Trend Micro Security

WORM_AUTORUN.SM5

2013年10月2日

 別名:

Trojan:Win32/Otran (Microsoft); Generic.dx!xja (McAfee); Trojan.ADH (Symantec); Trojan.Win32.Regrun.fzk, Trojan.Win32.Regrun.fzk (Kaspersky); Trojan.Win32.Generic!BT (Sunbelt); Backdoor.Agent.1 (FSecure)

 プラットフォーム:

Windows 2000, Windows, XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。


  詳細

ファイルサイズ 331,264 bytes
タイプ EXE
メモリ常駐 はい
発見日 2011年11月4日

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のフォルダを作成します。

  • %System%\~A~m~B~u~R~a~D~u~L~

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Revenger = "%System%\K0L4B0R451.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Winlogon = "%System%\~A~m~B~u~R~a~D~u~L~\winlogon.exe"

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe "%System%\K0L4B0R451.exe""

(註:変更前の上記レジストリ値は、「Explorer.exe」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%System%\K0L4B0R451.exe"

(註:変更前の上記レジストリ値は、「%System%\userinit.exe,」となります。)

他のシステム変更

ワームは、以下のファイルを削除します。

  • %System%\~A~m~B~u~R~a~D~u~L~\JPG.ico

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

ワームは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\
Control\SafeBoot

HKEY_CLASSES_ROOT\lnkfile\shell\
open\command

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
inffile\Shell\Edit\
Command

HKEY_CLASSES_ROOT\regfile\shell\
Install\command

HKEY_CLASSES_ROOT\VBSFile\shell\
Install\command

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
setup32.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
PCMAV.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
PCMAV-CLN.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
PCMAV-RTP.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
PCMAV-SE.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
ansav.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
avscan.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
avgnt.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
SMP.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Avguard.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Avgw.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
CClaw.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Nip.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Nipsvc.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Niu.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Njeeves.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Nvccf.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Nvcoas.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Zanda.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Zlh.exe

ワームは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\
Control\SafeBoot
AlternateShell = "cmd.exe %System%\Kantuk.exe"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\
Control\SafeBoot
AlternateShell = "cmd.exe %System%\Kantuk.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
exefile
NeverShowExt = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
scrfile
NeverShowExt = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableCMD = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableCMD = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableConfig = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableSR = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Installer
LimitSystemRestoreCheckpointing = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Installer
DisableMSI = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer
NoTrayContextMenu = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer
NoViewContextMenu = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
setup.exe
Debugger = "notepad.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
install.exe
Debugger = "notepad.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
setup32.exe
Debugger = "notepad.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
PCMAV.exe
Debugger = "cmd.exe /c del"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
PCMAV-CLN.exe
Debugger = "cmd.exe /c del"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
PCMAV-RTP.exe
Debugger = "cmd.exe /c del"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
PCMAV-SE.exe
Debugger = "cmd.exe /c del"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
ansav.exe
Debugger = "cmd.exe /c del"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
avscan.exe
Debugger = "cmd.exe /c del"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
avgnt.exe
Debugger = "cmd.exe /c del"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
SMP.exe
Debugger = "cmd.exe /c del"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Avguard.exe
Debugger = "cmd.exe /c del"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Avgw.exe
Debugger = "cmd.exe /c del"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
CClaw.exe
Debugger = "cmd.exe /c del"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Nip.exe
Debugger = "cmd.exe /c del"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Nipsvc.exe
Debugger = "cmd.exe /c del"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Niu.exe
Debugger = "cmd.exe /c del"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Njeeves.exe
Debugger = "cmd.exe /c del"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Nvccf.exe
Debugger = "cmd.exe /c del"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Nvcoas.exe
Debugger = "cmd.exe /c del"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Zanda.exe
Debugger = "cmd.exe /c del"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Zlh.exe
Debugger = "cmd.exe /c del"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
CabinetState
FullPathAddress = 1

ワームは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%Windows%\K0L4B0R451.jpg"

(註:変更前の上記レジストリ値は、「%Windows%\web\wallpaper\Bliss.bmp」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = "0"

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = "%System%\Windows_3D.scr"

(註:変更前の上記レジストリ値は、「%System%\logon.scr」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaverIsSecure = "0"

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaveTimeOut = "100"

(註:変更前の上記レジストリ値は、「600」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot
AlternateShell = "%System%\GoldenGhost.exe"

(註:変更前の上記レジストリ値は、「cmd.exe」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot
AlternateShell = "cmd.exe %System%\Kantuk.exe"

(註:変更前の上記レジストリ値は、「cmd.exe」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AeDebug
Debugger = ""%System%\K0L4B0R451.exe""

(註:変更前の上記レジストリ値は、「drwtsn32 -p %ld -e %ld -g」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AeDebug
Auto = "1"

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
ProductId = "W32/K0L4B0R451.A"

(註:変更前の上記レジストリ値は、「76487-640-8834005-23093」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
ProductName = "Microsoft Worm.32"

(註:変更前の上記レジストリ値は、「Microsoft Windows XP」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
RegisteredOrganization = "B 4 N Y U W 4 N 9 1"

(註:変更前の上記レジストリ値は、「orciM dnerT」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
RegisteredOwner = "Br0nt0x's Student 2008"

(註:変更前の上記レジストリ値は、「winxpsp2」となります。)

HKEY_CURRENT_USER\Control Panel\International
s1159 = "K0L4B0R451"

(註:変更前の上記レジストリ値は、「AM」となります。)

HKEY_CURRENT_USER\Control Panel\International
s2359 = "K0L4B0R451"

(註:変更前の上記レジストリ値は、「PM」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
DefaultValue = 1

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
NOHIDDEN
CheckedValue = 2

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
NOHIDDEN
DefaultValue = 2

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = 1

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\HideFileExt
CheckedValue = 1

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\HideFileExt
UncheckedValue = 1

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\HideFileExt
DefaultValue = 1

(註:変更前の上記レジストリ値は、「1」となります。)

ワームは、以下のレジストリ値を追加し、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableTaskMgr = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableRegistryTools = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoTrayContextMenu = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoViewContextMenu = 1

作成活動

ワームは、以下のファイルを作成します。

  • %Windows%\K0L4B0R451.jpg
  • %System%\Word.ico
  • %System%\Folder.ico
  • %System%\Player.ico
  • %System%\Rar.ico
  • %System%\Asli.ico
  • %System Root%\Aut0exec.bat
  • %System%\~A~m~B~u~R~a~D~u~L~\winlogon.exe
  • %System%\Kantuk.exe
  • %System%\4K51K4.exe
  • %System%\GoldenGhost.exe
  • Windows_3D.scr
  • %System%\K0L4B0R451.exe
  • %System%\Shell32.com
  • %Common Startup%\Empty.pif

このウイルス情報は、自動解析システムにより作成されました。


  対応方法

対応検索エンジン: 9.200

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

スタートアップディスク、または、回復コンソールを用いて、「WORM_AUTORUN.SM5」として検出されたファイルを確認し削除します。

[ 詳細 ]

手順 3

レジストリエディタおよびタスクマネージャ、フォルダオプションの機能を有効にします。

[ 詳細 ]
この手順により、このワームが無効にした他のアプリケーションまたはプログラムの機能も有効になります。

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control
    • SafeBoot
  • In HKEY_CLASSES_ROOT\lnkfile\shell\open
    • command
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
    • System
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT
    • SystemRestore
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
    • Explorer
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\Shell\Edit
    • Command
  • In HKEY_CLASSES_ROOT\regfile\shell\Install
    • command
  • In HKEY_CLASSES_ROOT\VBSFile\shell\Install
    • command
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • setup32.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • PCMAV.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • PCMAV-CLN.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • PCMAV-RTP.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • PCMAV-SE.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • ansav.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • avscan.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • avgnt.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • SMP.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • Avguard.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • Avgw.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • CClaw.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • Nip.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • Nipsvc.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • Niu.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • Njeeves.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • Nvccf.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • Nvcoas.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • Zanda.exe
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • Zlh.exe

手順 5

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Revenger="%System%\K0L4B0R451.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • Winlogon="%System%\~A~m~B~u~R~a~D~u~L~\winlogon.exe"
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
    • AlternateShell="cmd.exe %System%\Kantuk.exe"
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
    • AlternateShell="cmd.exe %System%\Kantuk.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
    • NeverShowExt=1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile
    • NeverShowExt=1
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    • DisableCMD=1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • DisableCMD=1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • EnableLUA=1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
    • DisableConfig=1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
    • DisableSR=1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
    • LimitSystemRestoreCheckpointing=1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
    • DisableMSI=1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
    • NoTrayContextMenu=1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
    • NoViewContextMenu=1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe
    • Debugger="notepad.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe
    • Debugger="notepad.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup32.exe
    • Debugger="notepad.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-SE.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avscan.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avguard.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avgw.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CClaw.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nip.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nipsvc.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Niu.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Njeeves.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nvccf.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nvcoas.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Zanda.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Zlh.exe
    • Debugger="cmd.exe /c del"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState
    • FullPathAddress=1

手順 6

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Control Panel\Desktop
    • From: Wallpaper="%Windows%\K0L4B0R451.jpg"
      To: Wallpaper=%Windows%\web\wallpaper\Bliss.bmp
  • In HKEY_CURRENT_USER\Control Panel\Desktop
    • From: TileWallpaper="0"
      To: TileWallpaper=0
  • In HKEY_CURRENT_USER\Control Panel\Desktop
    • From: WallpaperStyle="0"
      To: WallpaperStyle=2
  • In HKEY_CURRENT_USER\Control Panel\Desktop
    • From: SCRNSAVE.EXE="%System%\Windows_3D.scr"
      To: SCRNSAVE.EXE=%System%\logon.scr
  • In HKEY_CURRENT_USER\Control Panel\Desktop
    • From: ScreenSaverIsSecure="0"
      To: ScreenSaverIsSecure=0
  • In HKEY_CURRENT_USER\Control Panel\Desktop
    • From: ScreenSaveTimeOut="100"
      To: ScreenSaveTimeOut=600
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
    • From: AlternateShell="%System%\GoldenGhost.exe"
      To: AlternateShell=cmd.exe
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
    • From: AlternateShell="cmd.exe %System%\Kantuk.exe"
      To: AlternateShell=cmd.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
    • From: Debugger=""%System%\K0L4B0R451.exe""
      To: Debugger=drwtsn32 -p %ld -e %ld -g
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
    • From: Auto="1"
      To: Auto=1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
    • From: ProductId="W32/K0L4B0R451.A"
      To: ProductId=76487-640-8834005-23093
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
    • From: ProductName="Microsoft Worm.32"
      To: ProductName=Microsoft Windows XP
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
    • From: RegisteredOrganization="B 4 N Y U W 4 N 9 1"
      To: RegisteredOrganization=orciM dnerT
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
    • From: RegisteredOwner="Br0nt0x's Student 2008"
      To: RegisteredOwner=winxpsp2
  • In HKEY_CURRENT_USER\Control Panel\International
    • From: s1159="K0L4B0R451"
      To: s1159=AM
  • In HKEY_CURRENT_USER\Control Panel\International
    • From: s2359="K0L4B0R451"
      To: s2359=PM
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
    • From: DefaultValue=1
      To: DefaultValue=2
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
    • From: CheckedValue=2
      To: CheckedValue=2
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
    • From: DefaultValue=2
      To: DefaultValue=2
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: HideFileExt=1
      To: HideFileExt=1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
    • From: CheckedValue=1
      To: CheckedValue=1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
    • From: UncheckedValue=1
      To: UncheckedValue=0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
    • From: DefaultValue=1
      To: DefaultValue=1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • From: Shell="Explorer.exe "%System%\K0L4B0R451.exe""
      To: Shell=Explorer.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • From: Userinit="%System%\userinit.exe,%System%\K0L4B0R451.exe"
      To: Userinit=%System%\userinit.exe,

手順 7

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 %System%\~A~m~B~u~R~a~D~u~L~

手順 8

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Windows%\K0L4B0R451.jpg
  • %System%\Word.ico
  • %System%\Folder.ico
  • %System%\Player.ico
  • %System%\Rar.ico
  • %System%\Asli.ico
  • %System Root%\Aut0exec.bat
  • %System%\~A~m~B~u~R~a~D~u~L~\winlogon.exe
  • %System%\Kantuk.exe
  • %System%\4K51K4.exe
  • %System%\GoldenGhost.exe
  • Windows_3D.scr
  • %System%\K0L4B0R451.exe
  • %System%\Shell32.com
  • %Common Startup%\Empty.pif

手順 9

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_AUTORUN.SM5」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 10

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。 %System%\~A~m~B~u~R~a~D~u~L~\JPG.ico


ご利用はいかがでしたか? アンケートにご協力ください