Trend Micro Security

ADW_TOMOS

2016年9月2日
 解析者: Anthony Joe Melgarejo   
 更新者 : Jimelle Monteser

 別名:

BetterInstaller (fs) (Vipre), W32/SomotoBetterInstaller.A!Eldorado (F-Prot), NSIS.Adware.Somoto-1 (ClamAV), a variant of Win32/Somoto.A application, a variant of Win32/Somoto.A application (ESET)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: アドウェア
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

アドウェアは、レジストリキーおよびレジストリ値を追加し、セーフモード状態でも自身が実行されるようにします。これにより、感染コンピュータ上でこのアドウェアが削除されるのを避けます。 アドウェアは、アンインストールパッケージ機能を搭載しています。これにより、このアドウェアが作成したファイルや追加したレジストリは削除されます。


  詳細

ファイルサイズ 166,736 bytes
タイプ EXE
メモリ常駐 なし
発見日 2013年5月27日

侵入方法

アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

アドウェアは、以下のフォルダを追加します。

  • %All Users Profile%\Application Data\SweetIM
  • %User Temp%\is{random numbers}
  • %User Temp%\ish{random numbers}
  • %User Temp%\MessengerCache
  • %User Temp%\nsq{random 1}.tmp
  • %User Temp%\nsq{random 2}.tmp
  • %Program Files%\FindLyrics
  • %Program Files%\SweetIM
  • %Program Files%\sweetpacks bundle uninstaller
  • %Windows%\Installer\{A0C9DF2B-89B5-4483-8983-18A68200F1B4}
  • %Windows%\Installer\{DD85D6BF-4787-4A93-99A5-3F0CF0AE8834}
  • %System%\WNLT

(註:%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

アドウェアは、以下のファイルを作成します。

  • %Application Data%\Mozilla\Firefox\Profiles\{random}.default\user.js
  • %User Temp%\biclient.exe
  • %User Temp%\bundlesweetimsetup.exe
  • %User Temp%\GenericUninstall.exe
  • %User Temp%\mgsqlite3.dll
  • %User Temp%\nsq{random 1}.tmp\registry.dll
  • %User Temp%\nsq{random 2}.tmp\nsProcess.dll
  • %User Temp%\uninstaller.exe
  • %User Temp%\WSSetup.exe
  • %Windows%\Tasks\FindLyrics Update.job

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

自動実行方法

アドウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
SweetIM = "%Program Files%\SweetIM\Messenger\SweetIM.exe"

アドウェアは、以下のレジストリキーを追加し、自身をBrowser Helper Object(BHO)として登録します。これにより、Internet Explorer(IE)が起動するとアドウェアが自動実行されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{44C9CC91-6A4A-4579-B4B5-899ECDC18DC6}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}

他のシステム変更

アドウェアは、以下のファイルを削除します。

  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions.ini
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions.rdf
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\search.json

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

アドウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Identities\{41C0E021-254D-499E-B79C-73FD65697316}\
Software\Microsoft\Outlook Express\
5.0\Rules
Messenger Auto logon = "0"

HKEY_CURRENT_USER\Identities\{41C0E021-254D-499E-B79C-73FD65697316}\
Software\Microsoft\Outlook Express\
5.0\Rules
MessengerWuzHere = "0"

HKEY_CURRENT_USER\Software\Mozilla\
Firefox\Extensions
findlyrics@findlyrics.co = "%Program Files%\FindLyrics\FF\"

HKEY_CURRENT_USER\Software\Microsoft\
SQMClient
UserId = "{9256A39B-AE4E-484B-A0D4-3494539F0A6C}"

HKEY_CURRENT_USER\Software\Microsoft\
MSNMessenger\SQM
Canary = "1"

HKEY_CURRENT_USER\Software\Wow6432Node\
Microsoft\Windows NT\CurrentVersion\
AppCompatFlags\Layers
%Program Files%\FindLyrics\flcsur.exe = "RunAsAdmin"

HKEY_CURRENT_USER\Software\Wow6432Node\
Microsoft\Windows NT\CurrentVersion\
AppCompatFlags\Layers
%User Temp%\flcsup.exe = "RunAsAdmin"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\SearchScopes
DefaultScope = "{EEE6C360-6118-11DC-9C72-001320C79847}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\AppCompatFlags\
Layers
%Program Files%\FindLyrics\flcsur.exe = "RunAsAdmin"

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\AppCompatFlags\
Layers
%User Temp%\flcsup.exe = "RunAsAdmin"

アドウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\SweetIM

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Google\Chrome\Extensions\
jmhhdaimhfblnamlcdijbaakkifakade

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
sim-packages

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
SWEETIE.IEToolbar

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
SweetIM_URLSearchHook.ToolbarURLSearchHook

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Toolbar3.SWEETIE

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{44C9CC91-6A4A-4579-B4B5-899ECDC18DC6}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{A4A0CB15-8465-4F58-A7E5-73084EA2A064}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
MediaPlayer.GraphicsUtils

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
MgMediaPlayer.GifAnimator

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Features\B2FD9C0A5B9838449838816A28001F4B

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\Features\FB6D58DD787439A4995AF3C00FEA8843

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\UpgradeCodes\789034A89BAC50E4782F0A7BDBF75632

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Installer\UpgradeCodes\A97CEC23332751B47BA4B95BAA50C9D0

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{5C927B89-5D80-4017-889F-93294895BC5F}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{A439801C-961D-452C-AB42-7848E9CBD289}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{EEE6C358-6118-11DC-9C72-001320C79847}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{BA5B874B-C72A-4529-B2CF-D7485602D541}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}

HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\jmhhdaimhfblnamlcdijbaakkifakade

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{EEE6C367-6118-11DC-9C72-001320C79847}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\App Paths\
SweetIM.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
B2FD9C0A5B9838449838816A28001F4B

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Installer\
UserData\S-1-5-18\Products\
FB6D58DD787439A4995AF3C00FEA8843

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}

HKEY_CURRENT_USER\Software\findlyrics

HKEY_CURRENT_USER\Software\ImInstaller

HKEY_CURRENT_USER\Software\InstallCore

アドウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Start Page = "http://home.sweetim.com/?ptr=100&crg=3.1010000.10039&barid={3FF72369-CA1B-11E2-A1AE-000C296817CC}"

(註:変更前の上記レジストリ値は、「{user-defined home page}」となります。)

その他

アドウェアは、以下のレジストリ値を追加し、「コントロールパネル」の「プログラムの追加と削除」に「アンインストール」オプションを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
findlyrics@findlyrics.co
UninstallString = "%Program Files%\FindLyrics\uninstall.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
SweetIM Bundle by SweetPacks
UninstallString = ""%Program Files%\sweetpacks bundle uninstaller\uninstaller.exe" "/appName=SweetIM Bundle by SweetPacks" "/linkurl=http://lp.sweetim.com/SweetPacksBundleUninstaller" "/sweettext=SweetIM (SweetIM for Messenger, Toolbar, Update Manager)""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{A0C9DF2B-89B5-4483-8983-18A68200F1B4}
UninstallString = "MsiExec.exe /X{A0C9DF2B-89B5-4483-8983-18A68200F1B4}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{DD85D6BF-4787-4A93-99A5-3F0CF0AE8834}
UninstallString = "MsiExec.exe /X{DD85D6BF-4787-4A93-99A5-3F0CF0AE8834}"

アドウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}v.com/awjpfreezip75640/freezipuyiv/4a1cd1d66e612b4ea9c5482779a412bc?v=2.0&muid=C80A452531DD1EF82B03122AD117ED71
  • http://{BLOCKED}8us8fpho.cloudfront.net/images/Tokyo/tokyoLightGrayStripesBG.jpg
  • http://static.{BLOCKED}v.com/js/libs/storage.swf?254510

アドウェアは、アンインストールパッケージ機能を搭載しています。これにより、このアドウェアが作成したファイルや追加したレジストリは削除されます。

アドウェアは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を追加し、コンポーネントの更新を確認します。

「スケジュールされたタスク」は、このアドウェアがインストールされている間、毎日更新を実行します。

上述のフォルダは、パッケージに含まれる以下の製品のインストールおよび設定用ディレクトリとして利用されます。

  • SweetIM Messenger
  • SweetIM Toolbar
  • FindLyrics

アドウェアは、Internet Explorer(IE)のデフォルトの検索エンジン、ホームページおよび新しいタブページを「SweetPacks (SweetIM)」に設定するようユーザに促します。

アドウェアは、以下のレジストリ値を削除します。

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
{CFBFAE00-17A6-11D0-99CB-00C04FD64497} = ""


  対応方法

対応検索エンジン: 9.300
SSAPI パターンバージョン: 1.406.05
SSAPI パターンリリース日: 2013年5月27日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「ADW_TOMOS」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 3

「ADW_TOMOS」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 4

自身のアンインストールオプションを使用し、「ADW_TOMOS」を削除します。

[ 詳細 ]
マルウェアのプロセスの削除

手順 5

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • SweetIM = "%Program Files%\SweetIM\Messenger\SweetIM.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    • Browser Helper Objects\{44C9CC91-6A4A-4579-B4B5-899ECDC18DC6}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    • Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}
  • In HKEY_CURRENT_USER\Identities\{41C0E021-254D-499E-B79C-73FD65697316}\Software\Microsoft\Outlook Express\5.0\Rules
    • Messenger Auto logon = "0"
  • In HKEY_CURRENT_USER\Identities\{41C0E021-254D-499E-B79C-73FD65697316}\Software\Microsoft\Outlook Express\5.0\Rules
    • MessengerWuzHere = "0"
  • In HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions
    • findlyrics@findlyrics.co = "%Program Files%\FindLyrics\FF\"
  • In HKEY_CURRENT_USER\Software\Microsoft\SQMClient
    • UserId = "{9256A39B-AE4E-484B-A0D4-3494539F0A6C}"
  • In HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger\SQM
    • Canary = "1"
  • In HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
    • %Program Files%\FindLyrics\flcsur.exe = "RunAsAdmin"
  • In HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
    • %User Temp%\flcsup.exe = "RunAsAdmin"
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
    • DefaultScope = "{EEE6C360-6118-11DC-9C72-001320C79847}"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
    • %Program Files%\FindLyrics\flcsur.exe = "RunAsAdmin"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
    • %User Temp%\flcsup.exe = "RunAsAdmin"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\findlyrics@findlyrics.co
    • UninstallString = "%Program Files%\FindLyrics\uninstall.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SweetIM Bundle by SweetPacks
    • UninstallString = ""%Program Files%\sweetpacks bundle uninstaller\uninstaller.exe" "/appName=SweetIM Bundle by SweetPacks" "/linkurl=http://lp.sweetim.com/SweetPacksBundleUninstaller" "/sweettext=SweetIM (SweetIM for Messenger, Toolbar, Update Manager)""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A0C9DF2B-89B5-4483-8983-18A68200F1B4}
    • UninstallString = "MsiExec.exe /X{A0C9DF2B-89B5-4483-8983-18A68200F1B4}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{DD85D6BF-4787-4A93-99A5-3F0CF0AE8834}
    • UninstallString = "MsiExec.exe /X{DD85D6BF-4787-4A93-99A5-3F0CF0AE8834}"

手順 6

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Identities\{41C0E021-254D-499E-B79C-73FD65697316}\Software\Microsoft\Outlook Express\5.0\Rules
    • Messenger Auto logon = "0"
  • In HKEY_CURRENT_USER\Identities\{41C0E021-254D-499E-B79C-73FD65697316}\Software\Microsoft\Outlook Express\5.0\Rules
    • MessengerWuzHere = "0"
  • In HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions
    • findlyrics@findlyrics.co = "%Program Files%\FindLyrics\FF\"
  • In HKEY_CURRENT_USER\Software\Microsoft\SQMClient
    • UserId = "{9256A39B-AE4E-484B-A0D4-3494539F0A6C}"
  • In HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger\SQM
    • Canary = "1"
  • In HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
    • %Program Files%\FindLyrics\flcsur.exe = "RunAsAdmin"
  • In HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
    • %User Temp%\flcsup.exe = "RunAsAdmin"
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
    • DefaultScope = "{EEE6C360-6118-11DC-9C72-001320C79847}"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
    • %Program Files%\FindLyrics\flcsur.exe = "RunAsAdmin"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
    • %User Temp%\flcsup.exe = "RunAsAdmin"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\findlyrics@findlyrics.co
    • UninstallString = "%Program Files%\FindLyrics\uninstall.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SweetIM Bundle by SweetPacks
    • UninstallString = ""%Program Files%\sweetpacks bundle uninstaller\uninstaller.exe" "/appName=SweetIM Bundle by SweetPacks" "/linkurl=http://lp.sweetim.com/SweetPacksBundleUninstaller" "/sweettext=SweetIM (SweetIM for Messenger, Toolbar, Update Manager)""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A0C9DF2B-89B5-4483-8983-18A68200F1B4}
    • UninstallString = "MsiExec.exe /X{A0C9DF2B-89B5-4483-8983-18A68200F1B4}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{DD85D6BF-4787-4A93-99A5-3F0CF0AE8834}
    • UninstallString = "MsiExec.exe /X{DD85D6BF-4787-4A93-99A5-3F0CF0AE8834}"

手順 7

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    • From: Start Page = "http://home.sweetim.com/?ptr=100&crg=3.1010000.10039&barid={3FF72369-CA1B-11E2-A1AE-000C296817CC}"
      To: Start Page = "{user-defined home page}"

手順 8

以下の削除されたレジストリキーまたはレジストリ値をバックアップを用いて修復します。

※註:マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみが修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムも削除した場合には、該当プログラムを再度インストールする必要があります。

  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
    • {CFBFAE00-17A6-11D0-99CB-00C04FD64497} = ""

手順 9

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %All Users Profile%\Application Data\SweetIM
  • %User Temp%\is{random numbers}
  • %User Temp%\ish{random numbers}
  • %User Temp%\MessengerCache
  • %User Temp%\nsq{random 1}.tmp
  • %User Temp%\nsq{random 2}.tmp
  • %Program Files%\FindLyrics
  • %Program Files%\SweetIM
  • %Program Files%\sweetpacks bundle uninstaller
  • %Windows%\Installer\{A0C9DF2B-89B5-4483-8983-18A68200F1B4}
  • %Windows%\Installer\{DD85D6BF-4787-4A93-99A5-3F0CF0AE8834}
  • %System%\WNLT

手順 10

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Application Data%\Mozilla\Firefox\Profiles\{random}.default\user.js
  • %User Temp%\biclient.exe
  • %User Temp%\bundlesweetimsetup.exe
  • %User Temp%\GenericUninstall.exe
  • %User Temp%\mgsqlite3.dll
  • %User Temp%\nsq{random 1}.tmp\registry.dll
  • %User Temp%\nsq{random 2}.tmp\nsProcess.dll
  • %User Temp%\uninstaller.exe
  • %User Temp%\WSSetup.exe
  • %Windows%\Tasks\FindLyrics Update.job

手順 11

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ADW_TOMOS」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください