手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

不明なレジストリ値を削除します。

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

• In HKEY_LOCAL_MACHINE\SOFTWARE
  • SystemPack

• In HKEY_LOCAL_MACHINE\SOFTWARE
  • IntellRaidConfigurer

• In HKEY_LOCAL_MACHINE\SOFTWARE
  • NvVideo

• In HKEY_LOCAL_MACHINE\SOFTWARE
  • MSI64

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
  • Control

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
  • {248DD890-BB45-11CF-9ABC-0080C7E7B78D}

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0
  • 0

手順 3

このレジストリ値を削除します。

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

• In HKEY_LOCAL_MACHINE\SOFTWARE\SystemPack
  • LLID = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\IntellRaidConfigurer
  • LLID = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\NvVideo
  • LLID = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • LLID = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • qASS = "2"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • FLFF = "%Program Files%\Accessories\Common"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • FLWC = "%Program Files%\Accessories\Common\WC"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • FLH1 = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • FLKK = "KB_log.txt"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • RMMT = "trythis@hotpotmail.com"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • RMDES = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • WEBEN = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • CACHE = "A"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • UCACHE = "A"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • UREM = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • RINT = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • CARI = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • SEEKI = "0"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • SCEN = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • SCINT = "30"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • SCINT2 = "0"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • SCCLE = "0"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • SCDAY = "15"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • MAILKL = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • DELKL = "0"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • EMON = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • EMDC = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • EMOO = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • EMINE = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • EMINU = "30"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • EMFZ = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • EMFZB = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • MAILSC = "0"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • ANNOU = "0"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • ANNOUM = "All activities on this PC are monitored."

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • UNIN = "0"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • DUNIN = "12/31/2013"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • PORT = "443"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • USER = "Documents"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • SID2 = "XM5F9L6U1PGR"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • FTEN = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • FTSV = "##"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • FTUS = "##"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • FTPS = "##"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • FTPA = "/Documents11938647-MBNREKP5"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • FTDE = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • FTTX = "0"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • FTIN = "18"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • RWCE = "0"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • RWCI = "3000"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • RWCS = "100"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • SRDATE = "12/15/2013"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • RRRS = "0"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • MKILL = "0"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • LCOO = "12/16/2013"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • RMAM = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • FLOT = "Online_Time.txt"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • FLWU = "Websites_Summary.txt"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • FLWE = "Websites_Detail.txt"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • FLCT = "Chat_log.txt"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • FLAC = "PC_Active_Time.txt"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • MIKL = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • MIOT = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • MISV = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • MICH = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • RCIS = "10"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • RCIM = "1"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • xQry = "0"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • OEM = "0"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • RVHOST = "Relay"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • RVPORT = "Default"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • USHOST = "none"

• In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
  • PWHOST = "none"

• In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
  • %Program Files%\Sys64\rdbms.exe = "%Program Files%\Sys64\rdbms.exe:*:Enabled:rdbms.exe"

• In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
  • %Program Files%\Sys64\windns.exe = "%Program Files%\Sys64\windns.exe:*:Enabled:windns.exe"

• In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
  • %Program Files%\Sys64\RDS.exe = "%Program Files%\Sys64\RDS.exe:*:Enabled:RDS.exe"

手順 4

変更されたレジストリ値を修正します。

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • From: Hidden = "2"
    To: Hidden = ""2""

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32
  • From: ThreadingModel = "Apartment"
    To: ThreadingModel = ""Apartment""

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}\TypeLib
  • From: Version = "1.0"
    To: Version = ""1.0""

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}\TypeLib
  • From: Version = "1.0"
    To: Version = ""1.0""

手順 5

以下のファイルを検索し削除します。

• %User Temp%\nsd3.tmp
• %User Temp%\Compress0\ass.dll
• %User Temp%\Compress0\delkl.dll
• %User Temp%\Compress0\dete.dll
• %User Temp%\Compress0\dunin.dll
• %User Temp%\Compress0\emdc.dll
• %User Temp%\Compress0\emfz.dll
• %User Temp%\Compress0\emfzb.dll
• %User Temp%\Compress0\emine.dll
• %User Temp%\Compress0\eminu.dll
• %User Temp%\Compress0\emon.dll
• %User Temp%\Compress0\emoo.dll
• %User Temp%\Compress0\ftde.dll
• %User Temp%\Compress0\ften.dll
• %User Temp%\Compress0\ftin.dll
• %User Temp%\Compress0\ftpa.dll
• %User Temp%\Compress0\ftps.dll
• %User Temp%\Compress0\ftsv.dll
• %User Temp%\Compress0\fttx.dll
• %User Temp%\Compress0\ftus.dll
• %User Temp%\Compress0\inmsg.dll
• %User Temp%\Compress0\inter.dll
• %User Temp%\Compress0\inuser.dll
• %User Temp%\Compress0\java.exe
• %User Temp%\Compress0\kp764.sys
• %User Temp%\Compress0\kp786.sys
• %User Temp%\Compress0\kpx.sys
• %User Temp%\Compress0\mail.dll
• %User Temp%\Compress0\mailkl.dll
• %User Temp%\Compress0\mailsc.dll
• %User Temp%\Compress0\messenger.exe
• %User Temp%\Compress0\MSWINSCK.OCX
• %User Temp%\Compress0\ntfsv.dll
• %User Temp%\Compress0\oem.dll
• %User Temp%\Compress0\port.dll
• %User Temp%\Compress0\pwhost.dll
• %User Temp%\Compress0\rdbms.exe
• %User Temp%\Compress0\RDS.exe
• %User Temp%\Compress0\refsdm.dll
• %User Temp%\Compress0\resu.dll
• %User Temp%\Compress0\rmdesk.dll
• %User Temp%\Compress0\rvhost.dll
• %User Temp%\Compress0\rvport.dll
• %User Temp%\Compress0\rwce.dll
• %User Temp%\Compress0\rwci.dll
• %User Temp%\Compress0\rwcs.dll
• %User Temp%\Compress0\scan.dll
• %User Temp%\Compress0\sccle.dll
• %User Temp%\Compress0\scday.dll
• %User Temp%\Compress0\scen.dll
• %User Temp%\Compress0\scint.dll
• %User Temp%\Compress0\scint2.dll
• %User Temp%\Compress0\scloc.dll
• %User Temp%\Compress0\seek.dll
• %User Temp%\Compress0\seekil.dll
• %User Temp%\Compress0\sid2.dll
• %User Temp%\Compress0\ssap.dll
• %User Temp%\Compress0\type.dll
• %User Temp%\Compress0\unin.dll
• %User Temp%\Compress0\update.dll
• %User Temp%\Compress0\user.dll
• %User Temp%\Compress0\ushost.dll
• %User Temp%\Compress0\weben.dll
• %User Temp%\Compress0\windns.exe
• %User Temp%\Compress0\zipinfo.txt
• %Program Files%\Accessories\Common\desktop.ini

手順 6

以下のフォルダを検索し削除します。

• %User Temp%\Compress0
• %Program Files%\Sys64
• %Program Files%\Accessories
• %Program Files%\Accessories\Common
• %Program Files%\Accessories\Common\WC

手順 7

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_WINSPY.CY」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 8

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア／グレイウェア／スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

• %User Temp%\nsn1.tmp

手順 9

以下の削除されたレジストリキーまたはレジストリ値をバックアップを用いて修復します。

※註：マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみが修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムも削除した場合には、該当プログラムを再度インストールする必要があります。

• In HKEY_LOCAL_MACHINE\SOFTWARE
  • Adob

• In HKEY_LOCAL_MACHINE\SOFTWARE
  • SataGD

• In HKEY_LOCAL_MACHINE\SOFTWARE
  • SystemControler

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
  • {248DD896-BB45-11CF-9ABC-0080C7E7B78D}

• In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
  • {248DD897-BB45-11CF-9ABC-0080C7E7B78D}