Trend Micro Security

Adware.Win32.Zoremov.A

2020年5月15日

 プラットフォーム:

Windows

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: アドウェア
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。


  詳細

ファイルサイズ 3,872,968 bytes
タイプ EXE
メモリ常駐 はい
発見日 2020年5月15日

侵入方法

アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

アドウェアは、以下のプロセスを追加します。

  • %User Temp%\IXP001.TMP\kernel.exe
  • %Application Data%\AppDirectory\PDFLeader\PDFLeaderapp.exe "%Application Data%\AppDirectory\PDFLeader\params.txt"
  • schtasks.exe /create /SC DAILY /TN Update_Zoremov /TR "\"%Application Data%\AppRun\AppRun.exe\" -updatesched
  • "%System%\ie4uinit.exe" -show
  • ie4uinit.exe -show
  • %System%\svchost.exe -k LocalServiceAndNoImpersonation
  • %System%\sppsvc.exe
  • "%System Root%\Program Files\Windows Media Player\wmpnetwk.exe"
  • %System%\svchost.exe -k WerSvcGroup

(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

アドウェアは、以下のフォルダを作成します。

  • %Application Data%\AppDirectory\PDFLeader
  • %Application Data%\AppDirectory
  • %Application Data%\AppRun

(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)

自動実行方法

アドウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
wextract_cleanup0 = "rundll32.exe %System%\advpack.dll,DelNodeRunDLL32 "%User Temp%\IXP001.TMP\""

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
AppRun = "%Application Data%\AppRun\AppRun.exe -updatestartup"

他のシステム変更

アドウェアは、以下のファイルを改変します。

  • %Start Menu%\Programs\Internet Explorer.lnk
  • %Application Data%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
  • %Start Menu%\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk

(註:%Start Menu%フォルダは、現在ログオンしているユーザのスタートメニューフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu" です。また、Windows Vista、7、8、8.1、2008(64-bit)、012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)

アドウェアは、以下のファイルを削除します。

  • %Windows%\Tasks\Update_Zoremov.job

(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

アドウェアは、以下のフォルダを削除します。

  • %User Temp%\IXP001.TMP

(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

アドウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Zoremov
DisplayName = "PDFLeader"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Zoremov
ApplicationVersion = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Zoremov
Publisher = "Zoremov"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Zoremov
DisplayIcon = "%Application Data%\AppRun\AppRun.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Zoremov
DisplayVersion = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Zoremov
InstallDate = "20200115"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Zoremov
UninstallString = "%Application Data%\AppRun\AppRun.exe -uninstall"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Zoremov
EstimatedSize = "437"

