PUA.Win32.OfferCast.AUSWN
別名:
UDS:WebToolbar.Win32.Asparnet.gen (KASPERSKY)
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
マルウェアタイプ:
潜在的に迷惑なアプリケーション
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
プログラムは、ワーム活動の機能を備えていません。
プログラムは、バックドア活動の機能を備えていません。
プログラムは、情報収集する機能を備えていません。
詳細
ファイルサイズ 2,570,096 bytes
タイプ EXE
メモリ常駐 なし
発見日 2022年10月20日
ペイロード URLまたはIPアドレスに接続
侵入方法
プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
プログラムは、以下のファイルを作成します。
- Dropped by %User Temp%\is-{5 Random Characters}.tmp\{Grayware File Name}.tmp:
- %User Temp%\is-{5 Random Characters}.tmp\_isetup\_shfoldr.dll
- %User Temp%\is-{5 Random Characters}.tmp\Offercast391_ARS_.exe → Detected as PUA.Win32.AppBundler.A
- %User Temp%\is-{5 Random Characters}.tmp\Setup.exe
- Dropped by %User Temp%\is-{5 Random Characters}.tmp\Offercast391_ARS_.exe:
- %User Temp%\oc_{5 Random Characters}.tmp
- %User Temp%\oc_{5 Random Characters}\OCDLL.dll
- %User Temp%\oc_{5 Random Characters}.tmp
- %User Temp%\oc_{5 Random Characters}\IEOS.dll
- %User Temp%\oc_{5 Random Characters}\Start.htm
- %User Temp%\oc_{5 Random Characters}\apnanalytic.js
- %User Temp%\oc_{5 Random Characters}\download.htm
- %User Temp%\oc_{5 Random Characters}\embeddownload.htm
- %User Temp%\oc_{5 Random Characters}\embedmasterrule.js
- %User Temp%\oc_{5 Random Characters}\embedoffer2xtemplate.htm
- %User Temp%\oc_{5 Random Characters}\embedorchestrator.htm
- %User Temp%\oc_{5 Random Characters}\images\CRPrimary2.png
- %User Temp%\oc_{5 Random Characters}\images\CRSaturation1.png
- %User Temp%\oc_{5 Random Characters}\images\FFPrimary2.png
- %User Temp%\oc_{5 Random Characters}\images\FFSaturation1.png
- %User Temp%\oc_{5 Random Characters}\images\IEPrimary2.png
- %User Temp%\oc_{5 Random Characters}\images\IESaturation1.png
- %User Temp%\oc_{5 Random Characters}\images\wait_animation.gif
- %User Temp%\oc_{5 Random Characters}\masterrule.js
- %User Temp%\oc_{5 Random Characters}\ocerror.js
- %User Temp%\oc_{5 Random Characters}\offer2xtemplate.htm
- %User Temp%\oc_{5 Random Characters}\offerlist.js
- %User Temp%\oc_{5 Random Characters}\orchestrator.htm
- %User Temp%\oc_{5 Random Characters}\prefetch.htm
- %User Temp%\oc_{5 Random Characters}\progress.htm
- %User Temp%\oc_{5 Random Characters}\reboot.htm
- %User Temp%\oc_{5 Random Characters}\scrolltext.xml
- %User Temp%\oc_{5 Random Characters}\wait_animation.gif
- %User Temp%\oc_{5 Random Characters}\upgrade.zip
- %User Temp%\oc_{5 Random Characters}\upgrade\upgrade\remoteapnanalytic.js
- %User Temp%\oc_{5 Random Characters}\upgrade\remoteapnanalytic.js
- Dropped by %User Temp%\is-{5 Random Characters}.tmp\Setup.exe:
- %Program Files%\Acro Software\CutePDF Writer\README.HTM
- %Program Files%\Acro Software\CutePDF Writer\PDFWrite.rsp
- %Program Files%\Acro Software\CutePDF Writer\CuteEdit.ico
- %Program Files%\Acro Software\CutePDF Writer\CPWSave.exe
- %Program Files%\Acro Software\CutePDF Writer\uninscpw.exe
- %System%\spool\drivers\w32x86\CUTEPDFW.PPD
- %System%\spool\drivers\w32x86\PSCRIPT5.DLL
- %System%\spool\drivers\w32x86\PS5UI.DLL
- %System%\spool\drivers\w32x86\PSCRIPT.HLP
- %System%\spool\drivers\w32x86\PSCRIPT.NTF
- %System%\cpwmon2k.dll
- %Common Programs%\CutePDF\PDF Writer\Readme.lnk
- %User Temp%\converter.exe
- Dropped by %User Temp%\converter.exe:
- %Program Files%\GPLGS\acctest.ps
- %Program Files%\GPLGS\addxchar.ps
- %Program Files%\GPLGS\afmdiff.awk
- %Program Files%\GPLGS\align.ps
- %Program Files%\GPLGS\bj8.rpd
- %Program Files%\GPLGS\bj8gc12f.upp
- %Program Files%\GPLGS\bj8hg12f.upp
- %Program Files%\GPLGS\bj8oh06n.upp
- %Program Files%\GPLGS\bj8pa06n.upp
- %Program Files%\GPLGS\bj8pp12f.upp
- %Program Files%\GPLGS\bj8ts06n.upp
- %Program Files%\GPLGS\bjc610a0.upp
- %Program Files%\GPLGS\bjc610a1.upp
- %Program Files%\GPLGS\bjc610a2.upp
- %Program Files%\GPLGS\bjc610a3.upp
- %Program Files%\GPLGS\bjc610a4.upp
- %Program Files%\GPLGS\bjc610a5.upp
- %Program Files%\GPLGS\bjc610a6.upp
- %Program Files%\GPLGS\bjc610a7.upp
- %Program Files%\GPLGS\bjc610a8.upp
- %Program Files%\GPLGS\bjc610b1.upp
- %Program Files%\GPLGS\bjc610b2.upp
- %Program Files%\GPLGS\bjc610b3.upp
- %Program Files%\GPLGS\bjc610b4.upp
- %Program Files%\GPLGS\bjc610b6.upp
- %Program Files%\GPLGS\bjc610b7.upp
- %Program Files%\GPLGS\bjc610b8.upp
- %Program Files%\GPLGS\caption.ps
- %Program Files%\GPLGS\cat.ps
