Trojan.Win32.VILSEL.AB
Trojan.Win32.Vilsel.cdqi (Kaspersky)
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のプロセスを追加します。
- %Application Data%\RDP6\pdfprint_cmd.exe
- "%Application Data%\RDP6\ConnectionClient7.exe" -server 109.164.250.213 -port 1356 -alttab 0 -full 1 -select on -seamless on -wallp green -rdp5 off -loadbalancing 0 -localtb 32
- %Application Data%\RDP6\ConnectionClient7.exe -server 109.164.250.213 -port 1356 -alttab 0 -full 1 -select on -seamless on -wallp green -rdp5 off -loadbalancing 0 -localtb 32
- %System%\cmd.exe /c regsvr32.exe /s "%Application Data%\RDP6\TSFTPClient.dll"
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
マルウェアは、以下のフォルダを作成します。
- %System Root%\Users
- %Application Data%\RDP6
- %Application Data%\RDP6\Resource
- %Application Data%\RDP6\encoding
- %User Profile%\AppData
(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>" です。)
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Terminal Server Client\Default\AddIns
HKEY_CURRENT_USER\Software\Microsoft\
Terminal Server Client\Default\AddIns\
RDPDR
HKEY_CURRENT_USER\Software\Microsoft\
Terminal Server Client\Default\AddIns\
TSFTP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\DisableNotifications
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\EnableFirewall
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\DisableNotifications
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\EnableFirewall
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SharedAccess\Parameters\
FirewallPolicy\PublicProfile\DisableNotifications
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SharedAccess\Parameters\
FirewallPolicy\PublicProfile\EnableFirewall
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Terminal Server Client\Default\AddIns\
TSFTP
Name = "%Application Data%\RDP6\TSFTPClient.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\Terminal Services
fAllowUnlistedRemotePrograms = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\Terminal Services
fTurnOffSingleAppMode = "0"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Terminal Server
HonorLegacySettings = "1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Terminal Server
SessionDirectoryActive = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = "0"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DisableNotifications = "1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
EnableFirewall = "0"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = "1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\PublicProfile
DisableNotifications = "1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\PublicProfile
EnableFirewall = "0"
HKEY_USERS\.DEFAULT\Control Panel\
Desktop
ScreenSaveTimeOut = "1200000"
マルウェアは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"
HKEY_CURRENT_USER\Control Panel\Desktop
LowPowerActive = "0"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\Control Panel\Desktop
LowPowerTimeOut = "0"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\Control Panel\Desktop
PowerOffActive = "0"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\Control Panel\Desktop
PowerOffTimeOut = "0"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaverIsSecure = "0"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaveActive = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = "0"