HKEY_CURRENT_USER\Software\Apprun
Installed = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Capabilities
Hidden = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
http
FriendlyTypeName = "@%System%\ieframe.dll,-903"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
https
FriendlyTypeName = "@%System%\ieframe.dll,-904"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ftp
FriendlyTypeName = "@%System%\ieframe.dll,-905"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
InternetShortcut
FriendlyTypeName = "@%System%\ieframe.dll,-10046"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Microsoft.Website
(Default) = "Pinned Site Shortcut"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Microsoft.Website
EditFlags = "131074"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Microsoft.Website
FriendlyTypeName = "@%System%\ieframe.dll,-53504"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Microsoft.Website\DefaultIcon
(Default) = "%SystemRoot%\system32\ieframe.dll,-211"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile
FriendlyTypeName = "@%System%\ieframe.dll,-912"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile
FriendlyTypeName = "@%System%\ieframe.dll,-913"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile
FriendlyTypeName = "@%System%\ieframe.dll,-914"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\DefaultIcon
(Default) = "%Program Files%\Internet Explorer\IEXPLORE.EXE,-17"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile
FriendlyTypeName = "@%System%\ieframe.dll,-915"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\DefaultIcon
(Default) = "%Program Files%\Internet Explorer\IEXPLORE.EXE,-17"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.htm\OpenWithProgIds
htmlfile = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.html\OpenWithProgIds
htmlfile = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.partial
(Default) = "IE.AssocFile.PARTIAL"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.partial\OpenWithProgIds
IE.AssocFile.PARTIAL = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.svg
(Default) = "svgfile"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.svg
Content Type = "image/svg+xml"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.svg\OpenWithProgIds
svgfile = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.xhtml
(Default) = "xhtmlfile"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.xhtml
Content Type = "application/xhtml+xml"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.xhtml\OpenWithProgIds
xhtmlfile = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.xht
(Default) = "xhtmlfile"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.xht
Content Type = "application/xhtml+xml"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.xht\OpenWithProgIds
xhtmlfile = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
http\shell
(Default) = "open"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
http\shell\open
CommandId = "IE.File"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
http\shell\open\
command
DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
https\shell
(Default) = "open"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
https\shell\open
CommandId = "IE.Protocol"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
https\shell\open\
command
DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ftp\shell
(Default) = "open"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ftp\shell\open
CommandId = "IE.Protocol"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ftp\shell\open\
command
DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\open
MUIVerb = "@%System%\ieframe.dll,-5732"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\open
CommandId = "IE.File"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\open\
command
DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\opennew
MUIVerb = "@%System%\ieframe.dll,-5731"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\opennew
CommandId = "IE.Protocol"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\opennew\
command
DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mht\OpenWithProgIds
mhtmlfile = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mhtml\OpenWithProgIds
mhtmlfile = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile\shell\open
MUIVerb = "@%System%\ieframe.dll,-5732"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile\shell\open
CommandId = "IE.File"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile\shell\open\
command
DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile\shell\opennew
MUIVerb = "@%System%\ieframe.dll,-5731"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile\shell\opennew
CommandId = "IE.File"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile\shell\opennew\
command
DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell
(Default) = "opennew"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\open
(Default) = "Open in S&ame Window"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\open
MUIVerb = "@%System%\ieframe.dll,-5732"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\open
CommandId = "IE.File"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\open\
command
(Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\open\
command
DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\print\
command
(Default) = "%System%\rundll32.exe %System%\mshtml.dll,PrintHTML %1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\printto\
command
(Default) = "%System%\rundll32.exe %System%\mshtml.dll,PrintHTML %1 %2 %3 %4"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\opennew
(Default) = "&Open"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\opennew
MUIVerb = "@%System%\ieframe.dll,-5731"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\opennew
CommandId = "IE.File"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\opennew\
command
(Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\opennew\
command
DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell
(Default) = "opennew"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\open
(Default) = "Open in S&ame Window"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\open
MUIVerb = "@%System%\ieframe.dll,-5732"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\open
CommandId = "IE.File"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\open\
command
(Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\open\
command
DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\print\
command
(Default) = "%System%\rundll32.exe %System%\mshtml.dll,PrintHTML %1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\printto\
command
(Default) = "%System%\rundll32.exe %System%\mshtml.dll,PrintHTML %1 %2 %3 %4"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\opennew
(Default) = "&Open"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\opennew
MUIVerb = "@%System%\ieframe.dll,-5731"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\opennew
CommandId = "IE.File"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\opennew\
command
(Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\opennew\
command
DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.website
(Default) = "Microsoft.Website"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.website\OpenWithProgIds
Microsoft.Website = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Microsoft.Website\Shell
(Default) = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Microsoft.Website\Shell\Open
(Default) = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.URL\OpenWithProgIds
InternetShortcut = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\iexplore.exe\shell\
open
CommandId = "IE.File"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer
GlobalAssocChangedCounter = "41"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
telnet
FriendlyTypeName = "@%System%\ieframe.dll,-907"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
rlogin
FriendlyTypeName = "@%System%\ieframe.dll,-908"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
tn3270
FriendlyTypeName = "@%System%\ieframe.dll,-909"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mailto
FriendlyTypeName = "@%System%\ieframe.dll,-910"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer
GlobalAssocChangedCounter = "42"

アドウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}
IsInstalled = "1"

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\InstallInfo
IconsVisible = "1"

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Setup\
OC Manager\Subcomponents
IEAccess = "1"

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
http
(Default) = "URL:HyperText Transfer Protocol"

(註:変更前の上記レジストリ値は、「URL:HyperText Transfer Protocol」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
http
EditFlags = "2"

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
http
URL Protocol = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
http\DefaultIcon
(Default) = "%SystemRoot%\system32\url.dll,0"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
https
(Default) = "URL:HyperText Transfer Protocol with Privacy"

(註:変更前の上記レジストリ値は、「URL:HyperText Transfer Protocol with Privacy」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
https
EditFlags = "2"

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
https
URL Protocol = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
https\DefaultIcon
(Default) = "%SystemRoot%\system32\url.dll,0"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ftp
(Default) = "URL:File Transfer Protocol"

(註:変更前の上記レジストリ値は、「URL:File Transfer Protocol」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ftp
EditFlags = "2"

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ftp
URL Protocol = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ftp\DefaultIcon
(Default) = "%SystemRoot%\system32\url.dll,0"

(註:変更前の上記レジストリ値は、「%Windows%\system32\msieftp.dll,0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
InternetShortcut
(Default) = "Internet Shortcut"

(註:変更前の上記レジストリ値は、「Internet Shortcut」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
InternetShortcut
EditFlags = "2"

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
InternetShortcut\DefaultIcon
(Default) = "%SystemRoot%\system32\url.dll,5"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\DefaultIcon
(Default) = "%Program Files%\Internet Explorer\IEXPLORE.EXE,-17"

(註:変更前の上記レジストリ値は、「"%1"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile\DefaultIcon
(Default) = "%Program Files%\Internet Explorer\IEXPLORE.EXE,-32554"

(註:変更前の上記レジストリ値は、「"%1"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.htm
(Default) = "htmlfile"

(註:変更前の上記レジストリ値は、「htmlfile」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.htm
Content Type = "text/html"

(註:変更前の上記レジストリ値は、「text/html」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.html
(Default) = "htmlfile"

(註:変更前の上記レジストリ値は、「htmlfile」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.html
Content Type = "text/html"

(註:変更前の上記レジストリ値は、「text/html」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
http\shell\open\
command
(Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"

(註:変更前の上記レジストリ値は、「"%Program Files%\Internet Explorer\iexplore.exe" -nohome」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
https\shell\open\
command
(Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"

(註:変更前の上記レジストリ値は、「"%Program Files%\Internet Explorer\iexplore.exe" -nohome」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ftp\shell\open\
command
(Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"

(註:変更前の上記レジストリ値は、「"%Program Files%\Internet Explorer\iexplore.exe" %1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell
(Default) = "opennew"

(註:変更前の上記レジストリ値は、「opennew」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\open
(Default) = "Open in S&ame Window"

(註:変更前の上記レジストリ値は、「Open in S&ame Window」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\open\
command
(Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"

(註:変更前の上記レジストリ値は、「"%Program Files%\Internet Explorer\iexplore.exe" -nohome」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\Print\
command
(Default) = "%System%\rundll32.exe %System%\mshtml.dll,PrintHTML %1"

(註:変更前の上記レジストリ値は、「"%Program Files%\Microsoft Office\OFFICE11\msohtmed.exe" /p %1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\printto\
command
(Default) = "%System%\rundll32.exe %System%\mshtml.dll,PrintHTML %1 %2 %3 %4"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile\shell
(Default) = "opennew"

(註:変更前の上記レジストリ値は、「opennew」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\opennew
(Default) = "&Open"

(註:変更前の上記レジストリ値は、「&Open」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\opennew\
command
(Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"

(註:変更前の上記レジストリ値は、「"%Program Files%\Internet Explorer\iexplore.exe" %1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mht
(Default) = "mhtmlfile"

(註:変更前の上記レジストリ値は、「mhtmlfile」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mht
Content Type = "message/rfc822"

(註:変更前の上記レジストリ値は、「message/rfc822」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mhtml
(Default) = "mhtmlfile"

(註:変更前の上記レジストリ値は、「mhtmlfile」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mhtml
Content Type = "message/rfc822"

(註:変更前の上記レジストリ値は、「message/rfc822」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile\shell\open
(Default) = "Open in S&ame Window"

(註:変更前の上記レジストリ値は、「Open in S&ame Window」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile\shell\open\
command
(Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"

(註:変更前の上記レジストリ値は、「"%Program Files%\Internet Explorer\iexplore.exe" -nohome」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile\shell\opennew
(Default) = "&Open"

(註:変更前の上記レジストリ値は、「&Open」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile\shell\opennew\
command
(Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"

(註:変更前の上記レジストリ値は、「"%Program Files%\Internet Explorer\iexplore.exe" %1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.URL
(Default) = "InternetShortcut"

(註:変更前の上記レジストリ値は、「InternetShortcut」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\ShellFolder
Attributes = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}
Locale = "*"

(註:変更前の上記レジストリ値は、「en」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}
Version = "11,0,9600,0"

(註:変更前の上記レジストリ値は、「6,0,2900,2180」となります。)

アドウェアは、以下のレジストリキーを削除します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce\
wextract_cleanup0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
RemoveAccess\iexplore.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
http\URL Protocol

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
http\DefaultIcon\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
http\shell\open\
CommandId

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
http\shell\open\
command\DelegateExecute

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
http\shell\open\
command\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
https\URL Protocol

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
https\DefaultIcon\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
https\shell\open\
CommandId

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
https\shell\open\
command\DelegateExecute

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
https\shell\open\
command\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ftp\URL Protocol

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ftp\DefaultIcon\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ftp\shell\open\
CommandId

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ftp\shell\open\
command\DelegateExecute

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ftp\shell\open\
command\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\opennew\
(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\opennew\
CommandId

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\opennew\
command\DelegateExecute

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\opennew\
command\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile\shell\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile\shell\opennew\
(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile\shell\opennew\
CommandId

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile\shell\opennew\
command\DelegateExecute

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile\shell\opennew\
command\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\opennew\
(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\opennew\
CommandId

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\opennew\
command\DelegateExecute

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\opennew\
command\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\opennew\
(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\opennew\
CommandId

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\opennew\
command\DelegateExecute

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\opennew\
command\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\DefaultIcon\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\open\
CommandId

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\open\
command\DelegateExecute

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htmlfile\shell\open\
command\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.htm\OpenWithProgIds\htmlfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.html\OpenWithProgIds\htmlfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
mhtmlfile\DefaultIcon\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mht\OpenWithProgIds\mhtmlfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.mhtml\OpenWithProgIds\mhtmlfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\DefaultIcon\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\open\
CommandId

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\open\
command\DelegateExecute

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
svgfile\shell\open\
command\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.svg\OpenWithProgIds\svgfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\open\
CommandId

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\open\
command\DelegateExecute

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
xhtmlfile\shell\open\
command\(Default)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.xht\OpenWithProgIds\xhtmlfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.xhtml\OpenWithProgIds\xhtmlfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.partial\OpenWithProgIds\IE.AssocFile.PARTIAL

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.website\OpenWithProgIds\Microsoft.Website

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.URL\OpenWithProgIds\InternetShortcut

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
ShellExecuteHooks\{FBF23B40-E3F0-101B-8488-00AA003E56F8}

作成活動

アドウェアは、以下のファイルを作成します。

  • %AppDataLocal%\GDIPFONTCACHEV1.DAT
  • %Application Data%\AppRun\api-ms-win-core-processthreads-l1-1-1.dll
  • %AppDataLocal%\Microsoft\Media Player\CurrentDatabase_372.wmdb
  • %Application Data%\AppRun\api-ms-win-core-localization-l1-2-0.dll
  • %User Temp%\u1bc.4
  • %Application Data%\AppRun\api-ms-win-crt-string-l1-1-0.dll
  • %Application Data%\AppRun\api-ms-win-core-file-l2-1-0.dll
  • %Application Data%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
  • %Application Data%\AppRun\api-ms-win-crt-math-l1-1-0.dll
  • %User Temp%\u1bc.1
  • %Application Data%\AppRun\api-ms-win-crt-runtime-l1-1-0.dll
  • %Application Data%\AppRun\mfc140u.dll
  • %Application Data%\AppRun\api-ms-win-crt-time-l1-1-0.dll
  • %Application Data%\AppRun\api-ms-win-crt-filesystem-l1-1-0.dll
  • %Application Data%\AppRun\api-ms-win-core-file-l1-2-0.dll
  • %All Users Profile%\Microsoft\Windows\DRM\v3ks.sec
  • %AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
  • %Application Data%\AppRun\vcruntime140.dll
  • %Application Data%\AppDirectory\PDFLeader\PDFLeader.ico
  • %Application Data%\AppRun\ucrtbase.dll
  • %Application Data%\AppRun\api-ms-win-core-timezone-l1-1-0.dll
  • %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\3UYAQU1F\service.tst.pdfleaderapp[1].xml
  • %Application Data%\AppRun\libcurl.dll
  • %Start Menu%\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
  • %Application Data%\AppRun\api-ms-win-crt-utility-l1-1-0.dll
  • %Application Data%\AppRun\AppRun.exe
  • %Application Data%\AppRun\api-ms-win-crt-stdio-l1-1-0.dll
  • %Application Data%\AppDirectory\PDFLeader\SharpCompress.dll
  • %Application Data%\AppDirectory\PDFLeader\params.txt
  • %Application Data%\AppRun\api-ms-win-crt-locale-l1-1-0.dll
  • %Application Data%\AppRun\api-ms-win-core-synch-l1-2-0.dll
  • %All Users Profile%\Microsoft\Windows\DRM\drmstore.hds
  • %Application Data%\AppRun\api-ms-win-crt-convert-l1-1-0.dll
  • %Application Data%\AppRun\api-ms-win-crt-multibyte-l1-1-0.dll
  • %User Temp%\u1bc.3
  • %Application Data%\AppRun\api-ms-win-crt-heap-l1-1-0.dll
  • %User Temp%\u1bc.0
  • %Application Data%\AppDirectory\PDFLeader\PDFLeaderapp.exe.config
  • %Application Data%\AppRun\msvcp140.dll
  • %Application Data%\AppRun\api-ms-win-crt-environment-l1-1-0.dll
  • %Desktop%\PDFLeader.lnk
  • %User Temp%\u1bc.2
  • %Application Data%\AppDirectory\PDFLeader\PDFLeaderapp.exe

(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。. %Start Menu%フォルダは、現在ログオンしているユーザのスタートメニューフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu" です。また、Windows Vista、7、8、8.1、2008(64-bit)、012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。. %Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\Desktop" です。)

このウイルス情報は、自動解析システムにより作成されました。


  対応方法

対応検索エンジン: 9.850

手順 1

Windows XP、Windows Vista 、Windows 7、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 3

「Adware.Win32.Zoremov.A」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    • wextract_cleanup0 = "rundll32.exe %System%\advpack.dll,DelNodeRunDLL32 "%User Temp%\IXP001.TMP\""
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • AppRun = "%Application Data%\AppRun\AppRun.exe -updatestartup"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Zoremov
    • DisplayName = "PDFLeader"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Zoremov
    • ApplicationVersion = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Zoremov
    • Publisher = "Zoremov"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Zoremov
    • DisplayIcon = "%Application Data%\AppRun\AppRun.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Zoremov
    • DisplayVersion = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Zoremov
    • InstallDate = "20200115"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Zoremov
    • UninstallString = "%Application Data%\AppRun\AppRun.exe -uninstall"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Zoremov
    • EstimatedSize = "437"
  • In HKEY_CURRENT_USER\Software\Apprun
    • Installed = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Capabilities
    • Hidden = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http
    • FriendlyTypeName = "@%System%\ieframe.dll,-903"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https
    • FriendlyTypeName = "@%System%\ieframe.dll,-904"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp
    • FriendlyTypeName = "@%System%\ieframe.dll,-905"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
    • FriendlyTypeName = "@%System%\ieframe.dll,-10046"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Microsoft.Website
    • (Default) = "Pinned Site Shortcut"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Microsoft.Website
    • EditFlags = "131074"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Microsoft.Website
    • FriendlyTypeName = "@%System%\ieframe.dll,-53504"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Microsoft.Website\DefaultIcon
    • (Default) = "%SystemRoot%\system32\ieframe.dll,-211"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
    • FriendlyTypeName = "@%System%\ieframe.dll,-912"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile
    • FriendlyTypeName = "@%System%\ieframe.dll,-913"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile
    • FriendlyTypeName = "@%System%\ieframe.dll,-914"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\DefaultIcon
    • (Default) = "%Program Files%\Internet Explorer\IEXPLORE.EXE,-17"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile
    • FriendlyTypeName = "@%System%\ieframe.dll,-915"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\DefaultIcon
    • (Default) = "%Program Files%\Internet Explorer\IEXPLORE.EXE,-17"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.htm\OpenWithProgIds
    • htmlfile = ""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.html\OpenWithProgIds
    • htmlfile = ""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.partial
    • (Default) = "IE.AssocFile.PARTIAL"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.partial\OpenWithProgIds
    • IE.AssocFile.PARTIAL = ""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.svg
    • (Default) = "svgfile"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.svg
    • Content Type = "image/svg+xml"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.svg\OpenWithProgIds
    • svgfile = ""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.xhtml
    • (Default) = "xhtmlfile"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.xhtml
    • Content Type = "application/xhtml+xml"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.xhtml\OpenWithProgIds
    • xhtmlfile = ""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.xht
    • (Default) = "xhtmlfile"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.xht
    • Content Type = "application/xhtml+xml"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.xht\OpenWithProgIds
    • xhtmlfile = ""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell
    • (Default) = "open"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open
    • CommandId = "IE.File"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command
    • DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell
    • (Default) = "open"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell\open
    • CommandId = "IE.Protocol"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell\open\command
    • DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell
    • (Default) = "open"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open
    • CommandId = "IE.Protocol"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command
    • DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open
    • MUIVerb = "@%System%\ieframe.dll,-5732"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open
    • CommandId = "IE.File"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command
    • DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew
    • MUIVerb = "@%System%\ieframe.dll,-5731"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew
    • CommandId = "IE.Protocol"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command
    • DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mht\OpenWithProgIds
    • mhtmlfile = ""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mhtml\OpenWithProgIds
    • mhtmlfile = ""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile\shell\open
    • MUIVerb = "@%System%\ieframe.dll,-5732"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile\shell\open
    • CommandId = "IE.File"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile\shell\open\command
    • DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile\shell\opennew
    • MUIVerb = "@%System%\ieframe.dll,-5731"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile\shell\opennew
    • CommandId = "IE.File"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile\shell\opennew\command
    • DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell
    • (Default) = "opennew"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\open
    • (Default) = "Open in S&ame Window"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\open
    • MUIVerb = "@%System%\ieframe.dll,-5732"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\open
    • CommandId = "IE.File"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\open\command
    • (Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\open\command
    • DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\print\command
    • (Default) = "%System%\rundll32.exe %System%\mshtml.dll,PrintHTML %1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\printto\command
    • (Default) = "%System%\rundll32.exe %System%\mshtml.dll,PrintHTML %1 %2 %3 %4"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\opennew
    • (Default) = "&Open"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\opennew
    • MUIVerb = "@%System%\ieframe.dll,-5731"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\opennew
    • CommandId = "IE.File"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\opennew\command
    • (Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\opennew\command
    • DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell
    • (Default) = "opennew"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\open
    • (Default) = "Open in S&ame Window"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\open
    • MUIVerb = "@%System%\ieframe.dll,-5732"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\open
    • CommandId = "IE.File"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\open\command
    • (Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\open\command
    • DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\print\command
    • (Default) = "%System%\rundll32.exe %System%\mshtml.dll,PrintHTML %1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\printto\command
    • (Default) = "%System%\rundll32.exe %System%\mshtml.dll,PrintHTML %1 %2 %3 %4"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\opennew
    • (Default) = "&Open"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\opennew
    • MUIVerb = "@%System%\ieframe.dll,-5731"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\opennew
    • CommandId = "IE.File"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\opennew\command
    • (Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\opennew\command
    • DelegateExecute = "{17FE9752-0B5A-4665-84CD-569794602F5C}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.website
    • (Default) = "Microsoft.Website"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.website\OpenWithProgIds
    • Microsoft.Website = ""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Microsoft.Website\Shell
    • (Default) = ""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Microsoft.Website\Shell\Open
    • (Default) = ""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.URL\OpenWithProgIds
    • InternetShortcut = ""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open
    • CommandId = "IE.File"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    • GlobalAssocChangedCounter = "41"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet
    • FriendlyTypeName = "@%System%\ieframe.dll,-907"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\rlogin
    • FriendlyTypeName = "@%System%\ieframe.dll,-908"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\tn3270
    • FriendlyTypeName = "@%System%\ieframe.dll,-909"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mailto
    • FriendlyTypeName = "@%System%\ieframe.dll,-910"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    • GlobalAssocChangedCounter = "42"

手順 5

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}
    • From: IsInstalled = "1"
      To: IsInstalled = ""1""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\InstallInfo
    • From: IconsVisible = "1"
      To: IconsVisible = ""1""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents
    • From: IEAccess = "1"
      To: IEAccess = ""1""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http
    • From: (Default) = "URL:HyperText Transfer Protocol"
      To: (Default) = ""URL:HyperText Transfer Protocol""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http
    • From: EditFlags = "2"
      To: EditFlags = ""2""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http
    • URL Protocol = ""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\DefaultIcon
    • From: (Default) = "%SystemRoot%\system32\url.dll,0"
      To: (Default) = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https
    • From: (Default) = "URL:HyperText Transfer Protocol with Privacy"
      To: (Default) = ""URL:HyperText Transfer Protocol with Privacy""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https
    • From: EditFlags = "2"
      To: EditFlags = ""2""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https
    • URL Protocol = ""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\DefaultIcon
    • From: (Default) = "%SystemRoot%\system32\url.dll,0"
      To: (Default) = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp
    • From: (Default) = "URL:File Transfer Protocol"
      To: (Default) = ""URL:File Transfer Protocol""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp
    • From: EditFlags = "2"
      To: EditFlags = ""2""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp
    • URL Protocol = ""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\DefaultIcon
    • From: (Default) = "%SystemRoot%\system32\url.dll,0"
      To: (Default) = ""%Windows%\system32\msieftp.dll,0""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
    • From: (Default) = "Internet Shortcut"
      To: (Default) = ""Internet Shortcut""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
    • From: EditFlags = "2"
      To: EditFlags = ""2""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut\DefaultIcon
    • From: (Default) = "%SystemRoot%\system32\url.dll,5"
      To: (Default) = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\DefaultIcon
    • From: (Default) = "%Program Files%\Internet Explorer\IEXPLORE.EXE,-17"
      To: (Default) = """%1"""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile\DefaultIcon
    • From: (Default) = "%Program Files%\Internet Explorer\IEXPLORE.EXE,-32554"
      To: (Default) = """%1"""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.htm
    • From: (Default) = "htmlfile"
      To: (Default) = ""htmlfile""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.htm
    • From: Content Type = "text/html"
      To: Content Type = ""text/html""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.html
    • From: (Default) = "htmlfile"
      To: (Default) = ""htmlfile""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.html
    • From: Content Type = "text/html"
      To: Content Type = ""text/html""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command
    • From: (Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"
      To: (Default) = """%Program Files%\Internet Explorer\iexplore.exe" -nohome""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell\open\command
    • From: (Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"
      To: (Default) = """%Program Files%\Internet Explorer\iexplore.exe" -nohome""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command
    • From: (Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"
      To: (Default) = """%Program Files%\Internet Explorer\iexplore.exe" %1""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell
    • From: (Default) = "opennew"
      To: (Default) = ""opennew""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open
    • From: (Default) = "Open in S&ame Window"
      To: (Default) = ""Open in S&ame Window""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command
    • From: (Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"
      To: (Default) = """%Program Files%\Internet Explorer\iexplore.exe" -nohome""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\Print\command
    • From: (Default) = "%System%\rundll32.exe %System%\mshtml.dll,PrintHTML %1"
      To: (Default) = """%Program Files%\Microsoft Office\OFFICE11\msohtmed.exe" /p %1""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\printto\command
    • From: (Default) = "%System%\rundll32.exe %System%\mshtml.dll,PrintHTML %1 %2 %3 %4"
      To: (Default) = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile\shell
    • From: (Default) = "opennew"
      To: (Default) = ""opennew""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew
    • From: (Default) = "&Open"
      To: (Default) = ""&Open""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command
    • From: (Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"
      To: (Default) = """%Program Files%\Internet Explorer\iexplore.exe" %1""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mht
    • From: (Default) = "mhtmlfile"
      To: (Default) = ""mhtmlfile""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mht
    • From: Content Type = "message/rfc822"
      To: Content Type = ""message/rfc822""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mhtml
    • From: (Default) = "mhtmlfile"
      To: (Default) = ""mhtmlfile""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mhtml
    • From: Content Type = "message/rfc822"
      To: Content Type = ""message/rfc822""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile\shell\open
    • From: (Default) = "Open in S&ame Window"
      To: (Default) = ""Open in S&ame Window""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile\shell\open\command
    • From: (Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"
      To: (Default) = """%Program Files%\Internet Explorer\iexplore.exe" -nohome""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile\shell\opennew
    • From: (Default) = "&Open"
      To: (Default) = ""&Open""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile\shell\opennew\command
    • From: (Default) = "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE %1"
      To: (Default) = """%Program Files%\Internet Explorer\iexplore.exe" %1""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.URL
    • From: (Default) = "InternetShortcut"
      To: (Default) = ""InternetShortcut""
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\ShellFolder
    • Attributes = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}
    • From: Locale = "*"
      To: Locale = ""en""
  • In HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}
    • From: Version = "11,0,9600,0"
      To: Version = ""6,0,2900,2180""

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %AppDataLocal%\GDIPFONTCACHEV1.DAT
  • %Application Data%\AppRun\api-ms-win-core-processthreads-l1-1-1.dll
  • %AppDataLocal%\Microsoft\Media Player\CurrentDatabase_372.wmdb
  • %Application Data%\AppRun\api-ms-win-core-localization-l1-2-0.dll
  • %User Temp%\u1bc.4
  • %Application Data%\AppRun\api-ms-win-crt-string-l1-1-0.dll
  • %Application Data%\AppRun\api-ms-win-core-file-l2-1-0.dll
  • %Application Data%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
  • %Application Data%\AppRun\api-ms-win-crt-math-l1-1-0.dll
  • %User Temp%\u1bc.1
  • %Application Data%\AppRun\api-ms-win-crt-runtime-l1-1-0.dll
  • %Application Data%\AppRun\mfc140u.dll
  • %Application Data%\AppRun\api-ms-win-crt-time-l1-1-0.dll
  • %Application Data%\AppRun\api-ms-win-crt-filesystem-l1-1-0.dll
  • %Application Data%\AppRun\api-ms-win-core-file-l1-2-0.dll
  • %All Users Profile%\Microsoft\Windows\DRM\v3ks.sec
  • %AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
  • %Application Data%\AppRun\vcruntime140.dll
  • %Application Data%\AppDirectory\PDFLeader\PDFLeader.ico
  • %Application Data%\AppRun\ucrtbase.dll
  • %Application Data%\AppRun\api-ms-win-core-timezone-l1-1-0.dll
  • %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\3UYAQU1F\service.tst.pdfleaderapp[1].xml
  • %Application Data%\AppRun\libcurl.dll
  • %Start Menu%\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
  • %Application Data%\AppRun\api-ms-win-crt-utility-l1-1-0.dll
  • %Application Data%\AppRun\AppRun.exe
  • %Application Data%\AppRun\api-ms-win-crt-stdio-l1-1-0.dll
  • %Application Data%\AppDirectory\PDFLeader\SharpCompress.dll
  • %Application Data%\AppDirectory\PDFLeader\params.txt
  • %Application Data%\AppRun\api-ms-win-crt-locale-l1-1-0.dll
  • %Application Data%\AppRun\api-ms-win-core-synch-l1-2-0.dll
  • %All Users Profile%\Microsoft\Windows\DRM\drmstore.hds
  • %Application Data%\AppRun\api-ms-win-crt-convert-l1-1-0.dll
  • %Application Data%\AppRun\api-ms-win-crt-multibyte-l1-1-0.dll
  • %User Temp%\u1bc.3
  • %Application Data%\AppRun\api-ms-win-crt-heap-l1-1-0.dll
  • %User Temp%\u1bc.0
  • %Application Data%\AppDirectory\PDFLeader\PDFLeaderapp.exe.config
  • %Application Data%\AppRun\msvcp140.dll
  • %Application Data%\AppRun\api-ms-win-crt-environment-l1-1-0.dll
  • %Desktop%\PDFLeader.lnk
  • %User Temp%\u1bc.2
  • %Application Data%\AppDirectory\PDFLeader\PDFLeaderapp.exe

手順 7

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Application Data%\AppDirectory\PDFLeader
  • %Application Data%\AppDirectory
  • %Application Data%\AppRun

手順 8

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Adware.Win32.Zoremov.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 9

以下のファイルをバックアップを用いて修復します。マイクロソフト製品に関連したファイルのみに修復されます。このマルウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

  • %Start Menu%\Programs\Internet Explorer.lnk
  • %Application Data%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
  • %Start Menu%\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk

手順 10

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

  • %Windows%\Tasks\Update_Zoremov.job

手順 11

以下の削除されたレジストリキーまたはレジストリ値をバックアップを用いて修復します。

※註:マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみが修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムも削除した場合には、該当プログラムを再度インストールする必要があります。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    • wextract_cleanup0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoveAccess
    • iexplore.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http
    • URL Protocol
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\DefaultIcon
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open
    • CommandId
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command
    • DelegateExecute
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https
    • URL Protocol
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\DefaultIcon
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell\open
    • CommandId
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell\open\command
    • DelegateExecute
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell\open\command
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp
    • URL Protocol
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\DefaultIcon
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open
    • CommandId
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command
    • DelegateExecute
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew
    • CommandId
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command
    • DelegateExecute
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile\shell
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile\shell\opennew
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile\shell\opennew
    • CommandId
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile\shell\opennew\command
    • DelegateExecute
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile\shell\opennew\command
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\opennew
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\opennew
    • CommandId
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\opennew\command
    • DelegateExecute
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\opennew\command
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\opennew
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\opennew
    • CommandId
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\opennew\command
    • DelegateExecute
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\opennew\command
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\DefaultIcon
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open
    • CommandId
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command
    • DelegateExecute
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.htm\OpenWithProgIds
    • htmlfile
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.html\OpenWithProgIds
    • htmlfile
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mhtmlfile\DefaultIcon
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mht\OpenWithProgIds
    • mhtmlfile
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mhtml\OpenWithProgIds
    • mhtmlfile
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\DefaultIcon
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\open
    • CommandId
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\open\command
    • DelegateExecute
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\svgfile\shell\open\command
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.svg\OpenWithProgIds
    • svgfile
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\open
    • CommandId
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\open\command
    • DelegateExecute
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xhtmlfile\shell\open\command
    • (Default)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.xht\OpenWithProgIds
    • xhtmlfile
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.xhtml\OpenWithProgIds
    • xhtmlfile
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.partial\OpenWithProgIds
    • IE.AssocFile.PARTIAL
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.website\OpenWithProgIds
    • Microsoft.Website
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.URL\OpenWithProgIds
    • InternetShortcut
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    • {FBF23B40-E3F0-101B-8488-00AA003E56F8}


ご利用はいかがでしたか? アンケートにご協力ください