- %Program Files%\GPLGS\cbjc600.ppd
- %Program Files%\GPLGS\cbjc800.ppd
- %Program Files%\GPLGS\cdj550.upp
- %Program Files%\GPLGS\cdj690.upp
- %Program Files%\GPLGS\cdj690ec.upp
- %Program Files%\GPLGS\cid2code.ps
- %Program Files%\GPLGS\cidfmap
- %Program Files%\GPLGS\decrypt.ps
- %Program Files%\GPLGS\dnj750c.upp
- %Program Files%\GPLGS\dnj750m.upp
- %Program Files%\GPLGS\docie.ps
- %Program Files%\GPLGS\dvipdf
- %Program Files%\GPLGS\EndOfTask.ps
- %Program Files%\GPLGS\eps2eps
- %Program Files%\GPLGS\eps2eps.bat
- %Program Files%\GPLGS\eps2eps.cmd
- %Program Files%\GPLGS\FAPIconfig-FCO
- %Program Files%\GPLGS\FCOfontmap-PCLPS3
- %Program Files%\GPLGS\FCOfontmap-PS3
- %Program Files%\GPLGS\font2c
- %Program Files%\GPLGS\font2c.bat
- %Program Files%\GPLGS\font2c.cmd
- %Program Files%\GPLGS\font2c.ps
- %Program Files%\GPLGS\font2pcl.ps
- %Program Files%\GPLGS\Fontmap.ATB
- %Program Files%\GPLGS\Fontmap.ATM
- %Program Files%\GPLGS\Fontmap.OS2
- %Program Files%\GPLGS\Fontmap.OSF
- %Program Files%\GPLGS\Fontmap.SGI
- %Program Files%\GPLGS\Fontmap.Sol
- %Program Files%\GPLGS\Fontmap.Ult
- %Program Files%\GPLGS\Fontmap.URW-136.T1
- %Program Files%\GPLGS\Fontmap.URW-136.TT
- %Program Files%\GPLGS\Fontmap.VMS
- %Program Files%\GPLGS\ghostpdf.inf
- %Program Files%\GPLGS\ghostpdf.ppd
- %Program Files%\GPLGS\gsbj
- %Program Files%\GPLGS\gsbj.bat
- %Program Files%\GPLGS\gsdj
- %Program Files%\GPLGS\gsdj.bat
- %Program Files%\GPLGS\gsdj500
- %Program Files%\GPLGS\gsdj500.bat
- %Program Files%\GPLGS\gsdll32.dll
- %Program Files%\GPLGS\gsdll32.lib
- %Program Files%\GPLGS\gslj
- %Program Files%\GPLGS\gslj.bat
- %Program Files%\GPLGS\gslp
- %Program Files%\GPLGS\gslp.bat
- %Program Files%\GPLGS\gslp.ps
- %Program Files%\GPLGS\gsnd
- %Program Files%\GPLGS\gsnd.bat
- %Program Files%\GPLGS\gsndt.bat
- %Program Files%\GPLGS\gsnup.ps
- %Program Files%\GPLGS\gssetgs.bat
- %Program Files%\GPLGS\gssetgs32.bat
- %Program Files%\GPLGS\gssetgs64.bat
- %Program Files%\GPLGS\gst.bat
- %Program Files%\GPLGS\gstt.bat
- %Program Files%\GPLGS\gswin32c.exe
- %Program Files%\GPLGS\gs_ce_e.ps
- %Program Files%\GPLGS\gs_cmdl.ps
- %Program Files%\GPLGS\gs_fform.ps
- %Program Files%\GPLGS\gs_il2_e.ps
- %Program Files%\GPLGS\gs_kanji.ps
- %Program Files%\GPLGS\gs_ksb_e.ps
- %Program Files%\GPLGS\gs_l.xbm
- %Program Files%\GPLGS\gs_l.xpm
- %Program Files%\GPLGS\gs_lgo_e.ps
- %Program Files%\GPLGS\gs_lgx_e.ps
- %Program Files%\GPLGS\gs_l_m.xbm
- %Program Files%\GPLGS\gs_m.xbm
- %Program Files%\GPLGS\gs_m.xpm
- %Program Files%\GPLGS\gs_m_m.xbm
- %Program Files%\GPLGS\gs_pfile.ps
- %Program Files%\GPLGS\gs_rdlin.ps
- %Program Files%\GPLGS\gs_s.xbm
- %Program Files%\GPLGS\gs_s.xpm
- %Program Files%\GPLGS\gs_s_m.xbm
- %Program Files%\GPLGS\gs_t.xbm
- %Program Files%\GPLGS\gs_t.xpm
- %Program Files%\GPLGS\gs_t_m.xbm
- %Program Files%\GPLGS\gs_wl1_e.ps
- %Program Files%\GPLGS\gs_wl2_e.ps
- %Program Files%\GPLGS\gs_wl5_e.ps
- %Program Files%\GPLGS\ht_ccsto.ps
- %Program Files%\GPLGS\image-qa.ps
- %Program Files%\GPLGS\impath.ps
- %Program Files%\GPLGS\Info-macos.plist
- %Program Files%\GPLGS\jispaper.ps
- %Program Files%\GPLGS\jobseparator.ps
- %Program Files%\GPLGS\landscap.ps
- %Program Files%\GPLGS\level1.ps
- %Program Files%\GPLGS\lines.ps
- %Program Files%\GPLGS\lp386.bat
- %Program Files%\GPLGS\lp386r2.bat
- %Program Files%\GPLGS\lpgs.bat
- %Program Files%\GPLGS\lpr2.bat
- %Program Files%\GPLGS\lprsetup.sh
- %Program Files%\GPLGS\markhint.ps
- %Program Files%\GPLGS\markpath.ps
- %Program Files%\GPLGS\mkcidfm.ps
- %Program Files%\GPLGS\necp2x.upp
- %Program Files%\GPLGS\necp2x6.upp
- %Program Files%\GPLGS\opdfread.ps
- %Program Files%\GPLGS\packfile.ps
- %Program Files%\GPLGS\pcharstr.ps
- %Program Files%\GPLGS\pdf2dsc
- %Program Files%\GPLGS\pdf2dsc.bat
- %Program Files%\GPLGS\pdf2dsc.ps
- %Program Files%\GPLGS\pdf2ps
- %Program Files%\GPLGS\pdf2ps.bat
- %Program Files%\GPLGS\pdf2ps.cmd
- %Program Files%\GPLGS\PDFA_def.ps
- %Program Files%\GPLGS\pdfopt
- %Program Files%\GPLGS\pdfopt.bat
- %Program Files%\GPLGS\pdfopt.ps
- %Program Files%\GPLGS\pdfwrite.ps
- %Program Files%\GPLGS\PDFX_def.ps
- %Program Files%\GPLGS\pf2afm
- %Program Files%\GPLGS\pf2afm.bat
- %Program Files%\GPLGS\pf2afm.cmd
- %Program Files%\GPLGS\pf2afm.ps
- %Program Files%\GPLGS\pfbtopfa
- %Program Files%\GPLGS\pfbtopfa.bat
- %Program Files%\GPLGS\pfbtopfa.ps
- %Program Files%\GPLGS\pftogsf.bat
