解析者: Cris Nowell Pantanilla   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 8,244,624 bytes
タイプ , EXE
メモリ常駐 はい
発見日 2014年6月27日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • %Application Data%\systemk\coordinator.cfg
  • %Application Data%\systemk\general.cfg
  • %Application Data%\systemk\S-1-5-32.cfg
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\searchplugins\default-search.xml
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\chrome.manifest
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF.xpt
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF10.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF11.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF12.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF13.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF14.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF15.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF16.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF17.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF18.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF19.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF2.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF20.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF21.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF22.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF23.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF24.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF25.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF26.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF27.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF28.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF29.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF4.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF5.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF6.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF7.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF8.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\components\SystemKHlpFF9.dll
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\content\DnsBHO.js
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\content\Error404BHO.js
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\content\MainBHO.js
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\content\NativeHelper.js
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\content\NewTabBHO.js
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\content\overlay.js
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\content\overlay.xul
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\content\RelatedSearch.js
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\content\RequestPreserver.js
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\content\SearchBHO.js
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\content\SettingManager.js
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{EB25CAE0-E5F3-E993-3950-E055FE755242}\install.rdf
  • %User Temp%\followXXXXa01336
  • %User Temp%\nsj38\Helper.dll
  • %User Temp%\nsj38\LinkeyDeals.exe
  • %User Temp%\nsj38\Uninstall.exe
  • %User Temp%\nsj38.tmp\registry.dll
  • %User Temp%\nsq40\insthlp.dll
  • %User Temp%\nsz7\Helper.dll
  • %User Temp%\nsz7\nshB.tmp\extensions.sqlite
  • %User Temp%\nsz7\nshB.tmp\ffExtension.exe
  • %User Temp%\nsz7\nshB.tmp\install.rdf
  • %User Temp%\nsz7\nshB.tmp\mediabar.exe
  • %User Temp%\nsz7\nshB.tmp\pack.exe
  • %User Temp%\nsz7\nshB.tmp\Search_Results.xml
  • %User Temp%\nsz7\nshB.tmp\Search_Results.xml.old
  • %User Temp%\nsz7\nshB.tmp\SettingsManagerMediaBar.exe
  • %User Temp%\nsz7\Starter.exe
  • %User Temp%\nsz7\tbicon.exe
  • %Program Files%\Linkey\Helper.dll
  • %Program Files%\Linkey\IEExtension
  • %Program Files%\Linkey\IEExtension\iedll.dll
  • %Program Files%\Linkey\IEExtension\iedll64.dll
  • %Program Files%\Linkey\log.log
  • %Program Files%\Linkey\module.dll
  • %Program Files%\Linkey\module64.dll
  • %Program Files%\Linkey\Uninstall.exe
  • %Program Files%\LinkeyDeals\insthlp.dll
  • %Program Files%\LinkeyDeals\LinkeyDealsUninst.exe
  • %Program Files%\LinkeyDeals\msilnk.dll
  • %Program Files%\LinkeyDeals\msilnk.exe
  • %Program Files%\Settings Manager\systemk\favicon.ico
  • %Program Files%\Settings Manager\systemk\Helper.dll
  • %Program Files%\Settings Manager\systemk\Internet Explorer Settings.exe
  • %Program Files%\Settings Manager\systemk\sysapcrt.dll
  • %Program Files%\Settings Manager\systemk\syskldr.dll
  • %Program Files%\Settings Manager\systemk\syskldr_u.dll
  • %Program Files%\Settings Manager\systemk\systemk.dll
  • %Program Files%\Settings Manager\systemk\systemkbho.dll
  • %Program Files%\Settings Manager\systemk\systemkChrome.dll
  • %Program Files%\Settings Manager\systemk\systemkmgrc1.cfg
  • %Program Files%\Settings Manager\systemk\SystemkService.exe
  • %Program Files%\Settings Manager\systemk\systemku.exe
  • %Program Files%\Settings Manager\systemk\tbicon.exe
  • %Program Files%\Settings Manager\systemk\Uninstall.exe
  • %Program Files%\Mozilla Firefox\searchplugins\default-search.xml

