Trojan.Win64.WDFLOAD.AB

2020年1月31日

更新者 : Patrick Noel Collado

別名:

RDN/Generic.glk (McAfee); HEUR:Trojan.Win64.Agent.gen (Kaspersky); Mal/Generic-L (Sophos); Trojan.Win32.Generic!BT (Sunbelt)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい

概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 188,928 bytes

タイプ EXE

メモリ常駐はい

発見日 2020年1月20日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

他のシステム変更

マルウェアは、以下のファイルを削除します。

%User Temp%\s1oo.0

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
9132E8B079D080E01D52631690BE18EBC2347C1E
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
AD4C5429E10F4FF6C01840C20ABA344D7401209F
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
DB77E5CFEC34459146748B667C97B185619251BA
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
3D496FA682E65FC122351EC29B55AB94F3BB03FC
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
ED841A61C0F76025598421BC1B00E24189E68D54
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
18DEA4EFA93B06AE997D234411F3FD72A677EECE
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
76A9295EF4343E12DFC5FE05DC57227C1AB00D29
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
A5341949ABE1407DD7BF7DFE75460D9608FBC309
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
5240AB5B05D11B37900AC7712A3C6AE42F377C8C
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
872CD334B7E7B3C3D1C6114CD6B221026D505EAB
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
03D22C9C66915D58C88912B64C1F984B8344EF09
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
FFFA650F2CB2ABC0D80527B524DD3F9FC172C138
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
4420C99742DF11DD0795BC15B7B0ABF090DC84DF
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
5DD3D41810F28B2A13E9A004E6412061E28FA48D
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
F83099622B4A9F72CB5081F742164AD1B8D048C9
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
A59CC32724DD07A6FC33F7806945481A2D13CA2F
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
9E3F95577B37C74CA2F70C1E1859E798B7FC6B13
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
1667908C9E22EFBD0590E088715CC74BE4C60884
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
0F684EC1163281085C6AF20528878103ACEFCAAB
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
7457A3793086DBB58B3858D6476889E3311E550E
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
249BDA38A611CD746A132FA2AF995A2D3C941264
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
775B373B33B9D15B58BC02B184704332B97C3CAF
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
88AD5DFE24126872B33175D1778687B642323ACF
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
FBB42F089AF2D570F2BF6F493D107A3255A9BB1A
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
982D98951CF3C0CA2A02814D474A976CBFF6BDB1
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
373C33726722D3A5D1EDD1F1585D5D25B39BEA1A
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
AD96BB64BA36379D2E354660780C2067B81DA2E0
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
31AC96A6C17C425222C46D55C3CCA6BA12E54DAF
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
E22240E837B52E691C71DF248F12D27F96441C00
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
331E2046A1CCA7BFEF766724394BE6112B4CA3F7
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
CDC37C22FE9272D8F2610206AD397A45040326B8
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
DB303C9B61282DE525DC754A535CA2D6A9BD3D87
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
9C43F665E690AB4D486D4717B456C5554D4BCEB5
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\Disallowed\Certificates\
3353EA609334A9F23A701B9159E30CB6C22D4C59
Blob = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiSpyware = "1"

対応方法

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 15.632.03

初回 VSAPI パターンリリース日 2020年1月20日

VSAPI OPR パターンバージョン 15.633.00

VSAPI OPR パターンリリース日 2020年1月21日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\9132E8B079D080E01D52631690BE18EBC2347C1E
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\AD4C5429E10F4FF6C01840C20ABA344D7401209F
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\DB77E5CFEC34459146748B667C97B185619251BA
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\3D496FA682E65FC122351EC29B55AB94F3BB03FC
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\ED841A61C0F76025598421BC1B00E24189E68D54
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\18DEA4EFA93B06AE997D234411F3FD72A677EECE
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\76A9295EF4343E12DFC5FE05DC57227C1AB00D29
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\A5341949ABE1407DD7BF7DFE75460D9608FBC309
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\5240AB5B05D11B37900AC7712A3C6AE42F377C8C
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\872CD334B7E7B3C3D1C6114CD6B221026D505EAB
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\03D22C9C66915D58C88912B64C1F984B8344EF09
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\FFFA650F2CB2ABC0D80527B524DD3F9FC172C138
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\4420C99742DF11DD0795BC15B7B0ABF090DC84DF
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\5DD3D41810F28B2A13E9A004E6412061E28FA48D
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\A59CC32724DD07A6FC33F7806945481A2D13CA2F
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\9E3F95577B37C74CA2F70C1E1859E798B7FC6B13
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\1667908C9E22EFBD0590E088715CC74BE4C60884
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\0F684EC1163281085C6AF20528878103ACEFCAAB
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\7457A3793086DBB58B3858D6476889E3311E550E
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\249BDA38A611CD746A132FA2AF995A2D3C941264
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\775B373B33B9D15B58BC02B184704332B97C3CAF
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\88AD5DFE24126872B33175D1778687B642323ACF
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\FBB42F089AF2D570F2BF6F493D107A3255A9BB1A
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\982D98951CF3C0CA2A02814D474A976CBFF6BDB1
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\373C33726722D3A5D1EDD1F1585D5D25B39BEA1A
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\AD96BB64BA36379D2E354660780C2067B81DA2E0
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\31AC96A6C17C425222C46D55C3CCA6BA12E54DAF
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\E22240E837B52E691C71DF248F12D27F96441C00
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\331E2046A1CCA7BFEF766724394BE6112B4CA3F7
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\CDC37C22FE9272D8F2610206AD397A45040326B8
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\DB303C9B61282DE525DC754A535CA2D6A9BD3D87
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\9C43F665E690AB4D486D4717B456C5554D4BCEB5
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\3353EA609334A9F23A701B9159E30CB6C22D4C59
- Blob = {random characters}

In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
- DisableAntiSpyware = 1

このマルウェアが追加したレジストリ値の削除：

「レジストリエディタ」を起動します。
- Windows 2000、XP および Server 2003 の場合：
  [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
- Windows Vista、7、Server 2008 の場合：
  [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
- Windows 8、8.1 および Server 2012 の場合：
  画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>9132E8B079D080E01D52631690BE18EBC2347C1E
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>AD4C5429E10F4FF6C01840C20ABA344D7401209F
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>DB77E5CFEC34459146748B667C97B185619251BA
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>3D496FA682E65FC122351EC29B55AB94F3BB03FC
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>ED841A61C0F76025598421BC1B00E24189E68D54
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>18DEA4EFA93B06AE997D234411F3FD72A677EECE
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>76A9295EF4343E12DFC5FE05DC57227C1AB00D29
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>A5341949ABE1407DD7BF7DFE75460D9608FBC309
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>5240AB5B05D11B37900AC7712A3C6AE42F377C8C
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>872CD334B7E7B3C3D1C6114CD6B221026D505EAB
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>03D22C9C66915D58C88912B64C1F984B8344EF09
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>FFFA650F2CB2ABC0D80527B524DD3F9FC172C138
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>4420C99742DF11DD0795BC15B7B0ABF090DC84DF
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>5DD3D41810F28B2A13E9A004E6412061E28FA48D
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>F83099622B4A9F72CB5081F742164AD1B8D048C9
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>A59CC32724DD07A6FC33F7806945481A2D13CA2F
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>9E3F95577B37C74CA2F70C1E1859E798B7FC6B13
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>1667908C9E22EFBD0590E088715CC74BE4C60884
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>0F684EC1163281085C6AF20528878103ACEFCAAB
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>7457A3793086DBB58B3858D6476889E3311E550E
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>249BDA38A611CD746A132FA2AF995A2D3C941264
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>775B373B33B9D15B58BC02B184704332B97C3CAF
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>88AD5DFE24126872B33175D1778687B642323ACF
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>FBB42F089AF2D570F2BF6F493D107A3255A9BB1A
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>982D98951CF3C0CA2A02814D474A976CBFF6BDB1
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>373C33726722D3A5D1EDD1F1585D5D25B39BEA1A
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>AD96BB64BA36379D2E354660780C2067B81DA2E0
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>31AC96A6C17C425222C46D55C3CCA6BA12E54DAF
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>E22240E837B52E691C71DF248F12D27F96441C00
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>331E2046A1CCA7BFEF766724394BE6112B4CA3F7
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>CDC37C22FE9272D8F2610206AD397A45040326B8
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>DB303C9B61282DE525DC754A535CA2D6A9BD3D87
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>9C43F665E690AB4D486D4717B456C5554D4BCEB5
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates>Disallowed>Certificates>3353EA609334A9F23A701B9159E30CB6C22D4C59
右側のパネルで以下のレジストリ値を検索し、削除します。
Blob = {random characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>Windows Defender
右側のパネルで以下のレジストリ値を検索し、削除します。
DisableAntiSpyware = 1
「レジストリエディタ」を閉じます。

手順 3

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.Win64.WDFLOAD.AB」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 4

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア／グレイウェア／スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

%User Temp%\s1oo.0

ご利用はいかがでしたか？　アンケートにご協力ください

Trojan.Win64.WDFLOAD.AB

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

Trojan.Win64.WDFLOAD.AB

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa