PUA.Win32.OpenCandy.PAO

2020年3月25日

プラットフォーム:

Windows

危険度:

感染確認数:

システムへの影響:

情報漏えい:

マルウェアタイプ: 潜在的に迷惑なアプリケーション
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 2,530,304 bytes

タイプ EXE

メモリ常駐はい

発見日 2020年3月25日

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

プログラムは、以下のプロセスを追加します。

%System%\mshta.exe "%User Temp%\HYDA322.tmp.1574641249\HTA\index.hta?utorrent" "{malware file path and name}" /LOG "%User Temp%\HYDA322.tmp.1574641249\index.hta.log" /PID "3004" /CID "kSmg3_drvN_B_CZP" /VERSION "110077274" /BUCKET "0" /SSB "1" /COUNTRY "US" /OS "6.1" /BROWSERS "\"%System Root%\Program Files\Mozilla Firefox\firefox.exe\",\"%Program Files%\Google\Chrome\Application\chrome.exe\",%System Root%\Program Files\Internet Explorer\iexplore.exe,\"%System Root%\Program Files\VMware\VMware Tools\VMwareHostOpen.exe\" --default http" /ARCHITECTURE "64" /LANG "en" /USERNAME "{username}" /SID "S-1-5-21-2407829820-1079796033-203259571-500" /CLIENT "utorrent"
uTorrent.exe /NOINSTALL /BRINGTOFRONT
"%System%\cscript.exe" "shell_scripts/check_if_cscript_is_working.js"
cscript "shell_scripts/check_if_cscript_is_working.js"
"%System%\PING.EXE" 8.8.8.8 -n 2 -w 500
ping 8.8.8.8 -n 2 -w 500
"%System%\cscript.exe" shell_scripts/shell_ping_after_close.js "http://i-50.{BLOCKED}0.XYZ.bench.utorrent.com/e?{random characters}"
cscript shell_scripts/shell_ping_after_close.js "http://i-50.{BLOCKED}0.XYZ.bench.utorrent.com/e?{random characters}"
"%Application Data%\uTorrent\updates\3.4.7_42330\utorrentie.exe" uTorrent_1160_00EA9D00_1059312439 \xc2\xb5Torrent4823DF041B09 uTorrent
"%Application Data%\uTorrent\updates\3.4.7_42330\utorrentie.exe" uTorrent_1160_00EA9BD0_494971657 \xc2\xb5Torrent4823DF041B09 uTorrent
"%Application Data%\uTorrent\updates\3.4.7_42330\utorrentie.exe" uTorrent_1160_00EA9BD0_605622448 \xc2\xb5Torrent4823DF041B09 uTorrent
"%Application Data%\uTorrent\updates\3.4.7_42330\utorrentie.exe" uTorrent_1160_00EA9BD0_1315889539 \xc2\xb5Torrent4823DF041B09 uTorrent

プログラムは、以下のフォルダを作成します。

%System Root%\Users
%Application Data%\uTorrent\updates\3.4.7_42330
%User Temp%\HYDA322.tmp.1574641249\HTA\styles
%User Temp%\HYDA322.tmp.1574641249\HTA\images
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n
%User Profile%\AppData
%Application Data%\uTorrent\dlimagecache
%User Temp%\HYDA322.tmp.1574641249\HTA\shell_scripts
%User Temp%\HYDA322.tmp.1574641249\HTA
%User Temp%\HYDA322.tmp.1574641249
%Application Data%\uTorrent\share
%Application Data%\uTorrent
%Application Data%\uTorrent\updates
%Application Data%\uTorrent\apps
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。)

自動実行方法

プログラムは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
uTorrent = "%Application Data%\uTorrent\uTorrent.exe /MINIMIZED"

他のシステム変更

プログラムは、以下のファイルを削除します。

%Application Data%\uTorrent\apps\plus.btapp.30297.tmp
%Application Data%\uTorrent\apps\player.btapp.30297.tmp
%Application Data%\uTorrent\apps\welcome-upsell.btapp.30297.tmp
%Application Data%\uTorrent\apps\featuredContent.btapp.30297.tmp

プログラムは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Classes\
FalconBetaAccount
remote_access_client_id = "0440846356"

HKEY_CURRENT_USER\Software\BitTorrent\
uTorrent
OfferProvider = ""

HKEY_CURRENT_USER\Software\BitTorrent\
uTorrent
OfferName = ""

HKEY_CURRENT_USER\Software\BitTorrent\
uTorrent
OfferAccepted = "0"

HKEY_CURRENT_USER\Software\BitTorrent\
uTorrent
OfferViaCAU = "0"

HKEY_CURRENT_USER\Software\BitTorrent
computerID = "!\xe4\xb9\xb6\x91)\xa0\xdf\xf7k\xbc\xdf\xc1\xfc&O\x92\x98\x896\xbd\x1dy\xcf"

HKEY_CURRENT_USER\Software\Classes\
.torrent
(Default) = "uTorrent"

HKEY_CURRENT_USER\Software\Classes\
uTorrent\DefaultIcon
(Default) = "%Application Data%\uTorrent\maindoc.ico"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
explorer
GlobalAssocChangedCounter = "12"

HKEY_CURRENT_USER\Software\Classes\
.torrent
Content Type = "application/x-bittorrent"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
MIME\Database\Content Type\
application/x-bittorrent
Extension = ".torrent"

HKEY_CURRENT_USER\Software\Classes\
MIME\Database\Content Type\
application/x-bittorrent
Extension = ".torrent"

HKEY_CURRENT_USER\Software\Classes\
uTorrent\shell\open\
command
(Default) = "%Application Data%\uTorrent\uTorrent.exe %1 /SHELLASSOC"

HKEY_CURRENT_USER\Software\Classes\
uTorrent\shell
(Default) = "open"

HKEY_CURRENT_USER\Software\Classes\
uTorrent\Content Type
(Default) = "application/x-bittorrent"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
explorer
GlobalAssocChangedCounter = "13"

HKEY_CURRENT_USER\Software\Classes\
.torrent\OpenWithProgids
uTorrent = ""

HKEY_CURRENT_USER\Software\Classes\
Magnet
(Default) = "Magnet URI"

HKEY_CURRENT_USER\Software\Classes\
Magnet
URL Protocol = ""

HKEY_CURRENT_USER\Software\Classes\
Magnet
Content Type = "application/x-magnet"

HKEY_CURRENT_USER\Software\Classes\
Magnet\shell\open\
command
(Default) = "%Application Data%\uTorrent\uTorrent.exe %1 /SHELLASSOC"

HKEY_CURRENT_USER\Software\Classes\
Magnet\shell
(Default) = "open"

HKEY_CURRENT_USER\Software\Classes\
Magnet\DefaultIcon
(Default) = "%Application Data%\uTorrent\maindoc.ico"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
explorer
GlobalAssocChangedCounter = "16"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
explorer
GlobalAssocChangedCounter = "17"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
explorer
GlobalAssocChangedCounter = "18"

HKEY_CURRENT_USER\Software\Classes\
bittorrent
(Default) = "bittorrent URI"

HKEY_CURRENT_USER\Software\Classes\
bittorrent
URL Protocol = ""

HKEY_CURRENT_USER\Software\Classes\
bittorrent
Content Type = "application/x-bittorrent-protocol"

HKEY_CURRENT_USER\Software\Classes\
bittorrent\shell\open\
command
(Default) = "%Application Data%\uTorrent\uTorrent.exe %1 /SHELLASSOC"

HKEY_CURRENT_USER\Software\Classes\
bittorrent\shell
(Default) = "open"

HKEY_CURRENT_USER\Software\Classes\
bittorrent\DefaultIcon
(Default) = "%Application Data%\uTorrent\maindoc.ico"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
explorer
GlobalAssocChangedCounter = "19"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
explorer
GlobalAssocChangedCounter = "20"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
explorer
GlobalAssocChangedCounter = "21"

HKEY_CURRENT_USER\Software\Classes\
.btapp
(Default) = "uTorrent"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
explorer
GlobalAssocChangedCounter = "22"

HKEY_CURRENT_USER\Software\Classes\
.btapp
Content Type = "application/x-bittorrent-app"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
MIME\Database\Content Type\
application/x-bittorrent-app
Extension = ".btapp"

HKEY_CURRENT_USER\Software\Classes\
MIME\Database\Content Type\
application/x-bittorrent-app
Extension = ".btapp"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
explorer
GlobalAssocChangedCounter = "23"

HKEY_CURRENT_USER\Software\Classes\
.btskin
(Default) = "uTorrent"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
explorer
GlobalAssocChangedCounter = "24"

HKEY_CURRENT_USER\Software\Classes\
.btskin
Content Type = "application/x-bittorrent-skin"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
MIME\Database\Content Type\
application/x-bittorrent-skin
Extension = ".btskin"

HKEY_CURRENT_USER\Software\Classes\
MIME\Database\Content Type\
application/x-bittorrent-skin
Extension = ".btskin"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
explorer
GlobalAssocChangedCounter = "25"

HKEY_CURRENT_USER\Software\Classes\
.btinstall
(Default) = "uTorrent"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
explorer
GlobalAssocChangedCounter = "26"

HKEY_CURRENT_USER\Software\Classes\
.btinstall
Content Type = "application/x-bittorrent-appinst"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
MIME\Database\Content Type\
application/x-bittorrent-appinst
Extension = ".btinstall"

HKEY_CURRENT_USER\Software\Classes\
MIME\Database\Content Type\
application/x-bittorrent-appinst
Extension = ".btinstall"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
explorer
GlobalAssocChangedCounter = "27"

HKEY_CURRENT_USER\Software\Classes\
.btkey
(Default) = "uTorrent"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
explorer
GlobalAssocChangedCounter = "28"

HKEY_CURRENT_USER\Software\Classes\
.btkey
Content Type = "application/x-bittorrent-key"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
MIME\Database\Content Type\
application/x-bittorrent-key
Extension = ".btkey"

HKEY_CURRENT_USER\Software\Classes\
MIME\Database\Content Type\
application/x-bittorrent-key
Extension = ".btkey"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
explorer
GlobalAssocChangedCounter = "29"

HKEY_CURRENT_USER\Software\Classes\
.btsearch\OpenWithProgids
uTorrent = ""

HKEY_CURRENT_USER\Software\Classes\
Applications\uTorrent.exe\shell
(Default) = "open"

HKEY_CURRENT_USER\Software\Classes\
Applications\uTorrent.exe\shell\
open\command
(Default) = "%Application Data%\uTorrent\uTorrent.exe %1 /SHELLASSOC"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
uTorrent
DisplayIcon = "%Application Data%\uTorrent\uTorrent.exe,0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
uTorrent
DisplayName = "\xc2\xb5Torrent"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
uTorrent
DisplayVersion = "3.4.7.42330"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
uTorrent
UninstallString = "%Application Data%\uTorrent\uTorrent.exe /UNINSTALL"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
uTorrent
InstallLocation = "%Application Data%\uTorrent"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
uTorrent
VersionMajor = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
uTorrent
MajorVersion = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
uTorrent
VersionMinor = "4"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
uTorrent
MinorVersion = "4"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
uTorrent
NoModify = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
uTorrent
NoRepair = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
uTorrent
URLInfoAbout = "http://www.{BLOCKED}nt.com"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
uTorrent
Publisher = "BitTorrent Inc."

HKEY_CURRENT_USER\Software\BitTorrent\
uTorrent
Revision = "42330"

作成活動

プログラムは、以下のファイルを作成します。

%Application Data%\uTorrent\rss.dat.old
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\uninstall.js
%User Temp%\HYDA322.tmp.1574641249\HTA\images\loading.gif
%User Temp%\utt1E1C.tmp.old
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\fr.json
%Application Data%\uTorrent\settings.dat.new
%Application Data%\Microsoft\Internet Explorer\Quick Launch\xc2\xb5Torrent.lnk
%Application Data%\uTorrent\apps\featuredContent.btapp.new
%User Temp%\HYDA322.tmp.1574641249\HTA\index.hta
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\ru.json
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\initialize.js
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\br.json
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\common.js
%User Temp%\HYDA322.tmp.1574641249\HTA\images\main_icon.png
%User Temp%\utt1E1C.tmp.new
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\install.js
%User Temp%\HYDA322.tmp.1574641249\index.hta.log
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\pt.json
%Application Data%\uTorrent\dht.dat.old
%User Temp%\HYDA322.tmp.1574641249\HTA\styles\common.css
%Application Data%\uTorrent\dht_feed.dat
%User Temp%\HYDA322.tmp.1574641249\HTA\images\main_utorrent.ico
%Application Data%\uTorrent\rss.dat.new
%User Temp%\HYDA322.tmp.1574641249\HTA\shell_scripts\shell_install_offer.js
%Application Data%\uTorrent\settings.dat
%User Temp%\HYDA322.tmp.1574641249\HTA\images\main_bittorrent.ico
%Application Data%\uTorrent\apps\plus.btapp
%Application Data%\uTorrent\toolbar_offer.benc
%Application Data%\uTorrent\dht_feed.dat.new
%Application Data%\uTorrent\apps\player.btapp
%User Temp%\HYDA322.tmp.1574641249\HTA\install.1574641249.zip
%AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
%Application Data%\uTorrent\toolbar.benc.new
%Application Data%\uTorrent\toolbar.benc
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\ko.json
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\es5-shim.js
%Application Data%\uTorrent\maindoc.ico
%Application Data%\uTorrent\dht.dat
%Application Data%\uTorrent\apps\welcome-upsell.btapp
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\en.json
%Application Data%\uTorrent\updates\3.4.7_42330\utorrentie.exe
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\it.json
%Application Data%\uTorrent\apps\featuredContent.btapp
%Application Data%\uTorrent\updates\3.4.7_42330.exe
%Application Data%\uTorrent\apps\player.btapp.new
%Application Data%\uTorrent\rss.dat
%User Temp%\HYDA322.tmp.1574641249\HTA\shell_scripts\check_if_cscript_is_working.js
%Application Data%\uTorrent\apps\plus.btapp.new
%User Temp%\HYDA322.tmp.1574641249\HTA\styles\installer.css
%Application Data%\uTorrent\uTorrent.exe
%Application Data%\uTorrent\dht_feed.dat.old
%User Temp%\HYDA322.tmp.1574641249\HTA\images\bt_icon_48px.png
%Application Data%\uTorrent\apps\welcome-upsell.btapp.new
%Application Data%\uTorrent\utorrent.lng
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\de.json
%Application Data%\uTorrent\toolbar.benc.old
%Application Data%\uTorrent\updates.dat
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\es.json
%Desktop%\xc2\xb5Torrent.lnk
%Application Data%\uTorrent\dht.dat.new
%AppDataLocal%\GDIPFONTCACHEV1.DAT
%User Temp%\HYDA322.tmp.1574641249\HTA\uninstall.hta
%Start Menu%\xc2\xb5Torrent.lnk
%User Temp%\HYDA322.tmp.1574641249\HTA\shell_scripts\shell_ping_after_close.js
%Application Data%\uTorrent\settings.dat.old

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。. %Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\Desktop" です。. %Start Menu%フォルダは、現在ログオンしているユーザのスタートメニューフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Windows\Start Menu" または "C:\Documents and Settings\＜ユーザ名＞\Start Menu" です。また、Windows Vista、7、8、8.1、2008(64-bit)、012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu" です。)

その他

プログラムは、以下の不正なWebサイトにアクセスします。

http://sv.{BLOCKED}b.com/sv.crt
http://download-lb.{BLOCKED}nt.com/{random path}
http://i-50.{BLOCKED}0.xyz.bench.utorrent.com/e?i=50
http://i-21.{BLOCKED}0.ut.bench.utorrent.com/e?i=21
http://update.{BLOCKED}nt.com/installstats.php?{random characters}
http://update.{BLOCKED}nt.com/installoffer.php?{random characters}
http://apps.{BLOCKED}rent.com/utorrent-onboarding/welcome-upsell.btapp
http://apps.{BLOCKED}rent.com/utorrent-onboarding/player.btapp
http://bundles.{BLOCKED}rent.com/onboarding/utorrent?{random characters}
http://utclient.{BLOCKED}nt.com/pro/{BLOCKED}nt/index.html
http://now.{BLOCKED}t.co/onboarding/utorrent
http://now.{BLOCKED}t.co/inclient
http://{BLOCKED}nt.com/download/langpacks/dl.php?{random characters}
http://www.{BLOCKED}nt.com/download/langpacks/dl.php?{random characters}
http://www.{BLOCKED}nt.com/scripts/dl.php?{random characters}
http://i-44.{BLOCKED}0.ut.bench.utorrent.com/e?i=44
http://cdn.{BLOCKED}p.bittorrent.com/control/tags/ut.json
http://i-29.{BLOCKED}0.ut.bench.utorrent.com/e?i=29
http://i-32.{BLOCKED}0.ut.bench.utorrent.com/e?i=32
http://i-38.{BLOCKED}0.ut.bench.utorrent.com/e?i=38
http://cdn.{BLOCKED}p.bittorrent.com/control/feature/tags/ut.json
http://i-43.{BLOCKED}0.ut.bench.utorrent.com/e?i=43
http://router.{BLOCKED}rent.com
http://router.{BLOCKED}nt.com
http://update.{BLOCKED}rent.com
{BLOCKED}221.65
{BLOCKED}181.175
{BLOCKED}186.121
{BLOCKED}.76.226
{BLOCKED}.163.186
{BLOCKED}01.91
{BLOCKED}.165.54
{BLOCKED}72.41
{BLOCKED}.128.168
{BLOCKED}.226.98
{BLOCKED}9.88
{BLOCKED}.14.29
{BLOCKED}.217.37
{BLOCKED}11.187
{BLOCKED}.126.157
{BLOCKED}210.204
{BLOCKED}.90.84
{BLOCKED}.115.147
{BLOCKED}.153.66
{BLOCKED}.179.191
{BLOCKED}.229.200
{BLOCKED}.165.35
{BLOCKED}.27.36
{BLOCKED}.109.30
{BLOCKED}.120.191
{BLOCKED}.221.227
{BLOCKED}65.255
{BLOCKED}24.215
{BLOCKED}72.93
{BLOCKED}.6.178
{BLOCKED}.61.25
{BLOCKED}.65.177
{BLOCKED}14.29
{BLOCKED}.186.38
{BLOCKED}67.230
{BLOCKED}.110.21
{BLOCKED}0.75.187
{BLOCKED}.169.84
{BLOCKED}.163.254
{BLOCKED}6.79.27
{BLOCKED}6.79.205
{BLOCKED}3.122.171
{BLOCKED}.58.92
{BLOCKED}17.132
{BLOCKED}8.118.97
{BLOCKED}.201.14
{BLOCKED}7.249.21
{BLOCKED}9.75.10
{BLOCKED}7.58.92
{BLOCKED}.148.222
{BLOCKED}0.75.245
{BLOCKED}6.207.143
{BLOCKED}.253.25
{BLOCKED}.78.29
{BLOCKED}5.56.111
{BLOCKED}8.161.213
{BLOCKED}.71.210
{BLOCKED}6.211.216
{BLOCKED}8.135.210
{BLOCKED}.193.170
{BLOCKED}.129.5
{BLOCKED}.196.163
{BLOCKED}0.129.5
{BLOCKED}2.205.4
{BLOCKED}.47.159
{BLOCKED}.227.46
{BLOCKED}.9.88
{BLOCKED}5.65.37
{BLOCKED}6.47.77
{BLOCKED}9.127.60
{BLOCKED}.169.246
{BLOCKED}212.46
{BLOCKED}1.219.231
{BLOCKED}.150.29

このウイルス情報は、自動解析システムにより作成されました。

対応方法

対応検索エンジン: 9.850

手順 1

Windows XP、Windows Vista 、Windows 7、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

手順 3

「PUA.Win32.OpenCandy.PAO」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。
検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- uTorrent = "%Application Data%\uTorrent\uTorrent.exe /MINIMIZED"

In HKEY_CURRENT_USER\Software\Classes\FalconBetaAccount
- remote_access_client_id = "0440846356"

In HKEY_CURRENT_USER\Software\BitTorrent\uTorrent
- OfferProvider = ""

In HKEY_CURRENT_USER\Software\BitTorrent\uTorrent
- OfferName = ""

In HKEY_CURRENT_USER\Software\BitTorrent\uTorrent
- OfferAccepted = "0"

In HKEY_CURRENT_USER\Software\BitTorrent\uTorrent
- OfferViaCAU = "0"

In HKEY_CURRENT_USER\Software\BitTorrent
- computerID = "!\xe4\xb9\xb6\x91)\xa0\xdf\xf7k\xbc\xdf\xc1\xfc&O\x92\x98\x896\xbd\x1dy\xcf"

In HKEY_CURRENT_USER\Software\Classes\.torrent
- (Default) = "uTorrent"

In HKEY_CURRENT_USER\Software\Classes\uTorrent\DefaultIcon
- (Default) = "%Application Data%\uTorrent\maindoc.ico"

In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer
- GlobalAssocChangedCounter = "12"

In HKEY_CURRENT_USER\Software\Classes\.torrent
- Content Type = "application/x-bittorrent"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MIME\Database\Content Type\application/x-bittorrent
- Extension = ".torrent"

In HKEY_CURRENT_USER\Software\Classes\MIME\Database\Content Type\application/x-bittorrent
- Extension = ".torrent"

In HKEY_CURRENT_USER\Software\Classes\uTorrent\shell\open\command
- (Default) = "%Application Data%\uTorrent\uTorrent.exe %1 /SHELLASSOC"

In HKEY_CURRENT_USER\Software\Classes\uTorrent\shell
- (Default) = "open"

In HKEY_CURRENT_USER\Software\Classes\uTorrent\Content Type
- (Default) = "application/x-bittorrent"

In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer
- GlobalAssocChangedCounter = "13"

In HKEY_CURRENT_USER\Software\Classes\.torrent\OpenWithProgids
- uTorrent = ""

In HKEY_CURRENT_USER\Software\Classes\Magnet
- (Default) = "Magnet URI"

In HKEY_CURRENT_USER\Software\Classes\Magnet
- URL Protocol = ""

In HKEY_CURRENT_USER\Software\Classes\Magnet
- Content Type = "application/x-magnet"

In HKEY_CURRENT_USER\Software\Classes\Magnet\shell\open\command
- (Default) = "%Application Data%\uTorrent\uTorrent.exe %1 /SHELLASSOC"

In HKEY_CURRENT_USER\Software\Classes\Magnet\shell
- (Default) = "open"

In HKEY_CURRENT_USER\Software\Classes\Magnet\DefaultIcon
- (Default) = "%Application Data%\uTorrent\maindoc.ico"

In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer
- GlobalAssocChangedCounter = "16"

In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer
- GlobalAssocChangedCounter = "17"

In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer
- GlobalAssocChangedCounter = "18"

In HKEY_CURRENT_USER\Software\Classes\bittorrent
- (Default) = "bittorrent URI"

In HKEY_CURRENT_USER\Software\Classes\bittorrent
- URL Protocol = ""

In HKEY_CURRENT_USER\Software\Classes\bittorrent
- Content Type = "application/x-bittorrent-protocol"

In HKEY_CURRENT_USER\Software\Classes\bittorrent\shell\open\command
- (Default) = "%Application Data%\uTorrent\uTorrent.exe %1 /SHELLASSOC"

In HKEY_CURRENT_USER\Software\Classes\bittorrent\shell
- (Default) = "open"

In HKEY_CURRENT_USER\Software\Classes\bittorrent\DefaultIcon
- (Default) = "%Application Data%\uTorrent\maindoc.ico"

In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer
- GlobalAssocChangedCounter = "19"

In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer
- GlobalAssocChangedCounter = "20"

In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer
- GlobalAssocChangedCounter = "21"

In HKEY_CURRENT_USER\Software\Classes\.btapp
- (Default) = "uTorrent"

In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer
- GlobalAssocChangedCounter = "22"

In HKEY_CURRENT_USER\Software\Classes\.btapp
- Content Type = "application/x-bittorrent-app"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MIME\Database\Content Type\application/x-bittorrent-app
- Extension = ".btapp"

In HKEY_CURRENT_USER\Software\Classes\MIME\Database\Content Type\application/x-bittorrent-app
- Extension = ".btapp"

In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer
- GlobalAssocChangedCounter = "23"

In HKEY_CURRENT_USER\Software\Classes\.btskin
- (Default) = "uTorrent"

In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer
- GlobalAssocChangedCounter = "24"

In HKEY_CURRENT_USER\Software\Classes\.btskin
- Content Type = "application/x-bittorrent-skin"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MIME\Database\Content Type\application/x-bittorrent-skin
- Extension = ".btskin"

In HKEY_CURRENT_USER\Software\Classes\MIME\Database\Content Type\application/x-bittorrent-skin
- Extension = ".btskin"

In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer
- GlobalAssocChangedCounter = "25"

In HKEY_CURRENT_USER\Software\Classes\.btinstall
- (Default) = "uTorrent"

In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer
- GlobalAssocChangedCounter = "26"

In HKEY_CURRENT_USER\Software\Classes\.btinstall
- Content Type = "application/x-bittorrent-appinst"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MIME\Database\Content Type\application/x-bittorrent-appinst
- Extension = ".btinstall"

In HKEY_CURRENT_USER\Software\Classes\MIME\Database\Content Type\application/x-bittorrent-appinst
- Extension = ".btinstall"

In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer
- GlobalAssocChangedCounter = "27"

In HKEY_CURRENT_USER\Software\Classes\.btkey
- (Default) = "uTorrent"

In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer
- GlobalAssocChangedCounter = "28"

In HKEY_CURRENT_USER\Software\Classes\.btkey
- Content Type = "application/x-bittorrent-key"

In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MIME\Database\Content Type\application/x-bittorrent-key
- Extension = ".btkey"

In HKEY_CURRENT_USER\Software\Classes\MIME\Database\Content Type\application/x-bittorrent-key
- Extension = ".btkey"

In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer
- GlobalAssocChangedCounter = "29"

In HKEY_CURRENT_USER\Software\Classes\.btsearch\OpenWithProgids
- uTorrent = ""

In HKEY_CURRENT_USER\Software\Classes\Applications\uTorrent.exe\shell
- (Default) = "open"

In HKEY_CURRENT_USER\Software\Classes\Applications\uTorrent.exe\shell\open\command
- (Default) = "%Application Data%\uTorrent\uTorrent.exe %1 /SHELLASSOC"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent
- DisplayIcon = "%Application Data%\uTorrent\uTorrent.exe,0"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent
- DisplayName = "\xc2\xb5Torrent"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent
- DisplayVersion = "3.4.7.42330"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent
- UninstallString = "%Application Data%\uTorrent\uTorrent.exe /UNINSTALL"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent
- InstallLocation = "%Application Data%\uTorrent"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent
- VersionMajor = "3"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent
- MajorVersion = "3"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent
- VersionMinor = "4"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent
- MinorVersion = "4"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent
- NoModify = "1"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent
- NoRepair = "1"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent
- URLInfoAbout = "http://www.{BLOCKED}nt.com"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent
- Publisher = "BitTorrent Inc."

In HKEY_CURRENT_USER\Software\BitTorrent\uTorrent
- Revision = "42330"

このマルウェアが追加したレジストリ値の削除：

「レジストリエディタ」を起動します。
- Windows 2000、XP および Server 2003 の場合：
  [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
- Windows Vista、7、Server 2008 の場合：
  [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
- Windows 8、8.1 および Server 2012 の場合：
  画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
右側のパネルで以下のレジストリ値を検索し、削除します。
uTorrent = "%Application Data%\uTorrent\uTorrent.exe /MINIMIZED"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>FalconBetaAccount
右側のパネルで以下のレジストリ値を検索し、削除します。
remote_access_client_id = "0440846356"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>BitTorrent>uTorrent
右側のパネルで以下のレジストリ値を検索し、削除します。
OfferProvider = ""
右側のパネルで以下のレジストリ値を検索し、削除します。
OfferName = ""
右側のパネルで以下のレジストリ値を検索し、削除します。
OfferAccepted = "0"
右側のパネルで以下のレジストリ値を検索し、削除します。
OfferViaCAU = "0"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>BitTorrent
右側のパネルで以下のレジストリ値を検索し、削除します。
computerID = "!\xe4\xb9\xb6\x91)\xa0\xdf\xf7k\xbc\xdf\xc1\xfc&O\x92\x98\x896\xbd\x1dy\xcf"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>.torrent
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "uTorrent"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>uTorrent>DefaultIcon
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "%Application Data%\uTorrent\maindoc.ico"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Wow6432Node>Microsoft>Windows>CurrentVersion>explorer
右側のパネルで以下のレジストリ値を検索し、削除します。
GlobalAssocChangedCounter = "12"
右側のパネルで以下のレジストリ値を検索し、削除します。
Content Type = "application/x-bittorrent"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>MIME>Database>Content Type>application/x-bittorrent
右側のパネルで以下のレジストリ値を検索し、削除します。
Extension = ".torrent"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>MIME>Database>Content Type>application/x-bittorrent
右側のパネルで以下のレジストリ値を検索し、削除します。
Extension = ".torrent"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>uTorrent>shell>open>command
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "%Application Data%\uTorrent\uTorrent.exe %1 /SHELLASSOC"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>uTorrent>shell
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "open"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>uTorrent>Content Type
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "application/x-bittorrent"
右側のパネルで以下のレジストリ値を検索し、削除します。
GlobalAssocChangedCounter = "13"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>.torrent>OpenWithProgids
右側のパネルで以下のレジストリ値を検索し、削除します。
uTorrent = ""
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>Magnet
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "Magnet URI"
右側のパネルで以下のレジストリ値を検索し、削除します。
URL Protocol = ""
右側のパネルで以下のレジストリ値を検索し、削除します。
Content Type = "application/x-magnet"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>Magnet>shell>open>command
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "%Application Data%\uTorrent\uTorrent.exe %1 /SHELLASSOC"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>Magnet>shell
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "open"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>Magnet>DefaultIcon
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "%Application Data%\uTorrent\maindoc.ico"
右側のパネルで以下のレジストリ値を検索し、削除します。
GlobalAssocChangedCounter = "16"
右側のパネルで以下のレジストリ値を検索し、削除します。
GlobalAssocChangedCounter = "17"
右側のパネルで以下のレジストリ値を検索し、削除します。
GlobalAssocChangedCounter = "18"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>bittorrent
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "bittorrent URI"
右側のパネルで以下のレジストリ値を検索し、削除します。
URL Protocol = ""
右側のパネルで以下のレジストリ値を検索し、削除します。
Content Type = "application/x-bittorrent-protocol"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>bittorrent>shell>open>command
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "%Application Data%\uTorrent\uTorrent.exe %1 /SHELLASSOC"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>bittorrent>shell
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "open"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>bittorrent>DefaultIcon
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "%Application Data%\uTorrent\maindoc.ico"
右側のパネルで以下のレジストリ値を検索し、削除します。
GlobalAssocChangedCounter = "19"
右側のパネルで以下のレジストリ値を検索し、削除します。
GlobalAssocChangedCounter = "20"
右側のパネルで以下のレジストリ値を検索し、削除します。
GlobalAssocChangedCounter = "21"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>.btapp
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "uTorrent"
右側のパネルで以下のレジストリ値を検索し、削除します。
GlobalAssocChangedCounter = "22"
右側のパネルで以下のレジストリ値を検索し、削除します。
Content Type = "application/x-bittorrent-app"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>MIME>Database>Content Type>application/x-bittorrent-app
右側のパネルで以下のレジストリ値を検索し、削除します。
Extension = ".btapp"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>MIME>Database>Content Type>application/x-bittorrent-app
右側のパネルで以下のレジストリ値を検索し、削除します。
Extension = ".btapp"
右側のパネルで以下のレジストリ値を検索し、削除します。
GlobalAssocChangedCounter = "23"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>.btskin
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "uTorrent"
右側のパネルで以下のレジストリ値を検索し、削除します。
GlobalAssocChangedCounter = "24"
右側のパネルで以下のレジストリ値を検索し、削除します。
Content Type = "application/x-bittorrent-skin"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>MIME>Database>Content Type>application/x-bittorrent-skin
右側のパネルで以下のレジストリ値を検索し、削除します。
Extension = ".btskin"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>MIME>Database>Content Type>application/x-bittorrent-skin
右側のパネルで以下のレジストリ値を検索し、削除します。
Extension = ".btskin"
右側のパネルで以下のレジストリ値を検索し、削除します。
GlobalAssocChangedCounter = "25"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>.btinstall
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "uTorrent"
右側のパネルで以下のレジストリ値を検索し、削除します。
GlobalAssocChangedCounter = "26"
右側のパネルで以下のレジストリ値を検索し、削除します。
Content Type = "application/x-bittorrent-appinst"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>MIME>Database>Content Type>application/x-bittorrent-appinst
右側のパネルで以下のレジストリ値を検索し、削除します。
Extension = ".btinstall"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>MIME>Database>Content Type>application/x-bittorrent-appinst
右側のパネルで以下のレジストリ値を検索し、削除します。
Extension = ".btinstall"
右側のパネルで以下のレジストリ値を検索し、削除します。
GlobalAssocChangedCounter = "27"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>.btkey
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "uTorrent"
右側のパネルで以下のレジストリ値を検索し、削除します。
GlobalAssocChangedCounter = "28"
右側のパネルで以下のレジストリ値を検索し、削除します。
Content Type = "application/x-bittorrent-key"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>MIME>Database>Content Type>application/x-bittorrent-key
右側のパネルで以下のレジストリ値を検索し、削除します。
Extension = ".btkey"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>MIME>Database>Content Type>application/x-bittorrent-key
右側のパネルで以下のレジストリ値を検索し、削除します。
Extension = ".btkey"
右側のパネルで以下のレジストリ値を検索し、削除します。
GlobalAssocChangedCounter = "29"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>.btsearch>OpenWithProgids
右側のパネルで以下のレジストリ値を検索し、削除します。
uTorrent = ""
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>Applications>uTorrent.exe>shell
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "open"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>Applications>uTorrent.exe>shell>open>command
右側のパネルで以下のレジストリ値を検索し、削除します。
(Default) = "%Application Data%\uTorrent\uTorrent.exe %1 /SHELLASSOC"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Uninstall>uTorrent
右側のパネルで以下のレジストリ値を検索し、削除します。
DisplayIcon = "%Application Data%\uTorrent\uTorrent.exe,0"
右側のパネルで以下のレジストリ値を検索し、削除します。
DisplayName = "\xc2\xb5Torrent"
右側のパネルで以下のレジストリ値を検索し、削除します。
DisplayVersion = "3.4.7.42330"
右側のパネルで以下のレジストリ値を検索し、削除します。
UninstallString = "%Application Data%\uTorrent\uTorrent.exe /UNINSTALL"
右側のパネルで以下のレジストリ値を検索し、削除します。
InstallLocation = "%Application Data%\uTorrent"
右側のパネルで以下のレジストリ値を検索し、削除します。
VersionMajor = "3"
右側のパネルで以下のレジストリ値を検索し、削除します。
MajorVersion = "3"
右側のパネルで以下のレジストリ値を検索し、削除します。
VersionMinor = "4"
右側のパネルで以下のレジストリ値を検索し、削除します。
MinorVersion = "4"
右側のパネルで以下のレジストリ値を検索し、削除します。
NoModify = "1"
右側のパネルで以下のレジストリ値を検索し、削除します。
NoRepair = "1"
右側のパネルで以下のレジストリ値を検索し、削除します。
URLInfoAbout = "http://www.{BLOCKED}nt.com"
右側のパネルで以下のレジストリ値を検索し、削除します。
Publisher = "BitTorrent Inc."
右側のパネルで以下のレジストリ値を検索し、削除します。
Revision = "42330"
「レジストリエディタ」を閉じます。

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%Application Data%\uTorrent\rss.dat.old
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\uninstall.js
%User Temp%\HYDA322.tmp.1574641249\HTA\images\loading.gif
%User Temp%\utt1E1C.tmp.old
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\fr.json
%Application Data%\uTorrent\settings.dat.new
%Application Data%\Microsoft\Internet Explorer\Quick Launch\xc2\xb5Torrent.lnk
%Application Data%\uTorrent\apps\featuredContent.btapp.new
%User Temp%\HYDA322.tmp.1574641249\HTA\index.hta
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\ru.json
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\initialize.js
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\br.json
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\common.js
%User Temp%\HYDA322.tmp.1574641249\HTA\images\main_icon.png
%User Temp%\utt1E1C.tmp.new
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\install.js
%User Temp%\HYDA322.tmp.1574641249\index.hta.log
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\pt.json
%Application Data%\uTorrent\dht.dat.old
%User Temp%\HYDA322.tmp.1574641249\HTA\styles\common.css
%Application Data%\uTorrent\dht_feed.dat
%User Temp%\HYDA322.tmp.1574641249\HTA\images\main_utorrent.ico
%Application Data%\uTorrent\rss.dat.new
%User Temp%\HYDA322.tmp.1574641249\HTA\shell_scripts\shell_install_offer.js
%Application Data%\uTorrent\settings.dat
%User Temp%\HYDA322.tmp.1574641249\HTA\images\main_bittorrent.ico
%Application Data%\uTorrent\apps\plus.btapp
%Application Data%\uTorrent\toolbar_offer.benc
%Application Data%\uTorrent\dht_feed.dat.new
%Application Data%\uTorrent\apps\player.btapp
%User Temp%\HYDA322.tmp.1574641249\HTA\install.1574641249.zip
%AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
%Application Data%\uTorrent\toolbar.benc.new
%Application Data%\uTorrent\toolbar.benc
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\ko.json
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\es5-shim.js
%Application Data%\uTorrent\maindoc.ico
%Application Data%\uTorrent\dht.dat
%Application Data%\uTorrent\apps\welcome-upsell.btapp
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\en.json
%Application Data%\uTorrent\updates\3.4.7_42330\utorrentie.exe
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\it.json
%Application Data%\uTorrent\apps\featuredContent.btapp
%Application Data%\uTorrent\updates\3.4.7_42330.exe
%Application Data%\uTorrent\apps\player.btapp.new
%Application Data%\uTorrent\rss.dat
%User Temp%\HYDA322.tmp.1574641249\HTA\shell_scripts\check_if_cscript_is_working.js
%Application Data%\uTorrent\apps\plus.btapp.new
%User Temp%\HYDA322.tmp.1574641249\HTA\styles\installer.css
%Application Data%\uTorrent\uTorrent.exe
%Application Data%\uTorrent\dht_feed.dat.old
%User Temp%\HYDA322.tmp.1574641249\HTA\images\bt_icon_48px.png
%Application Data%\uTorrent\apps\welcome-upsell.btapp.new
%Application Data%\uTorrent\utorrent.lng
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\de.json
%Application Data%\uTorrent\toolbar.benc.old
%Application Data%\uTorrent\updates.dat
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\es.json
%Desktop%\xc2\xb5Torrent.lnk
%Application Data%\uTorrent\dht.dat.new
%AppDataLocal%\GDIPFONTCACHEV1.DAT
%User Temp%\HYDA322.tmp.1574641249\HTA\uninstall.hta
%Start Menu%\xc2\xb5Torrent.lnk
%User Temp%\HYDA322.tmp.1574641249\HTA\shell_scripts\shell_ping_after_close.js
%Application Data%\uTorrent\settings.dat.old

マルウェアのコンポーネントファイルの削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に以下のファイル名を入力してください。
%Application Data%\uTorrent\rss.dat.old
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\uninstall.js
%User Temp%\HYDA322.tmp.1574641249\HTA\images\loading.gif
%User Temp%\utt1E1C.tmp.old
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\fr.json
%Application Data%\uTorrent\settings.dat.new
%Application Data%\Microsoft\Internet Explorer\Quick Launch\xc2\xb5Torrent.lnk
%Application Data%\uTorrent\apps\featuredContent.btapp.new
%User Temp%\HYDA322.tmp.1574641249\HTA\index.hta
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\ru.json
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\initialize.js
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\br.json
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\common.js
%User Temp%\HYDA322.tmp.1574641249\HTA\images\main_icon.png
%User Temp%\utt1E1C.tmp.new
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\install.js
%User Temp%\HYDA322.tmp.1574641249\index.hta.log
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\pt.json
%Application Data%\uTorrent\dht.dat.old
%User Temp%\HYDA322.tmp.1574641249\HTA\styles\common.css
%Application Data%\uTorrent\dht_feed.dat
%User Temp%\HYDA322.tmp.1574641249\HTA\images\main_utorrent.ico
%Application Data%\uTorrent\rss.dat.new
%User Temp%\HYDA322.tmp.1574641249\HTA\shell_scripts\shell_install_offer.js
%Application Data%\uTorrent\settings.dat
%User Temp%\HYDA322.tmp.1574641249\HTA\images\main_bittorrent.ico
%Application Data%\uTorrent\apps\plus.btapp
%Application Data%\uTorrent\toolbar_offer.benc
%Application Data%\uTorrent\dht_feed.dat.new
%Application Data%\uTorrent\apps\player.btapp
%User Temp%\HYDA322.tmp.1574641249\HTA\install.1574641249.zip
%AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
%Application Data%\uTorrent\toolbar.benc.new
%Application Data%\uTorrent\toolbar.benc
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\ko.json
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\es5-shim.js
%Application Data%\uTorrent\maindoc.ico
%Application Data%\uTorrent\dht.dat
%Application Data%\uTorrent\apps\welcome-upsell.btapp
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\en.json
%Application Data%\uTorrent\updates\3.4.7_42330\utorrentie.exe
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\it.json
%Application Data%\uTorrent\apps\featuredContent.btapp
%Application Data%\uTorrent\updates\3.4.7_42330.exe
%Application Data%\uTorrent\apps\player.btapp.new
%Application Data%\uTorrent\rss.dat
%User Temp%\HYDA322.tmp.1574641249\HTA\shell_scripts\check_if_cscript_is_working.js
%Application Data%\uTorrent\apps\plus.btapp.new
%User Temp%\HYDA322.tmp.1574641249\HTA\styles\installer.css
%Application Data%\uTorrent\uTorrent.exe
%Application Data%\uTorrent\dht_feed.dat.old
%User Temp%\HYDA322.tmp.1574641249\HTA\images\bt_icon_48px.png
%Application Data%\uTorrent\apps\welcome-upsell.btapp.new
%Application Data%\uTorrent\utorrent.lng
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\de.json
%Application Data%\uTorrent\toolbar.benc.old
%Application Data%\uTorrent\updates.dat
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\es.json
%Desktop%\xc2\xb5Torrent.lnk
%Application Data%\uTorrent\dht.dat.new
%AppDataLocal%\GDIPFONTCACHEV1.DAT
%User Temp%\HYDA322.tmp.1574641249\HTA\uninstall.hta
%Start Menu%\xc2\xb5Torrent.lnk
%User Temp%\HYDA322.tmp.1574641249\HTA\shell_scripts\shell_ping_after_close.js
%Application Data%\uTorrent\settings.dat.old
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註：ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。（例：ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索）

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合：
  - 画面の左隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、以下を入力します。
%Application Data%\uTorrent\rss.dat.old
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\uninstall.js
%User Temp%\HYDA322.tmp.1574641249\HTA\images\loading.gif
%User Temp%\utt1E1C.tmp.old
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\fr.json
%Application Data%\uTorrent\settings.dat.new
%Application Data%\Microsoft\Internet Explorer\Quick Launch\xc2\xb5Torrent.lnk
%Application Data%\uTorrent\apps\featuredContent.btapp.new
%User Temp%\HYDA322.tmp.1574641249\HTA\index.hta
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\ru.json
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\initialize.js
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\br.json
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\common.js
%User Temp%\HYDA322.tmp.1574641249\HTA\images\main_icon.png
%User Temp%\utt1E1C.tmp.new
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\install.js
%User Temp%\HYDA322.tmp.1574641249\index.hta.log
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\pt.json
%Application Data%\uTorrent\dht.dat.old
%User Temp%\HYDA322.tmp.1574641249\HTA\styles\common.css
%Application Data%\uTorrent\dht_feed.dat
%User Temp%\HYDA322.tmp.1574641249\HTA\images\main_utorrent.ico
%Application Data%\uTorrent\rss.dat.new
%User Temp%\HYDA322.tmp.1574641249\HTA\shell_scripts\shell_install_offer.js
%Application Data%\uTorrent\settings.dat
%User Temp%\HYDA322.tmp.1574641249\HTA\images\main_bittorrent.ico
%Application Data%\uTorrent\apps\plus.btapp
%Application Data%\uTorrent\toolbar_offer.benc
%Application Data%\uTorrent\dht_feed.dat.new
%Application Data%\uTorrent\apps\player.btapp
%User Temp%\HYDA322.tmp.1574641249\HTA\install.1574641249.zip
%AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
%Application Data%\uTorrent\toolbar.benc.new
%Application Data%\uTorrent\toolbar.benc
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\ko.json
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts\es5-shim.js
%Application Data%\uTorrent\maindoc.ico
%Application Data%\uTorrent\dht.dat
%Application Data%\uTorrent\apps\welcome-upsell.btapp
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\en.json
%Application Data%\uTorrent\updates\3.4.7_42330\utorrentie.exe
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\it.json
%Application Data%\uTorrent\apps\featuredContent.btapp
%Application Data%\uTorrent\updates\3.4.7_42330.exe
%Application Data%\uTorrent\apps\player.btapp.new
%Application Data%\uTorrent\rss.dat
%User Temp%\HYDA322.tmp.1574641249\HTA\shell_scripts\check_if_cscript_is_working.js
%Application Data%\uTorrent\apps\plus.btapp.new
%User Temp%\HYDA322.tmp.1574641249\HTA\styles\installer.css
%Application Data%\uTorrent\uTorrent.exe
%Application Data%\uTorrent\dht_feed.dat.old
%User Temp%\HYDA322.tmp.1574641249\HTA\images\bt_icon_48px.png
%Application Data%\uTorrent\apps\welcome-upsell.btapp.new
%Application Data%\uTorrent\utorrent.lng
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\de.json
%Application Data%\uTorrent\toolbar.benc.old
%Application Data%\uTorrent\updates.dat
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n\es.json
%Desktop%\xc2\xb5Torrent.lnk
%Application Data%\uTorrent\dht.dat.new
%AppDataLocal%\GDIPFONTCACHEV1.DAT
%User Temp%\HYDA322.tmp.1574641249\HTA\uninstall.hta
%Start Menu%\xc2\xb5Torrent.lnk
%User Temp%\HYDA322.tmp.1574641249\HTA\shell_scripts\shell_ping_after_close.js
%Application Data%\uTorrent\settings.dat.old
ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 6

以下のフォルダを検索し削除します。

[ 詳細 ]

フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%System Root%\Users
%Application Data%\uTorrent\updates\3.4.7_42330
%User Temp%\HYDA322.tmp.1574641249\HTA\styles
%User Temp%\HYDA322.tmp.1574641249\HTA\images
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n
%User Profile%\AppData
%Application Data%\uTorrent\dlimagecache
%User Temp%\HYDA322.tmp.1574641249\HTA\shell_scripts
%User Temp%\HYDA322.tmp.1574641249\HTA
%User Temp%\HYDA322.tmp.1574641249
%Application Data%\uTorrent\share
%Application Data%\uTorrent
%Application Data%\uTorrent\updates
%Application Data%\uTorrent\apps
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts

このマルウェアまたはアドウェア等が作成したフォルダの削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に、以下のフォルダ名を入力してください。
%System Root%\Users
%Application Data%\uTorrent\updates\3.4.7_42330
%User Temp%\HYDA322.tmp.1574641249\HTA\styles
%User Temp%\HYDA322.tmp.1574641249\HTA\images
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n
%User Profile%\AppData
%Application Data%\uTorrent\dlimagecache
%User Temp%\HYDA322.tmp.1574641249\HTA\shell_scripts
%User Temp%\HYDA322.tmp.1574641249\HTA
%User Temp%\HYDA322.tmp.1574641249
%Application Data%\uTorrent\share
%Application Data%\uTorrent
%Application Data%\uTorrent\updates
%Application Data%\uTorrent\apps
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、フォルダを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。
残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.）から 4.）を繰り返してください。
%System Root%\Users
%Application Data%\uTorrent\updates\3.4.7_42330
%User Temp%\HYDA322.tmp.1574641249\HTA\styles
%User Temp%\HYDA322.tmp.1574641249\HTA\images
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n
%User Profile%\AppData
%Application Data%\uTorrent\dlimagecache
%User Temp%\HYDA322.tmp.1574641249\HTA\shell_scripts
%User Temp%\HYDA322.tmp.1574641249\HTA
%User Temp%\HYDA322.tmp.1574641249
%Application Data%\uTorrent\share
%Application Data%\uTorrent
%Application Data%\uTorrent\updates
%Application Data%\uTorrent\apps
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts

註：ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。（例：ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索）

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合：
  - 画面の左隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、以下を入力します。
%System Root%\Users
%Application Data%\uTorrent\updates\3.4.7_42330
%User Temp%\HYDA322.tmp.1574641249\HTA\styles
%User Temp%\HYDA322.tmp.1574641249\HTA\images
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n
%User Profile%\AppData
%Application Data%\uTorrent\dlimagecache
%User Temp%\HYDA322.tmp.1574641249\HTA\shell_scripts
%User Temp%\HYDA322.tmp.1574641249\HTA
%User Temp%\HYDA322.tmp.1574641249
%Application Data%\uTorrent\share
%Application Data%\uTorrent
%Application Data%\uTorrent\updates
%Application Data%\uTorrent\apps
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts
検索が終了したら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。
残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.）から 3.）を繰り返してください。
%System Root%\Users
%Application Data%\uTorrent\updates\3.4.7_42330
%User Temp%\HYDA322.tmp.1574641249\HTA\styles
%User Temp%\HYDA322.tmp.1574641249\HTA\images
%User Temp%\HYDA322.tmp.1574641249\HTA\i18n
%User Profile%\AppData
%Application Data%\uTorrent\dlimagecache
%User Temp%\HYDA322.tmp.1574641249\HTA\shell_scripts
%User Temp%\HYDA322.tmp.1574641249\HTA
%User Temp%\HYDA322.tmp.1574641249
%Application Data%\uTorrent\share
%Application Data%\uTorrent
%Application Data%\uTorrent\updates
%Application Data%\uTorrent\apps
%User Temp%\HYDA322.tmp.1574641249\HTA\scripts

註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 7

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「PUA.Win32.OpenCandy.PAO」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 8

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア／グレイウェア／スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

%Application Data%\uTorrent\apps\plus.btapp.30297.tmp
%Application Data%\uTorrent\apps\player.btapp.30297.tmp
%Application Data%\uTorrent\apps\welcome-upsell.btapp.30297.tmp
%Application Data%\uTorrent\apps\featuredContent.btapp.30297.tmp

ご利用はいかがでしたか？　アンケートにご協力ください