(註:変更前の上記レジストリ値は、「%Windows%\system32\logon.scr」となります。)
作成活動
マルウェアは、以下のファイルを作成します。
- %Application Data%\RDP6\encoding\78-euc-v
- %Application Data%\RDP6\encoding\HKm314-B5-H
- %Application Data%\RDP6\cimage.dll
- %Application Data%\RDP6\encoding\90pv-RKSJ-UCS2
- %Application Data%\RDP6\encoding\HKdlb-B5-V
- %Application Data%\RDP6\encoding
- %Application Data%\RDP6\encoding\ETHK-B5-H
- %Application Data%\RDP6\encoding\UCS2-KSCms-UHC
- %Application Data%\RDP6\encoding\UniJIS-UCS2-V
- %Application Data%\RDP6\encoding\Adobe-GB1-GBpc-EUC
- %Application Data%\RDP6\Resource\d050000l.pfb
- %Application Data%\RDP6\encoding\UniCNS-UCS2-V
- %Application Data%\RDP6\encoding\ETHK-B5-V
- %Application Data%\RDP6\languk.ini
- %Application Data%\RDP6\encoding\78ms-rksj-v
- %Application Data%\RDP6\encoding\Adobe-Japan1-90ms-RKSJ
- %Application Data%\RDP6\encoding\H
- %Application Data%\RDP6\encoding\HKm314-B5-V
- %Application Data%\RDP6\encoding\GBK2K-H
- %Application Data%\RDP6\encoding\B5pc-V
- %Application Data%\RDP6\encoding\UniCNS-UTF16-V
- %Application Data%\RDP6\encoding\wincharsetffff-h2
- %Application Data%\RDP6\encoding\V
- %Application Data%\RDP6\encoding\KSC-EUC-V
- %Application Data%\RDP6\encoding\78ms-rksj-h
- %Application Data%\RDP6\encoding\ETen-B5-H
- %Application Data%\RDP6\Resource\n021023l.pfb
- %Application Data%\RDP6\encoding\GBpc-EUC-V
- %Application Data%\RDP6\encoding\GBKp-EUC-H
- %Application Data%\RDP6\encoding\KSCpc-EUC-H
- %Application Data%\RDP6\encoding\78-h
- %Application Data%\RDP6\encoding\HKscs-B5-V
- %Application Data%\RDP6\ico2.ico
- %Application Data%\RDP6\encoding\KSCpc-EUC-UCS2
- %Application Data%\RDP6\Resource\n021004l.pfb
- %Application Data%\RDP6\encoding\UniGB-UCS2-V
- %Application Data%\RDP6\encoding\Adobe-GB1-H-Mac
- %Application Data%\RDP6\encoding\GBT-EUC-V
- %Application Data%\RDP6\encoding\GBpc-EUC-H
- %Application Data%\RDP6\encoding\HKdla-B5-V
- %Application Data%\RDP6\encoding\Adobe-Korea1-H-Mac
- %Application Data%\RDP6\encoding\UCS2-90ms-RKSJ
- %Application Data%\RDP6\Resource\n019024l.pfb
- %Application Data%\RDP6\encoding\90msp-RKSJ-H
- %Application Data%\RDP6\encoding\EUC-H
- %Application Data%\RDP6\encoding\EUC-V
- %Application Data%\RDP6\encoding\GBKp-EUC-V
- %Application Data%\RDP6\encoding\Adobe-Japan1-90pv-RKSJ
- %Application Data%\RDP6\encoding\90msp-RKSJ-V
- %Application Data%\RDP6\Resource\n019004l.pfb
- %Application Data%\RDP6\encoding\ETenms-B5-V
- %Application Data%\RDP6\encoding\GBK-EUC-UCS2
- %Application Data%\RDP6\TSFTPClient.DLL
- %Application Data%\RDP6\4e9b7bc4557ad92989a612facadd5f873e68c4e6.txt
- %Application Data%\RDP6\encoding\B5pc-UCS2
- %Application Data%\RDP6\encoding\ETenms-B5-H
- %Application Data%\RDP6\Resource\n022023l.pfb
- %Application Data%\RDP6\Resource\n019023l.pfb
- %Application Data%\RDP6\encoding\ETen-B5-V
- %Application Data%\RDP6\encoding\B5pc-UCS2C
- %Application Data%\RDP6\pdfprint_cmd.exe
- %Application Data%\RDP6\encoding\Adobe-Korea1-H-CID
- %Application Data%\RDP6\encoding\Identity-H
- %Application Data%\RDP6\encoding\UniJIS-UCS2-HW-H
- %Application Data%\RDP6\encoding\Adobe-GB1-UCS2
- %Application Data%\RDP6\encoding\Identity-V
- %Application Data%\RDP6\encoding\78-euc-h
- %Application Data%\RDP6\encoding\Adobe-Japan1-UCS2
- %Application Data%\RDP6\encoding\GB-EUC-V
- %Application Data%\RDP6\encoding\Add-RKSJ-V
- %Application Data%\RDP6\encoding\HKm471-B5-H
- %Application Data%\RDP6\encoding\78-rksj-h
- %Application Data%\RDP6\encoding\Adobe-GB1-H-Host
- %Application Data%\RDP6\encoding\CNS-EUC-H
- %Application Data%\RDP6\encoding\HKm471-B5-V
- %Application Data%\RDP6\encoding\Adobe-Korea1-UCS2
- %Application Data%\RDP6\Resource\n021024l.pfb
- %Application Data%\RDP6\encoding\GBK-EUC-H
- %Application Data%\RDP6\Resource
- %Application Data%\RDP6\Resource\n022004l.pfb
- %Application Data%\RDP6\Resource\n022024l.pfb
- %Application Data%\RDP6\encoding\KSCms-UHC-UCS2
- %Application Data%\RDP6\encoding\78-rksj-v
- %Application Data%\RDP6\encoding\UniGB-UCS2-H
- %Application Data%\RDP6\encoding\UniJIS-UTF16-V
- %Application Data%\RDP6\encoding\HKscs-B5-H
- %Application Data%\RDP6\encoding\Adobe-GB1-GBK-EUC
- %Application Data%\RDP6\encoding\Adobe-GB1-H-CID
- %Application Data%\RDP6\encoding\Adobe-CNS1-H-CID
- %Application Data%\RDP6\encoding\90ms-RKSJ-H
- %Application Data%\RDP6\encoding\UniJIS-UCS2-HW-V
- %Application Data%\RDP6\encoding\KSCms-UHC-V
- %Application Data%\RDP6\Resource\s050000l.pfb
- %Application Data%\RDP6\encoding\KSCms-UHC-H
- %Application Data%\RDP6\encoding\90pv-RKSJ-H
- %Application Data%\RDP6\encoding\UniGB-UTF16-H
- %Application Data%\RDP6\encoding\UCS2-B5pc
- %Application Data%\RDP6\ConnectionClient7.exe
- %Application Data%\RDP6\encoding\Adobe-Japan1-PS-V
- %Application Data%\RDP6\mstsc.exe
- %Application Data%\RDP6\encoding\GBpc-EUC-UCS2
- %Application Data%\RDP6\encoding\GBK-EUC-V
- %Application Data%\RDP6\encoding\Adobe-CNS1-UCS2
- %Application Data%\RDP6\encoding\wincharsetffff-h
- %Application Data%\RDP6\bkgscblue.bmp
- %Application Data%\RDP6\encoding\GB-EUC-H
- %Application Data%\RDP6\encoding\Adobe-Japan1-PS-H
- %Application Data%\RDP6\encoding\Adobe-CNS1-H-Host
- %Application Data%\RDP6\pdfprint.exe
- %Application Data%\RDP6\encoding\UniCNS-UCS2-H
- %Application Data%\RDP6\encoding\wincharsetffff-v
- %Application Data%\RDP6\Resource\n021003l.pfb
- %Application Data%\RDP6\encoding\Adobe-CNS1-ETen-B5
- %Application Data%\RDP6\readme.pdf
- %Application Data%\RDP6\encoding\UniKS-UTF16-H
- %Application Data%\RDP6\encoding\KSC-EUC-H
- %Application Data%\RDP6\encoding\Ext-RKSJ-H
- %Application Data%\RDP6\encoding\83pv-RKSJ-H
- %Application Data%\RDP6\bkgsc.bmp
- %Application Data%\RDP6\encoding\UCS2-KSCpc-EUC
- %Application Data%\RDP6\encoding\UCS2-GBK-EUC
- %Application Data%\RDP6\encoding\90pv-RKSJ-UCS2C
- %Application Data%\RDP6\encoding\B5pc-H
- %Application Data%\RDP6\encoding\GBpc-EUC-UCS2C
- %Application Data%\RDP6\encoding\UniGB-UTF16-V
- %Application Data%\RDP6\encoding\90ms-RKSJ-UCS2
- %Application Data%\RDP6\encoding\Add-RKSJ-H
- %Application Data%\RDP6\bkgscgreen.bmp
- %Application Data%\RDP6\encoding\HKgccs-B5-V
- %Application Data%\RDP6\encoding\UCS2-90pv-RKSJ
- %Application Data%\RDP6\encoding\HKdlb-B5-H
- %Application Data%\RDP6\encoding\Adobe-CNS1-H-Mac
- %Application Data%\RDP6\encoding\90ms-RKSJ-V
- %Application Data%\RDP6\encoding\KSCpc-EUC-UCS2C
- %Application Data%\RDP6\encoding\Adobe-Japan1-H-Host
- %Application Data%\RDP6\encoding\Ext-RKSJ-V
- %Application Data%\RDP6\encoding\GBK2K-V
- %Application Data%\RDP6\encoding\UniJIS-UCS2-H
- %Application Data%\RDP6\encoding\wincharsetffff-v2
- %Application Data%\RDP6\encoding\Adobe-CNS1-B5pc
- %Application Data%\RDP6\encoding\78-v
- %Application Data%\RDP6\Resource\n019003l.pfb
- %Application Data%\RDP6\encoding\Adobe-Japan1-H-Mac
- %Application Data%\RDP6\encoding\CNS-EUC-V
- %Application Data%\RDP6\TsCredentials.exe
- %Application Data%\RDP6\encoding\Adobe-Japan1-H-CID
- %Application Data%\RDP6\encoding\HKdla-B5-H
- %Application Data%\RDP6\encoding\UniJIS-UTF16-H
- %Application Data%\RDP6\encoding\HKgccs-B5-H
- %Application Data%\RDP6\encoding\GBT-EUC-H
- %Application Data%\RDP6\encoding\UniCNS-UTF16-H
- %Application Data%\RDP6\encoding\Adobe-Korea1-KSCms-UHC
- %Application Data%\RDP6\Resource\n022003l.pfb
- %Application Data%\RDP6\encoding\KSCms-UHC-HW-V
- %Application Data%\RDP6\encoding\ETen-B5-UCS2
- %Application Data%\RDP6\encoding\KSCms-UHC-HW-H
- %Application Data%\RDP6\encoding\UCS2-ETen-B5
- %Application Data%\RDP6\GdiPlus.dll
- %Application Data%\RDP6\encoding\UniKS-UCS2-V
- %Application Data%\RDP6\encoding\UniKS-UCS2-H
- %Application Data%\RDP6\encoding\UniKS-UTF16-V
- %Application Data%\RDP6\encoding\UCS2-GBpc-EUC
- %Application Data%\RDP6\encoding\Adobe-Korea1-H-Host
- %Application Data%\RDP6\encoding\Adobe-Korea1-KSCpc-EUC
- %Application Data%\RDP6\mstscax.dll
- %Application Data%\RDP6\bkgscpink.bmp
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
このウイルス情報は、自動解析システムにより作成されました。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「Trojan.Win32.VILSEL.AB」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
不明なレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default
- AddIns
- In HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default\AddIns
- RDPDR
- In HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default\AddIns
- TSFTP
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
- DisableNotifications
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
- EnableFirewall
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- DisableNotifications
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- EnableFirewall
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
- DisableNotifications
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
- EnableFirewall
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default\AddIns\TSFTP
- Name = "%Application Data%\RDP6\TSFTPClient.dll"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
- fAllowUnlistedRemotePrograms = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
- fTurnOffSingleAppMode = "0"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server
- HonorLegacySettings = "1"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server
- SessionDirectoryActive = "0"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- EnableLUA = "0"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
- DisableNotifications = "1"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
- EnableFirewall = "0"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- DisableNotifications = "1"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- EnableFirewall = "0"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
- DisableNotifications = "1"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
- EnableFirewall = "0"
- In HKEY_USERS\.DEFAULT\Control Panel\Desktop
- ScreenSaveTimeOut = "1200000"
手順 5
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- AntiVirusDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- FirewallDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- UpdatesDisableNotify = "1"
- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: LowPowerActive = "0"
To: LowPowerActive = ""0""
- From: LowPowerActive = "0"
- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: LowPowerTimeOut = "0"
To: LowPowerTimeOut = ""0""
- From: LowPowerTimeOut = "0"
- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: PowerOffActive = "0"
To: PowerOffActive = ""0""
- From: PowerOffActive = "0"
- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: PowerOffTimeOut = "0"
To: PowerOffTimeOut = ""0""
- From: PowerOffTimeOut = "0"
- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: ScreenSaverIsSecure = "0"
To: ScreenSaverIsSecure = ""0""
- From: ScreenSaverIsSecure = "0"
- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: ScreenSaveActive = "0"
To: ScreenSaveActive = ""1""
- From: ScreenSaveActive = "0"
- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: SCRNSAVE.EXE = "0"
To: SCRNSAVE.EXE = ""%Windows%\system32\logon.scr""
- From: SCRNSAVE.EXE = "0"
手順 6
以下のファイルを検索し削除します。
- %Application Data%\RDP6\encoding\78-euc-v
- %Application Data%\RDP6\encoding\HKm314-B5-H
- %Application Data%\RDP6\cimage.dll
- %Application Data%\RDP6\encoding\90pv-RKSJ-UCS2
- %Application Data%\RDP6\encoding\HKdlb-B5-V
- %Application Data%\RDP6\encoding
- %Application Data%\RDP6\encoding\ETHK-B5-H
- %Application Data%\RDP6\encoding\UCS2-KSCms-UHC
- %Application Data%\RDP6\encoding\UniJIS-UCS2-V
- %Application Data%\RDP6\encoding\Adobe-GB1-GBpc-EUC
- %Application Data%\RDP6\Resource\d050000l.pfb
- %Application Data%\RDP6\encoding\UniCNS-UCS2-V
- %Application Data%\RDP6\encoding\ETHK-B5-V
- %Application Data%\RDP6\languk.ini
- %Application Data%\RDP6\encoding\78ms-rksj-v
- %Application Data%\RDP6\encoding\Adobe-Japan1-90ms-RKSJ
- %Application Data%\RDP6\encoding\H
- %Application Data%\RDP6\encoding\HKm314-B5-V
- %Application Data%\RDP6\encoding\GBK2K-H
- %Application Data%\RDP6\encoding\B5pc-V
- %Application Data%\RDP6\encoding\UniCNS-UTF16-V
- %Application Data%\RDP6\encoding\wincharsetffff-h2
- %Application Data%\RDP6\encoding\V
- %Application Data%\RDP6\encoding\KSC-EUC-V
- %Application Data%\RDP6\encoding\78ms-rksj-h
- %Application Data%\RDP6\encoding\ETen-B5-H
- %Application Data%\RDP6\Resource\n021023l.pfb
- %Application Data%\RDP6\encoding\GBpc-EUC-V
- %Application Data%\RDP6\encoding\GBKp-EUC-H
- %Application Data%\RDP6\encoding\KSCpc-EUC-H
- %Application Data%\RDP6\encoding\78-h
- %Application Data%\RDP6\encoding\HKscs-B5-V
- %Application Data%\RDP6\ico2.ico
- %Application Data%\RDP6\encoding\KSCpc-EUC-UCS2
- %Application Data%\RDP6\Resource\n021004l.pfb
- %Application Data%\RDP6\encoding\UniGB-UCS2-V
- %Application Data%\RDP6\encoding\Adobe-GB1-H-Mac
- %Application Data%\RDP6\encoding\GBT-EUC-V
- %Application Data%\RDP6\encoding\GBpc-EUC-H
- %Application Data%\RDP6\encoding\HKdla-B5-V
- %Application Data%\RDP6\encoding\Adobe-Korea1-H-Mac
- %Application Data%\RDP6\encoding\UCS2-90ms-RKSJ
- %Application Data%\RDP6\Resource\n019024l.pfb
- %Application Data%\RDP6\encoding\90msp-RKSJ-H
- %Application Data%\RDP6\encoding\EUC-H
- %Application Data%\RDP6\encoding\EUC-V
- %Application Data%\RDP6\encoding\GBKp-EUC-V
- %Application Data%\RDP6\encoding\Adobe-Japan1-90pv-RKSJ
- %Application Data%\RDP6\encoding\90msp-RKSJ-V
- %Application Data%\RDP6\Resource\n019004l.pfb
- %Application Data%\RDP6\encoding\ETenms-B5-V
- %Application Data%\RDP6\encoding\GBK-EUC-UCS2
- %Application Data%\RDP6\TSFTPClient.DLL
- %Application Data%\RDP6\4e9b7bc4557ad92989a612facadd5f873e68c4e6.txt
- %Application Data%\RDP6\encoding\B5pc-UCS2
- %Application Data%\RDP6\encoding\ETenms-B5-H
- %Application Data%\RDP6\Resource\n022023l.pfb
- %Application Data%\RDP6\Resource\n019023l.pfb
- %Application Data%\RDP6\encoding\ETen-B5-V
- %Application Data%\RDP6\encoding\B5pc-UCS2C
- %Application Data%\RDP6\pdfprint_cmd.exe
- %Application Data%\RDP6\encoding\Adobe-Korea1-H-CID
- %Application Data%\RDP6\encoding\Identity-H
- %Application Data%\RDP6\encoding\UniJIS-UCS2-HW-H
- %Application Data%\RDP6\encoding\Adobe-GB1-UCS2
- %Application Data%\RDP6\encoding\Identity-V
- %Application Data%\RDP6\encoding\78-euc-h
- %Application Data%\RDP6\encoding\Adobe-Japan1-UCS2
- %Application Data%\RDP6\encoding\GB-EUC-V
- %Application Data%\RDP6\encoding\Add-RKSJ-V
- %Application Data%\RDP6\encoding\HKm471-B5-H
- %Application Data%\RDP6\encoding\78-rksj-h
- %Application Data%\RDP6\encoding\Adobe-GB1-H-Host
- %Application Data%\RDP6\encoding\CNS-EUC-H
- %Application Data%\RDP6\encoding\HKm471-B5-V
- %Application Data%\RDP6\encoding\Adobe-Korea1-UCS2
- %Application Data%\RDP6\Resource\n021024l.pfb
- %Application Data%\RDP6\encoding\GBK-EUC-H
- %Application Data%\RDP6\Resource
- %Application Data%\RDP6\Resource\n022004l.pfb
- %Application Data%\RDP6\Resource\n022024l.pfb
- %Application Data%\RDP6\encoding\KSCms-UHC-UCS2
- %Application Data%\RDP6\encoding\78-rksj-v
- %Application Data%\RDP6\encoding\UniGB-UCS2-H
- %Application Data%\RDP6\encoding\UniJIS-UTF16-V
- %Application Data%\RDP6\encoding\HKscs-B5-H
- %Application Data%\RDP6\encoding\Adobe-GB1-GBK-EUC
- %Application Data%\RDP6\encoding\Adobe-GB1-H-CID
- %Application Data%\RDP6\encoding\Adobe-CNS1-H-CID
- %Application Data%\RDP6\encoding\90ms-RKSJ-H
- %Application Data%\RDP6\encoding\UniJIS-UCS2-HW-V
- %Application Data%\RDP6\encoding\KSCms-UHC-V
- %Application Data%\RDP6\Resource\s050000l.pfb
- %Application Data%\RDP6\encoding\KSCms-UHC-H
- %Application Data%\RDP6\encoding\90pv-RKSJ-H
- %Application Data%\RDP6\encoding\UniGB-UTF16-H
- %Application Data%\RDP6\encoding\UCS2-B5pc
- %Application Data%\RDP6\ConnectionClient7.exe
- %Application Data%\RDP6\encoding\Adobe-Japan1-PS-V
- %Application Data%\RDP6\mstsc.exe
- %Application Data%\RDP6\encoding\GBpc-EUC-UCS2
- %Application Data%\RDP6\encoding\GBK-EUC-V
- %Application Data%\RDP6\encoding\Adobe-CNS1-UCS2
- %Application Data%\RDP6\encoding\wincharsetffff-h
- %Application Data%\RDP6\bkgscblue.bmp
- %Application Data%\RDP6\encoding\GB-EUC-H
- %Application Data%\RDP6\encoding\Adobe-Japan1-PS-H
- %Application Data%\RDP6\encoding\Adobe-CNS1-H-Host
- %Application Data%\RDP6\pdfprint.exe
- %Application Data%\RDP6\encoding\UniCNS-UCS2-H
- %Application Data%\RDP6\encoding\wincharsetffff-v
- %Application Data%\RDP6\Resource\n021003l.pfb
- %Application Data%\RDP6\encoding\Adobe-CNS1-ETen-B5
- %Application Data%\RDP6\readme.pdf
- %Application Data%\RDP6\encoding\UniKS-UTF16-H
- %Application Data%\RDP6\encoding\KSC-EUC-H
- %Application Data%\RDP6\encoding\Ext-RKSJ-H
- %Application Data%\RDP6\encoding\83pv-RKSJ-H
- %Application Data%\RDP6\bkgsc.bmp
- %Application Data%\RDP6\encoding\UCS2-KSCpc-EUC
- %Application Data%\RDP6\encoding\UCS2-GBK-EUC
- %Application Data%\RDP6\encoding\90pv-RKSJ-UCS2C
- %Application Data%\RDP6\encoding\B5pc-H
- %Application Data%\RDP6\encoding\GBpc-EUC-UCS2C
- %Application Data%\RDP6\encoding\UniGB-UTF16-V
- %Application Data%\RDP6\encoding\90ms-RKSJ-UCS2
- %Application Data%\RDP6\encoding\Add-RKSJ-H
- %Application Data%\RDP6\bkgscgreen.bmp
- %Application Data%\RDP6\encoding\HKgccs-B5-V
- %Application Data%\RDP6\encoding\UCS2-90pv-RKSJ
- %Application Data%\RDP6\encoding\HKdlb-B5-H
- %Application Data%\RDP6\encoding\Adobe-CNS1-H-Mac
- %Application Data%\RDP6\encoding\90ms-RKSJ-V
- %Application Data%\RDP6\encoding\KSCpc-EUC-UCS2C
- %Application Data%\RDP6\encoding\Adobe-Japan1-H-Host
- %Application Data%\RDP6\encoding\Ext-RKSJ-V
- %Application Data%\RDP6\encoding\GBK2K-V
- %Application Data%\RDP6\encoding\UniJIS-UCS2-H
- %Application Data%\RDP6\encoding\wincharsetffff-v2
- %Application Data%\RDP6\encoding\Adobe-CNS1-B5pc
- %Application Data%\RDP6\encoding\78-v
- %Application Data%\RDP6\Resource\n019003l.pfb
- %Application Data%\RDP6\encoding\Adobe-Japan1-H-Mac
- %Application Data%\RDP6\encoding\CNS-EUC-V
- %Application Data%\RDP6\TsCredentials.exe
- %Application Data%\RDP6\encoding\Adobe-Japan1-H-CID
- %Application Data%\RDP6\encoding\HKdla-B5-H
- %Application Data%\RDP6\encoding\UniJIS-UTF16-H
- %Application Data%\RDP6\encoding\HKgccs-B5-H
- %Application Data%\RDP6\encoding\GBT-EUC-H
- %Application Data%\RDP6\encoding\UniCNS-UTF16-H
- %Application Data%\RDP6\encoding\Adobe-Korea1-KSCms-UHC
- %Application Data%\RDP6\Resource\n022003l.pfb
- %Application Data%\RDP6\encoding\KSCms-UHC-HW-V
- %Application Data%\RDP6\encoding\ETen-B5-UCS2
- %Application Data%\RDP6\encoding\KSCms-UHC-HW-H
- %Application Data%\RDP6\encoding\UCS2-ETen-B5
- %Application Data%\RDP6\GdiPlus.dll
- %Application Data%\RDP6\encoding\UniKS-UCS2-V
- %Application Data%\RDP6\encoding\UniKS-UCS2-H
- %Application Data%\RDP6\encoding\UniKS-UTF16-V
- %Application Data%\RDP6\encoding\UCS2-GBpc-EUC
- %Application Data%\RDP6\encoding\Adobe-Korea1-H-Host
- %Application Data%\RDP6\encoding\Adobe-Korea1-KSCpc-EUC
- %Application Data%\RDP6\mstscax.dll
- %Application Data%\RDP6\bkgscpink.bmp
手順 7
以下のフォルダを検索し削除します。
- %System Root%\Users
- %Application Data%\RDP6
- %Application Data%\RDP6\Resource
- %Application Data%\RDP6\encoding
- %User Profile%\AppData
手順 8
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.Win32.VILSEL.AB」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください