Trend Micro Security

TROJ_CARBERP.YWQ

2017年6月8日
 解析者: Cris Nowell Pantanilla   

 別名:

Trojan:Win32/Skeeyah.A!rfn (Microsoft), Trojan-Downloader.Win32.Carberp (Ikarus)

 プラットフォーム:

Windows

 危険度:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。


  詳細

ファイルサイズ 256,512 bytes
タイプ EXE
メモリ常駐 はい
発見日 2017年5月31日
ペイロード ファイルの削除

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Windows%\rdpinst.exe

(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、以下のコンポーネントファイルを作成します。

  • %Windows%\F5Ws94kb.txt
  • %Windows%\PsfjH4KN.txt
  • %Windows%\VZT6nsdX.txt
  • %Windows%\zhsw8lZB.txt

(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
aaa99 = "%Windows%\rdpinst.exe"

他のシステム変更

マルウェアは、以下のファイルを削除します。

  • %Application Data%\NTUSER.DAT
  • %Windows%\bootstat.dat
  • %Windows%\bootstat2.dat
  • C:\Users\All Users\Documents\suchost..exe
  • C:\desktop.ini
  • C:\recycler
  • C:\sYstem.vbs
  • DDEDSDM\dde.exe
  • Google\update\GoogleUpdate.exe
  • Installed\mbarservice.exe
  • Microsoft\Super Fitch x86\SuperFitch_x86.exe
  • Microsoft\Windows\Default settings protector\dsp.exe
  • Microsoft\Windows\Loadmnge32\Loadmnge32.exe
  • Microsoft\Windows\Microsoap File Manager\MicrosoapFileManager.exe
  • Microsoft\Windows\Officecompiler\Officecompiler.exe
  • Microsoft\Windows\Start Menu\MSDCSC\msdcsc.exe
  • Mobile Internet\OnlineUpdate\ouc.exe
  • SetWallpaper.cmd
  • Sysconfig\Sysconfig.exe
  • Updata\GoogleUpdata.exe
  • WPM\wprotectmanager.exe
  • Windows Update\svrupg.exe
  • WindowsInstaller\windows.exe
  • Windows\check.vbs
  • Windows\csrss.exe
  • Windows\winpoint
  • \MSDCSC\msdcsc.exe
  • cmds.exe
  • explorer.exe
  • fastan~1\FastAndSafeSvc.dll
  • lsasss\lsasss.exe
  • microsoft\dwmgr.exe
  • newnext.me\nengine.dll
  • nightupdate\svchost.exe
  • start\update.exe
  • svchost.exe
  • temp\beta\vpn.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、以下のフォルダを削除します。

  • .clamwin
  • 360
  • 360SD
  • AVAST Software
  • AVG
  • AVG Nation toolbar
  • AVS4YOU
  • Acceleration Software
  • Ad-Aware Antivirus
  • Advanced System Protector
  • Advanced SystemCare 6
  • Advanced SystemCare 7
  • Advanced SystemCare 8
  • Agnitum
  • AhnLab
  • Alwil Software
  • AntiVir PersonalEdition Classic
  • AntiVirus
  • AntiWinLocker
  • Anvisoft\Anvi Smart Defender
  • Arcabit
  • Archivos comunes\AVG Secure Search
  • Arquivos comuns\AVG Secure Search
  • Ashampoo\Ashampoo Anti-Virus
  • Ashampoo\Ashampoo FireWall FREE
  • Avanquest
  • Avetix
  • Avira
  • BLuPro
  • Baidu
  • Baidu Security
  • BillP Studios
  • BitGuard
  • Bitdefender
  • Bitdefender Agent
  • Bkav Corporation
  • Bkav2006
  • BkavHome
  • BkavHomePlus
  • BkavPro
  • BkavProIS
  • Blue Coat K9 Web Protection
  • Blue Ridge Networks
  • BullGuard
  • BullGuard Ltd
  • CA
  • CMC\Antivirus
  • CMC\Internet Security
  • COMODO
  • Cezurity
  • CheckPoint
  • ClamWin
  • Common Files\AVG Secure Search
  • Common Files\AV\McAfee Anti-Virus And Anti-Spyware
  • Common Files\Baidu
  • Common Files\Bitdefender
  • Common Files\BullGuard Ltd
  • Common Files\COMODO
  • Common Files\Commtouch\AntiVirus5
  • Common Files\Doctor Web
  • Common Files\G Data
  • Common Files\InfoWatch
  • Common Files\Intel Security
  • Common Files\McAfee
  • Common Files\MicroWorld
  • Common Files\Panda Security
  • Common Files\Steganos\OnlineShield
  • Common Files\Symantec Shared
  • Common Files\TrustPort
  • Common Files\eAcceleration
  • Comodo Downloader
  • Crystal Security
  • DefenseWall
  • Doctor Web
  • DrWeb
  • DrWeb AV-Desk
  • DrWeb Enterprise Suite
  • EMCO\Malware Destroyer 5
  • EMCO\Malware Destroyer 6
  • EMCO\Malware Destroyer 7
  • EMCO\Malware Destroyer 8
  • ESET
  • ESTsoft\ALYac
  • Elex-tech\YAC
  • Emsisoft
  • Emsisoft Anti-Malware
  • Emsisoft Internet Security
  • Essentware\PCKAV
  • F-Secure
  • FRISK Software
  • File comuni\AVG Secure Search
  • Filseclab
  • Fortego Security
  • Fortinet
  • G DATA Software
  • G Data
  • GFI
  • GlassWire
  • GridinSoft Anti-Malware
  • Grisoft
  • HAURI
  • IKARUS
  • INCAInternet\nProtect Netizen v5.5
  • INCAInternet\nProtect Online Security
  • IObit
  • Immunet
  • Intel Security
  • Jetico
  • K7 Computing
  • Kaspersky Lab
  • Kerio
  • Kingsoft\PCDoctor
  • Lavasoft
  • Loaris\Trojan Remover
  • MPC Cleaner
  • MSDL-MSDLAV
  • Malware Defender
  • Malwarebytes
  • Malwarebytes Anti-Exploit
  • Malwarebytes Anti-Malware
  • Malwarebytes' Anti-Malware
  • Mamutu
  • McAfee
  • McAfee Security Scan
  • McAfee.com
  • McAfeeMOBK
  • MicroWorld
  • Microsoft Forefront
  • Microsoft Security Client
  • Microsoft Security Essentials
  • MinerGate
  • MinerGate-service
  • Moon Secure Antivirus
  • N-able Technologies
  • NANO Antivirus
  • NETGATE\Amiti Antivirus
  • NETGATE\FortKnox Personal Firewall
  • NETGATE\Spy Emergency
  • Net Protector 2011
  • Net Protector 2014
  • NetPolice
  • Network Associates\VirusScan
  • NetworkShield Firewall 3.0
  • NoVirusThanks
  • Nora Antimalware Scanner
  • Norman
  • Norton 360
  • Norton Anti-Theft
  • Norton AntiVirus
  • Norton Internet Security
  • Norton Security
  • Norton Security Scan
  • Norton Security with Backup
  • NortonInstaller
  • Online Armor
  • OnlineArmor
  • PC Tools
  • PC Tools Firewall Plus
  • PC Tools Security
  • PSafe
  • Padvish Antivirus
  • Panda Security
  • Panda Security URL Filtering
  • PeerBlock
  • Preventon Antivirus
  • Privacyware
  • Proland
  • Proland Software
  • Quick Heal
  • Reason\Security
  • Returnil
  • Rising
  • Roboscan
  • Ruiware
  • STOPzilla Optimizer
  • STOPzilla!
  • SUPERAntiSpyware
  • SecuraLive Internet Security
  • SecureAge
  • Smadav
  • Sophos
  • SpyShelter
  • SpyShelter Premium
  • Spybot - Search & Destroy
  • Spybot - Search & Destroy 2
  • Spyware Doctor
  • Spyware Terminator
  • Steganos Online Shield
  • StopSign
  • Sygate\SPF
  • Symantec AntiVirus
  • Symantec.cloud
  • Symantec\LiveUpdate
  • Symantec\Symantec Endpoint Protection
  • Symantec\Symantec Endpoint Protection Manager
  • Tencent\QQPCMgr
  • ThreatFire
  • Tiranium AntiVirus
  • Tizer Secure
  • Total Defense
  • TotalDefense
  • TrafInsp
  • Trend Micro
  • Trend Micro Installer
  • Trojan Remover
  • TrojanHunter
  • TrojanHunter 5.1
  • TrojanHunter 5.2
  • TrojanHunter 5.3
  • TrojanHunter 5.4
  • TrojanHunter 5.5
  • TrojanHunter 5.6
  • TrojanHunter 5.7
  • TrojanHunter 5.8
  • TrojanHunter 5.9
  • TrustPort
  • UPCleaner
  • UnHackMe
  • UnThreat
  • UnThreat AntiVirus
  • VIPRE
  • Vba32
  • VnSecurity 2008
  • WRData
  • Webroot
  • WinPcap
  • WinRoute Pro
  • Winalysis
  • Windows Defender
  • Zillya Antivirus
  • Zillya Internet Security
  • Zillya! Internet Security
  • avast
  • eAcceleration
  • eSafe
  • eScan
  • eScan Web Safe
  • geswall
  • kingsoft\kingsoft antivirus
  • kingsoft\ksdef
  • mks_vir_9
  • nanoav
  • nanolsp
  • pandasecuritytb
  • xCore Software

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
fs57 = "%Windows%\system32\netsh.exe winsock reset"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
fs32 = "%Windows%\system32\bcdedit.exe /set {current} recoveryenabled No"

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorAdmin = 0

(註:変更前の上記レジストリ値は、「5」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
PromptOnSecureDesktop = 0

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Session Manager
BootExecute = "autocheck autochk * {malware path and name}"

(註:変更前の上記レジストリ値は、「"autocheck autochk *"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusOverride = 1

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallOverride = 1

(註:変更前の上記レジストリ値は、「0」となります。)

HOSTSファイルの改変

マルウェアは、WindowsのHOSTSファイルに以下の文字列を追加します。

  • 0.0.0.0 account.norton.com
  • 0.0.0.0 www.gmer.net
  • 0.0.0.0 www.yeabests.cc
  • 0.0.0.0 bleepingcomputer.com
  • 0.0.0.0 www.bleepingcomputer.com
  • 0.0.0.0 malekal.com
  • 0.0.0.0 www.malekal.com
  • 0.0.0.0 accounts.comodo.com
  • 0.0.0.0 activation.adtrustmedia.com
  • 0.0.0.0 activation-v2.kaspersky.com
  • 0.0.0.0 auth.ff.avast.com
  • 0.0.0.0 avstats.avira.com
  • 0.0.0.0 backup1.bullguard.com
  • 0.0.0.0 buddy.bitdefender.com
  • 0.0.0.0 c2.dev.drweb.com
  • 0.0.0.0 antivirus.baidu.com
  • 0.0.0.0 cdn.static.malwarebytes.org
  • 0.0.0.0 csasmain.symantec.com
  • 0.0.0.0 definitionsbd.lavasoft.com
  • 0.0.0.0 dm.kaspersky-labs.com
  • 0.0.0.0 dnsscan.shadowserver.org
  • 0.0.0.0 download.bitdefender.com
  • 0.0.0.0 download.bullguard.com
  • 0.0.0.0 download.comodo.com
  • 0.0.0.0 download.eset.com
  • 0.0.0.0 download.geo.drweb.com
  • 0.0.0.0 downloadnada.lavasoft.com
  • 0.0.0.0 downloads.comodo.com
  • 0.0.0.0 downloads.lavasoft.com
  • 0.0.0.0 www.reasoncoresecurity.com
  • 0.0.0.0 reasoncoresecurity.com
  • 0.0.0.0 drweb.com
  • 0.0.0.0 ec.sunbeltsoftware.com
  • 0.0.0.0 emupdate.avast.com
  • 0.0.0.0 esetnod32.ru
  • 0.0.0.0 zillya.ua
  • 0.0.0.0 www.zillya.ua
  • 0.0.0.0 expire.eset.com
  • 0.0.0.0 gms.ahnlab.com
  • 0.0.0.0 go.eset.eu
  • 0.0.0.0 i1.c.eset.com
  • 0.0.0.0 i2.c.eset.com
  • 0.0.0.0 i3.c.eset.com
  • 0.0.0.0 i4.c.eset.com
  • 0.0.0.0 iploc.eset.com
  • 0.0.0.0 ipm.avira.com
  • 0.0.0.0 ipm.bitdefender.com
  • 0.0.0.0 ksn4-12.kaspersky-labs.com
  • 0.0.0.0 ksn-file-geo.kaspersky-labs.com
  • 0.0.0.0 ksn-info-geo.kaspersky-labs.com
  • 0.0.0.0 ksn-ipm-1.kaspersky-labs.com
  • 0.0.0.0 ksn-kas-geo.kaspersky-labs.com
  • 0.0.0.0 ksn-kddi.kaspersky-labs.com
  • 0.0.0.0 ksn-pbs-geo.kaspersky-labs.com
  • 0.0.0.0 ksn-stat-geo.kaspersky-labs.com
  • 0.0.0.0 ksn-tboot-1.kaspersky-labs.com
  • 0.0.0.0 ksn-tcert-geo.kaspersky-labs.com
  • 0.0.0.0 ksn-tpcert-1.kaspersky-labs.com
  • 0.0.0.0 ksn-url-geo.kaspersky-labs.com
  • 0.0.0.0 ksn-verdict-geo.kaspersky-labs.com
  • 0.0.0.0 licenseactivation.security.comodo.com
  • 0.0.0.0 license.avira.com
  • 0.0.0.0 license.nanoav.ru
  • 0.0.0.0 license.trustport.com
  • 0.0.0.0 licensing.security.comodo.com
  • 0.0.0.0 login.bullguard.com
  • 0.0.0.0 login.norton.com
  • 0.0.0.0 metrics.bitdefender.com
  • 0.0.0.0 mirror01.gdata.de
  • 0.0.0.0 my.bitdefender.com
  • 0.0.0.0 newton.norman.com
  • 0.0.0.0 nimbus.bitdefender.net
  • 0.0.0.0 niufour.norman.no
  • 0.0.0.0 niuone.norman.no
  • 0.0.0.0 niuseven.norman.no
  • 0.0.0.0 o2.norton.com
  • 0.0.0.0 omni.avg.com
  • 0.0.0.0 oms.symantec.com
  • 0.0.0.0 p003.sb.avast.com
  • 0.0.0.0 p.filseclab.com
  • 0.0.0.0 www.filseclab.com
  • 0.0.0.0 ping.avast.com
  • 0.0.0.0 premium.avira-update.com
  • 0.0.0.0 program.avast.com
  • 0.0.0.0 proxy.eset.com
  • 0.0.0.0 redirect.avira.com
  • 0.0.0.0 reg03.eset.com
  • 0.0.0.0 register.k7computing.com
  • 0.0.0.0 resolver1.bullguard.ctmail.com
  • 0.0.0.0 resolver2.bullguard.ctmail.com
  • 0.0.0.0 resolver3.bullguard.ctmail.com
  • 0.0.0.0 resolver4.bullguard.ctmail.com
  • 0.0.0.0 resolver5.bullguard.ctmail.com
  • 0.0.0.0 rol.pandasecurity.com
  • 0.0.0.0 360totalsecurity.com
  • 0.0.0.0 www.360totalsecurity.com
  • 0.0.0.0 secure.comodo.net
  • 0.0.0.0 shasta-rrs.symantec.com
  • 0.0.0.0 shop.esetnod32.ru
  • 0.0.0.0 slcw.ff.avast.com
  • 0.0.0.0 spoc-pool-gtm.norton.com
  • 0.0.0.0 s.program.avast.com
  • 0.0.0.0 static2.avast.com
  • 0.0.0.0 static.avg.com
  • 0.0.0.0 stats.norton.com
  • 0.0.0.0 stats.qalabs.symantec.com
  • 0.0.0.0 store.lavasoft.com
  • 0.0.0.0 su.ff.avast.com
  • 0.0.0.0 support.norton.com
  • 0.0.0.0 symantec.tt.omtrdc.net
  • 0.0.0.0 threatnet.threattrack.com
  • 0.0.0.0 trace.eset.com
  • 0.0.0.0 tracking.lavasoft.com
  • 0.0.0.0 ts-crl.ws.symantec.com
  • 0.0.0.0 ts.eset.com
  • 0.0.0.0 uc.cloud.avg.com
  • 0.0.0.0 um01.eset.com
  • 0.0.0.0 um21.eset.com
  • 0.0.0.0 update2.bullguard.com
  • 0.0.0.0 update.avg.com
  • 0.0.0.0 update.bullguard.com
  • 0.0.0.0 update.eset.com
  • 0.0.0.0 updates.agnitum.com
  • 0.0.0.0 updates.k7computing.com
  • 0.0.0.0 updates.sunbeltsoftware.com
  • 0.0.0.0 upgrade.bitdefender.com
  • 0.0.0.0 upgr-mmxiii-p.cdn.bitdefender.net
  • 0.0.0.0 upgr-mmxiv.cdn.bitdefender.net
  • 0.0.0.0 v7.stats.avast.com
  • 0.0.0.0 versioncheck.eset.com
  • 0.0.0.0 vl.ff.avast.com
  • 0.0.0.0 wam.pandasecurity.com
  • 0.0.0.0 webprot.avgate.net
  • 0.0.0.0 webprot.avira.com
  • 0.0.0.0 webprot.avira.de
  • 0.0.0.0 wsmy.pandasecurity.com
  • 0.0.0.0 www5.avira.com
  • 0.0.0.0 www.avira.com
  • 0.0.0.0 download.sp.f-secure.com
  • 0.0.0.0 www.bullguard.com
  • 0.0.0.0 www.esetnod32.ru
  • 0.0.0.0 www.k7-russia.ru
  • 0.0.0.0 www.lavasoft.com
  • 0.0.0.0 www.mks.com.pl
  • 0.0.0.0 www.nanoav.ru
  • 0.0.0.0 www.pandasecurity.com
  • 0.0.0.0 www-secure.symantec.com
  • 0.0.0.0 www.sunbeltsoftware.com
  • 0.0.0.0 www.trustport.com
  • 0.0.0.0 kaspersky.ru
  • 0.0.0.0 www.kaspersky.ru
  • 0.0.0.0 avast.ru
  • 0.0.0.0 www.avast.ru
  • 0.0.0.0 freeavg.com
  • 0.0.0.0 www.freeavg.com
  • 0.0.0.0 free.avg.com
  • 0.0.0.0 www.free.avg.com
  • 0.0.0.0 avira.com
  • 0.0.0.0 z-oleg.com
  • 0.0.0.0 www.z-oleg.com
  • 0.0.0.0 bitdefender.com
  • 0.0.0.0 www.bitdefender.com
  • 0.0.0.0 bullguard.com
  • 0.0.0.0 personalfirewall.comodo.com
  • 0.0.0.0 www.personalfirewall.comodo.com
  • 0.0.0.0 comodo.com
  • 0.0.0.0 www.comodo.com
  • 0.0.0.0 www.drweb.com
  • 0.0.0.0 www.emsisoft.ru
  • 0.0.0.0 emsisoft.ru
  • 0.0.0.0 avescan.ru
  • 0.0.0.0 www.avescan.ru
  • 0.0.0.0 escanav.com
  • 0.0.0.0 www.escanav.com
  • 0.0.0.0 escan.com
  • 0.0.0.0 www.escan.com
  • 0.0.0.0 f-prot.com
  • 0.0.0.0 www.f-prot.com
  • 0.0.0.0 f-secure.com
  • 0.0.0.0 www.f-secure.com
  • 0.0.0.0 gdatasoftware.com
  • 0.0.0.0 ru.gdatasoftware.com
  • 0.0.0.0 www.gdata.de
  • 0.0.0.0 gdata.de
  • 0.0.0.0 ikarussecurity.com
  • 0.0.0.0 www.ikarussecurity.com
  • 0.0.0.0 malwarebytes.org
  • 0.0.0.0 www.malwarebytes.org
  • 0.0.0.0 nanoav.ru
  • 0.0.0.0 symantec.com
  • 0.0.0.0 www.symantec.com
  • 0.0.0.0 norton.com
  • 0.0.0.0 www.norton.com
  • 0.0.0.0 ru.norton.com
  • 0.0.0.0 agnitum.ru
  • 0.0.0.0 www.agnitum.ru
  • 0.0.0.0 cloudantivirus.com
  • 0.0.0.0 www.cloudantivirus.com
  • 0.0.0.0 pandasecurity.com
  • 0.0.0.0 www.rising.com.cn
  • 0.0.0.0 rising.com.cn
  • 0.0.0.0 rising-global.com
  • 0.0.0.0 www.rising-global.com
  • 0.0.0.0 www.rising-russia.com
  • 0.0.0.0 rising-russia.com
  • 0.0.0.0 freerav.com
  • 0.0.0.0 www.freerav.com
  • 0.0.0.0 safensoft.ru
  • 0.0.0.0 www.safensoft.ru
  • 0.0.0.0 trustport.com
  • 0.0.0.0 www.trustport-ru.ru
  • 0.0.0.0 virustotal.com
  • 0.0.0.0 www.virustotal.com
  • 0.0.0.0 zillya.com
  • 0.0.0.0 www.zillya.com
  • 0.0.0.0 anti-virus.by
  • 0.0.0.0 www.anti-virus.by
  • 0.0.0.0 sophos.com
  • 0.0.0.0 www.sophos.com
  • 0.0.0.0 www.freedrweb.com
  • 0.0.0.0 freedrweb.com
  • 0.0.0.0 www.avirus.ru
  • 0.0.0.0 www.avg.com
  • 0.0.0.0 avg.com
  • 0.0.0.0 mcafee.com
  • 0.0.0.0 www.mcafee.com
  • 0.0.0.0 siteadvisor.com
  • 0.0.0.0 www.siteadvisor.com
  • 0.0.0.0 support.kaspersky.ru
  • 0.0.0.0 www.comss.ru
  • 0.0.0.0 comss.ru
  • 0.0.0.0 www.spyware-ru.com
  • 0.0.0.0 spyware-ru.com
  • 0.0.0.0 virusinfo.info
  • 0.0.0.0 www.virusinfo.info
  • 0.0.0.0 forum.esetnod32.ru
  • 0.0.0.0 www.forum.esetnod32.ru
  • 0.0.0.0 forum.drweb.com
  • 0.0.0.0 www.forum.drweb.com
  • 0.0.0.0 forum.virlab.info
  • 0.0.0.0 www.forum.virlab.info
  • 0.0.0.0 spybot.info
  • 0.0.0.0 www.spybot.info
  • 0.0.0.0 winpatrol.com
  • 0.0.0.0 www.quickheal.com
  • 0.0.0.0 quickheal.com
  • 0.0.0.0 www.winpatrol.com
  • 0.0.0.0 av.download.avg.com


  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 13.440.07
初回 VSAPI パターンリリース日 2017年5月31日
VSAPI OPR パターンバージョン 13.441.00
VSAPI OPR パターンリリース日 2017年6月1日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    • fs32 = "%SystemRoot%\system32\bcdedit.exe /set {current} recoveryenabled No"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    • fs57 = "%SystemRoot%\system32\netsh.exe winsock reset"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    • aaa99 = "%Windows%\rdpinst.exe"

手順 3

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • From: ConsentPromptBehaviorAdmin = 5
      To: ConsentPromptBehaviorAdmin = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • From: EnableLUA = 0
      To: EnableLUA = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • From: PromptOnSecureDesktop = 0
      To: PromptOnSecureDesktop = 1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
    • From: BootExecute = "autocheck autochk * {malware path and name}"
      To: BootExecute = "autocheck autochk *"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
    • From: AntiVirusOverride = 1
      To: AntiVirusOverride = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
    • From: FirewallOverride = 1
      To: FirewallOverride = 0

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  %Windows%\F5Ws94kb.txt
%Windows%\PsfjH4KN.txt
%Windows%\VZT6nsdX.txt
%Windows%\zhsw8lZB.txt

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_CARBERP.YWQ」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 6

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。


ご利用はいかがでしたか? アンケートにご協力ください