- %Program Files%\GPLGS\ppath.ps
- %Program Files%\GPLGS\pphs
- %Program Files%\GPLGS\pphs.ps
- %Program Files%\GPLGS\prfont.ps
- %Program Files%\GPLGS\printafm
- %Program Files%\GPLGS\printafm.ps
- %Program Files%\GPLGS\ps2ai.ps
- %Program Files%\GPLGS\ps2ascii
- %Program Files%\GPLGS\ps2ascii.bat
- %Program Files%\GPLGS\ps2ascii.cmd
- %Program Files%\GPLGS\ps2ascii.ps
- %Program Files%\GPLGS\ps2epsi
- %Program Files%\GPLGS\ps2epsi.bat
- %Program Files%\GPLGS\ps2epsi.cmd
- %Program Files%\GPLGS\ps2epsi.ps
- %Program Files%\GPLGS\ps2pdf
- %Program Files%\GPLGS\ps2pdf.bat
- %Program Files%\GPLGS\ps2pdf.cmd
- %Program Files%\GPLGS\ps2pdf12
- %Program Files%\GPLGS\ps2pdf12.bat
- %Program Files%\GPLGS\ps2pdf12.cmd
- %Program Files%\GPLGS\ps2pdf13
- %Program Files%\GPLGS\ps2pdf13.bat
- %Program Files%\GPLGS\ps2pdf13.cmd
- %Program Files%\GPLGS\ps2pdf14
- %Program Files%\GPLGS\ps2pdf14.bat
- %Program Files%\GPLGS\ps2pdf14.cmd
- %Program Files%\GPLGS\ps2pdfwr
- %Program Files%\GPLGS\ps2pdfxx.bat
- %Program Files%\GPLGS\ps2ps
- %Program Files%\GPLGS\ps2ps.bat
- %Program Files%\GPLGS\ps2ps.cmd
- %Program Files%\GPLGS\ps2ps2
- %Program Files%\GPLGS\ps2ps2.bat
- %Program Files%\GPLGS\ps2ps2.cmd
- %Program Files%\GPLGS\quit.ps
- %Program Files%\GPLGS\ras1.upp
- %Program Files%\GPLGS\ras24.upp
- %Program Files%\GPLGS\ras3.upp
- %Program Files%\GPLGS\ras32.upp
- %Program Files%\GPLGS\ras4.upp
- %Program Files%\GPLGS\ras8m.upp
- %Program Files%\GPLGS\rinkj-2200-setup
- %Program Files%\GPLGS\rollconv.ps
- %Program Files%\GPLGS\showchar.ps
- %Program Files%\GPLGS\showpage.ps
- %Program Files%\GPLGS\st640ih.upp
- %Program Files%\GPLGS\st640ihg.upp
- %Program Files%\GPLGS\st640p.upp
- %Program Files%\GPLGS\st640pg.upp
- %Program Files%\GPLGS\st640pl.upp
- %Program Files%\GPLGS\st640plg.upp
- %Program Files%\GPLGS\stc.upp
- %Program Files%\GPLGS\stc1520h.upp
- %Program Files%\GPLGS\stc2.upp
- %Program Files%\GPLGS\stc200_h.upp
- %Program Files%\GPLGS\stc2s_h.upp
- %Program Files%\GPLGS\stc2_h.upp
- %Program Files%\GPLGS\stc300.upp
- %Program Files%\GPLGS\stc300bl.upp
- %Program Files%\GPLGS\stc300bm.upp
- %Program Files%\GPLGS\stc500p.upp
- %Program Files%\GPLGS\stc500ph.upp
- %Program Files%\GPLGS\stc600ih.upp
- %Program Files%\GPLGS\stc600p.upp
- %Program Files%\GPLGS\stc600pl.upp
- %Program Files%\GPLGS\stc640p.upp
- %Program Files%\GPLGS\stc800ih.upp
- %Program Files%\GPLGS\stc800p.upp
- %Program Files%\GPLGS\stc800pl.upp
- %Program Files%\GPLGS\stcany.upp
- %Program Files%\GPLGS\stcany_h.upp
- %Program Files%\GPLGS\stcinfo.ps
- %Program Files%\GPLGS\stcolor.ps
- %Program Files%\GPLGS\stc_h.upp
- %Program Files%\GPLGS\stc_l.upp
- %Program Files%\GPLGS\stocht.ps
- %Program Files%\GPLGS\traceimg.ps
- %Program Files%\GPLGS\traceop.ps
- %Program Files%\GPLGS\type1enc.ps
- %Program Files%\GPLGS\type1ops.ps
- %Program Files%\GPLGS\uninfo.ps
- %Program Files%\GPLGS\unix-lpr.sh
- %Program Files%\GPLGS\unprot.ps
- %Program Files%\GPLGS\viewcmyk.ps
- %Program Files%\GPLGS\viewgif.ps
- %Program Files%\GPLGS\viewjpeg.ps
- %Program Files%\GPLGS\viewmiff.ps
- %Program Files%\GPLGS\viewpbm.ps
- %Program Files%\GPLGS\viewpcx.ps
- %Program Files%\GPLGS\viewps2a.ps
- %Program Files%\GPLGS\viewrgb.ps
- %Program Files%\GPLGS\wftopfa
- %Program Files%\GPLGS\wftopfa.ps
- %Program Files%\GPLGS\winmaps.ps
- %Program Files%\GPLGS\wmakebat.bat
- %Program Files%\GPLGS\wrfont.ps
- %Program Files%\GPLGS\zeroline.ps
プログラムは、以下のプロセスを追加します。
- "%User Temp%\is-{5 Random Characters}.tmp\{Grayware File Name}.tmp" /SL5="${6 Hex Values},2294051,56832,{Grayware File Path}\{Grayware File Name}.exe"
- "%User Temp%\is-{5 Random Characters}.tmp\Offercast391_ARS_.exe" -b -pid ARS
- %User Temp%\is-2SM0I.tmp\{Grayware File Name}.tmp;"%User Temp%\is-{5 Random Characters}.tmp\Setup.exe" /cpw07012009 /W5
- %User Temp%\converter.exe /auto
- %User Temp%\WZSE0.TMP\Setup.exe
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
他のシステム変更
プログラムは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\Offercast391_ARS__RASAPI32
EnableFileTracing = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\Offercast391_ARS__RASAPI32
EnableConsoleTracing = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\Offercast391_ARS__RASAPI32
FileTracingMask = 4294901760
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\Offercast391_ARS__RASAPI32
ConsoleTracingMask = 4294901760
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\Offercast391_ARS__RASAPI32
MaxFileSize = 1048576
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\Offercast391_ARS__RASAPI32
FileDirectory = %Windows%\tracing
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\Offercast391_ARS__RASMANCS
EnableFileTracing = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\Offercast391_ARS__RASMANCS
EnableConsoleTracing = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\Offercast391_ARS__RASMANCS
FileTracingMask = 4294901760
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\Offercast391_ARS__RASMANCS
ConsoleTracingMask = 4294901760
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\Offercast391_ARS__RASMANCS
MaxFileSize = 1048576
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\Offercast391_ARS__RASMANCS
FileDirectoryFileDirectory = %Windows%\tracing
HKEY_CURRENT_USER\Software\Microsoft\
Windows Script\Settings
JITDebug = 0
HKEY_CURRENT_USER\Software\APN PIP\
ARS
PIP_Left = 708
HKEY_CURRENT_USER\Software\APN PIP\
ARS
PIP_UI_Ready = 1
HKEY_CURRENT_USER\Software\APN PIP\
ARS
PIP_Top = 248
HKEY_CURRENT_USER\Software\APN PIP\
ARS
Left = 708
HKEY_CURRENT_USER\Software\APN PIP\
ARS
Top = 248
HKEY_CURRENT_USER\Software\APN PIP\
ARS
WFType = local
HKEY_CURRENT_USER\Software\APN PIP\
ARS
WFPrimaryStatus = 1
HKEY_CURRENT_USER\Software\APN PIP\
ARS
WFPrimaryOffers = P_ARSSPP_CN_L:Toolbar:media:local
HKEY_CURRENT_USER\Software\APN PIP\
ARS
WFSecondaryStatus = 0
HKEY_CURRENT_USER\Software\APN PIP\
ARS
WFSecondaryOffers =
HKEY_CURRENT_USER\Software\APN PIP\
ARS
PIP_Toolbar_Selection = oi:1
HKEY_CURRENT_USER\Software\APN PIP\
ARS
PIP_UI_Complete = 1
HKEY_CURRENT_USER\Software\APN PIP\
ARS
PIP_Exit_Code = 0
HKEY_CURRENT_USER\Software\APN PIP\
ARS
PIP_SkipAll = 0
HKEY_CURRENT_USER\Software\APN PIP\
ARS
PIP_Toolbar_Launched =
HKEY_CURRENT_USER\Software\APN PIP\
ARS
PIP_Toolbar_Exitcode =
HKEY_CURRENT_USER\Software\APN PIP\
ARS
PIP_Offers_Launched =
HKEY_CURRENT_USER\Software\APN PIP\
ARS
PIP_Offers_Exitcode =
HKEY_CURRENT_USER\Software\APN PIP\
ARS
Show_UI = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
CutePDF Writer Installation
DisplayName = CutePDF Writer 3.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
CutePDF Writer Installation
UninstallString = %Program Files%\Acro Software\CutePDF Writer\uninscpw.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
CutePDF Writer Installation
DisplayVersion = 3.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
CutePDF Writer Installation
DisplayIcon = %Program Files%\Acro Software\CutePDF Writer\CuteEdit.ico
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
CutePDF Writer Installation
Publisher = Acro Software Inc.
HKEY_LOCAL_MACHINE\SOFTWARE\Acro Software Inc\
CutePDF Writer
Destination Folder = %Program Files%\Acro Software\CutePDF Writer
HKEY_LOCAL_MACHINE\SOFTWARE\Acro Software Inc\
CutePDF Writer
(Default) = %Program Files%\GNUGS
HKEY_LOCAL_MACHINE\SOFTWARE\GPL Ghostscript\
{Software Version}
GS_LIB = %Program Files%\GPLGS
HKEY_LOCAL_MACHINE\SOFTWARE\GPL Ghostscript\
{Software Version}
GS_DLL = %Program Files%\GPLGS\gsdll32.dll
感染活動
プログラムは、ワーム活動の機能を備えていません。
バックドア活動
プログラムは、バックドア活動の機能を備えていません。
ルートキット機能
プログラムは、ルートキット機能を備えていません。
ダウンロード活動
プログラムは、以下のWebサイトにアクセスし、ファイルをダウンロードします。
- http://{BLOCKED}ffers.apnpartners.com/static/partners/upgrade/ARS/{Version Number}/upgrade.zip → Downloads a configuration file to install the latest APN Toolbar
- http://{BLOCKED}ia.ask.com/media/toolbar/everest/7.25.0/APNSetup.exe → Downloads the Ask Partner Network (APN) Toolbar
- http://{BLOCKED}ad.cutepdf.com/download/gplgs.exe → Downloads the GPL Ghostscript Application
アドウェア活動
プログラムは、以下のWebサイトにアクセスして感染コンピュータ上に広告を表示します。
- http://{BLOCKED}f-editor.com/support/writer.asp
情報漏えい
プログラムは、情報収集する機能を備えていません。
その他
プログラムは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}ffercast.com/PIP/OfferAccept.jhtml?rnd={Random Characters}
- http://{BLOCKED}ers.apnpartners.com
プログラムは、以下を実行します。
- This Potentially Unwanted Application contains pre-populated checkboxes to install browser extension:
- It asks the user to download and install another application to ensure the user can use all of the application's features:
- It automatically loads a website after the installation process:
- It does not notify the user that the installation is complete.
マルウェアは、脆弱性を利用した感染活動を行いません。
<補足>
インストール
プログラムは、以下のファイルを作成します。
- %User Temp%\is-{ランダムな5文字}.tmp\{グレイウェアのファイル名}.tmpによって作成される:
- %User Temp%\is-{ランダムな5文字}.tmp\_isetup\_shfoldr.dll
- %User Temp%\is-{ランダムな5文字}.tmp\Offercast391_ARS_.exe → 「PUA.Win32.AppBundler.A」として検出される
- %User Temp%\is-{ランダムな5文字}.tmp\Setup.exe
プログラムは、以下のプロセスを追加します。
- "%User Temp%\is-{ランダムな5文字}.tmp\{グレイウェアのファイル名}.tmp" /SL5="${6桁の16進数},2294051,56832,{グレイウェアのファイルパス}\{グレイウェアのファイル名}.exe"
- "%User Temp%\is-{ランダムな5文字}.tmp\Offercast391_ARS_.exe" -b -pid ARS
- %User Temp%\is-2SM0I.tmp\{グレイウェアのファイル名}.tmp;"%User Temp%\is-{ランダムな5文字}.tmp\Setup.exe" /cpw07012009 /W5
- %User Temp%\converter.exe /auto
- %User Temp%\WZSE0.TMP\Setup.exe
ダウンロード活動
プログラムは、以下のWebサイトにアクセスし、ファイルをダウンロードします。
- http://{BLOCKED}ffers.apnpartners.com/static/partners/upgrade/ARS/{バージョン番号}/upgrade.zip → 設定ファイルをダウンロードして最新のAPN(Ask Partner Network)ツールバーをインストールする
- http://{BLOCKED}ia.ask.com/media/toolbar/everest/7.25.0/APNSetup.exe → APNツールバーをダウンロードする
- http://{BLOCKED}ad.cutepdf.com/download/gplgs.exe → GPL Ghostscriptアプリケーションをダウンロードする
その他
プログラムは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}ffercast.com/PIP/OfferAccept.jhtml?rnd={ランダムな文字列}
- http://{BLOCKED}ers.apnpartners.com
プログラムは、以下を実行します。
- プログラムは、ブラウザ拡張機能をインストールするために事前に設定されたチェックボックスを含んでいます。
- プログラムは、ユーザがアプリケーションのすべての機能を確実に使用できるようにするために、別のアプリケーションをダウンロードしてインストールするようユーザに要求します。
- プログラムは、インストール・プロセス後にWebサイトを自動的に読み込みます。
- プログラムは、インストールが完了したことをユーザに通知しません。
対応方法
対応検索エンジン: 9.800
SSAPI パターンバージョン: 2.621.00
SSAPI パターンリリース日: 2023年5月4日
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
このレジストリ値を削除します。
[ 詳細 ]
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Offercast391_ARS__RASAPI32
- EnableFileTracing = 0
- EnableFileTracing = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Offercast391_ARS__RASAPI32
- EnableConsoleTracing = 0
- EnableConsoleTracing = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Offercast391_ARS__RASAPI32
- FileTracingMask = 4294901760
- FileTracingMask = 4294901760
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Offercast391_ARS__RASAPI32
- ConsoleTracingMask = 4294901760
- ConsoleTracingMask = 4294901760
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Offercast391_ARS__RASAPI32
- MaxFileSize = 1048576
- MaxFileSize = 1048576
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Offercast391_ARS__RASAPI32
- FileDirectory = %Windows%\tracing
- FileDirectory = %Windows%\tracing
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Offercast391_ARS__RASMANCS
- EnableFileTracing = 0
- EnableFileTracing = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Offercast391_ARS__RASMANCS
- EnableConsoleTracing = 0
- EnableConsoleTracing = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Offercast391_ARS__RASMANCS
- FileTracingMask = 4294901760
- FileTracingMask = 4294901760
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Offercast391_ARS__RASMANCS
- ConsoleTracingMask = 4294901760
- ConsoleTracingMask = 4294901760
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Offercast391_ARS__RASMANCS
- MaxFileSize = 1048576
- MaxFileSize = 1048576
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Offercast391_ARS__RASMANCS
- FileDirectoryFileDirectory = %Windows%\tracing
- FileDirectoryFileDirectory = %Windows%\tracing
- In HKEY_CURRENT_USER\Software\Microsoft\Windows Script\Settings
- JITDebug = 0
- JITDebug = 0
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- PIP_Left = 708
- PIP_Left = 708
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- PIP_UI_Ready = 1
- PIP_UI_Ready = 1
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- PIP_Top = 248
- PIP_Top = 248
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- Left = 708
- Left = 708
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- Top = 248
- Top = 248
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- WFType = local
- WFType = local
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- WFPrimaryStatus = 1
- WFPrimaryStatus = 1
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- WFPrimaryOffers = P_ARSSPP_CN_L:Toolbar:media:local
- WFPrimaryOffers = P_ARSSPP_CN_L:Toolbar:media:local
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- WFSecondaryStatus = 0
- WFSecondaryStatus = 0
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- WFSecondaryOffers =
- WFSecondaryOffers =
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- PIP_Toolbar_Selection = oi:1
- PIP_Toolbar_Selection = oi:1
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- PIP_UI_Complete = 1
- PIP_UI_Complete = 1
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- PIP_Exit_Code = 0
- PIP_Exit_Code = 0
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- PIP_SkipAll = 0
- PIP_SkipAll = 0
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- PIP_Toolbar_Launched =
- PIP_Toolbar_Launched =
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- PIP_Toolbar_Exitcode =
- PIP_Toolbar_Exitcode =
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- PIP_Offers_Launched =
- PIP_Offers_Launched =
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- PIP_Offers_Exitcode =
- PIP_Offers_Exitcode =
- In HKEY_CURRENT_USER\Software\APN PIP\ARS
- Show_UI = 1
- Show_UI = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CutePDF Writer Installation
- DisplayName = CutePDF Writer 3.1
- DisplayName = CutePDF Writer 3.1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CutePDF Writer Installation
- UninstallString = %Program Files%\Acro Software\CutePDF Writer\uninscpw.exe
- UninstallString = %Program Files%\Acro Software\CutePDF Writer\uninscpw.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CutePDF Writer Installation
- DisplayVersion = 3.1
- DisplayVersion = 3.1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CutePDF Writer Installation
- DisplayIcon = %Program Files%\Acro Software\CutePDF Writer\CuteEdit.ico
- DisplayIcon = %Program Files%\Acro Software\CutePDF Writer\CuteEdit.ico
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CutePDF Writer Installation
- Publisher = Acro Software Inc.
- Publisher = Acro Software Inc.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Acro Software Inc\CutePDF Writer
- Destination Folder = %Program Files%\Acro Software\CutePDF Writer
- Destination Folder = %Program Files%\Acro Software\CutePDF Writer
- In HKEY_LOCAL_MACHINE\SOFTWARE\Acro Software Inc\CutePDF Writer
- (Default) = %Program Files%\GNUGS
- (Default) = %Program Files%\GNUGS
- In HKEY_LOCAL_MACHINE\SOFTWARE\GPL Ghostscript\{Software Version}
- GS_LIB = %Program Files%\GPLGS
- GS_LIB = %Program Files%\GPLGS
- In HKEY_LOCAL_MACHINE\SOFTWARE\GPL Ghostscript\{Software Version}
- GS_DLL = %Program Files%\GPLGS\gsdll32.dll
- GS_DLL = %Program Files%\GPLGS\gsdll32.dll
手順 4
不明なレジストリキーを削除します。
[ 詳細 ]
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
- Offercast391_ARS__RASAPI32
- Offercast391_ARS__RASAPI32
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
- Offercast391_ARS__RASMANCS
- Offercast391_ARS__RASMANCS
- In HKEY_CURRENT_USER\Software\APN PIP
- ARS
- ARS
- In HKEY_CURRENT_USER\Software
- APN PIP
- APN PIP
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
- CutePDF Writer Installation
- CutePDF Writer Installation
- In HKEY_LOCAL_MACHINE\SOFTWARE\Acro Software Inc
- CutePDF Writer
- CutePDF Writer
- In HKEY_LOCAL_MACHINE\SOFTWARE
- Acro Software Inc
- Acro Software Inc
- In HKEY_LOCAL_MACHINE\SOFTWARE\GPL Ghostscript
- {Software Version}
- {Software Version}
- In HKEY_LOCAL_MACHINE\SOFTWARE
- GPL Ghostscript
- GPL Ghostscript
手順 5
以下のファイルを検索し削除します。
[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 - %User Temp%\is-{5 Random Characters}.tmp\_isetup\_shfoldr.dll
- %User Temp%\is-{5 Random Characters}.tmp\Offercast391_ARS_.exe
- %User Temp%\is-{5 Random Characters}.tmp\Setup.exe
- %User Temp%\oc_{5 Random Characters}.tmp
- %User Temp%\oc_{5 Random Characters}\OCDLL.dll
- %User Temp%\oc_{5 Random Characters}.tmp
- %User Temp%\oc_{5 Random Characters}\IEOS.dll
- %User Temp%\oc_{5 Random Characters}\Start.htm
- %User Temp%\oc_{5 Random Characters}\apnanalytic.js
- %User Temp%\oc_{5 Random Characters}\download.htm
- %User Temp%\oc_{5 Random Characters}\embeddownload.htm
- %User Temp%\oc_{5 Random Characters}\embedmasterrule.js
- %User Temp%\oc_{5 Random Characters}\embedoffer2xtemplate.htm
- %User Temp%\oc_{5 Random Characters}\embedorchestrator.htm
- %User Temp%\oc_{5 Random Characters}\images\CRPrimary2.png
- %User Temp%\oc_{5 Random Characters}\images\CRSaturation1.png
- %User Temp%\oc_{5 Random Characters}\images\FFPrimary2.png
- %User Temp%\oc_{5 Random Characters}\images\FFSaturation1.png
- %User Temp%\oc_{5 Random Characters}\images\IEPrimary2.png
- %User Temp%\oc_{5 Random Characters}\images\IESaturation1.png
- %User Temp%\oc_{5 Random Characters}\images\wait_animation.gif
- %User Temp%\oc_{5 Random Characters}\masterrule.js
- %User Temp%\oc_{5 Random Characters}\ocerror.js
- %User Temp%\oc_{5 Random Characters}\offer2xtemplate.htm
- %User Temp%\oc_{5 Random Characters}\offerlist.js
- %User Temp%\oc_{5 Random Characters}\orchestrator.htm
- %User Temp%\oc_{5 Random Characters}\prefetch.htm
- %User Temp%\oc_{5 Random Characters}\progress.htm
- %User Temp%\oc_{5 Random Characters}\reboot.htm
- %User Temp%\oc_{5 Random Characters}\scrolltext.xml
- %User Temp%\oc_{5 Random Characters}\wait_animation.gif
- %User Temp%\oc_{5 Random Characters}\upgrade.zip
- %User Temp%\oc_{5 Random Characters}\upgrade\upgrade\remoteapnanalytic.js
- %User Temp%\oc_{5 Random Characters}\upgrade\remoteapnanalytic.js
- %Program Files%\Acro Software\CutePDF Writer\README.HTM
- %Program Files%\Acro Software\CutePDF Writer\PDFWrite.rsp
- %Program Files%\Acro Software\CutePDF Writer\CuteEdit.ico
- %Program Files%\Acro Software\CutePDF Writer\CPWSave.exe
- %Program Files%\Acro Software\CutePDF Writer\uninscpw.exe
- %System%\spool\drivers\w32x86\CUTEPDFW.PPD
- %System%\spool\drivers\w32x86\PSCRIPT5.DLL
- %System%\spool\drivers\w32x86\PS5UI.DLL
- %System%\spool\drivers\w32x86\PSCRIPT.HLP
- %System%\spool\drivers\w32x86\PSCRIPT.NTF
- %System%\cpwmon2k.dll
- %Common Programs%\CutePDF\PDF Writer\Readme.lnk
- %User Temp%\converter.exe
- %Program Files%\GPLGS\acctest.ps
- %Program Files%\GPLGS\addxchar.ps
- %Program Files%\GPLGS\afmdiff.awk
- %Program Files%\GPLGS\align.ps
- %Program Files%\GPLGS\bj8.rpd
- %Program Files%\GPLGS\bj8gc12f.upp
- %Program Files%\GPLGS\bj8hg12f.upp
- %Program Files%\GPLGS\bj8oh06n.upp
- %Program Files%\GPLGS\bj8pa06n.upp
- %Program Files%\GPLGS\bj8pp12f.upp
- %Program Files%\GPLGS\bj8ts06n.upp
