TROJ_KOVTER.THS

2015年8月7日

別名:

Trojan:Win32/Kovter!rfn (Microsoft); RDN/Generic.grp (McAfee); Trojan.Ransomlock.AK (Symantec); Troj/Agent-AOET (Sophos); Trojan.Win32.Generic!BT (Sunbelt); Trojan horse Pakes.QSO (AVG)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

詳細

ファイルサイズ 532,514 bytes

タイプ EXE

メモリ常駐なし

発見日 2015年8月7日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを作成します。

%Application Data%\hameg
%System Root%\_143968_
%System Root%\d88656e51dccdb135e
%System Root%\d88656e51dccdb135e\update

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\FeatureControl

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION

HKEY_CURRENT_USER\Software\96fede5be6

HKEY_LOCAL_MACHINE\SOFTWARE\96fede5be6

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION
regsvr32.exe = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION
iexplore.exe = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION
regsvr32.exe = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION
iexplore.exe = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\96fede5be6
c8aed4fb = "{random characters}"

HKEY_CURRENT_USER\Software\96fede5be6
c8aed4fb = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE\96fede5be6
db756b91 = "864"

HKEY_CURRENT_USER\Software\96fede5be6
db756b91 = "864"

HKEY_LOCAL_MACHINE\SOFTWARE\96fede5be6
816de89c = "56AFF2BA6A00CEA9"

HKEY_CURRENT_USER\Software\96fede5be6
816de89c = "56AFF2BA6A00CEA9"

HKEY_LOCAL_MACHINE\SOFTWARE\96fede5be6
741c243d = "1437675290"

HKEY_CURRENT_USER\Software\96fede5be6
741c243d = "1437675290"

HKEY_LOCAL_MACHINE\SOFTWARE\96fede5be6
1d116603 = "%Application Data%\hameg\hameg.exe"

HKEY_CURRENT_USER\Software\96fede5be6
1d116603 = "%Application Data%\hameg\hameg.exe"

HKEY_LOCAL_MACHINE\SOFTWARE
962CA45232E32CBD1 = "962CA45232E32CBD1"

HKEY_LOCAL_MACHINE\SOFTWARE
D27A660DF4122702B4 = "D27A660DF4122702B4"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Setup
LogLevel = "2"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Setup
LogLevel = "0"

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1206 = "0"

(註：変更前の上記レジストリ値は、「3」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
2300 = "0"

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1809 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
1206 = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
2300 = "0"

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
1809 = "3"

(註：変更前の上記レジストリ値は、「3」となります。)

作成活動

マルウェアは、以下のファイルを作成します。

%Application Data%\hameg\hameg.exe
%User Temp%\WindowsXP-KB968930-x86-ENG.exe
%System Root%\d88656e51dccdb135e\eventforwarding.adm
%System Root%\d88656e51dccdb135e\windowsremotemanagement.adm
%System Root%\d88656e51dccdb135e\windowsremoteshell.adm
%System Root%\d88656e51dccdb135e\windowspowershellhelp.chm
%System Root%\d88656e51dccdb135e\winrm.cmd
%System Root%\d88656e51dccdb135e\compiledcomposition.microsoft.powershell.gpowershell.dll
%System Root%\d88656e51dccdb135e\microsoft.backgroundintelligenttransfer.management.dll
%System Root%\d88656e51dccdb135e\microsoft.backgroundintelligenttransfer.management.interop.dll
%System Root%\d88656e51dccdb135e\microsoft.backgroundintelligenttransfer.management.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.diagnostics.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.diagnostics.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.management.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.management.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.utility.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.utility.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.consolehost.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.consolehost.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.editor.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.editor.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.gpowershell.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.gpowershell.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.graphicalhost.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.graphicalhost.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.security.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.security.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.wsman.management.dll
%System Root%\d88656e51dccdb135e\microsoft.wsman.management.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.wsman.runtime.dll
%System Root%\d88656e51dccdb135e\powershell_ise.resources.dll
%System Root%\d88656e51dccdb135e\pspluginwkr.dll
%System Root%\d88656e51dccdb135e\pwrshmsg.dll
%System Root%\d88656e51dccdb135e\pwrshplugin.dll
%System Root%\d88656e51dccdb135e\pwrshsip.dll
%System Root%\d88656e51dccdb135e\spmsg.dll
%System Root%\d88656e51dccdb135e\system.management.automation.dll
%System Root%\d88656e51dccdb135e\system.management.automation.resources.dll
%System Root%\d88656e51dccdb135e\wevtfwd.dll
%System Root%\d88656e51dccdb135e\winrmprov.dll
%System Root%\d88656e51dccdb135e\winrscmd.dll
%System Root%\d88656e51dccdb135e\winrsmgr.dll
%System Root%\d88656e51dccdb135e\winrssrv.dll
%System Root%\d88656e51dccdb135e\wsmauto.dll
%System Root%\d88656e51dccdb135e\wsmplpxy.dll
%System Root%\d88656e51dccdb135e\wsmres.dll
%System Root%\d88656e51dccdb135e\wsmsvc.dll
%System Root%\d88656e51dccdb135e\wsmwmipl.dll
%System Root%\d88656e51dccdb135e\powershell.exe
%System Root%\d88656e51dccdb135e\powershell_ise.exe
%System Root%\d88656e51dccdb135e\pscustomsetuputil.exe
%System Root%\d88656e51dccdb135e\pssetupnativeutils.exe
%System Root%\d88656e51dccdb135e\spuninst.exe
%System Root%\d88656e51dccdb135e\spupdsvc.exe
%System Root%\d88656e51dccdb135e\winrs.exe
%System Root%\d88656e51dccdb135e\winrshost.exe
%System Root%\d88656e51dccdb135e\wsmanhttpconfig.exe
%System Root%\d88656e51dccdb135e\wsmprovhost.exe
%System Root%\d88656e51dccdb135e\wtrinstaller.ico
%System Root%\d88656e51dccdb135e\winrm.ini
%System Root%\d88656e51dccdb135e\winrmprov.mof
%System Root%\d88656e51dccdb135e\wsmauto.mof
%System Root%\d88656e51dccdb135e\powershell.exe.mui
%System Root%\d88656e51dccdb135e\profile.ps1
%System Root%\d88656e51dccdb135e\bitstransfer.format.ps1xml
%System Root%\d88656e51dccdb135e\certificate.format.ps1xml
%System Root%\d88656e51dccdb135e\diagnostics.format.ps1xml
%System Root%\d88656e51dccdb135e\dotnettypes.format.ps1xml
%System Root%\d88656e51dccdb135e\filesystem.format.ps1xml
%System Root%\d88656e51dccdb135e\getevent.types.ps1xml
%System Root%\d88656e51dccdb135e\help.format.ps1xml
%System Root%\d88656e51dccdb135e\powershellcore.format.ps1xml
%System Root%\d88656e51dccdb135e\powershelltrace.format.ps1xml
%System Root%\d88656e51dccdb135e\registry.format.ps1xml
%System Root%\d88656e51dccdb135e\types.ps1xml
%System Root%\d88656e51dccdb135e\wsman.format.ps1xml
%System Root%\d88656e51dccdb135e\bitstransfer.psd1
%System Root%\d88656e51dccdb135e\importallmodules.psd1
%System Root%\d88656e51dccdb135e\about_aliases.help.txt
%System Root%\d88656e51dccdb135e\about_arithmetic_operators.help.txt
%System Root%\d88656e51dccdb135e\about_arrays.help.txt
%System Root%\d88656e51dccdb135e\about_assignment_operators.help.txt
%System Root%\d88656e51dccdb135e\about_automatic_variables.help.txt
%System Root%\d88656e51dccdb135e\about_bits_cmdlets.help.txt
%System Root%\d88656e51dccdb135e\about_break.help.txt
%System Root%\d88656e51dccdb135e\about_command_precedence.help.txt
%System Root%\d88656e51dccdb135e\about_command_syntax.help.txt
%System Root%\d88656e51dccdb135e\about_comment_based_help.help.txt
%System Root%\d88656e51dccdb135e\about_commonparameters.help.txt
%System Root%\d88656e51dccdb135e\about_comparison_operators.help.txt
%System Root%\d88656e51dccdb135e\about_continue.help.txt
%System Root%\d88656e51dccdb135e\about_core_commands.help.txt
%System Root%\d88656e51dccdb135e\about_data_sections.help.txt
%System Root%\d88656e51dccdb135e\about_debuggers.help.txt
%System Root%\d88656e51dccdb135e\about_do.help.txt
%System Root%\d88656e51dccdb135e\about_environment_variables.help.txt
%System Root%\d88656e51dccdb135e\about_escape_characters.help.txt
%System Root%\d88656e51dccdb135e\about_eventlogs.help.txt
%System Root%\d88656e51dccdb135e\about_execution_policies.help.txt
%System Root%\d88656e51dccdb135e\about_for.help.txt
%System Root%\d88656e51dccdb135e\about_foreach.help.txt
%System Root%\d88656e51dccdb135e\about_format.ps1xml.help.txt
%System Root%\d88656e51dccdb135e\about_functions.help.txt
%System Root%\d88656e51dccdb135e\about_functions_advanced.help.txt
%System Root%\d88656e51dccdb135e\about_functions_advanced_methods.help.txt
%System Root%\d88656e51dccdb135e\about_functions_advanced_parameters.help.txt
%System Root%\d88656e51dccdb135e\about_functions_cmdletbindingattribute.help.txt
%System Root%\d88656e51dccdb135e\about_hash_tables.help.txt
%System Root%\d88656e51dccdb135e\about_history.help.txt
%System Root%\d88656e51dccdb135e\about_if.help.txt
%System Root%\d88656e51dccdb135e\about_job_details.help.txt
%System Root%\d88656e51dccdb135e\about_jobs.help.txt
%System Root%\d88656e51dccdb135e\about_join.help.txt
%System Root%\d88656e51dccdb135e\about_language_keywords.help.txt
%System Root%\d88656e51dccdb135e\about_line_editing.help.txt
%System Root%\d88656e51dccdb135e\about_locations.help.txt
%System Root%\d88656e51dccdb135e\about_logical_operators.help.txt
%System Root%\d88656e51dccdb135e\about_methods.help.txt
%System Root%\d88656e51dccdb135e\about_modules.help.txt
%System Root%\d88656e51dccdb135e\about_objects.help.txt
%System Root%\d88656e51dccdb135e\about_operators.help.txt
%System Root%\d88656e51dccdb135e\about_parameters.help.txt
%System Root%\d88656e51dccdb135e\about_parsing.help.txt
%System Root%\d88656e51dccdb135e\about_path_syntax.help.txt
%System Root%\d88656e51dccdb135e\about_pipelines.help.txt
%System Root%\d88656e51dccdb135e\about_preference_variables.help.txt
%System Root%\d88656e51dccdb135e\about_profiles.help.txt
%System Root%\d88656e51dccdb135e\about_prompts.help.txt
%System Root%\d88656e51dccdb135e\about_properties.help.txt
%System Root%\d88656e51dccdb135e\about_providers.help.txt
%System Root%\d88656e51dccdb135e\about_pssession_details.help.txt
%System Root%\d88656e51dccdb135e\about_pssessions.help.txt
%System Root%\d88656e51dccdb135e\about_pssnapins.help.txt
%System Root%\d88656e51dccdb135e\about_quoting_rules.help.txt
%System Root%\d88656e51dccdb135e\about_redirection.help.txt
%System Root%\d88656e51dccdb135e\about_ref.help.txt
%System Root%\d88656e51dccdb135e\about_regular_expressions.help.txt
%System Root%\d88656e51dccdb135e\about_remote.help.txt
%System Root%\d88656e51dccdb135e\about_remote_faq.help.txt
%System Root%\d88656e51dccdb135e\about_remote_jobs.help.txt
%System Root%\d88656e51dccdb135e\about_remote_output.help.txt
%System Root%\d88656e51dccdb135e\about_remote_requirements.help.txt
%System Root%\d88656e51dccdb135e\about_remote_troubleshooting.help.txt
%System Root%\d88656e51dccdb135e\about_requires.help.txt
%System Root%\d88656e51dccdb135e\about_reserved_words.help.txt
%System Root%\d88656e51dccdb135e\about_return.help.txt
%System Root%\d88656e51dccdb135e\about_scopes.help.txt
%System Root%\d88656e51dccdb135e\about_script_blocks.help.txt
%System Root%\d88656e51dccdb135e\about_script_internationalization.help.txt
%System Root%\d88656e51dccdb135e\about_scripts.help.txt
%System Root%\d88656e51dccdb135e\about_session_configurations.help.txt
%System Root%\d88656e51dccdb135e\about_signing.help.txt
%System Root%\d88656e51dccdb135e\about_special_characters.help.txt
%System Root%\d88656e51dccdb135e\about_split.help.txt
%System Root%\d88656e51dccdb135e\about_switch.help.txt
%System Root%\d88656e51dccdb135e\about_throw.help.txt
%System Root%\d88656e51dccdb135e\about_transactions.help.txt
%System Root%\d88656e51dccdb135e\about_trap.help.txt
%System Root%\d88656e51dccdb135e\about_try_catch_finally.help.txt
%System Root%\d88656e51dccdb135e\about_type_operators.help.txt
%System Root%\d88656e51dccdb135e\about_types.ps1xml.help.txt
%System Root%\d88656e51dccdb135e\about_variables.help.txt
%System Root%\d88656e51dccdb135e\about_while.help.txt
%System Root%\d88656e51dccdb135e\about_wildcards.help.txt
%System Root%\d88656e51dccdb135e\about_windows_powershell_2.0.help.txt
%System Root%\d88656e51dccdb135e\about_windows_powershell_ise.help.txt
%System Root%\d88656e51dccdb135e\about_wmi_cmdlets.help.txt
%System Root%\d88656e51dccdb135e\about_ws-management_cmdlets.help.txt
%System Root%\d88656e51dccdb135e\default.help.txt
%System Root%\d88656e51dccdb135e\winrm.vbs
%System Root%\d88656e51dccdb135e\microsoft.backgroundintelligenttransfer.management.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.diagnostics.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.management.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.utility.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.consolehost.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.security.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.wsman.management.dll-help.xml
%System Root%\d88656e51dccdb135e\system.management.automation.dll-help.xml
%System Root%\d88656e51dccdb135e\wsmpty.xsl
%System Root%\d88656e51dccdb135e\wsmtxt.xsl
%System Root%\d88656e51dccdb135e\update\kb968930xp.cat
%System Root%\d88656e51dccdb135e\update\spcustom.dll
%System Root%\d88656e51dccdb135e\update\updspapi.dll
%System Root%\d88656e51dccdb135e\update\update.exe
%System Root%\d88656e51dccdb135e\update\update.inf
%System Root%\d88656e51dccdb135e\update\eula.txt
%System Root%\d88656e51dccdb135e\update\update.ver
%System Root%\d88656e51dccdb135e\$shtdwn$.req

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

http://{BLOCKED}.67.5
http://{BLOCKED}.67.5/{random path}
{BLOCKED}0.188.221
{BLOCKED}.210.155
{BLOCKED}2.150.13
{BLOCKED}0.183.42
{BLOCKED}.63.25
{BLOCKED}.11.30
{BLOCKED}8.220.169
{BLOCKED}6.196.131
{BLOCKED}8.49.13
{BLOCKED}9.173.72
{BLOCKED}3.93.46
{BLOCKED}7.246.8
{BLOCKED}6.166.246
{BLOCKED}24.84
{BLOCKED}.37.144
{BLOCKED}.248.185
{BLOCKED}144.33
{BLOCKED}170.14
{BLOCKED}.141.93
{BLOCKED}1.84.195
{BLOCKED}8.136.213
{BLOCKED}.240.87
{BLOCKED}.70.215
{BLOCKED}12.8
{BLOCKED}0.249.30
{BLOCKED}0.94.220
{BLOCKED}.122.76
{BLOCKED}6.182.166
{BLOCKED}.37.239
{BLOCKED}.142.46
{BLOCKED}.56.153
{BLOCKED}.251.218
{BLOCKED}.223.51
{BLOCKED}.63.198
{BLOCKED}.85.37
{BLOCKED}.1.163
{BLOCKED}.241.82
{BLOCKED}45.55
{BLOCKED}.103.240
{BLOCKED}6.90.76
{BLOCKED}43.243
{BLOCKED}1.249.224
{BLOCKED}0.184.76
{BLOCKED}7.50.170
{BLOCKED}4.232.17
{BLOCKED}5.32.233
{BLOCKED}.101.117
{BLOCKED}.57.11
{BLOCKED}219.125
{BLOCKED}.5.207
{BLOCKED}1.120.135
{BLOCKED}.19.170
{BLOCKED}.255.83
{BLOCKED}.193.48
{BLOCKED}8.102.55
{BLOCKED}0.102.133
{BLOCKED}.133.7
{BLOCKED}.134.103
{BLOCKED}8.122.189
{BLOCKED}185.104
{BLOCKED}4.183.147
{BLOCKED}3.8.156
{BLOCKED}1.53.239
{BLOCKED}.44.195
{BLOCKED}.144.98
{BLOCKED}.219.37
{BLOCKED}.236.215
{BLOCKED}.77.120
{BLOCKED}0.36.38
{BLOCKED}0.138.72
{BLOCKED}66.25
{BLOCKED}.231.122
{BLOCKED}30.145
{BLOCKED}.165.2
{BLOCKED}2.156.142
{BLOCKED}0.205.209
{BLOCKED}.42.130
{BLOCKED}.88.149
{BLOCKED}.151.100
{BLOCKED}.112.144
{BLOCKED}7.197.233
{BLOCKED}7.51.205
{BLOCKED}9.22.115
{BLOCKED}.158.173
{BLOCKED}5.2.125
{BLOCKED}0.176.215
{BLOCKED}6.109.67
{BLOCKED}172.110
{BLOCKED}2.85.181
{BLOCKED}2.140.3
{BLOCKED}146.171
{BLOCKED}9.199.74
{BLOCKED}.152.178
{BLOCKED}.216.114
{BLOCKED}1.196.158
{BLOCKED}8.114.232
{BLOCKED}193.255
{BLOCKED}96.178
{BLOCKED}0.232.195
{BLOCKED}4.185.122
{BLOCKED}8.101.232
{BLOCKED}4.42.159
{BLOCKED}.58.174
{BLOCKED}.232.131
{BLOCKED}13.40

マルウェアは、実行後、自身を削除します。

このウイルス情報は、自動解析システムにより作成されました。

対応方法

対応検索エンジン: 9.750

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

不明なレジストリキーを削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- FeatureControl

In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl
- FEATURE_BROWSER_EMULATION

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl
- FEATURE_BROWSER_EMULATION

In HKEY_CURRENT_USER\Software
- 96fede5be6

In HKEY_LOCAL_MACHINE\SOFTWARE
- 96fede5be6

このマルウェアが追加したレジストリキーの削除：

「レジストリエディタ」を起動します。
- Windows 2000、XP および Server 2003 の場合
  [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
- Windows Vista、7 および Server 2008 の場合：
  [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
- Windows 8、8.1 および Server 2012 の場合：
  画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer>Main
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
FeatureControl
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer>Main>FeatureControl
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
FEATURE_BROWSER_EMULATION
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Internet Explorer>Main>FeatureControl
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
FEATURE_BROWSER_EMULATION
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
96fede5be6
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE
上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
96fede5be6
「レジストリエディタ」を閉じます。

手順 3

このレジストリ値を削除します。

[ 詳細 ]

In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION
- regsvr32.exe = "0"

In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION
- iexplore.exe = "0"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION
- regsvr32.exe = "0"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION
- iexplore.exe = "0"

In HKEY_LOCAL_MACHINE\SOFTWARE\96fede5be6
- c8aed4fb = "{random characters}"

In HKEY_CURRENT_USER\Software\96fede5be6
- c8aed4fb = "{random characters}"

In HKEY_LOCAL_MACHINE\SOFTWARE\96fede5be6
- db756b91 = "864"

In HKEY_CURRENT_USER\Software\96fede5be6
- db756b91 = "864"

In HKEY_LOCAL_MACHINE\SOFTWARE\96fede5be6
- 816de89c = "56AFF2BA6A00CEA9"

In HKEY_CURRENT_USER\Software\96fede5be6
- 816de89c = "56AFF2BA6A00CEA9"

In HKEY_LOCAL_MACHINE\SOFTWARE\96fede5be6
- 741c243d = "1437675290"

In HKEY_CURRENT_USER\Software\96fede5be6
- 741c243d = "1437675290"

In HKEY_LOCAL_MACHINE\SOFTWARE\96fede5be6
- 1d116603 = "%Application Data%\hameg\hameg.exe"

In HKEY_CURRENT_USER\Software\96fede5be6
- 1d116603 = "%Application Data%\hameg\hameg.exe"

In HKEY_LOCAL_MACHINE\SOFTWARE
- 962CA45232E32CBD1 = "962CA45232E32CBD1"

In HKEY_LOCAL_MACHINE\SOFTWARE
- D27A660DF4122702B4 = "D27A660DF4122702B4"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
- LogLevel = "2"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
- LogLevel = "0"

このマルウェアが追加したレジストリ値の削除：

「レジストリエディタ」を起動します。
- Windows 2000、XP および Server 2003 の場合：
  [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
- Windows Vista、7、Server 2008 の場合：
  [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
- Windows 8、8.1 および Server 2012 の場合：
  画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer>Main>FeatureControl>FEATURE_BROWSER_EMULATION
右側のパネルで以下のレジストリ値を検索し、削除します。
regsvr32.exe = "0"
右側のパネルで以下のレジストリ値を検索し、削除します。
iexplore.exe = "0"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Internet Explorer>Main>FeatureControl>FEATURE_BROWSER_EMULATION
右側のパネルで以下のレジストリ値を検索し、削除します。
regsvr32.exe = "0"
右側のパネルで以下のレジストリ値を検索し、削除します。
iexplore.exe = "0"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>96fede5be6
右側のパネルで以下のレジストリ値を検索し、削除します。
c8aed4fb = "{random characters}"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>96fede5be6
右側のパネルで以下のレジストリ値を検索し、削除します。
c8aed4fb = "{random characters}"
右側のパネルで以下のレジストリ値を検索し、削除します。
db756b91 = "864"
右側のパネルで以下のレジストリ値を検索し、削除します。
db756b91 = "864"
右側のパネルで以下のレジストリ値を検索し、削除します。
816de89c = "56AFF2BA6A00CEA9"
右側のパネルで以下のレジストリ値を検索し、削除します。
816de89c = "56AFF2BA6A00CEA9"
右側のパネルで以下のレジストリ値を検索し、削除します。
741c243d = "1437675290"
右側のパネルで以下のレジストリ値を検索し、削除します。
741c243d = "1437675290"
右側のパネルで以下のレジストリ値を検索し、削除します。
1d116603 = "%Application Data%\hameg\hameg.exe"
右側のパネルで以下のレジストリ値を検索し、削除します。
1d116603 = "%Application Data%\hameg\hameg.exe"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE
右側のパネルで以下のレジストリ値を検索し、削除します。
962CA45232E32CBD1 = "962CA45232E32CBD1"
右側のパネルで以下のレジストリ値を検索し、削除します。
D27A660DF4122702B4 = "D27A660DF4122702B4"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Setup
右側のパネルで以下のレジストリ値を検索し、削除します。
LogLevel = "2"
右側のパネルで以下のレジストリ値を検索し、削除します。
LogLevel = "0"
「レジストリエディタ」を閉じます。

手順 4

変更されたレジストリ値を修正します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
- From: 1206 = "0"
  To: 1206 = ""3""

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
- From: 2300 = "0"
  To: 2300 = ""1""

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
- 1809 = "3"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
- 1206 = "0"

