TROJ_ZLOB.HWZ

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

手順 3

起動中ブラウザのウインドウを全て閉じてください。

手順 4

このレジストリキーを削除します。

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID
  • {F4406238-983A-4845-9053-F1D0007FD135}

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID
  • CodecBHO.DLL

• In HKEY_CLASSES_ROOT
  • CodecBHO.XMLDOMDocumentEventsSink.1

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecBHO.XMLDOMDocumentEventsSink.1
  • CLSID

• In HKEY_CLASSES_ROOT
  • CodecBHO.XMLDOMDocumentEventsSink

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecBHO.XMLDOMDocumentEventsSink
  • CLSID

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecBHO.XMLDOMDocumentEventsSink
  • CurVer

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
  • {D37D6C1A-7BA4-47F4-9BF2-75031E257DF6}

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D37D6C1A-7BA4-47F4-9BF2-75031E257DF6}
  • ProgID

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D37D6C1A-7BA4-47F4-9BF2-75031E257DF6}
  • VersionIndependentProgID

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D37D6C1A-7BA4-47F4-9BF2-75031E257DF6}
  • Programmable

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D37D6C1A-7BA4-47F4-9BF2-75031E257DF6}
  • InprocServer32

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D37D6C1A-7BA4-47F4-9BF2-75031E257DF6}
  • TypeLib

• In HKEY_CLASSES_ROOT
  • CodecBHO.CodecPlugin.1

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecBHO.CodecPlugin.1
  • CLSID

• In HKEY_CLASSES_ROOT
  • CodecBHO.CodecPlugin

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecBHO.CodecPlugin
  • CLSID

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CodecBHO.CodecPlugin
  • CurVer

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
  • {098716A9-0310-4CBE-BD64-B790A9761158}

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{098716A9-0310-4CBE-BD64-B790A9761158}
  • ProgID

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{098716A9-0310-4CBE-BD64-B790A9761158}
  • VersionIndependentProgID

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{098716A9-0310-4CBE-BD64-B790A9761158}
  • Programmable

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{098716A9-0310-4CBE-BD64-B790A9761158}
  • InprocServer32

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{098716A9-0310-4CBE-BD64-B790A9761158}
  • TypeLib

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
  • {84562FCA-EE8B-4585-A1D1-EAE97B23370E}

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{84562FCA-EE8B-4585-A1D1-EAE97B23370E}
  • 1.0

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{84562FCA-EE8B-4585-A1D1-EAE97B23370E}\1.0
  • FLAGS

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{84562FCA-EE8B-4585-A1D1-EAE97B23370E}\1.0
  • 0

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{84562FCA-EE8B-4585-A1D1-EAE97B23370E}\1.0\0
  • win32

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{84562FCA-EE8B-4585-A1D1-EAE97B23370E}\1.0
  • HELPDIR

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
  • {A1C23BA2-8F20-4C01-B663-7FF2B3421194}

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A1C23BA2-8F20-4C01-B663-7FF2B3421194}
  • ProxyStubClsid

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A1C23BA2-8F20-4C01-B663-7FF2B3421194}
  • ProxyStubClsid32

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A1C23BA2-8F20-4C01-B663-7FF2B3421194}
  • TypeLib

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
  • {48E92754-2DAF-4DE4-8385-34F631580E9B}

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{48E92754-2DAF-4DE4-8385-34F631580E9B}
  • ProxyStubClsid

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{48E92754-2DAF-4DE4-8385-34F631580E9B}
  • ProxyStubClsid32

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{48E92754-2DAF-4DE4-8385-34F631580E9B}
  • TypeLib

• In HKEY_CURRENT_USER\Software
  • RichVideoCodec

• In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
  • Software Notifier

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
  • System

• In HKEY_CURRENT_USER\Software
  • Sysinternals

• In HKEY_CURRENT_USER\Software\Sysinternals
  • Bluescreen Screen Saver

手順 5

このレジストリ値を削除します。

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

• In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • lphc3u8j0eral = "%System%\lphc3u8j0eral.exe"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\CodecBHO.DLL
  • AppID = "{F4406238-983A-4845-9053-F1D0007FD135}"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D37D6C1A-7BA4-47F4-9BF2-75031E257DF6}\InprocServer32
  • ThreadingModel = "Apartment"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D37D6C1A-7BA4-47F4-9BF2-75031E257DF6}
  • AppID = "{F4406238-983A-4845-9053-F1D0007FD135}"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{098716A9-0310-4CBE-BD64-B790A9761158}\InprocServer32
  • ThreadingModel = "Apartment"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{098716A9-0310-4CBE-BD64-B790A9761158}
  • AppID = "{F4406238-983A-4845-9053-F1D0007FD135}"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{098716A9-0310-4CBE-BD64-B790A9761158}
  • NoExplorer = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A1C23BA2-8F20-4C01-B663-7FF2B3421194}\TypeLib
  • Version = "1.0"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{48E92754-2DAF-4DE4-8385-34F631580E9B}\TypeLib
  • Version = "1.0"

• In HKEY_CURRENT_USER\Software\RichVideoCodec
  • v0 = "%Program Files%\RichVideoCodec"

• In HKEY_CURRENT_USER\Software\RichVideoCodec
  • v1 = "http://{BLOCKED}ervice1.com/service/index.php;http://codecservice3.com/service/index.php"

• In HKEY_CURRENT_USER\Software\RichVideoCodec
  • v2 = "357"

• In HKEY_CURRENT_USER\Software\RichVideoCodec
  • v3 = "0"

• In HKEY_CURRENT_USER\Software\RichVideoCodec
  • v4 = "http://www.{BLOCKED}voritetube.com"

• In HKEY_CURRENT_USER\Software\RichVideoCodec
  • v5 = "37db80fe-29a5-431c-a462-255d8f018df6"

• In HKEY_CURRENT_USER\Software\RichVideoCodec
  • v6 = "dca0a3e36e08a236cf1125a136498d4c"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier
  • InstallID = "697440ae-b6ce-497d-a0ed-b64cd513692d"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier
  • Tr = "/357"

• In HKEY_CURRENT_USER\Control Panel\Desktop
  • ConvertedWallpaper = "%System%\phc3u8j0eral.bmp"

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • NoDispBackgroundPage = "1"

• In HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen Screen Saver
  • EulaAccepted = "1"

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • NoDispScrSavPage = "1"

手順 6

変更されたレジストリ値を修正します。

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

• In HKEY_CURRENT_USER\Control Panel\Colors
  • From: Background = "0 0 255"
    To: Background = ""0 78 152""

• In HKEY_CURRENT_USER\Control Panel\Desktop
  • From: WallpaperStyle = "0"
    To: WallpaperStyle = ""2""

• In HKEY_CURRENT_USER\Control Panel\Desktop
  • From: TileWallpaper = "0"
    To: TileWallpaper = ""0""

• In HKEY_CURRENT_USER\Control Panel\Desktop
  • From: Wallpaper = "%System%\phc3u8j0eral.bmp"
    To: Wallpaper = ""%Windows%\web\wallpaper\Bliss.bmp""

• In HKEY_CURRENT_USER\Control Panel\Desktop
  • OriginalWallpaper = "%System%\phc3u8j0eral.bmp"

• In HKEY_CURRENT_USER\Control Panel\Desktop
  • From: SCRNSAVE.EXE = "%System%\blphc3u8j0eral.scr"
    To: SCRNSAVE.EXE = ""%Windows%\system32\logon.scr""

• In HKEY_CURRENT_USER\Control Panel\Desktop
  • From: ScreenSaveActive = "1"
    To: ScreenSaveActive = ""1""

• In HKEY_CURRENT_USER\Control Panel\Desktop
  • From: ScreenSaveTimeOut = "600"
    To: ScreenSaveTimeOut = ""600""

手順 7

以下のファイルを検索し削除します。

• %System%\RichVideoCodec.dll
• %User Temp%\nsu5.tmp\System.dll
• %Program Files%\RichVideoCodec\MultiLoader.dll
• %System%\phc3u8j0eral.bmp
• %User Temp%\.ttC.tmp.vbs
• %System%\blphc3u8j0eral.scr

手順 8

以下のフォルダを検索し削除します。

• %Program Files%\RichVideoCodec
• %System Root%\DOCUME~1
• %System Root%\DOCUME~1\Wilbert
• %User Profile%\LOCALS~1
• %User Temp%\nsu5.tmp

手順 9

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「TROJ_ZLOB.HWZ」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 10

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア／グレイウェア／スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

• %User Temp%\nst1.tmp
• %User Temp%\nsu5.tmp
• %System%\lphc3u8j0eral.exe:Zone.Identifier
• %User Temp%\.tt10.tmp
• %User Temp%\.tt13.tmp
• %User Temp%\.tt16.tmp
• %User Temp%\.tt19.tmp
• %User Temp%\.tt1C.tmp
• %User Temp%\.tt1F.tmp
• %User Temp%\.tt22.tmp
• %User Temp%\.tt25.tmp
• %User Temp%\.tt28.tmp
• %User Temp%\.tt2B.tmp
• %User Temp%\.tt2E.tmp
• %User Temp%\.tt31.tmp
• %User Temp%\.tt34.tmp
• %User Temp%\.tt37.tmp
• %User Temp%\.tt3A.tmp
• %User Temp%\.tt3D.tmp
• %User Temp%\.tt40.tmp
• %User Temp%\.tt43.tmp
• %User Temp%\.tt46.tmp
• %User Temp%\.tt49.tmp
• %User Temp%\.tt4C.tmp
• %User Temp%\.tt4F.tmp
• %User Temp%\.tt52.tmp
• %User Temp%\.tt55.tmp
• %User Temp%\.tt58.tmp
• %User Temp%\.tt5B.tmp
• %User Temp%\.tt5E.tmp
• %User Temp%\.tt61.tmp
• %User Temp%\.tt64.tmp
• %User Temp%\.tt67.tmp
• %User Temp%\.tt6A.tmp
• %User Temp%\.tt6D.tmp
• %User Temp%\.tt70.tmp
• %User Temp%\.tt73.tmp
• %User Temp%\.tt76.tmp
• %User Temp%\.tt79.tmp
• %User Temp%\.tt7C.tmp
• %User Temp%\.tt7F.tmp
• %User Temp%\.tt82.tmp
• %User Temp%\.tt85.tmp
• %User Temp%\.tt88.tmp
• %User Temp%\.tt8B.tmp
• %User Temp%\.tt8E.tmp
• %User Temp%\.tt91.tmp
• %User Temp%\.tt94.tmp
• %User Temp%\.tt97.tmp
• %User Temp%\.tt9A.tmp
• %User Temp%\.tt9D.tmp
• %User Temp%\.ttA0.tmp
• %User Temp%\.ttA3.tmp
• %User Temp%\.ttA6.tmp
• %User Temp%\.ttA9.tmp
• %User Temp%\.ttAC.tmp
• %User Temp%\.ttAF.tmp
• %User Temp%\.ttB2.tmp
• %User Temp%\.ttB5.tmp
• %User Temp%\.ttB8.tmp
• %User Temp%\.ttBB.tmp
• %User Temp%\.ttBE.tmp
• %User Temp%\.ttC1.tmp
• %User Temp%\.ttC4.tmp
• %User Temp%\.ttC7.tmp
• %User Temp%\.ttCA.tmp
• %User Temp%\.ttCD.tmp
• %User Temp%\.ttD0.tmp
• %User Temp%\.ttD3.tmp
• %User Temp%\.ttD6.tmp
• %User Temp%\.ttD9.tmp
• %User Temp%\.ttDC.tmp
• %User Temp%\.ttDF.tmp
• %User Temp%\.ttE2.tmp
• %User Temp%\.ttE5.tmp
• %User Temp%\.ttE8.tmp
• %User Temp%\.ttEB.tmp
• %User Temp%\.ttEE.tmp
• %User Temp%\.ttF1.tmp
• %User Temp%\.ttF4.tmp
• %User Temp%\.ttF7.tmp
• %User Temp%\.ttFA.tmp
• %User Temp%\.ttFD.tmp
• %User Temp%\.tt100.tmp
• %User Temp%\.tt103.tmp
• %User Temp%\.tt106.tmp
• %User Temp%\.tt109.tmp
• %User Temp%\.tt10C.tmp
• %User Temp%\.tt10F.tmp
• %User Temp%\.tt112.tmp
• %User Temp%\.tt115.tmp
• %User Temp%\.tt118.tmp
• %User Temp%\.tt11B.tmp
• %User Temp%\.tt11E.tmp
• %User Temp%\.tt121.tmp
• %User Temp%\.tt124.tmp
• %User Temp%\.tt127.tmp
• %User Temp%\.tt12A.tmp
• %User Temp%\.tt12D.tmp
• %User Temp%\.tt130.tmp
• %User Temp%\.tt133.tmp
• %User Temp%\.tt136.tmp
• %User Temp%\.tt139.tmp
• %User Temp%\.tt13C.tmp
• %User Temp%\.tt13F.tmp
• %User Temp%\.tt142.tmp
• %User Temp%\.tt145.tmp
• %User Temp%\.tt148.tmp
• %User Temp%\.tt14B.tmp
• %User Temp%\.tt14E.tmp
• %User Temp%\.tt151.tmp
• %User Temp%\.tt154.tmp
• %User Temp%\.tt157.tmp
• %User Temp%\.tt15A.tmp
• %User Temp%\.tt15D.tmp
• %User Temp%\.tt160.tmp
• %User Temp%\.tt163.tmp
• %User Temp%\.tt166.tmp
• %User Temp%\.tt169.tmp
• %User Temp%\.tt16C.tmp
• %User Temp%\.tt16F.tmp
• %User Temp%\.tt172.tmp
• %User Temp%\.tt175.tmp
• %User Temp%\.tt178.tmp
• %User Temp%\.tt17B.tmp
• %User Temp%\.tt17E.tmp
• %User Temp%\.tt181.tmp