- %Program Files%\GPLGS\bjc610a0.upp
- %Program Files%\GPLGS\bjc610a1.upp
- %Program Files%\GPLGS\bjc610a2.upp
- %Program Files%\GPLGS\bjc610a3.upp
- %Program Files%\GPLGS\bjc610a4.upp
- %Program Files%\GPLGS\bjc610a5.upp
- %Program Files%\GPLGS\bjc610a6.upp
- %Program Files%\GPLGS\bjc610a7.upp
- %Program Files%\GPLGS\bjc610a8.upp
- %Program Files%\GPLGS\bjc610b1.upp
- %Program Files%\GPLGS\bjc610b2.upp
- %Program Files%\GPLGS\bjc610b3.upp
- %Program Files%\GPLGS\bjc610b4.upp
- %Program Files%\GPLGS\bjc610b6.upp
- %Program Files%\GPLGS\bjc610b7.upp
- %Program Files%\GPLGS\bjc610b8.upp
- %Program Files%\GPLGS\caption.ps
- %Program Files%\GPLGS\cat.ps
- %Program Files%\GPLGS\cbjc600.ppd
- %Program Files%\GPLGS\cbjc800.ppd
- %Program Files%\GPLGS\cdj550.upp
- %Program Files%\GPLGS\cdj690.upp
- %Program Files%\GPLGS\cdj690ec.upp
- %Program Files%\GPLGS\cid2code.ps
- %Program Files%\GPLGS\cidfmap
- %Program Files%\GPLGS\decrypt.ps
- %Program Files%\GPLGS\dnj750c.upp
- %Program Files%\GPLGS\dnj750m.upp
- %Program Files%\GPLGS\docie.ps
- %Program Files%\GPLGS\dvipdf
- %Program Files%\GPLGS\EndOfTask.ps
- %Program Files%\GPLGS\eps2eps
- %Program Files%\GPLGS\eps2eps.bat
- %Program Files%\GPLGS\eps2eps.cmd
- %Program Files%\GPLGS\FAPIconfig-FCO
- %Program Files%\GPLGS\FCOfontmap-PCLPS3
- %Program Files%\GPLGS\FCOfontmap-PS3
- %Program Files%\GPLGS\font2c
- %Program Files%\GPLGS\font2c.bat
- %Program Files%\GPLGS\font2c.cmd
- %Program Files%\GPLGS\font2c.ps
- %Program Files%\GPLGS\font2pcl.ps
- %Program Files%\GPLGS\Fontmap.ATB
- %Program Files%\GPLGS\Fontmap.ATM
- %Program Files%\GPLGS\Fontmap.OS2
- %Program Files%\GPLGS\Fontmap.OSF
- %Program Files%\GPLGS\Fontmap.SGI
- %Program Files%\GPLGS\Fontmap.Sol
- %Program Files%\GPLGS\Fontmap.Ult
- %Program Files%\GPLGS\Fontmap.URW-136.T1
- %Program Files%\GPLGS\Fontmap.URW-136.TT
- %Program Files%\GPLGS\Fontmap.VMS
- %Program Files%\GPLGS\ghostpdf.inf
- %Program Files%\GPLGS\ghostpdf.ppd
- %Program Files%\GPLGS\gsbj
- %Program Files%\GPLGS\gsbj.bat
- %Program Files%\GPLGS\gsdj
- %Program Files%\GPLGS\gsdj.bat
- %Program Files%\GPLGS\gsdj500
- %Program Files%\GPLGS\gsdj500.bat
- %Program Files%\GPLGS\gsdll32.dll
- %Program Files%\GPLGS\gsdll32.lib
- %Program Files%\GPLGS\gslj
- %Program Files%\GPLGS\gslj.bat
- %Program Files%\GPLGS\gslp
- %Program Files%\GPLGS\gslp.bat
- %Program Files%\GPLGS\gslp.ps
- %Program Files%\GPLGS\gsnd
- %Program Files%\GPLGS\gsnd.bat
- %Program Files%\GPLGS\gsndt.bat
- %Program Files%\GPLGS\gsnup.ps
- %Program Files%\GPLGS\gssetgs.bat
- %Program Files%\GPLGS\gssetgs32.bat
- %Program Files%\GPLGS\gssetgs64.bat
- %Program Files%\GPLGS\gst.bat
- %Program Files%\GPLGS\gstt.bat
- %Program Files%\GPLGS\gswin32c.exe
- %Program Files%\GPLGS\gs_ce_e.ps
- %Program Files%\GPLGS\gs_cmdl.ps
- %Program Files%\GPLGS\gs_fform.ps
- %Program Files%\GPLGS\gs_il2_e.ps
- %Program Files%\GPLGS\gs_kanji.ps
- %Program Files%\GPLGS\gs_ksb_e.ps
- %Program Files%\GPLGS\gs_l.xbm
- %Program Files%\GPLGS\gs_l.xpm
- %Program Files%\GPLGS\gs_lgo_e.ps
- %Program Files%\GPLGS\gs_lgx_e.ps
- %Program Files%\GPLGS\gs_l_m.xbm
- %Program Files%\GPLGS\gs_m.xbm
- %Program Files%\GPLGS\gs_m.xpm
- %Program Files%\GPLGS\gs_m_m.xbm
- %Program Files%\GPLGS\gs_pfile.ps
- %Program Files%\GPLGS\gs_rdlin.ps
- %Program Files%\GPLGS\gs_s.xbm
- %Program Files%\GPLGS\gs_s.xpm
- %Program Files%\GPLGS\gs_s_m.xbm
- %Program Files%\GPLGS\gs_t.xbm
- %Program Files%\GPLGS\gs_t.xpm
- %Program Files%\GPLGS\gs_t_m.xbm
- %Program Files%\GPLGS\gs_wl1_e.ps
- %Program Files%\GPLGS\gs_wl2_e.ps
- %Program Files%\GPLGS\gs_wl5_e.ps
- %Program Files%\GPLGS\ht_ccsto.ps
- %Program Files%\GPLGS\image-qa.ps
- %Program Files%\GPLGS\impath.ps
- %Program Files%\GPLGS\Info-macos.plist
- %Program Files%\GPLGS\jispaper.ps
- %Program Files%\GPLGS\jobseparator.ps
- %Program Files%\GPLGS\landscap.ps
- %Program Files%\GPLGS\level1.ps
- %Program Files%\GPLGS\lines.ps
- %Program Files%\GPLGS\lp386.bat
- %Program Files%\GPLGS\lp386r2.bat
- %Program Files%\GPLGS\lpgs.bat
- %Program Files%\GPLGS\lpr2.bat
- %Program Files%\GPLGS\lprsetup.sh
- %Program Files%\GPLGS\markhint.ps
- %Program Files%\GPLGS\markpath.ps
- %Program Files%\GPLGS\mkcidfm.ps
- %Program Files%\GPLGS\necp2x.upp
- %Program Files%\GPLGS\necp2x6.upp
- %Program Files%\GPLGS\opdfread.ps
- %Program Files%\GPLGS\packfile.ps
- %Program Files%\GPLGS\pcharstr.ps
- %Program Files%\GPLGS\pdf2dsc
- %Program Files%\GPLGS\pdf2dsc.bat
- %Program Files%\GPLGS\pdf2dsc.ps
- %Program Files%\GPLGS\pdf2ps
- %Program Files%\GPLGS\pdf2ps.bat
- %Program Files%\GPLGS\pdf2ps.cmd
- %Program Files%\GPLGS\PDFA_def.ps
- %Program Files%\GPLGS\pdfopt
- %Program Files%\GPLGS\pdfopt.bat
- %Program Files%\GPLGS\pdfopt.ps
- %Program Files%\GPLGS\pdfwrite.ps
- %Program Files%\GPLGS\PDFX_def.ps
- %Program Files%\GPLGS\pf2afm
- %Program Files%\GPLGS\pf2afm.bat
- %Program Files%\GPLGS\pf2afm.cmd
- %Program Files%\GPLGS\pf2afm.ps
- %Program Files%\GPLGS\pfbtopfa
- %Program Files%\GPLGS\pfbtopfa.bat
- %Program Files%\GPLGS\pfbtopfa.ps
- %Program Files%\GPLGS\pftogsf.bat
- %Program Files%\GPLGS\ppath.ps
- %Program Files%\GPLGS\pphs
- %Program Files%\GPLGS\pphs.ps
- %Program Files%\GPLGS\prfont.ps
- %Program Files%\GPLGS\printafm
- %Program Files%\GPLGS\printafm.ps
- %Program Files%\GPLGS\ps2ai.ps
- %Program Files%\GPLGS\ps2ascii
- %Program Files%\GPLGS\ps2ascii.bat
- %Program Files%\GPLGS\ps2ascii.cmd
- %Program Files%\GPLGS\ps2ascii.ps
- %Program Files%\GPLGS\ps2epsi
- %Program Files%\GPLGS\ps2epsi.bat
- %Program Files%\GPLGS\ps2epsi.cmd
- %Program Files%\GPLGS\ps2epsi.ps
- %Program Files%\GPLGS\ps2pdf
- %Program Files%\GPLGS\ps2pdf.bat
- %Program Files%\GPLGS\ps2pdf.cmd
- %Program Files%\GPLGS\ps2pdf12
- %Program Files%\GPLGS\ps2pdf12.bat
- %Program Files%\GPLGS\ps2pdf12.cmd
- %Program Files%\GPLGS\ps2pdf13
- %Program Files%\GPLGS\ps2pdf13.bat
- %Program Files%\GPLGS\ps2pdf13.cmd
- %Program Files%\GPLGS\ps2pdf14
- %Program Files%\GPLGS\ps2pdf14.bat
- %Program Files%\GPLGS\ps2pdf14.cmd
- %Program Files%\GPLGS\ps2pdfwr
- %Program Files%\GPLGS\ps2pdfxx.bat
- %Program Files%\GPLGS\ps2ps
- %Program Files%\GPLGS\ps2ps.bat
- %Program Files%\GPLGS\ps2ps.cmd
- %Program Files%\GPLGS\ps2ps2
- %Program Files%\GPLGS\ps2ps2.bat
- %Program Files%\GPLGS\ps2ps2.cmd
- %Program Files%\GPLGS\quit.ps
- %Program Files%\GPLGS\ras1.upp
- %Program Files%\GPLGS\ras24.upp
- %Program Files%\GPLGS\ras3.upp
- %Program Files%\GPLGS\ras32.upp
- %Program Files%\GPLGS\ras4.upp
- %Program Files%\GPLGS\ras8m.upp
- %Program Files%\GPLGS\rinkj-2200-setup
- %Program Files%\GPLGS\rollconv.ps
- %Program Files%\GPLGS\showchar.ps
- %Program Files%\GPLGS\showpage.ps
- %Program Files%\GPLGS\st640ih.upp
- %Program Files%\GPLGS\st640ihg.upp
- %Program Files%\GPLGS\st640p.upp
- %Program Files%\GPLGS\st640pg.upp
- %Program Files%\GPLGS\st640pl.upp
- %Program Files%\GPLGS\st640plg.upp
- %Program Files%\GPLGS\stc.upp
- %Program Files%\GPLGS\stc1520h.upp
- %Program Files%\GPLGS\stc2.upp
- %Program Files%\GPLGS\stc200_h.upp
- %Program Files%\GPLGS\stc2s_h.upp
- %Program Files%\GPLGS\stc2_h.upp
- %Program Files%\GPLGS\stc300.upp
- %Program Files%\GPLGS\stc300bl.upp
- %Program Files%\GPLGS\stc300bm.upp
- %Program Files%\GPLGS\stc500p.upp
- %Program Files%\GPLGS\stc500ph.upp
- %Program Files%\GPLGS\stc600ih.upp
- %Program Files%\GPLGS\stc600p.upp
- %Program Files%\GPLGS\stc600pl.upp
- %Program Files%\GPLGS\stc640p.upp
- %Program Files%\GPLGS\stc800ih.upp
- %Program Files%\GPLGS\stc800p.upp
- %Program Files%\GPLGS\stc800pl.upp
- %Program Files%\GPLGS\stcany.upp
- %Program Files%\GPLGS\stcany_h.upp
- %Program Files%\GPLGS\stcinfo.ps
- %Program Files%\GPLGS\stcolor.ps
- %Program Files%\GPLGS\stc_h.upp
- %Program Files%\GPLGS\stc_l.upp
- %Program Files%\GPLGS\stocht.ps
- %Program Files%\GPLGS\traceimg.ps
- %Program Files%\GPLGS\traceop.ps
- %Program Files%\GPLGS\type1enc.ps
- %Program Files%\GPLGS\type1ops.ps
- %Program Files%\GPLGS\uninfo.ps
- %Program Files%\GPLGS\unix-lpr.sh
- %Program Files%\GPLGS\unprot.ps
- %Program Files%\GPLGS\viewcmyk.ps
- %Program Files%\GPLGS\viewgif.ps
- %Program Files%\GPLGS\viewjpeg.ps
- %Program Files%\GPLGS\viewmiff.ps
- %Program Files%\GPLGS\viewpbm.ps
- %Program Files%\GPLGS\viewpcx.ps
- %Program Files%\GPLGS\viewps2a.ps
- %Program Files%\GPLGS\viewrgb.ps
- %Program Files%\GPLGS\wftopfa
- %Program Files%\GPLGS\wftopfa.ps
- %Program Files%\GPLGS\winmaps.ps
- %Program Files%\GPLGS\wmakebat.bat
- %Program Files%\GPLGS\wrfont.ps
- %Program Files%\GPLGS\zeroline.ps
手順 6
以下のフォルダを検索し削除します。
[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 - %User Temp%\is-{5 Random Characters}.tmp\_isetup
- %User Temp%\is-{5 Random Characters}.tmp
- %User Temp%\oc_{5 Random Characters}
- %Program Files%\Acro Software\CutePDF Writer
- %Program Files%\Acro Software
- %Common Programs%\CutePDF\PDF Writer
- %Common Programs%\CutePDF
- %Program Files%\GPLGS
手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PUA.Win32.OfferCast.AUSWN」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください