Trend Micro Security

TROJ_AGENT_019199.TOMB

2012年10月13日
 別名:

Trojan:Win32/Meredrop (Microsoft); Generic Dropper!1q3 (McAfee); Trojan.Gen (Symantec); PAK:PecBundle, PAK:PECompact, Trojan.Win32.Refroso.dmqw (Kaspersky); LooksLike.Win32.InfectedFile!A (v) (Sunbelt); Trojan.Generic.6069871 (FSecure)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 25,610 bytes
タイプ EXE
メモリ常駐 なし
発見日 2012年6月30日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを作成します。

  • %User Profile%\CryptnetUrlCache\MetaData
  • %User Profile%\Microsoft\CryptnetUrlCache
  • %User Profile%\CryptnetUrlCache\Content

(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)

他のシステム変更

マルウェアは、以下のファイルを削除します。

  • %System Root%\setup.ad
  • %System Root%\setup1.ad
  • %Windows%\fonts\msgothic.ttf
  • %Windows%\fonts\msuigoth.ttf
  • %Windows%\fonts\MSMINCHO.TTF
  • %Windows%\fonts\Gulim.ttf
  • %Windows%\fonts\Gulimche.ttf
  • %Windows%\fonts\Dotum.ttf
  • %Windows%\fonts\Batang.ttf
  • %Windows%\fonts\Gungsuh.ttf
  • %Windows%\fonts\Simsun.ttf
  • %Windows%\fonts\nsimsun.ttf
  • %Windows%\fonts\MingLiU.ttf
  • %Windows%\fonts\pmingliu.ttf
  • %System%\SET4.tmp
  • %System%\kbd101b.dll
  • %System%\SET6.tmp
  • %System%\kbd101c.dll
  • %System%\SET8.tmp
  • %System%\kbd103.dll
  • %System%\SETA.tmp
  • %System%\kbd106.dll
  • %System%\SETC.tmp
  • %System%\kbdjpn.dll
  • %System%\SETE.tmp
  • %System%\kbdkor.dll

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

マルウェアは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\Directory\Background\
shellex\ContextMenuHandlers\{FCO94F32-9210-4A7D-AAE8-BB0320CB1D10}

HKEY_CLASSES_ROOT\*\shellex\
ContextMenuHandlers\{FCO94F32-9210-4A7D-AAE8-BB0320CB1D10}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{9B3FD067-74E7-4809-B908-DF358CF1A511}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{9B3FD067-74E7-4809-B908-DF358CF1A511}\1.0

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{9B3FD067-74E7-4809-B908-DF358CF1A511}\1.0\
FLAGS

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{9B3FD067-74E7-4809-B908-DF358CF1A511}\1.0\
0

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{9B3FD067-74E7-4809-B908-DF358CF1A511}\1.0\
0\win32

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{9B3FD067-74E7-4809-B908-DF358CF1A511}\1.0\
HELPDIR

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{96B27E0F-E2B6-4CC4-8F14-D2E408DDEE23}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{96B27E0F-E2B6-4CC4-8F14-D2E408DDEE23}\ProxyStubClsid

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{96B27E0F-E2B6-4CC4-8F14-D2E408DDEE23}\ProxyStubClsid32

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{96B27E0F-E2B6-4CC4-8F14-D2E408DDEE23}\TypeLib

HKEY_CLASSES_ROOT\CLSID\{6DCB487C-0DFA-48C2-ABDC-296BBD892262}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{6DCB487C-0DFA-48C2-ABDC-296BBD892262}\InprocServer32

HKEY_CLASSES_ROOT\pIContextMenu.ShellExt

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU

HKEY_CURRENT_USER\Software\Microsoft\
SystemCertificates\TrustedPublisher

HKEY_CURRENT_USER\Software\Microsoft\
SystemCertificates\TrustedPublisher\Certificates

HKEY_CURRENT_USER\Software\Microsoft\
SystemCertificates\TrustedPublisher\CRLs

HKEY_CURRENT_USER\Software\Microsoft\
SystemCertificates\TrustedPublisher\CTLs

HKEY_CURRENT_USER\Software\Policies\
Microsoft\SystemCertificates\TrustedPublisher

HKEY_CURRENT_USER\Software\Policies\
Microsoft\SystemCertificates\TrustedPublisher\
Certificates

HKEY_CURRENT_USER\Software\Policies\
Microsoft\SystemCertificates\TrustedPublisher\
CRLs

HKEY_CURRENT_USER\Software\Policies\
Microsoft\SystemCertificates\TrustedPublisher\
CTLs

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Control Panel\International
nTimes = "66"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{96B27E0F-E2B6-4CC4-8F14-D2E408DDEE23}\TypeLib
Version = "1.0"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{6DCB487C-0DFA-48C2-ABDC-296BBD892262}
ProgID = "pIContextMenu.ShellExt"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{6DCB487C-0DFA-48C2-ABDC-296BBD892262}\InprocServer32
ThreadingModel = "Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{6DCB487C-0DFA-48C2-ABDC-296BBD892262}
TypeLib = "{9B3FD067-74E7-4809-B908-DF358CF1A511}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{6DCB487C-0DFA-48C2-ABDC-296BBD892262}
VERSION = "1.0"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
pIContextMenu.ShellExt
Clsid = "{6DCB487C-0DFA-48C2-ABDC-296BBD892262}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{96B27E0F-E2B6-4CC4-8F14-D2E408DDEE23}
ProxyStubClsid = "{00020424-0000-0000-C000-000000000046}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{96B27E0F-E2B6-4CC4-8F14-D2E408DDEE23}
ProxyStubClsid32 = "{00020424-0000-0000-C000-000000000046}"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU
Enable = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU
Size = "a"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU
InitHits = "64"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU
Factor = "14"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International
W2KLpk = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International
W2KLpk = "0"

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
4EFCED9C6BDD0C985CA3C7D253063C5BE6FC620C
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
4EF2E6670AC9B5091FE06BE0E5483EAAD6BA32D9
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
4C95A9902ABE0777CED18D6ACCC3372D2748381E
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
4BA7B9DDD68788E12FF852E1A024204BF286A8F6
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
4B421F7515F6AE8A6ECEF97F6982A400A4D9224E
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
47AFB915CDA26D82467B97FA42914468726138DD
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
4463C531D7CCC1006794612BB656D3BF8257846F
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
43F9B110D5BAFD48225231B0D0082B372FEF9A54
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
43DDB1FFF3B49B73831407F6BC8B975023D07C50
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
40E78C1D523D1CD9954FAC1A1AB3BD3CBAA15BFC
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
4072BA31FEC351438480F62E6CB95508461EAB2F
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
3F85F2BB4A62B0B58BE1614ABB0D4631B4BEF8BA
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
394FF6850B06BE52E51856CC10E180E882B385CC
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
36863563FD5128C7BEA6F005CFE9B43668086CCE
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
317A2AD07F2B335EF5A1C34E4B57E8B7D8F1FCA6
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
2F173F7DE99667AFA57AF80AA2D1B12FAC830338
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
284F55C41A1A7A3F8328D4C262FB376ED6096F24
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
273EE12457FDC4F90C55E82B56167F62F532E547
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
24BA6D6C8A5B5837A48DB5FAE919EA675C94D217
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
24A40A1F573643A67F0A4B0749F6A22BF28ABB6B
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
23E594945195F2414803B4D564D2A3A3F5D88B8C
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
216B2A29E62A00CE820146D8244141B92511B279
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
209900B63D955728140CD13622D8C687A4EB0085
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
1F55E8839BAC30728BE7108EDE7B0BB0D3298224
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
1331F48A5DA8E01DAACA1BB0C17044ACFEF755BB
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
0B77BEBBCB7AA24705DECC0FBD6A02FC7ABD9B52
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
049811056AFE9FD0F5BE01685AACE6A5D1C4454C
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
0483ED3399AC3608058722EDBC5E4600E3BEF9D7
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
00EA522C8A9C06AA3ECCE0B4FA6CDC21D92E8099
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
0048F8D37B153F6EA2798C323EF4F318A5624A9E
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
SystemCertificates\AuthRoot\Certificates\
4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5
Blob = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

作成活動

マルウェアは、以下のファイルを作成します。

  • %System%\setup.ad
  • %System Root%\_zh.bat
  • %System%\SET3.tmp
  • %System%\SET5.tmp
  • %System%\SET7.tmp
  • %System%\SET9.tmp
  • %System%\SETB.tmp
  • %System%\SETD.tmp
  • %User Profile%\MetaData\2BF68F4714092295550497DD56F57004
  • %User Profile%\Content\2BF68F4714092295550497DD56F57004
  • %User Profile%\MetaData\94308059B57B3142E455B38A6EB92015
  • %User Profile%\Content\94308059B57B3142E455B38A6EB92015
  • %User Temp%\Cab1.tmp
  • %User Temp%\Tar2.tmp
  • %User Profile%\MetaData\8DFDF057024880D7A081AFBF6D26B92F
  • %User Profile%\Content\8DFDF057024880D7A081AFBF6D26B92F
  • %User Profile%\MetaData\62B5AF9BE9ADC1085C3C56EC07A82BF6
  • %User Profile%\Content\62B5AF9BE9ADC1085C3C56EC07A82BF6
  • %User Profile%\MetaData\F482C95F83F1B59228F1B1E720F2EDF1
  • %User Profile%\Content\F482C95F83F1B59228F1B1E720F2EDF1
  • %System%\SET4.tmp
  • %System%\SET6.tmp
  • %System%\SET8.tmp
  • %System%\SETA.tmp
  • %System%\SETC.tmp
  • %System%\SETE.tmp

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://in.{BLOCKED}n.com/lj/wm/dianxin/cs.swf

このウイルス情報は、自動解析システムにより作成されました。

  対応方法

対応検索エンジン: 9.200

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers
    • {FCO94F32-9210-4A7D-AAE8-BB0320CB1D10}
  • In HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers
    • {FCO94F32-9210-4A7D-AAE8-BB0320CB1D10}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
    • {9B3FD067-74E7-4809-B908-DF358CF1A511}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{9B3FD067-74E7-4809-B908-DF358CF1A511}
    • 1.0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{9B3FD067-74E7-4809-B908-DF358CF1A511}\1.0
    • FLAGS
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{9B3FD067-74E7-4809-B908-DF358CF1A511}\1.0
    • 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{9B3FD067-74E7-4809-B908-DF358CF1A511}\1.0\0
    • win32
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{9B3FD067-74E7-4809-B908-DF358CF1A511}\1.0
    • HELPDIR
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    • {96B27E0F-E2B6-4CC4-8F14-D2E408DDEE23}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{96B27E0F-E2B6-4CC4-8F14-D2E408DDEE23}
    • ProxyStubClsid
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{96B27E0F-E2B6-4CC4-8F14-D2E408DDEE23}
    • ProxyStubClsid32
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{96B27E0F-E2B6-4CC4-8F14-D2E408DDEE23}
    • TypeLib
  • In HKEY_CLASSES_ROOT\CLSID
    • {6DCB487C-0DFA-48C2-ABDC-296BBD892262}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6DCB487C-0DFA-48C2-ABDC-296BBD892262}
    • InprocServer32
  • In HKEY_CLASSES_ROOT
    • pIContextMenu.ShellExt
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International
    • CpMRU
  • In HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates
    • TrustedPublisher
  • In HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\TrustedPublisher
    • Certificates
  • In HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\TrustedPublisher
    • CRLs
  • In HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\TrustedPublisher
    • CTLs
  • In HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates
    • TrustedPublisher
  • In HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\TrustedPublisher
    • Certificates
  • In HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\TrustedPublisher
    • CRLs
  • In HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\TrustedPublisher
    • CTLs

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Control Panel\International
    • nTimes = "66"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{96B27E0F-E2B6-4CC4-8F14-D2E408DDEE23}\TypeLib
    • Version = "1.0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6DCB487C-0DFA-48C2-ABDC-296BBD892262}
    • ProgID = "pIContextMenu.ShellExt"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6DCB487C-0DFA-48C2-ABDC-296BBD892262}\InprocServer32
    • ThreadingModel = "Apartment"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6DCB487C-0DFA-48C2-ABDC-296BBD892262}
    • TypeLib = "{9B3FD067-74E7-4809-B908-DF358CF1A511}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6DCB487C-0DFA-48C2-ABDC-296BBD892262}
    • VERSION = "1.0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\pIContextMenu.ShellExt
    • Clsid = "{6DCB487C-0DFA-48C2-ABDC-296BBD892262}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{96B27E0F-E2B6-4CC4-8F14-D2E408DDEE23}
    • ProxyStubClsid = "{00020424-0000-0000-C000-000000000046}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{96B27E0F-E2B6-4CC4-8F14-D2E408DDEE23}
    • ProxyStubClsid32 = "{00020424-0000-0000-C000-000000000046}"
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International\CpMRU
    • Enable = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International\CpMRU
    • Size = "a"
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International\CpMRU
    • InitHits = "64"
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International\CpMRU
    • Factor = "14"
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International
    • W2KLpk = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International
    • W2KLpk = "0"

手順 4

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\4EFCED9C6BDD0C985CA3C7D253063C5BE6FC620C
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\4EF2E6670AC9B5091FE06BE0E5483EAAD6BA32D9
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\4C95A9902ABE0777CED18D6ACCC3372D2748381E
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\4BA7B9DDD68788E12FF852E1A024204BF286A8F6
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\4B421F7515F6AE8A6ECEF97F6982A400A4D9224E
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\47AFB915CDA26D82467B97FA42914468726138DD
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\4463C531D7CCC1006794612BB656D3BF8257846F
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\43F9B110D5BAFD48225231B0D0082B372FEF9A54
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\43DDB1FFF3B49B73831407F6BC8B975023D07C50
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\40E78C1D523D1CD9954FAC1A1AB3BD3CBAA15BFC
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\4072BA31FEC351438480F62E6CB95508461EAB2F
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\3F85F2BB4A62B0B58BE1614ABB0D4631B4BEF8BA
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\394FF6850B06BE52E51856CC10E180E882B385CC
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\36863563FD5128C7BEA6F005CFE9B43668086CCE
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\317A2AD07F2B335EF5A1C34E4B57E8B7D8F1FCA6
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2F173F7DE99667AFA57AF80AA2D1B12FAC830338
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\284F55C41A1A7A3F8328D4C262FB376ED6096F24
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\273EE12457FDC4F90C55E82B56167F62F532E547
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\24BA6D6C8A5B5837A48DB5FAE919EA675C94D217
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\24A40A1F573643A67F0A4B0749F6A22BF28ABB6B
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\23E594945195F2414803B4D564D2A3A3F5D88B8C
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\216B2A29E62A00CE820146D8244141B92511B279
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\209900B63D955728140CD13622D8C687A4EB0085
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\1F55E8839BAC30728BE7108EDE7B0BB0D3298224
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\1331F48A5DA8E01DAACA1BB0C17044ACFEF755BB
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0B77BEBBCB7AA24705DECC0FBD6A02FC7ABD9B52
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\049811056AFE9FD0F5BE01685AACE6A5D1C4454C
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0483ED3399AC3608058722EDBC5E4600E3BEF9D7
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\00EA522C8A9C06AA3ECCE0B4FA6CDC21D92E8099
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0048F8D37B153F6EA2798C323EF4F318A5624A9E
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5
    • From: Blob = "{random values}"
      To: Blob = ""{random values}""

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %System%\setup.ad
  • %System Root%\_zh.bat
  • %System%\SET3.tmp
  • %System%\SET5.tmp
  • %System%\SET7.tmp
  • %System%\SET9.tmp
  • %System%\SETB.tmp
  • %System%\SETD.tmp
  • %User Profile%\MetaData\2BF68F4714092295550497DD56F57004
  • %User Profile%\Content\2BF68F4714092295550497DD56F57004
  • %User Profile%\MetaData\94308059B57B3142E455B38A6EB92015
  • %User Profile%\Content\94308059B57B3142E455B38A6EB92015
  • %User Temp%\Cab1.tmp
  • %User Temp%\Tar2.tmp
  • %User Profile%\MetaData\8DFDF057024880D7A081AFBF6D26B92F
  • %User Profile%\Content\8DFDF057024880D7A081AFBF6D26B92F
  • %User Profile%\MetaData\62B5AF9BE9ADC1085C3C56EC07A82BF6
  • %User Profile%\Content\62B5AF9BE9ADC1085C3C56EC07A82BF6
  • %User Profile%\MetaData\F482C95F83F1B59228F1B1E720F2EDF1
  • %User Profile%\Content\F482C95F83F1B59228F1B1E720F2EDF1
  • %System%\SET4.tmp
  • %System%\SET6.tmp
  • %System%\SET8.tmp
  • %System%\SETA.tmp
  • %System%\SETC.tmp
  • %System%\SETE.tmp

手順 6

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Profile%\CryptnetUrlCache\MetaData
  • %User Profile%\Microsoft\CryptnetUrlCache
  • %User Profile%\CryptnetUrlCache\Content

手順 7

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_AGENT_019199.TOMB」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 8

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

  • %System Root%\setup.ad
  • %System Root%\setup1.ad
  • %Windows%\fonts\msgothic.ttf
  • %Windows%\fonts\msuigoth.ttf
  • %Windows%\fonts\MSMINCHO.TTF
  • %Windows%\fonts\Gulim.ttf
  • %Windows%\fonts\Gulimche.ttf
  • %Windows%\fonts\Dotum.ttf
  • %Windows%\fonts\Batang.ttf
  • %Windows%\fonts\Gungsuh.ttf
  • %Windows%\fonts\Simsun.ttf
  • %Windows%\fonts\nsimsun.ttf
  • %Windows%\fonts\MingLiU.ttf
  • %Windows%\fonts\pmingliu.ttf
  • %System%\SET4.tmp
  • %System%\kbd101b.dll
  • %System%\SET6.tmp
  • %System%\kbd101c.dll
  • %System%\SET8.tmp
  • %System%\kbd103.dll
  • %System%\SETA.tmp
  • %System%\kbd106.dll
  • %System%\SETC.tmp
  • %System%\kbdjpn.dll
  • %System%\SETE.tmp
  • %System%\kbdkor.dll


ご利用はいかがでしたか? アンケートにご協力ください