CnsMin（China Keyword） - JWORDに感染してみました（2003）♪

　JWordを削除するためには、コントロールパネルから[プログラムの追加と削除]を開いてアンインストールする方法が、一番安全みたいです。

　このページの情報は今では最新ではありません、でも資料として残しておきます。

　詳しい情報はこちらにまとめています、ご覧ください
　CnsMin（China Keyword） - JWORDに感染してみました♪ Part2

　準備ができました、感染させてみましょう♪
　インストール直後のWindows 2000（パッチ無し）のInternet Explorerの設定を[低]にしてみました。
　www.JWord.jpに接続しますと、「日本語キーワード機能を使用可能にしますか？」というダイアログが出てきます。
　「いいえ」を選択しますと、新規に作成されたファイルは何もないようです。
　「はい」なら、C:\WINNT\Download Program FilesにCH ClassというActive Xコントロールが作成されます。またInternet Explorerの[オプション] - [詳細設定] に [日本語キーワード]という項目ができました。

　[スタート] - [検索] - [C:\WINNT\Downloaded Program Files]で検索しても、直接フォルダを開いても、「CnsMin.dll（本体です）」は見つかりません（謎
　でもコマンドプロンプトから、[dir "C:\WINNT\Downloaded Program Files]と入力してみると、ちゃんと関連ファイルが作成されています。

　CドライブにAという名前のフォルダを作成して、ここに新しく作成されたファイルをコピーしてみましょう。コマンドプロンプトから[xcopy "C:\WINNT\Downloaded Program Files" C:\A]と入力して実行。12個のファイルが新規に作成されています。

　さて、駆除作業を開始しましょう♪
　Windowsをセーフモードで起動してみます。
　デスクトップのAd-Awareのアイコンをクリックして起動して、またスキャンしてみます。
　何かたくさん見つかってます。でも駆除に失敗しました・・・しくしく。
　レジストリのキーがいくつか、そしてC:\WINNT\Downloaded Program Files\cnsil.dllが削除できません。

　コマンドプロンプトから
　[cd "C:\WNNNT\Downloaded Program Files]
　[del *.*]
　「アクセスが拒否されました」という表示で、CnsMin.dll、CnsMinIO.dll、CnsMinSV.dll、cnsil.dllが削除できません・・・
　[dir]で確かめてみると、しっかりと残っています。しかも[3721]というフォルダまでできています・・・

　[attrib -R -A -S -H /S "C:\WINNT\Downloaded Program Files]（メモし忘れましたけど、確かこのように入力しました）のあと。
　どこかのフォルダを開き、エクスプローラーのアドレス欄に[C:\WINNT\Downloaded Program Files\3721]と入力してEnterキー。そして「一つ上の階層へ」のボタンを押します。
　やっと表示されました。疲れます・・・
　でも削除できません。とりあえず今回はあきらめます・・・

　駆除方法を切り分けてみることにしました。ファイルはReboot File Deleterで削除、レジストリの修復はAd-awareで実行してみます。

　まず感染していないパソコン（Windows 2000インストール直後）を用意しました。そしてInternet Explorerの設定を[低]にします。
　Ad-awareをインストールして、定義ファイルを最新にしました。
　Reboot File Deleterをダウンロードしておきます。

　jwordを閲覧して、感染させておきました。そして再起動。
　コマンドプロンプトから[cd "C:\WNNNT\Downloaded Program Files"]、そして[dir]。
　3721というフォルダもあるのに、エクスプローラーのアドレス欄に[C:\WNNNT\Downloaded Program Files\3721]と入力しても「そんなフォルダありません」という表示が出るだけです。

　C:\WNNNT\Downloaded Program Filesにコマンドプロンプトの[MD]コマンドで新しいフォルダを作成しても、新しく作成したフォルダにはアクセスできません。

　コマンドプロンプトから。
　[cd "C:\WNNNT\Downloaded Program Files"]と入力。カレントフォルダ（現在のフォルダ）を[C:\]から[C:\WNNNT\Downloaded Program Files]に移動します。
　そして[del *.*]と入力。
　5ファイルが「アクセスが拒否されました」という表示がでました。
　どこかのフォルダを開き、アドレス欄に[C:\WNNNT\Downloaded Program Files\3721]と入力。やっと3721フォルダの中に入れました！そして[上へ]を押します。このような画面が表示されました。
　3721フォルダはそのままマウスで右クリックで選択して削除できました（Reboot File Deleterはフォルダの削除はできないのです）。そして残りの5つのファイルを、Reboot File Deleterの削除リストに登録します。 　再起動後、警告画面が出ます。これはWindows起動時にCnsMin.dllを呼び出すようにレジストリに登録されていたけど、目的のファイルが見つからなかったという意味です。無視して[OK]を押してください。 　念のため[dir "C:\WINNT\Downloaded Program Files"]で確かめたら、ファイルは全て削除されていました。あとはレジストリをAd-awareで修復するだけです。
　Ad-awareのスキャンの結果、レジストリのキーなどしか検出されず、ファイル類はありませんでした。

　駆除できましたけど、とってもとっても疲れました・・・

　Ad-awareをインストールして、定義ファイルを最新にしました。そしてReboot File Deleterをダウンロードしてきます。C:\WINNT\Downloaded Program Filesの中身を、Internet Explorereの[プロパティ] - [全般] - [設定] - [オブジェクトの表示]から削除します。

　コマンドプロンプトから[dir "C:\WINNT\Downloaded Program Files"と入力してみます（コマンドプロンプトは[スタート] - [プログラム] - [アクセサリ] -[コマンドプロンプト]から起動します）。まだDownloaded Program Filesフォルダの中身は空です。 　準備ができました、JWordに感染させてみます♪
　感染後にファイルが作成されているのを確認してみます。 　この時点では[C:\WINNT\Downloaded Program Files]フォルダを開いても、見えるのはCH Class（JWord閲覧時に作成）だけです。 　コマンドプロンプトのATTRIBコマンドを使ってみます。[attrib -s -h -r "C:\WINNT\Downloaded Program Files"]と入力してみます（[-s]はシステム属性（System）の解除、[-h]は隠しファイル属性（Hidden）の解除、[-r]は読み取り専用属性（Read Only）の解除です）。
　これでC:\WINNT\Downloaded Program Filesフォルダにファイルが表示されるようになりました。 　ひとつひとつ削除してみても、うまく削除できないファイルもあります。あとはReboot File Deleterで処理してみます。Reboot File Deleterのリストボックスにファイルをドロップして登録してから、パソコンを再起動します。 　再起動後にダイアログが出ます。無視しましょう。 　Ad-Awareでスキャンしてみます。検出されたのはレジストリに登録されているキーだけでした。左のボックスにチェックを入れて、Nextを押して削除しましょう♪

　削除成功です