Trend Micro Security

WORM_QHOST.TX

2012年10月8日
 解析者: Karl Dominguez   
 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 共有ネットワークフォルダを介した感染活動, リムーバブルドライブを介した感染活動

ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

ワームは、既定のWindowsフォルダのアイコンを用いて、ユーザにファイルを開くよう促します。ユーザがファイルをダブルクリックすることで、このワームは実行されます。

ワームは、特定のレジストリ値を変更し、ファイルの拡張子を非表示にします。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

  詳細

ファイルサイズ 191,675 bytes
タイプ EXE
メモリ常駐 はい
発見日 2010年12月17日
ペイロード HOSTSファイルの改変, プロセスの強制終了

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、ネットワーク共有フォルダを経由してコンピュータに侵入します。

ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\Default.scr
  • %System%\config\cache\Dasktop.ini
  • %System%\config\lsass.exe

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

ワームは、既定のWindowsフォルダのアイコンを用いて、ユーザにファイルを開くよう促します。ユーザがファイルをダブルクリックすることで、このワームは実行されます。

ワームは、感染コンピュータ上のメモリに以下のプロセスを確認すると、自身を終了します。

  • OLLYDBG
  • SICE
  • SIWVID
  • NTICE
  • REGSYS
  • REGVXG
  • FILEVXG
  • FILEM
  • TRW
  • ICEEXT

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Intel Audio Driver = %System%\config\lsass.exe

他のシステム変更

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = %System%\Default.scr

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
15 = guardgui.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\systemrestore
DisableSR = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
LowRiskFileTypes = .exe;.bat;.reg;.scr;

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisallowRun = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
0 = avp.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
1 = avz.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
2 = autoruns.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
3 = outpost.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
4 = spidernt.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
5 = SpyDerAgent.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
6 = dwengine.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
7 = spiderui.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
8 = acs.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
9 = op_mon.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
10 = klnagent.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
11 = egui.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
12 = sched.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
13 = avgnt.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
14 = avguard.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
explorer
NoFolderoptions = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StardardProfile
DisableNotifications = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StardardProfile
DoNotAllowExceptions = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StardardProfile
enableFirewall = 0

ワームは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = 1

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaveTimeOut = 100

(註:変更前の上記レジストリ値は、「{user-defined}」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaveActive = 1

(註:変更前の上記レジストリ値は、「{user-defined}」となります。)

ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 0

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

(註:変更前の上記レジストリ値は、「1」となります。)

ワームは、以下のレジストリキーを削除します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot

ワームは、以下のレジストリ値を変更し、ファイルの拡張子を非表示にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = 1

(註:変更前の上記レジストリ値は、「0」となります。)

感染活動

ワームは、すべての物理ドライブおよびリムーバブルドライブ内でフォルダを検索し、検索したフォルダ内に "<フォルダ名>.EXE" として自身のコピーを作成します。

ワームは、すべての物理ドライブおよびリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {random characters}.scr

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

;{garbage codes}
[AutoRun]
;{garbage codes}
open={malware file name}.scr
;{garbage codes}
shell\Open\command={malware file name}.scr
;{garbage codes}

プロセスの終了

ワームは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

  • acs.exe
  • autoruns.exe
  • avgnt.exe
  • avguard.exe
  • avp.exe
  • avz.exe
  • dwengine.exe
  • egui.exe
  • ESET NOD32 Antivirus
  • ESET Smart Security
  • filemon.exe
  • guardgui.exe
  • HiJackThis.exe
  • Kaspersky Internet Security
  • KillProcess.exe
  • klnagent.exe
  • msconfig.exe
  • op_mon.exe
  • OS.exe
  • outpost.exe
  • phunter.exe
  • PrcInfo.exe
  • Prcview.exe
  • Process Viewer
  • procexp.exe
  • procmon.exe
  • Reg Organizer
  • regedit.exe
  • regmon.exe
  • sched.exe
  • Security Task Manager
  • servise.exe
  • spidernt.exe
  • spiderui.exe
  • SpyDerAgent.exe
  • Symantec AntiVirus
  • sysinspector.exe
  • TaskInfo.exe
  • Unlocker.exe
  • UnlockerAssistant.exe

HOSTSファイルの改変

ワームは、WindowsのHOSTSファイルに以下の文字列を追加します。

  • {BLOCKED}.{BLOCKED}.168.212 www.viruslist.com
  • {BLOCKED}.{BLOCKED}.168.212 www.kaspersky.ru
  • {BLOCKED}.{BLOCKED}.168.212 www.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 www.securelist.com
  • {BLOCKED}.{BLOCKED}.168.212 z-oleg.com
  • {BLOCKED}.{BLOCKED}.168.212 www.trendsecure.com
  • {BLOCKED}.{BLOCKED}.168.212 ftp.drweb.com
  • {BLOCKED}.{BLOCKED}.168.212 virusinfo.info
  • {BLOCKED}.{BLOCKED}.168.212 www.viruslab.ru
  • {BLOCKED}.{BLOCKED}.168.212 www.novirus.ru
  • {BLOCKED}.{BLOCKED}.168.212 online.drweb.com
  • {BLOCKED}.{BLOCKED}.168.212 www.informyx.ru
  • {BLOCKED}.{BLOCKED}.168.212 vms.drweb.com
  • {BLOCKED}.{BLOCKED}.168.212 stopvirus.ru
  • {BLOCKED}.{BLOCKED}.168.212 www.esetnod32.ru
  • {BLOCKED}.{BLOCKED}.168.212 devbuilds.kaspersky-labs.com
  • {BLOCKED}.{BLOCKED}.168.212 www.agnitum.ru
  • {BLOCKED}.{BLOCKED}.168.212 www.drweb.com
  • {BLOCKED}.{BLOCKED}.168.212 www.avirus.ru
  • {BLOCKED}.{BLOCKED}.168.212 dnl-00.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-00.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-01.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-02.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-03.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-04.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-05.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-06.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-07.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-08.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-09.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-10.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-11.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-12.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-13.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-14.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-15.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-15.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-16.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-17.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-18.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-19.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 dnl-20.geo.kaspersky.com
  • {BLOCKED}.{BLOCKED}.168.212 downloads1.kaspersky-labs.com
  • {BLOCKED}.{BLOCKED}.168.212 downloads2.kaspersky-labs.com
  • {BLOCKED}.{BLOCKED}.168.212 downloads3.kaspersky-labs.com
  • {BLOCKED}.{BLOCKED}.168.212 downloads4.kaspersky-labs.com
  • {BLOCKED}.{BLOCKED}.168.212 downloads5.kaspersky-labs.com
  • {BLOCKED}.{BLOCKED}.168.212 msk1.drweb.com
  • {BLOCKED}.{BLOCKED}.168.212 msk2.drweb.com
  • {BLOCKED}.{BLOCKED}.168.212 msk3.drweb.com
  • {BLOCKED}.{BLOCKED}.168.212 msk4.drweb.com
  • {BLOCKED}.{BLOCKED}.168.212 msk5.drweb.com
  • {BLOCKED}.{BLOCKED}.168.212 download.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u40.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u41.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u42.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u43.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u44.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u45.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u46.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u47.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u48.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u49.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u50.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u51.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u52.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u53.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u54.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u55.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u56.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u57.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u58.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 u59.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 um10.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 um11.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 um12.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 um13.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 um14.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 um15.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 um16.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 um17.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 um18.eset.com
  • {BLOCKED}.{BLOCKED}.168.212 um19.eset.com

  対応方法

対応検索エンジン: 8.900
VSAPI パターンファイル: 7.706.01
VSAPI パターンリリース日: 2010年12月17日
VSAPI パターンリリース日: 12/17/2010 12:00:00 AM

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_QHOST.TX 」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Intel Audio Driver = %System%\config\lsass.exe

HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = %System%\Default.scr

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\systemrestore
DisableSR = 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
LowRiskFileTypes = .exe;.bat;.reg;.scr;

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
SaveZoneInformation = 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DisallowRun = 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
0 = avp.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
1 = avz.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
2 = autoruns.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
3 = outpost.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
4 = spidernt.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
5 = SpyDerAgent.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
6 = dwengine.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
7 = spiderui.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
8 = acs.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
9 = op_mon.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
10 = klnagent.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
11 = egui.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
12 = sched.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
13 = avgnt.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
14 = avguard.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
15 = guardgui.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer
NoFolderoptions = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
FirewallOverride = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
FirewallDisableNotify = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StardardProfile
DisableNotifications = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StardardProfile
DoNotAllowExceptions = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StardardProfile
enableFirewall = 0

手順 4

不正プログラム/グレイウェア/スパイウェアがHOSTSファイルに追加した文字列を削除します。

[ 詳細 ]
     174.133.168.212 www.viruslist.com
    174.133.168.212 www.kaspersky.ru
    174.133.168.212 www.kaspersky.com
    174.133.168.212 www.securelist.com
    174.133.168.212 z-oleg.com
    174.133.168.212 www.trendsecure.com
    174.133.168.212 ftp.drweb.com
    174.133.168.212 virusinfo.info
    174.133.168.212 www.viruslab.ru
    174.133.168.212 www.novirus.ru
    174.133.168.212 online.drweb.com
    174.133.168.212 www.informyx.ru
    174.133.168.212 vms.drweb.com
    174.133.168.212 stopvirus.ru
    174.133.168.212 www.esetnod32.ru
    174.133.168.212 devbuilds.kaspersky-labs.com
    174.133.168.212 www.agnitum.ru
    174.133.168.212 www.drweb.com
    174.133.168.212 www.avirus.ru
    174.133.168.212 dnl-00.geo.kaspersky.com
    174.133.168.212 dnl-00.geo.kaspersky.com
    174.133.168.212 dnl-01.geo.kaspersky.com
    174.133.168.212 dnl-02.geo.kaspersky.com
    174.133.168.212 dnl-03.geo.kaspersky.com
    174.133.168.212 dnl-04.geo.kaspersky.com
    174.133.168.212 dnl-05.geo.kaspersky.com
    174.133.168.212 dnl-06.geo.kaspersky.com
    174.133.168.212 dnl-07.geo.kaspersky.com
    174.133.168.212 dnl-08.geo.kaspersky.com
    174.133.168.212 dnl-09.geo.kaspersky.com
    174.133.168.212 dnl-10.geo.kaspersky.com
    174.133.168.212 dnl-11.geo.kaspersky.com
    174.133.168.212 dnl-12.geo.kaspersky.com
    174.133.168.212 dnl-13.geo.kaspersky.com
    174.133.168.212 dnl-14.geo.kaspersky.com
    174.133.168.212 dnl-15.geo.kaspersky.com
    174.133.168.212 dnl-15.geo.kaspersky.com
    174.133.168.212 dnl-16.geo.kaspersky.com
    174.133.168.212 dnl-17.geo.kaspersky.com
    174.133.168.212 dnl-18.geo.kaspersky.com
    174.133.168.212 dnl-19.geo.kaspersky.com
    174.133.168.212 dnl-20.geo.kaspersky.com
    174.133.168.212 downloads1.kaspersky-labs.com
    174.133.168.212 downloads2.kaspersky-labs.com
    174.133.168.212 downloads3.kaspersky-labs.com
    174.133.168.212 downloads4.kaspersky-labs.com
    174.133.168.212 downloads5.kaspersky-labs.com
    174.133.168.212 msk1.drweb.com
    174.133.168.212 msk2.drweb.com
    174.133.168.212 msk3.drweb.com
    174.133.168.212 msk4.drweb.com
    174.133.168.212 msk5.drweb.com
    174.133.168.212 download.eset.com
    174.133.168.212 u40.eset.com
    174.133.168.212 u41.eset.com
    174.133.168.212 u42.eset.com
    174.133.168.212 u43.eset.com
    174.133.168.212 u44.eset.com
    174.133.168.212 u45.eset.com
    174.133.168.212 u46.eset.com
    174.133.168.212 u47.eset.com
    174.133.168.212 u48.eset.com
    174.133.168.212 u49.eset.com
    174.133.168.212 u50.eset.com
    174.133.168.212 u51.eset.com
    174.133.168.212 u52.eset.com
    174.133.168.212 u53.eset.com
    174.133.168.212 u54.eset.com
    174.133.168.212 u55.eset.com
    174.133.168.212 u56.eset.com
    174.133.168.212 u57.eset.com
    174.133.168.212 u58.eset.com
    174.133.168.212 u59.eset.com
    174.133.168.212 um10.eset.com
    174.133.168.212 um11.eset.com
    174.133.168.212 um12.eset.com
    174.133.168.212 um13.eset.com
    174.133.168.212 um14.eset.com
    174.133.168.212 um15.eset.com
    174.133.168.212 um16.eset.com
    174.133.168.212 um17.eset.com
    174.133.168.212 um18.eset.com
    174.133.168.212 um19.eset.com

手順 5

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaveTimeOut = 100
{user-defined}

HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaveActive = 1
{user-defined}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
DisableSR = 1
0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt = 1
0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 0
1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
1

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 {malware file name}.lnk

手順 7

「WORM_QHOST.TX 」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。

[ 詳細 ]
;{garbage codes}
[AutoRun]
;{garbage codes}
open={malware file name}.scr
;{garbage codes}
shell\Open\command={malware file name}.scr
;{garbage codes}

手順 8

ファイルをバックアップを用いて修復します。マイクロソフト製品に関連したファイルのみに修復されます。このマルウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。


ご利用はいかがでしたか? アンケートにご協力ください