Worm.Win32.LIGHTMOON.H

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

手順 3

「Worm.Win32.LIGHTMOON.H」で検出したファイル名を確認し、そのファイルを終了します。

• すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
• 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
  セーフモードについては、こちらをご参照下さい。
• 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 4

このレジストリ値を削除します。

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • sUD6K8Q0 = "%System%\UPO2V7QQUG0C0Y.exe"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RUN
  • 0S8CUG = "%Windows%\NPC6K8Q.exe"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
  • Shell = "explorer.exe, %Windows%\OUD4E7P.{645FF040-5081-101B-9F08-00AA002F954E}\KCJ2S8C.exe"

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • ShowSuperHidden = "0"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\SuperHidden
  • UncheckedValue = "0"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
  • DisableConfig = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
  • DisableSR = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
  • debugger = "%Windows%\notepad.exe"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
  • debugger = "%Windows%\OUD4E7P.{645FF040-5081-101B-9F08-00AA002F954E}\regedit.cmd"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
  • debugger = "%Windows%\notepad.exe"

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • 0S8CUG = "%Windows%\NPC6K8Q.exe"

手順 5

変更されたレジストリ値を修正します。

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState
  • FullPath = "1"

• In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
  • LOAD = "%Windows%\OUD4E7P.{645FF040-5081-101B-9F08-00AA002F954E}\QTQ0U7N.com"

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • From: HideFileExt = "1"
    To: HideFileExt = ""1""

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • From: Hidden = "0"
    To: Hidden = ""2""

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile
  • From: (Default) = "File Folder"
    To: (Default) = ""Screen Saver""

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
  • From: (Default) = "File Folder"
    To: (Default) = ""Application""

• In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess
  • From: Start = "0"
    To: Start = ""2""

• In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
  • From: AlternateShell = "UPO2V7QQUG0C0Yl.exe"
    To: AlternateShell = ""cmd.exe""

手順 6

以下のファイルを検索し削除します。

• {malware file path and name}
• %System%\SRV3D1N.exe
• %System%\MSWINSCK.ocx175
• F:\moon\moonlight.exe
• %Windows%\MooNlight.R.txt
• %Windows%\OUD4E7P.{645FF040-5081-101B-9F08-00AA002F954E}\service.exe
• F:\data.exe
• %Windows%\QUG0C0Y.exe
• %Windows%\lsass.exe
• %System%\MSWINSCK.ocx743
• %Windows%\moonlight.dll
• %System Root%\Icon Cool-Editor 3.4.30315.exe
• F:\desktop.ini
• %User Profile%\Documents\fp_18.0.0.203_archive\18_0_r0_203_debug\18_0_r0_203_debug.exe
• %User Profile%\Documents\My Videos\My Videos.exe
• %User Profile%\Documents\word2k\word2k.exe
• %User Profile%\Documents\fp_18.0.0.203_archive\fp_18.0.0.203_archive.exe
• F:\zia02668
• %System%\systear.dll
• F:\moon\Elitta.htt
• %User Profile%\Documents\My Music\My Music.exe
• %User Profile%\Documents\fp_18.0.0.203_archive\18_0_r0_203\18_0_r0_203.exe
• %System%\YQR2V3H\UPO2V7Q.cmd
• %Windows%\cypreg.dll
• %Windows%\OUD4E7P.{645FF040-5081-101B-9F08-00AA002F954E}\MYpIC.zip
• %User Profile%\Documents\My Pictures\My Pictures.exe
• %System Root%\Licence.exe
• %User Profile%\Documents\zia02716
• %System Root%\RealPlayer13-5GOLD.exe
• F:\data\photos.exe
• %System%\MSWINSCK.ocx642
• %User Profile%\Documents\excel2k\excel2k.exe
• %Windows%\64enc.en
• %Windows%\onceinabluemoon.mid
• %System%\MSWINSCK.ocx531
• %Windows%\OUD4E7P.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe
• %Windows%\OUD4E7P.{645FF040-5081-101B-9F08-00AA002F954E}\zia02768
• %Windows%\OUD4E7P.{645FF040-5081-101B-9F08-00AA002F954E}\KCJ2S8C.exe
• %System Root%\framework-4.4.exe
• %System%\MSWINSCK.ocx317
• %User Profile%\Documents\powerpoint2k\powerpoint2k.exe
• %System%\UPO2V7QQUG0C0Y.exe
• %System%\MSWINSCK.ocx752
• F:\wlines.zip
• %Windows%\OUD4E7P.{645FF040-5081-101B-9F08-00AA002F954E}\winlogon.exe
• %Windows%\system\msvbvm60.dll
• %Windows%\OUD4E7P.{645FF040-5081-101B-9F08-00AA002F954E}\smss.exe
• %Windows%\NPC6K8Q.exe
• %User Profile%\Documents\fp_18.0.0.203_archive.zip
• %Windows%\OUD4E7P.{645FF040-5081-101B-9F08-00AA002F954E}\QTQ0U7N.com
• %System Root%\cool.exe
• %Windows%\OUD4E7P.{645FF040-5081-101B-9F08-00AA002F954E}\regedit.cmd

手順 7

以下のフォルダを検索し削除します。

• F:\moon
• %Windows%\OUD4E7P.{645FF040-5081-101B-9F08-00AA002F954E}
• %System%\YQR2V3H

手順 8

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「Worm.Win32.LIGHTMOON.H」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 9

以下のファイルをバックアップを用いて修復します。マイクロソフト製品に関連したファイルのみに修復されます。このマルウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

• %System%\msvbvm60.dll
• %Windows%\regedit.exe

手順 10

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア／グレイウェア／スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

• %Windows%\OUD4E7P.{645FF040-5081-101B-9F08-00AA002F954E}\regedit.cmd
• %System Root%\cool.exe
• %System%\MSWINSCK.ocx
• F:zia02668

手順 11

以下の削除されたレジストリキーまたはレジストリ値をバックアップを用いて修復します。

※註：マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみが修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムも削除した場合には、該当プログラムを再度インストールする必要があります。

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • avgnt

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • avgnt

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • drv_st_key

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • drv_st_key

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • norman_zanda

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • norman_zanda

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • norman zanda

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • norman zanda

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • MSMSG

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • MSMSG

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Word

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • Word

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Winamp

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • Winamp

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Driver

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • Driver

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • WinUpdateSupervisor

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • WinUpdateSupervisor

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Task

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • Task

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • dago

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • dago

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • CueX44_stil_here

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • CueX44_stil_here

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • AutoSupervisor

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • AutoSupervisor

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • SMA_nya_Artika

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • SMA_nya_Artika

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Putri_Indonesia

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • Putri_Indonesia

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • BabelPath

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • BabelPath

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Alumni Smansa

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • Alumni Smansa

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • ViriSetup

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • ViriSetup

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • SMAN1_Pangkalpinang

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • SMAN1_Pangkalpinang

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Putri_Bangka

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • Putri_Bangka

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • SysYuni

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • SysYuni

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • SysDiaz

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • SysDiaz

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • SysRia

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • SysRia

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Pluto

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • Pluto

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • DllHost

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • DllHost

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • SaTRio ADie X

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • SaTRio ADie X

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Tok-Cirrhatus

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • Tok-Cirrhatus

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • AllMyBallance

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • AllMyBallance

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • MomentEverComes

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • MomentEverComes

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • TryingToSpeak

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • TryingToSpeak

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • YourUnintended

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • YourUnintended

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • YourUnintendes

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • YourUnintendes

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • lexplorer

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • lexplorer

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • dkernel

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • dkernel

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Bron-Spizaetus

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • Bron-Spizaetus

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • ADie suka kamu

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • ADie suka kamu

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • winfix

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • winfix

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • templog

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • templog

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • service

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • service

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Grogotix

• In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • Grogotix