TROJ_PINCAV.IB

マルウェアのファイルの確認および削除：

• Windows XP および Server 2003 の場合：

1. 最新のバージョン（エンジン、パターンファイル）を導入したセキュリティ対策製品を用いてウイルス検索を実行し、検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
2. [スタート]-[ファイル名を指定して実行]を選択し、"secpol.msc" と入力し、Enter を押します。
3. 左側のパネルにある [ローカル ポリシー]-[セキュリティ オプション] をダブルクリックします。
4. 右側のパネルにある [回復コンソール：すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する] をダブルクリックします。
5. [有効] を選択し、[OK] をクリックします。
6. Windows のインストール CD を使用して、コンピュータを再起動します。
7. [セットアップへようこそ] 画面で、修復の R キーを押します。
8. キーボードを選択します。
9. 修復する Windows がインストールされているドライブを選択します（通常は 1 を選択します）。
10. 管理者のパスワードを入力し、Enter を押します。管理者パスワードがない場合は、何も入力せずにEnter を押します。
11. 以下のコマンドを入力し、Enter を押します。
    SET AllowAllPaths = TRUE
    del "＜上記で確認したマルウェアのパス名およびファイル名＞"
    ※del と "＜上記で確認したマルウェアのパス名およびファイル名＞" の間に半角スペースを入れてください。
12. コマンドプロンプトに exit と入力し、コンピュータを通常どおり再起動してください。

• Windows Vista、7 および Server 2008 の場合：

1. Windows のインストールDVDを使用して、コンピュータを再起動します。
2. インストールDVDによっては、インストール言語の選択が必要な場合があります。その場合、Windowsのインストールウィンドウで、言語、ロケール、キーボードレイアウトや入力方法を選択します。[次へ]-[コンピューターの修復]をクリックします。
3. [Windowsの起動に伴う問題の修復用の回復ツールを使用します。]を選択。インストールされたWindowsを選択し、[次へ]をクリックします。
4. [スタートアップ修復]ウィンドウが表示される場合、[キャンセル]－[はい]－[終了]をクリックします。
5. [詳細オプション]－[コマンドプロンプト]を選択。[コマンドプロンプト]ウィンドウで、以下を入力し、Enterを押します。
   BootRec.exe /fixmbr
   del "＜上記で確認したマルウェアのパス名およびファイル名＞"
   ※del と "＜上記で確認したマルウェアのパス名およびファイル名＞" の間に半角スペースを入れてください。
6. 上記で検出されたすべてのファイルについてこの手順を繰り返します。
7. exitを入力し、Enterを押し、コマンドプロンプト画面を閉じます。
8. [再起動]をクリックし、コンピュータを通常起動します。

• Windows 8、8.1 および Server 2012 の場合：

1. Windows のインストールDVDを使用して、コンピュータを再起動します。
2. インストールDVDによっては、インストール言語の選択が必要な場合があります。その場合、Windowsのインストールウィンドウで、言語、ロケール、キーボードレイアウトや入力方法を選択します。[次へ]-[コンピューターの修復]をクリックします。
3. [トラブルシューティング]－[詳細オプション]－[コマンドプロンプト]を選択。[コマンドプロンプト]ウィンドウで、以下を入力し、Enterを押します。
   BootRec.exe /fixmbr
   del "＜上記で確認したマルウェアのパス名およびファイル名＞"
   ※del と "＜上記で確認したマルウェアのパス名およびファイル名＞" の間に半角スペースを入れてください。
4. 上記で検出されたすべてのファイルについてこの手順を繰り返します。
5. exitを入力し、Enterを押し、コマンドプロンプト画面を閉じます。
6. [再起動]をクリックし、コンピュータを通常起動します。

このマルウェアが追加したレジストリキーの削除：

1. 「レジストリエディタ」を起動します。
   • Windows 2000、XP および Server 2003 の場合
     [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
   • Windows Vista、7 および Server 2008 の場合：
     [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
   • Windows 8、8.1 および Server 2012 の場合：
     画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
   ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
2. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_LOCAL_MACHINE>Software
3. 上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
   Licenses
4. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CLASSES_ROOT>CLSID
5. 上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
   {B3E2AB91-601F-52DA-C9C8-CA3ACC5B2808}
6. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_LOCAL_MACHINE>SOFTWARE>Classes>CLSID>{B3E2AB91-601F-52DA-C9C8-CA3ACC5B2808}
7. 上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
   InprocServer32
8. 「レジストリエディタ」を閉じます。

このマルウェアが追加したレジストリ値の削除：

1. 「レジストリエディタ」を起動します。
   • Windows 2000、XP および Server 2003 の場合：
     [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
   • Windows Vista、7、Server 2008 の場合：
     [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
   • Windows 8、8.1 および Server 2012 の場合：
     画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
   ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
2. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Winlogon
3. 右側のパネルで以下のレジストリ値を検索し、削除します。
   Taskman = "%User Profile%\Application Data\vfbu.exe"
4. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_LOCAL_MACHINE>SOFTWARE>Licenses
5. 右側のパネルで以下のレジストリ値を検索し、削除します。
   {K7C0DB872A3F777C0} = "{random values}"
6. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_LOCAL_MACHINE>SOFTWARE>Classes>CLSID>{B3E2AB91-601F-52DA-C9C8-CA3ACC5B2808}>InprocServer32
7. 右側のパネルで以下のレジストリ値を検索し、削除します。
   ThreadingModel = "Both"
8. 右側のパネルで以下のレジストリ値を検索し、削除します。
   {I510F7641510D2FD4} = "{random values}"
9. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>WBEM>WDM
10. 右側のパネルで以下のレジストリ値を検索し、削除します。
    %System%\advapi32.dll[MofResourceName] = "{random characters}"
11. 右側のパネルで以下のレジストリ値を検索し、削除します。
    %System%\DRIVERS\ACPI.sys[ACPIMOFResource] = "{random characters}"
12. 右側のパネルで以下のレジストリ値を検索し、削除します。
    %System%\DRIVERS\mssmbios.sys[MofResource] = "{random characters}"
13. 右側のパネルで以下のレジストリ値を検索し、削除します。
    %System%\DRIVERS\intelppm.sys[PROCESSORWMI] = "{random characters}"
14. 右側のパネルで以下のレジストリ値を検索し、削除します。
    %System%\DRIVERS\ipnat.sys[IPNATMofResource] = "{random characters}"
15. 右側のパネルで以下のレジストリ値を検索し、削除します。
    %System%\Drivers\HTTP.sys[UlMofResource] = "{random characters}"
16. 「レジストリエディタ」を閉じます。

このマルウェアが変更したレジストリ値の修正：

1. 「レジストリエディタ」を起動します。
   • Windows 2000、XP および Server 2003 の場合：
     [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
   • Windows Vista、7 および Server 2008 の場合：
     [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
   • Windows 8、8.1 および Server 2012 の場合：
     画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
   ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
2. レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>RFC1156Agent>CurrentVersion>Parameters
3. 右側のパネルで以下のレジストリ値を検索します。
   TrapPollTimeMilliSecs = "3a98"
4. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
   TrapPollTimeMilliSecs = "3a98"
5. レジストリエディタを閉じます。

マルウェアのコンポーネントファイルの削除：

マルウェアのフォルダの削除：

1. [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
   註：Windowsのバージョンによって異なります。
2. [ファイル名のすべてまたは一部]に、以下のフォルダ名を入力してください。
   
   • %User Profile%\Application Data\TEMP
3. [探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
4. 検索が終了したら、フォルダを選択し、SHIFT+DELETEを押します。これにより、フォルダが完全に削除されます。