解説での表記（用語）について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。
%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入（インストレーション）について

Win32/PSW.OnLineGames.NNT トロイが実行されると、自分自身を %system% へ次のファイル名でコピーします。

mmvo.exe

mmvo%number%.dll

uveyg.dll %variable%.sys

%system%\mmvo%number%.dll

[HKEY_CURRENT_USER\SoftWare\Microsoft\ Windows\CurrentVersion\Run] "mmva" = "%system%\mmvo.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden" = 2 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden" = 0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced \Folder\Hidden\SHOWALL] "CheckedValue" = 0 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun" = 91

■拡散について

トロイは、次のファイル名でハードディスクやリムーバブルメディアのルートフォルダに自分自身をコピーします。

uevr.cmd

autorun.inf

■情報の盗難について

トロイは、オンラインコンピューターゲームのさまざまな情報を集めます。その際、トロイは次のプロセスに関連した情報を集めます。

Ragexe.exe lin.bin YPagerj.exe YahooWidgetEngine.exe pol.exe

■その他の情報

トロイは、インターネットからファイルをダウンロードして実行します。ファイルは、%temp% に保存されます。
トロイは、インターネットもしくはリモート コンピューターからコマントでデータを送信します。
トロイは、URLのリストを持っています。
さらに、若干のセキュリティに関連したアプリケーションの作用を変えます。その際、ルートキットの技術を使用します。