[KB6099] Win32/Zlader.Lマルウェアの影響を受けたフォルダの復元

注意事項

このページはコンピュータによって翻訳されています。このページの「言語」の「英語」をクリックすると、原文が表示されます。ご不明な点がございましたら、お近くのサポートまでお問い合わせください。

問題

  • ESET製品でWin32/Zlader.Lが検出される
  • ファイル共有上のフォルダが開かなくなったり、脅威アラートが起動しなくなったりする。影響を受けたフォルダがショートカット(.lnk ファイル)として表示される。

解決方法

Win32/Zlader.L はネットワーク共有に影響を与えます。この脅威は、フォルダの名前を変更して非表示にし、これらのフォルダを元のフォルダと同じ名前の .lnk ファイルに置き換えます。ファイル共有上のこれらのフォルダは開かなくなり、脅威の警告も表示されなくなります。

影響を受けるフォルダを復元するには、影響を受けるファイル共有をホストするサーバーで以下の手順を実行します:

  1. ショートカットファイルの所有者を確認し、感染している可能性のあるユーザーを特定します。ユーザーが感染している場合は、そのユーザーのワークステーションをネットワークから隔離する必要があります(これらのワークステーションでは、Win32/PSW.Papras や Win32/PSW.Fareit がよく見られます)。
  2. 感染したショートカット(.lnk)ファイルのプロパティをチェックし、悪意のあるファイルの存在を確認する(例として図1-1を参照)。悪意のあるファイルがシステム上に残っている場合は、そのファイルを削除する必要があります。Target」 フィールドの内容をコピーし、空のメモ帳ドキュメントに貼り付けることで、悪意のあるファイルの存在を確認できます。

    図 1-1
    クリックすると新しいウィンドウで拡大表示されます。

  3. Show hidden files or folders(隠しファイルまたは隠しフォルダを表示する)」を実行すると、次の形式の名前のフォルダが表示されます:{12345678-7891-1112-8475-141516451687}。これが元のフォルダです。

    図 1-2
    クリックすると新しいウィンドウで拡大表示されます。

  4. 最初のショートカットに
      1. ショートカットの名前を記録します。

      1. ショートカットのプロパティを確認します(右クリックしてコンテキストメニューからプロパティを 選択します)。最後の{GUID}は、上記のステップaで文書化した名前に戻す必要があるフォルダ([ターゲット]フィールド)です。

    1. フォルダの名前が正しく変更されたことを確認したら、対応するショートカットファイルを削除します(ファイルをごみ箱に送ることをお勧めします)。
    2. ステップ3で表示された隠しファイルを解除します。これを行うには、隠しフォルダを右クリックし、コンテキストメニューから[プロパティ] を選択し、[隠し]の横にあるチェックボックスを選択し、[OK]をクリックします。すべての隠しファイルまたは隠しフォルダについて、この手順を繰り返します。
    3. 悪意のあるショートカットファイルすべてについて、この手順を繰り返します。すべてのショートカットが悪意のあるものではない可能性があることに注意してください。
  5. コンピュータをスキャンします。ウイルス対策ソリューションをインストールしていない場合は、ESET Online Scannerを使用して無料でシステムをスキャンできます。または、ESETに連絡して、ESETビジネス製品の試用版について詳しく知ることもできます。

ESET AI Advisorとチャットでサポート