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
- From: 2300 = "0"
  To: 2300 = ""1""

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
- From: 1809 = "3"
  To: 1809 = ""3""

このマルウェアが変更したレジストリ値の修正：

「レジストリエディタ」を起動します。
- Windows 2000、XP および Server 2003 の場合：
  [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
- Windows Vista、7 および Server 2008 の場合：
  [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
- Windows 8、8.1 および Server 2012 の場合：
  画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Internet Settings>Zones>3
右側のパネルで以下のレジストリ値を検索します。
1206 = "0"
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
1206 = "3"
再び、右側のパネルで以下のレジストリ値を検索します。
2300 = "0"
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
2300 = "1"
再び、右側のパネルで以下のレジストリ値を検索します。
1809 = "3"
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Internet Settings>Zones>1
右側のパネルで以下のレジストリ値を検索します。
1206 = "0"
再び、右側のパネルで以下のレジストリ値を検索します。
2300 = "0"
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
2300 = "1"
再び、右側のパネルで以下のレジストリ値を検索します。
1809 = "3"
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
1809 = "3"
レジストリエディタを閉じます。

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%Application Data%\hameg\hameg.exe
%User Temp%\WindowsXP-KB968930-x86-ENG.exe
%System Root%\d88656e51dccdb135e\eventforwarding.adm
%System Root%\d88656e51dccdb135e\windowsremotemanagement.adm
%System Root%\d88656e51dccdb135e\windowsremoteshell.adm
%System Root%\d88656e51dccdb135e\windowspowershellhelp.chm
%System Root%\d88656e51dccdb135e\winrm.cmd
%System Root%\d88656e51dccdb135e\compiledcomposition.microsoft.powershell.gpowershell.dll
%System Root%\d88656e51dccdb135e\microsoft.backgroundintelligenttransfer.management.dll
%System Root%\d88656e51dccdb135e\microsoft.backgroundintelligenttransfer.management.interop.dll
%System Root%\d88656e51dccdb135e\microsoft.backgroundintelligenttransfer.management.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.diagnostics.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.diagnostics.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.management.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.management.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.utility.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.utility.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.consolehost.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.consolehost.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.editor.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.editor.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.gpowershell.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.gpowershell.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.graphicalhost.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.graphicalhost.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.security.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.security.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.wsman.management.dll
%System Root%\d88656e51dccdb135e\microsoft.wsman.management.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.wsman.runtime.dll
%System Root%\d88656e51dccdb135e\powershell_ise.resources.dll
%System Root%\d88656e51dccdb135e\pspluginwkr.dll
%System Root%\d88656e51dccdb135e\pwrshmsg.dll
%System Root%\d88656e51dccdb135e\pwrshplugin.dll
%System Root%\d88656e51dccdb135e\pwrshsip.dll
%System Root%\d88656e51dccdb135e\spmsg.dll
%System Root%\d88656e51dccdb135e\system.management.automation.dll
%System Root%\d88656e51dccdb135e\system.management.automation.resources.dll
%System Root%\d88656e51dccdb135e\wevtfwd.dll
%System Root%\d88656e51dccdb135e\winrmprov.dll
%System Root%\d88656e51dccdb135e\winrscmd.dll
%System Root%\d88656e51dccdb135e\winrsmgr.dll
%System Root%\d88656e51dccdb135e\winrssrv.dll
%System Root%\d88656e51dccdb135e\wsmauto.dll
%System Root%\d88656e51dccdb135e\wsmplpxy.dll
%System Root%\d88656e51dccdb135e\wsmres.dll
%System Root%\d88656e51dccdb135e\wsmsvc.dll
%System Root%\d88656e51dccdb135e\wsmwmipl.dll
%System Root%\d88656e51dccdb135e\powershell.exe
%System Root%\d88656e51dccdb135e\powershell_ise.exe
%System Root%\d88656e51dccdb135e\pscustomsetuputil.exe
%System Root%\d88656e51dccdb135e\pssetupnativeutils.exe
%System Root%\d88656e51dccdb135e\spuninst.exe
%System Root%\d88656e51dccdb135e\spupdsvc.exe
%System Root%\d88656e51dccdb135e\winrs.exe
%System Root%\d88656e51dccdb135e\winrshost.exe
%System Root%\d88656e51dccdb135e\wsmanhttpconfig.exe
%System Root%\d88656e51dccdb135e\wsmprovhost.exe
%System Root%\d88656e51dccdb135e\wtrinstaller.ico
%System Root%\d88656e51dccdb135e\winrm.ini
%System Root%\d88656e51dccdb135e\winrmprov.mof
%System Root%\d88656e51dccdb135e\wsmauto.mof
%System Root%\d88656e51dccdb135e\powershell.exe.mui
%System Root%\d88656e51dccdb135e\profile.ps1
%System Root%\d88656e51dccdb135e\bitstransfer.format.ps1xml
%System Root%\d88656e51dccdb135e\certificate.format.ps1xml
%System Root%\d88656e51dccdb135e\diagnostics.format.ps1xml
%System Root%\d88656e51dccdb135e\dotnettypes.format.ps1xml
%System Root%\d88656e51dccdb135e\filesystem.format.ps1xml
%System Root%\d88656e51dccdb135e\getevent.types.ps1xml
%System Root%\d88656e51dccdb135e\help.format.ps1xml
%System Root%\d88656e51dccdb135e\powershellcore.format.ps1xml
%System Root%\d88656e51dccdb135e\powershelltrace.format.ps1xml
%System Root%\d88656e51dccdb135e\registry.format.ps1xml
%System Root%\d88656e51dccdb135e\types.ps1xml
%System Root%\d88656e51dccdb135e\wsman.format.ps1xml
%System Root%\d88656e51dccdb135e\bitstransfer.psd1
%System Root%\d88656e51dccdb135e\importallmodules.psd1
%System Root%\d88656e51dccdb135e\about_aliases.help.txt
%System Root%\d88656e51dccdb135e\about_arithmetic_operators.help.txt
%System Root%\d88656e51dccdb135e\about_arrays.help.txt
%System Root%\d88656e51dccdb135e\about_assignment_operators.help.txt
%System Root%\d88656e51dccdb135e\about_automatic_variables.help.txt
%System Root%\d88656e51dccdb135e\about_bits_cmdlets.help.txt
%System Root%\d88656e51dccdb135e\about_break.help.txt
%System Root%\d88656e51dccdb135e\about_command_precedence.help.txt
%System Root%\d88656e51dccdb135e\about_command_syntax.help.txt
%System Root%\d88656e51dccdb135e\about_comment_based_help.help.txt
%System Root%\d88656e51dccdb135e\about_commonparameters.help.txt
%System Root%\d88656e51dccdb135e\about_comparison_operators.help.txt
%System Root%\d88656e51dccdb135e\about_continue.help.txt
%System Root%\d88656e51dccdb135e\about_core_commands.help.txt
%System Root%\d88656e51dccdb135e\about_data_sections.help.txt
%System Root%\d88656e51dccdb135e\about_debuggers.help.txt
%System Root%\d88656e51dccdb135e\about_do.help.txt
%System Root%\d88656e51dccdb135e\about_environment_variables.help.txt
%System Root%\d88656e51dccdb135e\about_escape_characters.help.txt
%System Root%\d88656e51dccdb135e\about_eventlogs.help.txt
%System Root%\d88656e51dccdb135e\about_execution_policies.help.txt
%System Root%\d88656e51dccdb135e\about_for.help.txt
%System Root%\d88656e51dccdb135e\about_foreach.help.txt
%System Root%\d88656e51dccdb135e\about_format.ps1xml.help.txt
%System Root%\d88656e51dccdb135e\about_functions.help.txt
%System Root%\d88656e51dccdb135e\about_functions_advanced.help.txt
%System Root%\d88656e51dccdb135e\about_functions_advanced_methods.help.txt
%System Root%\d88656e51dccdb135e\about_functions_advanced_parameters.help.txt
%System Root%\d88656e51dccdb135e\about_functions_cmdletbindingattribute.help.txt
%System Root%\d88656e51dccdb135e\about_hash_tables.help.txt
%System Root%\d88656e51dccdb135e\about_history.help.txt
%System Root%\d88656e51dccdb135e\about_if.help.txt
%System Root%\d88656e51dccdb135e\about_job_details.help.txt
%System Root%\d88656e51dccdb135e\about_jobs.help.txt
%System Root%\d88656e51dccdb135e\about_join.help.txt
%System Root%\d88656e51dccdb135e\about_language_keywords.help.txt
%System Root%\d88656e51dccdb135e\about_line_editing.help.txt
%System Root%\d88656e51dccdb135e\about_locations.help.txt
%System Root%\d88656e51dccdb135e\about_logical_operators.help.txt
%System Root%\d88656e51dccdb135e\about_methods.help.txt
%System Root%\d88656e51dccdb135e\about_modules.help.txt
%System Root%\d88656e51dccdb135e\about_objects.help.txt
%System Root%\d88656e51dccdb135e\about_operators.help.txt
%System Root%\d88656e51dccdb135e\about_parameters.help.txt
%System Root%\d88656e51dccdb135e\about_parsing.help.txt
%System Root%\d88656e51dccdb135e\about_path_syntax.help.txt
%System Root%\d88656e51dccdb135e\about_pipelines.help.txt
%System Root%\d88656e51dccdb135e\about_preference_variables.help.txt
%System Root%\d88656e51dccdb135e\about_profiles.help.txt
%System Root%\d88656e51dccdb135e\about_prompts.help.txt
%System Root%\d88656e51dccdb135e\about_properties.help.txt
%System Root%\d88656e51dccdb135e\about_providers.help.txt
%System Root%\d88656e51dccdb135e\about_pssession_details.help.txt
%System Root%\d88656e51dccdb135e\about_pssessions.help.txt
%System Root%\d88656e51dccdb135e\about_pssnapins.help.txt
%System Root%\d88656e51dccdb135e\about_quoting_rules.help.txt
%System Root%\d88656e51dccdb135e\about_redirection.help.txt
%System Root%\d88656e51dccdb135e\about_ref.help.txt
%System Root%\d88656e51dccdb135e\about_regular_expressions.help.txt
%System Root%\d88656e51dccdb135e\about_remote.help.txt
%System Root%\d88656e51dccdb135e\about_remote_faq.help.txt
%System Root%\d88656e51dccdb135e\about_remote_jobs.help.txt
%System Root%\d88656e51dccdb135e\about_remote_output.help.txt
%System Root%\d88656e51dccdb135e\about_remote_requirements.help.txt
%System Root%\d88656e51dccdb135e\about_remote_troubleshooting.help.txt
%System Root%\d88656e51dccdb135e\about_requires.help.txt
%System Root%\d88656e51dccdb135e\about_reserved_words.help.txt
%System Root%\d88656e51dccdb135e\about_return.help.txt
%System Root%\d88656e51dccdb135e\about_scopes.help.txt
%System Root%\d88656e51dccdb135e\about_script_blocks.help.txt
%System Root%\d88656e51dccdb135e\about_script_internationalization.help.txt
%System Root%\d88656e51dccdb135e\about_scripts.help.txt
%System Root%\d88656e51dccdb135e\about_session_configurations.help.txt
%System Root%\d88656e51dccdb135e\about_signing.help.txt
%System Root%\d88656e51dccdb135e\about_special_characters.help.txt
%System Root%\d88656e51dccdb135e\about_split.help.txt
%System Root%\d88656e51dccdb135e\about_switch.help.txt
%System Root%\d88656e51dccdb135e\about_throw.help.txt
%System Root%\d88656e51dccdb135e\about_transactions.help.txt
%System Root%\d88656e51dccdb135e\about_trap.help.txt
%System Root%\d88656e51dccdb135e\about_try_catch_finally.help.txt
%System Root%\d88656e51dccdb135e\about_type_operators.help.txt
%System Root%\d88656e51dccdb135e\about_types.ps1xml.help.txt
%System Root%\d88656e51dccdb135e\about_variables.help.txt
%System Root%\d88656e51dccdb135e\about_while.help.txt
%System Root%\d88656e51dccdb135e\about_wildcards.help.txt
%System Root%\d88656e51dccdb135e\about_windows_powershell_2.0.help.txt
%System Root%\d88656e51dccdb135e\about_windows_powershell_ise.help.txt
%System Root%\d88656e51dccdb135e\about_wmi_cmdlets.help.txt
%System Root%\d88656e51dccdb135e\about_ws-management_cmdlets.help.txt
%System Root%\d88656e51dccdb135e\default.help.txt
%System Root%\d88656e51dccdb135e\winrm.vbs
%System Root%\d88656e51dccdb135e\microsoft.backgroundintelligenttransfer.management.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.diagnostics.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.management.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.utility.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.consolehost.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.security.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.wsman.management.dll-help.xml
%System Root%\d88656e51dccdb135e\system.management.automation.dll-help.xml
%System Root%\d88656e51dccdb135e\wsmpty.xsl
%System Root%\d88656e51dccdb135e\wsmtxt.xsl
%System Root%\d88656e51dccdb135e\update\kb968930xp.cat
%System Root%\d88656e51dccdb135e\update\spcustom.dll
%System Root%\d88656e51dccdb135e\update\updspapi.dll
%System Root%\d88656e51dccdb135e\update\update.exe
%System Root%\d88656e51dccdb135e\update\update.inf
%System Root%\d88656e51dccdb135e\update\eula.txt
%System Root%\d88656e51dccdb135e\update\update.ver
%System Root%\d88656e51dccdb135e\$shtdwn$.req

マルウェアのコンポーネントファイルの削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に以下のファイル名を入力してください。
%Application Data%\hameg\hameg.exe
%User Temp%\WindowsXP-KB968930-x86-ENG.exe
%System Root%\d88656e51dccdb135e\eventforwarding.adm
%System Root%\d88656e51dccdb135e\windowsremotemanagement.adm
%System Root%\d88656e51dccdb135e\windowsremoteshell.adm
%System Root%\d88656e51dccdb135e\windowspowershellhelp.chm
%System Root%\d88656e51dccdb135e\winrm.cmd
%System Root%\d88656e51dccdb135e\compiledcomposition.microsoft.powershell.gpowershell.dll
%System Root%\d88656e51dccdb135e\microsoft.backgroundintelligenttransfer.management.dll
%System Root%\d88656e51dccdb135e\microsoft.backgroundintelligenttransfer.management.interop.dll
%System Root%\d88656e51dccdb135e\microsoft.backgroundintelligenttransfer.management.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.diagnostics.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.diagnostics.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.management.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.management.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.utility.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.utility.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.consolehost.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.consolehost.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.editor.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.editor.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.gpowershell.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.gpowershell.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.graphicalhost.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.graphicalhost.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.security.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.security.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.wsman.management.dll
%System Root%\d88656e51dccdb135e\microsoft.wsman.management.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.wsman.runtime.dll
%System Root%\d88656e51dccdb135e\powershell_ise.resources.dll
%System Root%\d88656e51dccdb135e\pspluginwkr.dll
%System Root%\d88656e51dccdb135e\pwrshmsg.dll
%System Root%\d88656e51dccdb135e\pwrshplugin.dll
%System Root%\d88656e51dccdb135e\pwrshsip.dll
%System Root%\d88656e51dccdb135e\spmsg.dll
%System Root%\d88656e51dccdb135e\system.management.automation.dll
%System Root%\d88656e51dccdb135e\system.management.automation.resources.dll
%System Root%\d88656e51dccdb135e\wevtfwd.dll
%System Root%\d88656e51dccdb135e\winrmprov.dll
%System Root%\d88656e51dccdb135e\winrscmd.dll
%System Root%\d88656e51dccdb135e\winrsmgr.dll
%System Root%\d88656e51dccdb135e\winrssrv.dll
%System Root%\d88656e51dccdb135e\wsmauto.dll
%System Root%\d88656e51dccdb135e\wsmplpxy.dll
%System Root%\d88656e51dccdb135e\wsmres.dll
%System Root%\d88656e51dccdb135e\wsmsvc.dll
%System Root%\d88656e51dccdb135e\wsmwmipl.dll
%System Root%\d88656e51dccdb135e\powershell.exe
%System Root%\d88656e51dccdb135e\powershell_ise.exe
%System Root%\d88656e51dccdb135e\pscustomsetuputil.exe
%System Root%\d88656e51dccdb135e\pssetupnativeutils.exe
%System Root%\d88656e51dccdb135e\spuninst.exe
%System Root%\d88656e51dccdb135e\spupdsvc.exe
%System Root%\d88656e51dccdb135e\winrs.exe
%System Root%\d88656e51dccdb135e\winrshost.exe
%System Root%\d88656e51dccdb135e\wsmanhttpconfig.exe
%System Root%\d88656e51dccdb135e\wsmprovhost.exe
%System Root%\d88656e51dccdb135e\wtrinstaller.ico
%System Root%\d88656e51dccdb135e\winrm.ini
%System Root%\d88656e51dccdb135e\winrmprov.mof
%System Root%\d88656e51dccdb135e\wsmauto.mof
%System Root%\d88656e51dccdb135e\powershell.exe.mui
%System Root%\d88656e51dccdb135e\profile.ps1
%System Root%\d88656e51dccdb135e\bitstransfer.format.ps1xml
%System Root%\d88656e51dccdb135e\certificate.format.ps1xml
%System Root%\d88656e51dccdb135e\diagnostics.format.ps1xml
%System Root%\d88656e51dccdb135e\dotnettypes.format.ps1xml
%System Root%\d88656e51dccdb135e\filesystem.format.ps1xml
%System Root%\d88656e51dccdb135e\getevent.types.ps1xml
%System Root%\d88656e51dccdb135e\help.format.ps1xml
%System Root%\d88656e51dccdb135e\powershellcore.format.ps1xml
%System Root%\d88656e51dccdb135e\powershelltrace.format.ps1xml
%System Root%\d88656e51dccdb135e\registry.format.ps1xml
%System Root%\d88656e51dccdb135e\types.ps1xml
%System Root%\d88656e51dccdb135e\wsman.format.ps1xml
%System Root%\d88656e51dccdb135e\bitstransfer.psd1
%System Root%\d88656e51dccdb135e\importallmodules.psd1
%System Root%\d88656e51dccdb135e\about_aliases.help.txt
%System Root%\d88656e51dccdb135e\about_arithmetic_operators.help.txt
%System Root%\d88656e51dccdb135e\about_arrays.help.txt
%System Root%\d88656e51dccdb135e\about_assignment_operators.help.txt
%System Root%\d88656e51dccdb135e\about_automatic_variables.help.txt
%System Root%\d88656e51dccdb135e\about_bits_cmdlets.help.txt
%System Root%\d88656e51dccdb135e\about_break.help.txt
%System Root%\d88656e51dccdb135e\about_command_precedence.help.txt
%System Root%\d88656e51dccdb135e\about_command_syntax.help.txt
%System Root%\d88656e51dccdb135e\about_comment_based_help.help.txt
%System Root%\d88656e51dccdb135e\about_commonparameters.help.txt
%System Root%\d88656e51dccdb135e\about_comparison_operators.help.txt
%System Root%\d88656e51dccdb135e\about_continue.help.txt
%System Root%\d88656e51dccdb135e\about_core_commands.help.txt
%System Root%\d88656e51dccdb135e\about_data_sections.help.txt
%System Root%\d88656e51dccdb135e\about_debuggers.help.txt
%System Root%\d88656e51dccdb135e\about_do.help.txt
%System Root%\d88656e51dccdb135e\about_environment_variables.help.txt
%System Root%\d88656e51dccdb135e\about_escape_characters.help.txt
%System Root%\d88656e51dccdb135e\about_eventlogs.help.txt
%System Root%\d88656e51dccdb135e\about_execution_policies.help.txt
%System Root%\d88656e51dccdb135e\about_for.help.txt
%System Root%\d88656e51dccdb135e\about_foreach.help.txt
%System Root%\d88656e51dccdb135e\about_format.ps1xml.help.txt
%System Root%\d88656e51dccdb135e\about_functions.help.txt
%System Root%\d88656e51dccdb135e\about_functions_advanced.help.txt
%System Root%\d88656e51dccdb135e\about_functions_advanced_methods.help.txt
%System Root%\d88656e51dccdb135e\about_functions_advanced_parameters.help.txt
%System Root%\d88656e51dccdb135e\about_functions_cmdletbindingattribute.help.txt
%System Root%\d88656e51dccdb135e\about_hash_tables.help.txt
%System Root%\d88656e51dccdb135e\about_history.help.txt
%System Root%\d88656e51dccdb135e\about_if.help.txt
%System Root%\d88656e51dccdb135e\about_job_details.help.txt
%System Root%\d88656e51dccdb135e\about_jobs.help.txt
%System Root%\d88656e51dccdb135e\about_join.help.txt
%System Root%\d88656e51dccdb135e\about_language_keywords.help.txt
%System Root%\d88656e51dccdb135e\about_line_editing.help.txt
%System Root%\d88656e51dccdb135e\about_locations.help.txt
%System Root%\d88656e51dccdb135e\about_logical_operators.help.txt
%System Root%\d88656e51dccdb135e\about_methods.help.txt
%System Root%\d88656e51dccdb135e\about_modules.help.txt
%System Root%\d88656e51dccdb135e\about_objects.help.txt
%System Root%\d88656e51dccdb135e\about_operators.help.txt
%System Root%\d88656e51dccdb135e\about_parameters.help.txt
%System Root%\d88656e51dccdb135e\about_parsing.help.txt
%System Root%\d88656e51dccdb135e\about_path_syntax.help.txt
%System Root%\d88656e51dccdb135e\about_pipelines.help.txt
%System Root%\d88656e51dccdb135e\about_preference_variables.help.txt
%System Root%\d88656e51dccdb135e\about_profiles.help.txt
%System Root%\d88656e51dccdb135e\about_prompts.help.txt
%System Root%\d88656e51dccdb135e\about_properties.help.txt
%System Root%\d88656e51dccdb135e\about_providers.help.txt
%System Root%\d88656e51dccdb135e\about_pssession_details.help.txt
%System Root%\d88656e51dccdb135e\about_pssessions.help.txt
%System Root%\d88656e51dccdb135e\about_pssnapins.help.txt
%System Root%\d88656e51dccdb135e\about_quoting_rules.help.txt
%System Root%\d88656e51dccdb135e\about_redirection.help.txt
%System Root%\d88656e51dccdb135e\about_ref.help.txt
%System Root%\d88656e51dccdb135e\about_regular_expressions.help.txt
%System Root%\d88656e51dccdb135e\about_remote.help.txt
%System Root%\d88656e51dccdb135e\about_remote_faq.help.txt
%System Root%\d88656e51dccdb135e\about_remote_jobs.help.txt
%System Root%\d88656e51dccdb135e\about_remote_output.help.txt
%System Root%\d88656e51dccdb135e\about_remote_requirements.help.txt
%System Root%\d88656e51dccdb135e\about_remote_troubleshooting.help.txt
%System Root%\d88656e51dccdb135e\about_requires.help.txt
%System Root%\d88656e51dccdb135e\about_reserved_words.help.txt
%System Root%\d88656e51dccdb135e\about_return.help.txt
%System Root%\d88656e51dccdb135e\about_scopes.help.txt
%System Root%\d88656e51dccdb135e\about_script_blocks.help.txt
%System Root%\d88656e51dccdb135e\about_script_internationalization.help.txt
%System Root%\d88656e51dccdb135e\about_scripts.help.txt
%System Root%\d88656e51dccdb135e\about_session_configurations.help.txt
%System Root%\d88656e51dccdb135e\about_signing.help.txt
%System Root%\d88656e51dccdb135e\about_special_characters.help.txt
%System Root%\d88656e51dccdb135e\about_split.help.txt
%System Root%\d88656e51dccdb135e\about_switch.help.txt
%System Root%\d88656e51dccdb135e\about_throw.help.txt
%System Root%\d88656e51dccdb135e\about_transactions.help.txt
%System Root%\d88656e51dccdb135e\about_trap.help.txt
%System Root%\d88656e51dccdb135e\about_try_catch_finally.help.txt
%System Root%\d88656e51dccdb135e\about_type_operators.help.txt
%System Root%\d88656e51dccdb135e\about_types.ps1xml.help.txt
%System Root%\d88656e51dccdb135e\about_variables.help.txt
%System Root%\d88656e51dccdb135e\about_while.help.txt
%System Root%\d88656e51dccdb135e\about_wildcards.help.txt
%System Root%\d88656e51dccdb135e\about_windows_powershell_2.0.help.txt
%System Root%\d88656e51dccdb135e\about_windows_powershell_ise.help.txt
%System Root%\d88656e51dccdb135e\about_wmi_cmdlets.help.txt
%System Root%\d88656e51dccdb135e\about_ws-management_cmdlets.help.txt
%System Root%\d88656e51dccdb135e\default.help.txt
%System Root%\d88656e51dccdb135e\winrm.vbs
%System Root%\d88656e51dccdb135e\microsoft.backgroundintelligenttransfer.management.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.diagnostics.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.management.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.utility.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.consolehost.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.security.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.wsman.management.dll-help.xml
%System Root%\d88656e51dccdb135e\system.management.automation.dll-help.xml
%System Root%\d88656e51dccdb135e\wsmpty.xsl
%System Root%\d88656e51dccdb135e\wsmtxt.xsl
%System Root%\d88656e51dccdb135e\update\kb968930xp.cat
%System Root%\d88656e51dccdb135e\update\spcustom.dll
%System Root%\d88656e51dccdb135e\update\updspapi.dll
%System Root%\d88656e51dccdb135e\update\update.exe
%System Root%\d88656e51dccdb135e\update\update.inf
%System Root%\d88656e51dccdb135e\update\eula.txt
%System Root%\d88656e51dccdb135e\update\update.ver
%System Root%\d88656e51dccdb135e\$shtdwn$.req
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註：ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。（例：ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索）

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合：
  - 画面の左隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、以下を入力します。
%Application Data%\hameg\hameg.exe
%User Temp%\WindowsXP-KB968930-x86-ENG.exe
%System Root%\d88656e51dccdb135e\eventforwarding.adm
%System Root%\d88656e51dccdb135e\windowsremotemanagement.adm
%System Root%\d88656e51dccdb135e\windowsremoteshell.adm
%System Root%\d88656e51dccdb135e\windowspowershellhelp.chm
%System Root%\d88656e51dccdb135e\winrm.cmd
%System Root%\d88656e51dccdb135e\compiledcomposition.microsoft.powershell.gpowershell.dll
%System Root%\d88656e51dccdb135e\microsoft.backgroundintelligenttransfer.management.dll
%System Root%\d88656e51dccdb135e\microsoft.backgroundintelligenttransfer.management.interop.dll
%System Root%\d88656e51dccdb135e\microsoft.backgroundintelligenttransfer.management.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.diagnostics.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.diagnostics.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.management.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.management.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.utility.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.utility.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.consolehost.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.consolehost.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.editor.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.editor.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.gpowershell.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.gpowershell.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.graphicalhost.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.graphicalhost.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.security.dll
%System Root%\d88656e51dccdb135e\microsoft.powershell.security.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.wsman.management.dll
%System Root%\d88656e51dccdb135e\microsoft.wsman.management.resources.dll
%System Root%\d88656e51dccdb135e\microsoft.wsman.runtime.dll
%System Root%\d88656e51dccdb135e\powershell_ise.resources.dll
%System Root%\d88656e51dccdb135e\pspluginwkr.dll
%System Root%\d88656e51dccdb135e\pwrshmsg.dll
%System Root%\d88656e51dccdb135e\pwrshplugin.dll
%System Root%\d88656e51dccdb135e\pwrshsip.dll
%System Root%\d88656e51dccdb135e\spmsg.dll
%System Root%\d88656e51dccdb135e\system.management.automation.dll
%System Root%\d88656e51dccdb135e\system.management.automation.resources.dll
%System Root%\d88656e51dccdb135e\wevtfwd.dll
%System Root%\d88656e51dccdb135e\winrmprov.dll
%System Root%\d88656e51dccdb135e\winrscmd.dll
%System Root%\d88656e51dccdb135e\winrsmgr.dll
%System Root%\d88656e51dccdb135e\winrssrv.dll
%System Root%\d88656e51dccdb135e\wsmauto.dll
%System Root%\d88656e51dccdb135e\wsmplpxy.dll
%System Root%\d88656e51dccdb135e\wsmres.dll
%System Root%\d88656e51dccdb135e\wsmsvc.dll
%System Root%\d88656e51dccdb135e\wsmwmipl.dll
%System Root%\d88656e51dccdb135e\powershell.exe
%System Root%\d88656e51dccdb135e\powershell_ise.exe
%System Root%\d88656e51dccdb135e\pscustomsetuputil.exe
%System Root%\d88656e51dccdb135e\pssetupnativeutils.exe
%System Root%\d88656e51dccdb135e\spuninst.exe
%System Root%\d88656e51dccdb135e\spupdsvc.exe
%System Root%\d88656e51dccdb135e\winrs.exe
%System Root%\d88656e51dccdb135e\winrshost.exe
%System Root%\d88656e51dccdb135e\wsmanhttpconfig.exe
%System Root%\d88656e51dccdb135e\wsmprovhost.exe
%System Root%\d88656e51dccdb135e\wtrinstaller.ico
%System Root%\d88656e51dccdb135e\winrm.ini
%System Root%\d88656e51dccdb135e\winrmprov.mof
%System Root%\d88656e51dccdb135e\wsmauto.mof
%System Root%\d88656e51dccdb135e\powershell.exe.mui
%System Root%\d88656e51dccdb135e\profile.ps1
%System Root%\d88656e51dccdb135e\bitstransfer.format.ps1xml
%System Root%\d88656e51dccdb135e\certificate.format.ps1xml
%System Root%\d88656e51dccdb135e\diagnostics.format.ps1xml
%System Root%\d88656e51dccdb135e\dotnettypes.format.ps1xml
%System Root%\d88656e51dccdb135e\filesystem.format.ps1xml
%System Root%\d88656e51dccdb135e\getevent.types.ps1xml
%System Root%\d88656e51dccdb135e\help.format.ps1xml
%System Root%\d88656e51dccdb135e\powershellcore.format.ps1xml
%System Root%\d88656e51dccdb135e\powershelltrace.format.ps1xml
%System Root%\d88656e51dccdb135e\registry.format.ps1xml
%System Root%\d88656e51dccdb135e\types.ps1xml
%System Root%\d88656e51dccdb135e\wsman.format.ps1xml
%System Root%\d88656e51dccdb135e\bitstransfer.psd1
%System Root%\d88656e51dccdb135e\importallmodules.psd1
%System Root%\d88656e51dccdb135e\about_aliases.help.txt
%System Root%\d88656e51dccdb135e\about_arithmetic_operators.help.txt
%System Root%\d88656e51dccdb135e\about_arrays.help.txt
%System Root%\d88656e51dccdb135e\about_assignment_operators.help.txt
%System Root%\d88656e51dccdb135e\about_automatic_variables.help.txt
%System Root%\d88656e51dccdb135e\about_bits_cmdlets.help.txt
%System Root%\d88656e51dccdb135e\about_break.help.txt
%System Root%\d88656e51dccdb135e\about_command_precedence.help.txt
%System Root%\d88656e51dccdb135e\about_command_syntax.help.txt
%System Root%\d88656e51dccdb135e\about_comment_based_help.help.txt
%System Root%\d88656e51dccdb135e\about_commonparameters.help.txt
%System Root%\d88656e51dccdb135e\about_comparison_operators.help.txt
%System Root%\d88656e51dccdb135e\about_continue.help.txt
%System Root%\d88656e51dccdb135e\about_core_commands.help.txt
%System Root%\d88656e51dccdb135e\about_data_sections.help.txt
%System Root%\d88656e51dccdb135e\about_debuggers.help.txt
%System Root%\d88656e51dccdb135e\about_do.help.txt
%System Root%\d88656e51dccdb135e\about_environment_variables.help.txt
%System Root%\d88656e51dccdb135e\about_escape_characters.help.txt
%System Root%\d88656e51dccdb135e\about_eventlogs.help.txt
%System Root%\d88656e51dccdb135e\about_execution_policies.help.txt
%System Root%\d88656e51dccdb135e\about_for.help.txt
%System Root%\d88656e51dccdb135e\about_foreach.help.txt
%System Root%\d88656e51dccdb135e\about_format.ps1xml.help.txt
%System Root%\d88656e51dccdb135e\about_functions.help.txt
%System Root%\d88656e51dccdb135e\about_functions_advanced.help.txt
%System Root%\d88656e51dccdb135e\about_functions_advanced_methods.help.txt
%System Root%\d88656e51dccdb135e\about_functions_advanced_parameters.help.txt
%System Root%\d88656e51dccdb135e\about_functions_cmdletbindingattribute.help.txt
%System Root%\d88656e51dccdb135e\about_hash_tables.help.txt
%System Root%\d88656e51dccdb135e\about_history.help.txt
%System Root%\d88656e51dccdb135e\about_if.help.txt
%System Root%\d88656e51dccdb135e\about_job_details.help.txt
%System Root%\d88656e51dccdb135e\about_jobs.help.txt
%System Root%\d88656e51dccdb135e\about_join.help.txt
%System Root%\d88656e51dccdb135e\about_language_keywords.help.txt
%System Root%\d88656e51dccdb135e\about_line_editing.help.txt
%System Root%\d88656e51dccdb135e\about_locations.help.txt
%System Root%\d88656e51dccdb135e\about_logical_operators.help.txt
%System Root%\d88656e51dccdb135e\about_methods.help.txt
%System Root%\d88656e51dccdb135e\about_modules.help.txt
%System Root%\d88656e51dccdb135e\about_objects.help.txt
%System Root%\d88656e51dccdb135e\about_operators.help.txt
%System Root%\d88656e51dccdb135e\about_parameters.help.txt
%System Root%\d88656e51dccdb135e\about_parsing.help.txt
%System Root%\d88656e51dccdb135e\about_path_syntax.help.txt
%System Root%\d88656e51dccdb135e\about_pipelines.help.txt
%System Root%\d88656e51dccdb135e\about_preference_variables.help.txt
%System Root%\d88656e51dccdb135e\about_profiles.help.txt
%System Root%\d88656e51dccdb135e\about_prompts.help.txt
%System Root%\d88656e51dccdb135e\about_properties.help.txt
%System Root%\d88656e51dccdb135e\about_providers.help.txt
%System Root%\d88656e51dccdb135e\about_pssession_details.help.txt
%System Root%\d88656e51dccdb135e\about_pssessions.help.txt
%System Root%\d88656e51dccdb135e\about_pssnapins.help.txt
%System Root%\d88656e51dccdb135e\about_quoting_rules.help.txt
%System Root%\d88656e51dccdb135e\about_redirection.help.txt
%System Root%\d88656e51dccdb135e\about_ref.help.txt
%System Root%\d88656e51dccdb135e\about_regular_expressions.help.txt
%System Root%\d88656e51dccdb135e\about_remote.help.txt
%System Root%\d88656e51dccdb135e\about_remote_faq.help.txt
%System Root%\d88656e51dccdb135e\about_remote_jobs.help.txt
%System Root%\d88656e51dccdb135e\about_remote_output.help.txt
%System Root%\d88656e51dccdb135e\about_remote_requirements.help.txt
%System Root%\d88656e51dccdb135e\about_remote_troubleshooting.help.txt
%System Root%\d88656e51dccdb135e\about_requires.help.txt
%System Root%\d88656e51dccdb135e\about_reserved_words.help.txt
%System Root%\d88656e51dccdb135e\about_return.help.txt
%System Root%\d88656e51dccdb135e\about_scopes.help.txt
%System Root%\d88656e51dccdb135e\about_script_blocks.help.txt
%System Root%\d88656e51dccdb135e\about_script_internationalization.help.txt
%System Root%\d88656e51dccdb135e\about_scripts.help.txt
%System Root%\d88656e51dccdb135e\about_session_configurations.help.txt
%System Root%\d88656e51dccdb135e\about_signing.help.txt
%System Root%\d88656e51dccdb135e\about_special_characters.help.txt
%System Root%\d88656e51dccdb135e\about_split.help.txt
%System Root%\d88656e51dccdb135e\about_switch.help.txt
%System Root%\d88656e51dccdb135e\about_throw.help.txt
%System Root%\d88656e51dccdb135e\about_transactions.help.txt
%System Root%\d88656e51dccdb135e\about_trap.help.txt
%System Root%\d88656e51dccdb135e\about_try_catch_finally.help.txt
%System Root%\d88656e51dccdb135e\about_type_operators.help.txt
%System Root%\d88656e51dccdb135e\about_types.ps1xml.help.txt
%System Root%\d88656e51dccdb135e\about_variables.help.txt
%System Root%\d88656e51dccdb135e\about_while.help.txt
%System Root%\d88656e51dccdb135e\about_wildcards.help.txt
%System Root%\d88656e51dccdb135e\about_windows_powershell_2.0.help.txt
%System Root%\d88656e51dccdb135e\about_windows_powershell_ise.help.txt
%System Root%\d88656e51dccdb135e\about_wmi_cmdlets.help.txt
%System Root%\d88656e51dccdb135e\about_ws-management_cmdlets.help.txt
%System Root%\d88656e51dccdb135e\default.help.txt
%System Root%\d88656e51dccdb135e\winrm.vbs
%System Root%\d88656e51dccdb135e\microsoft.backgroundintelligenttransfer.management.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.diagnostics.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.management.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.commands.utility.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.consolehost.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.powershell.security.dll-help.xml
%System Root%\d88656e51dccdb135e\microsoft.wsman.management.dll-help.xml
%System Root%\d88656e51dccdb135e\system.management.automation.dll-help.xml
%System Root%\d88656e51dccdb135e\wsmpty.xsl
%System Root%\d88656e51dccdb135e\wsmtxt.xsl
%System Root%\d88656e51dccdb135e\update\kb968930xp.cat
%System Root%\d88656e51dccdb135e\update\spcustom.dll
%System Root%\d88656e51dccdb135e\update\updspapi.dll
%System Root%\d88656e51dccdb135e\update\update.exe
%System Root%\d88656e51dccdb135e\update\update.inf
%System Root%\d88656e51dccdb135e\update\eula.txt
%System Root%\d88656e51dccdb135e\update\update.ver
%System Root%\d88656e51dccdb135e\$shtdwn$.req
ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 6

以下のフォルダを検索し削除します。

[ 詳細 ]

フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%Application Data%\hameg
%System Root%\_143968_
%System Root%\d88656e51dccdb135e
%System Root%\d88656e51dccdb135e\update

このマルウェアまたはアドウェア等が作成したフォルダの削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に、以下のフォルダ名を入力してください。
%Application Data%\hameg
%System Root%\_143968_
%System Root%\d88656e51dccdb135e
%System Root%\d88656e51dccdb135e\update
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、フォルダを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。
残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.）から 4.）を繰り返してください。
%Application Data%\hameg
%System Root%\_143968_
%System Root%\d88656e51dccdb135e
%System Root%\d88656e51dccdb135e\update

註：ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。（例：ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索）

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合：
  - 画面の左隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、以下を入力します。
%Application Data%\hameg
%System Root%\_143968_
%System Root%\d88656e51dccdb135e
%System Root%\d88656e51dccdb135e\update
検索が終了したら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。
残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.）から 3.）を繰り返してください。
%Application Data%\hameg
%System Root%\_143968_
%System Root%\d88656e51dccdb135e
%System Root%\d88656e51dccdb135e\update

註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 7

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_KOVTER.THS」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください