RTKT_DOTTUN.VTH

マルウェアのファイルの確認および削除：

• Windows XP および Server 2003 の場合：

1. 最新のバージョン（エンジン、パターンファイル）を導入したセキュリティ対策製品を用いてウイルス検索を実行し、検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
2. [スタート]-[ファイル名を指定して実行]を選択し、"secpol.msc" と入力し、Enter を押します。
3. 左側のパネルにある [ローカル ポリシー]-[セキュリティ オプション] をダブルクリックします。
4. 右側のパネルにある [回復コンソール：すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する] をダブルクリックします。
5. [有効] を選択し、[OK] をクリックします。
6. Windows のインストール CD を使用して、コンピュータを再起動します。
7. [セットアップへようこそ] 画面で、修復の R キーを押します。
8. キーボードを選択します。
9. 修復する Windows がインストールされているドライブを選択します（通常は 1 を選択します）。
10. 管理者のパスワードを入力し、Enter を押します。管理者パスワードがない場合は、何も入力せずにEnter を押します。
11. 以下のコマンドを入力し、Enter を押します。
    SET AllowAllPaths = TRUE
    del "＜上記で確認したマルウェアのパス名およびファイル名＞"
    ※del と "＜上記で確認したマルウェアのパス名およびファイル名＞" の間に半角スペースを入れてください。
12. コマンドプロンプトに exit と入力し、コンピュータを通常どおり再起動してください。

• Windows Vista、7 および Server 2008 の場合：

1. Windows のインストールDVDを使用して、コンピュータを再起動します。
2. インストールDVDによっては、インストール言語の選択が必要な場合があります。その場合、Windowsのインストールウィンドウで、言語、ロケール、キーボードレイアウトや入力方法を選択します。[次へ]-[コンピューターの修復]をクリックします。
3. [Windowsの起動に伴う問題の修復用の回復ツールを使用します。]を選択。インストールされたWindowsを選択し、[次へ]をクリックします。
4. [スタートアップ修復]ウィンドウが表示される場合、[キャンセル]－[はい]－[終了]をクリックします。
5. [詳細オプション]－[コマンドプロンプト]を選択。[コマンドプロンプト]ウィンドウで、以下を入力し、Enterを押します。
   BootRec.exe /fixmbr
   del "＜上記で確認したマルウェアのパス名およびファイル名＞"
   ※del と "＜上記で確認したマルウェアのパス名およびファイル名＞" の間に半角スペースを入れてください。
6. 上記で検出されたすべてのファイルについてこの手順を繰り返します。
7. exitを入力し、Enterを押し、コマンドプロンプト画面を閉じます。
8. [再起動]をクリックし、コンピュータを通常起動します。

• Windows 8、8.1 および Server 2012 の場合：

1. Windows のインストールDVDを使用して、コンピュータを再起動します。
2. インストールDVDによっては、インストール言語の選択が必要な場合があります。その場合、Windowsのインストールウィンドウで、言語、ロケール、キーボードレイアウトや入力方法を選択します。[次へ]-[コンピューターの修復]をクリックします。
3. [トラブルシューティング]－[詳細オプション]－[コマンドプロンプト]を選択。[コマンドプロンプト]ウィンドウで、以下を入力し、Enterを押します。
   BootRec.exe /fixmbr
   del "＜上記で確認したマルウェアのパス名およびファイル名＞"
   ※del と "＜上記で確認したマルウェアのパス名およびファイル名＞" の間に半角スペースを入れてください。
4. 上記で検出されたすべてのファイルについてこの手順を繰り返します。
5. exitを入力し、Enterを押し、コマンドプロンプト画面を閉じます。
6. [再起動]をクリックし、コンピュータを通常起動します。

セーフモードでの起動：

• Windows 2000 の場合：

1. コンピュータを起動させます。
2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

1. コンピュータを起動させます。
2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

1. コンピュータを起動させます。
2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

1. コンピュータを起動させます。
2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
3. 「詳細ブート オプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

1. 画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
2. マウスで、[設定]－[PC設定の変更]を選択します。
3. 左側のパネルで、[全般]を選択します。
4. 右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
5. [オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
6. [スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

このマルウェアが追加したレジストリキーの削除：

1. 「レジストリエディタ」を起動します。
   • Windows 2000、XP および Server 2003 の場合：
     [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
   • Windows Vista、7 および Server 2008 の場合：
     [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
   • Windows 8、8.1 および Server 2012 の場合：
     画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
   ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
• HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\MSNDSRV
• HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\MSNDSRV
• HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\MemSubSys
2. 「レジストリエディタ」を閉じます。

マルウェアのコンポーネントファイルの削除：