Trend Micro Security

TROJ_WINSPY.CY

2014年1月28日

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。


  詳細

ファイルサイズ 591,250 bytes
タイプ EXE
メモリ常駐 なし
発見日 2014年1月28日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを作成します。

  • %User Temp%\Compress0
  • %Program Files%\Sys64
  • %Program Files%\Accessories
  • %Program Files%\Accessories\Common
  • %Program Files%\Accessories\Common\WC

(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)

他のシステム変更

マルウェアは、以下のファイルを削除します。

  • %User Temp%\nsn1.tmp

(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\SystemPack

HKEY_LOCAL_MACHINE\SOFTWARE\IntellRaidConfigurer

HKEY_LOCAL_MACHINE\SOFTWARE\NvVideo

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\Control

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0\
0

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\SystemPack
LLID = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\IntellRaidConfigurer
LLID = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\NvVideo
LLID = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
LLID = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
qASS = "2"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
FLFF = "%Program Files%\Accessories\Common"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
FLWC = "%Program Files%\Accessories\Common\WC"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
FLH1 = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
FLKK = "KB_log.txt"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
RMMT = "trythis@hotpotmail.com"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
RMDES = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
WEBEN = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
CACHE = "A"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
UCACHE = "A"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
UREM = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
RINT = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
CARI = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
SEEKI = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
SCEN = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
SCINT = "30"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
SCINT2 = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
SCCLE = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
SCDAY = "15"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
MAILKL = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
DELKL = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
EMON = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
EMDC = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
EMOO = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
EMINE = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
EMINU = "30"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
EMFZ = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
EMFZB = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
MAILSC = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
ANNOU = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
ANNOUM = "All activities on this PC are monitored."

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
UNIN = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
DUNIN = "12/31/2013"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
PORT = "443"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
USER = "Documents"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
SID2 = "XM5F9L6U1PGR"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
FTEN = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
FTSV = "##"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
FTUS = "##"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
FTPS = "##"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
FTPA = "/Documents11938647-MBNREKP5"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
FTDE = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
FTTX = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
FTIN = "18"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
RWCE = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
RWCI = "3000"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
RWCS = "100"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
SRDATE = "12/15/2013"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
RRRS = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
MKILL = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
LCOO = "12/16/2013"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
RMAM = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
FLOT = "Online_Time.txt"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
FLWU = "Websites_Summary.txt"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
FLWE = "Websites_Detail.txt"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
FLCT = "Chat_log.txt"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
FLAC = "PC_Active_Time.txt"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
MIKL = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
MIOT = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
MISV = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
MICH = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
RCIS = "10"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
RCIM = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
xQry = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
OEM = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
RVHOST = "Relay"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
RVPORT = "Default"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
USHOST = "none"

HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
PWHOST = "none"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Program Files%\Sys64\rdbms.exe = "%Program Files%\Sys64\rdbms.exe:*:Enabled:rdbms.exe"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Program Files%\Sys64\windns.exe = "%Program Files%\Sys64\windns.exe:*:Enabled:windns.exe"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Program Files%\Sys64\RDS.exe = "%Program Files%\Sys64\RDS.exe:*:Enabled:RDS.exe"

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32
ThreadingModel = "Apartment"

(註:変更前の上記レジストリ値は、「Apartment」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}\TypeLib
Version = "1.0"

(註:変更前の上記レジストリ値は、「1.0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}\TypeLib
Version = "1.0"

(註:変更前の上記レジストリ値は、「1.0」となります。)

マルウェアは、以下のレジストリキーを削除します。

HKEY_LOCAL_MACHINE\SOFTWARE\Adob

HKEY_LOCAL_MACHINE\SOFTWARE\SataGD

HKEY_LOCAL_MACHINE\SOFTWARE\SystemControler

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}

作成活動

マルウェアは、以下のファイルを作成します。

  • %User Temp%\nsd3.tmp
  • %User Temp%\Compress0\ass.dll
  • %User Temp%\Compress0\delkl.dll
  • %User Temp%\Compress0\dete.dll
  • %User Temp%\Compress0\dunin.dll
  • %User Temp%\Compress0\emdc.dll
  • %User Temp%\Compress0\emfz.dll
  • %User Temp%\Compress0\emfzb.dll
  • %User Temp%\Compress0\emine.dll
  • %User Temp%\Compress0\eminu.dll
  • %User Temp%\Compress0\emon.dll
  • %User Temp%\Compress0\emoo.dll
  • %User Temp%\Compress0\ftde.dll
  • %User Temp%\Compress0\ften.dll
  • %User Temp%\Compress0\ftin.dll
  • %User Temp%\Compress0\ftpa.dll
  • %User Temp%\Compress0\ftps.dll
  • %User Temp%\Compress0\ftsv.dll
  • %User Temp%\Compress0\fttx.dll
  • %User Temp%\Compress0\ftus.dll
  • %User Temp%\Compress0\inmsg.dll
  • %User Temp%\Compress0\inter.dll
  • %User Temp%\Compress0\inuser.dll
  • %User Temp%\Compress0\java.exe
  • %User Temp%\Compress0\kp764.sys
  • %User Temp%\Compress0\kp786.sys
  • %User Temp%\Compress0\kpx.sys
  • %User Temp%\Compress0\mail.dll
  • %User Temp%\Compress0\mailkl.dll
  • %User Temp%\Compress0\mailsc.dll
  • %User Temp%\Compress0\messenger.exe
  • %User Temp%\Compress0\MSWINSCK.OCX
  • %User Temp%\Compress0\ntfsv.dll
  • %User Temp%\Compress0\oem.dll
  • %User Temp%\Compress0\port.dll
  • %User Temp%\Compress0\pwhost.dll
  • %User Temp%\Compress0\rdbms.exe
  • %User Temp%\Compress0\RDS.exe
  • %User Temp%\Compress0\refsdm.dll
  • %User Temp%\Compress0\resu.dll
  • %User Temp%\Compress0\rmdesk.dll
  • %User Temp%\Compress0\rvhost.dll
  • %User Temp%\Compress0\rvport.dll
  • %User Temp%\Compress0\rwce.dll
  • %User Temp%\Compress0\rwci.dll
  • %User Temp%\Compress0\rwcs.dll
  • %User Temp%\Compress0\scan.dll
  • %User Temp%\Compress0\sccle.dll
  • %User Temp%\Compress0\scday.dll
  • %User Temp%\Compress0\scen.dll
  • %User Temp%\Compress0\scint.dll
  • %User Temp%\Compress0\scint2.dll
  • %User Temp%\Compress0\scloc.dll
  • %User Temp%\Compress0\seek.dll
  • %User Temp%\Compress0\seekil.dll
  • %User Temp%\Compress0\sid2.dll
  • %User Temp%\Compress0\ssap.dll
  • %User Temp%\Compress0\type.dll
  • %User Temp%\Compress0\unin.dll
  • %User Temp%\Compress0\update.dll
  • %User Temp%\Compress0\user.dll
  • %User Temp%\Compress0\ushost.dll
  • %User Temp%\Compress0\weben.dll
  • %User Temp%\Compress0\windns.exe
  • %User Temp%\Compress0\zipinfo.txt
  • %Program Files%\Accessories\Common\desktop.ini

(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)

このウイルス情報は、自動解析システムにより作成されました。


  対応方法

対応検索エンジン: 9.300

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

不明なレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE
    • SystemPack
  • In HKEY_LOCAL_MACHINE\SOFTWARE
    • IntellRaidConfigurer
  • In HKEY_LOCAL_MACHINE\SOFTWARE
    • NvVideo
  • In HKEY_LOCAL_MACHINE\SOFTWARE
    • MSI64
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
    • Control
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
    • {248DD890-BB45-11CF-9ABC-0080C7E7B78D}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}\1.0
    • 0

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\SystemPack
    • LLID = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\IntellRaidConfigurer
    • LLID = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\NvVideo
    • LLID = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • LLID = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • qASS = "2"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • FLFF = "%Program Files%\Accessories\Common"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • FLWC = "%Program Files%\Accessories\Common\WC"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • FLH1 = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • FLKK = "KB_log.txt"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • RMMT = "trythis@hotpotmail.com"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • RMDES = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • WEBEN = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • CACHE = "A"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • UCACHE = "A"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • UREM = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • RINT = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • CARI = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • SEEKI = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • SCEN = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • SCINT = "30"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • SCINT2 = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • SCCLE = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • SCDAY = "15"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • MAILKL = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • DELKL = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • EMON = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • EMDC = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • EMOO = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • EMINE = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • EMINU = "30"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • EMFZ = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • EMFZB = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • MAILSC = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • ANNOU = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • ANNOUM = "All activities on this PC are monitored."
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • UNIN = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • DUNIN = "12/31/2013"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • PORT = "443"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • USER = "Documents"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • SID2 = "XM5F9L6U1PGR"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • FTEN = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • FTSV = "##"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • FTUS = "##"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • FTPS = "##"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • FTPA = "/Documents11938647-MBNREKP5"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • FTDE = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • FTTX = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • FTIN = "18"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • RWCE = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • RWCI = "3000"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • RWCS = "100"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • SRDATE = "12/15/2013"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • RRRS = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • MKILL = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • LCOO = "12/16/2013"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • RMAM = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • FLOT = "Online_Time.txt"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • FLWU = "Websites_Summary.txt"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • FLWE = "Websites_Detail.txt"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • FLCT = "Chat_log.txt"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • FLAC = "PC_Active_Time.txt"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • MIKL = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • MIOT = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • MISV = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • MICH = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • RCIS = "10"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • RCIM = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • xQry = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • OEM = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • RVHOST = "Relay"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • RVPORT = "Default"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • USHOST = "none"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MSI64
    • PWHOST = "none"
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • %Program Files%\Sys64\rdbms.exe = "%Program Files%\Sys64\rdbms.exe:*:Enabled:rdbms.exe"
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • %Program Files%\Sys64\windns.exe = "%Program Files%\Sys64\windns.exe:*:Enabled:windns.exe"
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • %Program Files%\Sys64\RDS.exe = "%Program Files%\Sys64\RDS.exe:*:Enabled:RDS.exe"

手順 4

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: Hidden = "2"
      To: Hidden = ""2""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32
    • From: ThreadingModel = "Apartment"
      To: ThreadingModel = ""Apartment""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}\TypeLib
    • From: Version = "1.0"
      To: Version = ""1.0""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}\TypeLib
    • From: Version = "1.0"
      To: Version = ""1.0""

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Temp%\nsd3.tmp
  • %User Temp%\Compress0\ass.dll
  • %User Temp%\Compress0\delkl.dll
  • %User Temp%\Compress0\dete.dll
  • %User Temp%\Compress0\dunin.dll
  • %User Temp%\Compress0\emdc.dll
  • %User Temp%\Compress0\emfz.dll
  • %User Temp%\Compress0\emfzb.dll
  • %User Temp%\Compress0\emine.dll
  • %User Temp%\Compress0\eminu.dll
  • %User Temp%\Compress0\emon.dll
  • %User Temp%\Compress0\emoo.dll
  • %User Temp%\Compress0\ftde.dll
  • %User Temp%\Compress0\ften.dll
  • %User Temp%\Compress0\ftin.dll
  • %User Temp%\Compress0\ftpa.dll
  • %User Temp%\Compress0\ftps.dll
  • %User Temp%\Compress0\ftsv.dll
  • %User Temp%\Compress0\fttx.dll
  • %User Temp%\Compress0\ftus.dll
  • %User Temp%\Compress0\inmsg.dll
  • %User Temp%\Compress0\inter.dll
  • %User Temp%\Compress0\inuser.dll
  • %User Temp%\Compress0\java.exe
  • %User Temp%\Compress0\kp764.sys
  • %User Temp%\Compress0\kp786.sys
  • %User Temp%\Compress0\kpx.sys
  • %User Temp%\Compress0\mail.dll
  • %User Temp%\Compress0\mailkl.dll
  • %User Temp%\Compress0\mailsc.dll
  • %User Temp%\Compress0\messenger.exe
  • %User Temp%\Compress0\MSWINSCK.OCX
  • %User Temp%\Compress0\ntfsv.dll
  • %User Temp%\Compress0\oem.dll
  • %User Temp%\Compress0\port.dll
  • %User Temp%\Compress0\pwhost.dll
  • %User Temp%\Compress0\rdbms.exe
  • %User Temp%\Compress0\RDS.exe
  • %User Temp%\Compress0\refsdm.dll
  • %User Temp%\Compress0\resu.dll
  • %User Temp%\Compress0\rmdesk.dll
  • %User Temp%\Compress0\rvhost.dll
  • %User Temp%\Compress0\rvport.dll
  • %User Temp%\Compress0\rwce.dll
  • %User Temp%\Compress0\rwci.dll
  • %User Temp%\Compress0\rwcs.dll
  • %User Temp%\Compress0\scan.dll
  • %User Temp%\Compress0\sccle.dll
  • %User Temp%\Compress0\scday.dll
  • %User Temp%\Compress0\scen.dll
  • %User Temp%\Compress0\scint.dll
  • %User Temp%\Compress0\scint2.dll
  • %User Temp%\Compress0\scloc.dll
  • %User Temp%\Compress0\seek.dll
  • %User Temp%\Compress0\seekil.dll
  • %User Temp%\Compress0\sid2.dll
  • %User Temp%\Compress0\ssap.dll
  • %User Temp%\Compress0\type.dll
  • %User Temp%\Compress0\unin.dll
  • %User Temp%\Compress0\update.dll
  • %User Temp%\Compress0\user.dll
  • %User Temp%\Compress0\ushost.dll
  • %User Temp%\Compress0\weben.dll
  • %User Temp%\Compress0\windns.exe
  • %User Temp%\Compress0\zipinfo.txt
  • %Program Files%\Accessories\Common\desktop.ini

手順 6

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Temp%\Compress0
  • %Program Files%\Sys64
  • %Program Files%\Accessories
  • %Program Files%\Accessories\Common
  • %Program Files%\Accessories\Common\WC

手順 7

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_WINSPY.CY」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 8

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

  • %User Temp%\nsn1.tmp

手順 9

以下の削除されたレジストリキーまたはレジストリ値をバックアップを用いて修復します。

※註:マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみが修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムも削除した場合には、該当プログラムを再度インストールする必要があります。

  • In HKEY_LOCAL_MACHINE\SOFTWARE
    • Adob
  • In HKEY_LOCAL_MACHINE\SOFTWARE
    • SataGD
  • In HKEY_LOCAL_MACHINE\SOFTWARE
    • SystemControler
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    • {248DD896-BB45-11CF-9ABC-0080C7E7B78D}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    • {248DD897-BB45-11CF-9ABC-0080C7E7B78D}


ご利用はいかがでしたか? アンケートにご協力ください