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

マルウェアは、以下のフォルダを作成します。

  • %Program Files%\Linkey
  • %Program Files%\LinkeyDeals
  • %Application Data%\systemk
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default
  • %Program Files%\Settings Manager\systemk
  • %User Temp%\nsj38
  • %User Temp%\nsq40
  • %User Temp%\nsz7

(註:%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\Linkey.Linkey

HKEY_CLASSES_ROOT\SettingsManagerIEHelper.DNSGuard

HKEY_CLASSES_ROOT\SettingsManagerIEHelper.DNSGuard.1

HKEY_CLASSES_ROOT\AppID\iedll.dll

HKEY_CLASSES_ROOT\AppID\{6A7CD9EC-D8BD-4340-BCD0-77C09A282921}

HKEY_CLASSES_ROOT\CLSID\{4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47}

HKEY_CLASSES_ROOT\CLSID\{54739D49-AC03-4C57-9264-C5195596B3A1}

HKEY_CLASSES_ROOT\CLSID\{E1842850-FB16-4471-B327-7343FBAED55C}

HKEY_CLASSES_ROOT\Interface\{4613B1C1-FBC0-43C3-A4B9-B1D6CD360BB3}

HKEY_CLASSES_ROOT\Interface\{AA760BA8-5862-4BC5-9263-4452CBC0B264}

HKEY_CLASSES_ROOT\TypeLib\{726E90BE-DC22-4965-B215-E0784DC26F47}

HKEY_CLASSES_ROOT\TypeLib\{93D511B5-143B-4A99-ABFC-B5B78AD0AE1B}

HKEY_CURRENT_USER\Software\SystemK

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Approved Extensions

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Ext\
Settings\{4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Ext\
Settings\{54739D49-AC03-4C57-9264-C5195596B3A1}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Linkey

HKEY_LOCAL_MACHINE\SOFTWARE\Linkey

HKEY_LOCAL_MACHINE\SOFTWARE\LinkeyDeals

HKEY_LOCAL_MACHINE\SOFTWARE\SystemK

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SystemkService

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
bitguard.exe
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
bprotect.exe
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
bpsvc.exe
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
browserdefender.exe
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
browserprotect.exe
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
browsersafeguard.exe
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
dprotectsvc.exe
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
jumpflip
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
protectedsearch.exe
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
searchinstaller.exe
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
searchprotection.exe
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
searchprotector.exe
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
searchsettings.exe
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
searchsettings64.exe
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
snapdo.exe
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
stinst32.exe
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
stinst64.exe
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
umbrella.exe
debugger = tasklist.exe

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Search
SearchAssistant = "http://www.default-search.net?sid=427&aid=0&itype=n&ver=12791&tm=539&src=ds&p="

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Search Bar = http://www.default-search.net?sid=427&aid=0&itype=n&ver=12791&tm=539&src=ds&p=

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Linkey Deals = %Program Files%\LinkeyDeals\msilnk.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows
LoadAppInit_DLLs = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
ESENT\Process\{malware filename}\
DEBUG
Trace Level = {blank}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
FrameAuto = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Toolbar
10 = 10

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
utiljumpflip.exe
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
volaro
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
vonteera
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
websteroids.exe
debugger = tasklist.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
websteroidsservice.exe
debugger = tasklist.exe

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Start Page = http://www.default-search.net?sid=427&aid=0&itype=n&ver=12791&tm=539&src=hmp

(註:変更前の上記レジストリ値は、「{user settings}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows
AppInit_DLLs = %Program Files%\Linkey\IEEXTE~1\iedll.dll

(註:変更前の上記レジストリ値は、「{blank}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Search
SearchAssistant = http://www.default-search.net?sid=427&aid=0&itype=n&ver=12791&tm=539&src=ds&p=

(註:変更前の上記レジストリ値は、「{user settings}」となります。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}e.{BLOCKED}e.com/install_statistics.php
  • http://{BLOCKED}d.{BLOCKED}e.com/login
  • http://{BLOCKED}e.{BLOCKED}project.com/install_statistics.php

  対応方法

対応検索エンジン: 9.700
初回 VSAPI パターンバージョン 10.888.04
初回 VSAPI パターンリリース日 2014年6月27日
VSAPI OPR パターンバージョン 10.889.00
VSAPI OPR パターンリリース日 2014年6月28日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「TROJ_SRCHSUTE.AD」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 3

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  %Program Files%\Linkey
%Program Files%\LinkeyDeals
%Application Data%\systemk
%Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default
%Program Files%\Settings Manager\systemk
%User Temp%\nsj38
%User Temp%\nsq40
%User Temp%\nsz7

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
%User Temp%\followXXXXa01336
%Program Files%\Mozilla Firefox\searchplugins\default-search.xml

手順 5

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    • From: Start Page = "http://www.default-search.net?sid=427&aid=0&itype=n&ver=12791&tm=539&src=hmp"
      To: Start Page = "{user settings}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    • From: AppInit_DLLs = "C:\PROGRA~1\Linkey\IEEXTE~1\iedll.dll "
      To: AppInit_DLLs = ""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search
    • From: SearchAssistant = "http://www.default-search.net?sid=427&aid=0&itype=n&ver=12791&tm=539&src=ds&p="
      To: SearchAssistant = "{user settings}"

手順 6

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • bitguard.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • bprotect.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • bpsvc.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • browserdefender.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • browserprotect.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • browsersafeguard.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • dprotectsvc.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • jumpflip
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • protectedsearch.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • searchinstaller.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • searchprotection.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • searchprotector.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • searchsettings.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • searchsettings64.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • snapdo.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • stinst32.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • stinst64.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • umbrella.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • utiljumpflip.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • volaro
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • vonteera
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • websteroids.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • websteroidsservice.exe
  • In HKEY_CLASSES_ROOT
    • Linkey.Linkey
  • In HKEY_CLASSES_ROOT
    • SettingsManagerIEHelper.DNSGuard
  • In HKEY_CLASSES_ROOT
    • SettingsManagerIEHelper.DNSGuard.1
  • In HKEY_CLASSES_ROOT\AppID
    • iedll.dll
  • In HKEY_CLASSES_ROOT\AppID
    • {6A7CD9EC-D8BD-4340-BCD0-77C09A282921}
  • In HKEY_CLASSES_ROOT\CLSID
    • {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47}
  • In HKEY_CLASSES_ROOT\CLSID
    • {54739D49-AC03-4C57-9264-C5195596B3A1}
  • In HKEY_CLASSES_ROOT\CLSID
    • {E1842850-FB16-4471-B327-7343FBAED55C}
  • In HKEY_CLASSES_ROOT\Interface
    • {4613B1C1-FBC0-43C3-A4B9-B1D6CD360BB3}
  • In HKEY_CLASSES_ROOT\Interface
    • {AA760BA8-5862-4BC5-9263-4452CBC0B264}
  • In HKEY_CLASSES_ROOT\TypeLib
    • {726E90BE-DC22-4965-B215-E0784DC26F47}
  • In HKEY_CLASSES_ROOT\TypeLib
    • {93D511B5-143B-4A99-ABFC-B5B78AD0AE1B}
  • In HKEY_CURRENT_USER\Software
    • SystemK
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
    • Approved Extensions
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings
    • {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47}
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings
    • {54739D49-AC03-4C57-9264-C5195596B3A1}
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall
    • Linkey
  • In HKEY_LOCAL_MACHINE\SOFTWARE
    • Linkey
  • In HKEY_LOCAL_MACHINE\SOFTWARE
    • LinkeyDeals
  • In HKEY_LOCAL_MACHINE\SOFTWARE
    • SystemK
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
    • {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47}
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    • SystemkService

手順 7

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
    • SearchAssistant = "http://www.default-search.net?sid=427&aid=0&itype=n&ver=12791&tm=539&src=ds&p="
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    • Search Bar = "http://www.default-search.net?sid=427&aid=0&itype=n&ver=12791&tm=539&src=ds&p="
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Linkey Deals = ""%Program Files%\LinkeyDeals\msilnk.exe""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    • LoadAppInit_DLLs = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\{malware filename}\DEBUG
    • Trace Level = ""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
    • FrameAuto = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
    • 10 = "10"

手順 8

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_SRCHSUTE.AD」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください