更新者 : Jemimah Mae Molina

 別名:

Trojan:Win32/Emotet.BS!MTB (Microsoft); GenericR-QRI!37618A07FE6D (McAfee); Trojan-Banker.Win32.Emotet.dmtu (Kaspersky); Mal/Emotet-Q (Sophos)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア/情報窃取型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 スパイウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

スパイウェアは、実行後、自身を削除します。

  詳細

ファイルサイズ 275,968 bytes
タイプ EXE
メモリ常駐 はい
発見日 2019年9月19日
ペイロード URLまたはIPアドレスに接続, 情報収集

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

インストール

スパイウェアは、以下のフォルダを追加します。

  • %AppDataLocal%\{string1}{string2} → if run without admin privileges

(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\{string1}{string2}.exe → if run with admin privileges
  • %AppDataLocal%\{string1}{string2}\{string1}{string2}.exe → if run without admin privileges
    where {string1} and {string2} can be any of the following strings:
    • chunk
    • counter
    • drawa
    • isve
    • two
    • next
    • mapi
    • rtapi
    • nlsdl
    • defs
    • tenant
    • rstrt
    • window
    • machine
    • mira
    • system
    • stream
    • cursor
    • structs
    • history
    • watched
    • hash
    • report
    • program
    • durable
    • offc
    • rsat
    • folders
    • shell
    • yellow
    • sounds
    • adjust
    • toner
    • tlb
    • sorted
    • loop
    • post
    • txt
    • icons
    • intel
    • inset
    • move
    • reports
    • trc
    • based
    • wim
    • lumber
    • violet
    • dom
    • easy
    • cvt
    • center
    • even
    • readand
    • xinput
    • mem
    • cues
    • layer
    • tools
    • wfd
    • running
    • mail
    • gesture
    • misc

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)

スパイウェアは、以下のプロセスを追加します。

  • {Malware File Path}\{Malware File Name}.exe --{8 Random Characters}
  • %System%\{string1}{string2}.exe → if run with admin privileges
  • %System%\{string1}{string2}.exe --{8 Random Characters} → if run with admin privileges
  • %AppDataLocal%\{string1}{string2}\{string1}{string2}.exe → if run without admin privileges
  • %AppDataLocal%\{string1}{string2}\{string1}{string2}.exe --{8 Random Characters} → if run without admin privileges

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • Global\I{Volume Serial Number}
  • Global\M{Volume Serial Number}

自動実行方法

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{string1}{string2}
ImagePath = %System%\{string1}{string2}.exe

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{string1}{string2} = %AppDataLocal%\{string1}{string2}\{string1]{string2}.exe

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}

スパイウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}
Type = 16

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}
Start = 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}
ErrorControl = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}
DisplayName = {string1}{string2}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}
ObjectName = {string1}{string2}

バックドア活動

スパイウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}.{BLOCKED}.191.134:8080/{string}
  • {BLOCKED}.{BLOCKED}.93.46:443/{string}
  • {BLOCKED}.{BLOCKED}.92.210:7080/{string}
  • {BLOCKED}.{BLOCKED}.6.27:7080/{string}
  • {BLOCKED}.{BLOCKED}.88.162:8080/{string}
  • {BLOCKED}.{BLOCKED}.37.188:443/{string}
  • {BLOCKED}.{BLOCKED}.125.16:7080/{string}
  • {BLOCKED}.{BLOCKED}.162.209:8080/{string}
  • {BLOCKED}.{BLOCKED}.136.232:8080/{string}
  • {BLOCKED}.{BLOCKED}.172.5:443/{string}
  • {BLOCKED}.{BLOCKED}.253.46:8080/{string}
  • {BLOCKED}.{BLOCKED}.124.36:443/{string}
  • {BLOCKED}.{BLOCKED}.57.109:80/{string}
  • {BLOCKED}.{BLOCKED}.43.213:8080/{string}
  • {BLOCKED}.{BLOCKED}.139.101:8080/{string}
  • {BLOCKED}.{BLOCKED}.218.192:8080/{string}
  • {BLOCKED}.{BLOCKED}.25.128:8080/{string}
  • {BLOCKED}.{BLOCKED}.219.147:8080/{string}
  • {BLOCKED}.{BLOCKED}.49.124:443/{string}
  • {BLOCKED}.{BLOCKED}.177.26:8080/{string}
  • {BLOCKED}.{BLOCKED}.97.210:80/{string}
  • {BLOCKED}.{BLOCKED}.71.72:8080/{string}
  • {BLOCKED}.{BLOCKED}.182.217:8080/{string}
  • {BLOCKED}.{BLOCKED}.95.218:143/{string}
  • {BLOCKED}.{BLOCKED}.125.212:8080/{string}
  • {BLOCKED}.{BLOCKED}.203.55:80/{string}
  • {BLOCKED}.{BLOCKED}.194.134:443/{string}
  • {BLOCKED}.{BLOCKED}.67.62:7080/{string}
  • {BLOCKED}.{BLOCKED}.182.191:8080/{string}
  • {BLOCKED}.{BLOCKED}.6.2:8080/{string}
  • {BLOCKED}.{BLOCKED}.225.150:8080/{string}
  • {BLOCKED}.{BLOCKED}.119.246:80/{string}
  • {BLOCKED}.{BLOCKED}.14.170:8080/{string}
  • {BLOCKED}.{BLOCKED}.187.192:8080/{string}
  • {BLOCKED}.{BLOCKED}.59.244:20/{string}
  • {BLOCKED}.{BLOCKED}.3.54:443/{string}
  • {BLOCKED}.{BLOCKED}.172.5:8080/{string}
  • {BLOCKED}.{BLOCKED}.194.153:993/{string}
  • {BLOCKED}.{BLOCKED}.131.87:80/{string}
  • {BLOCKED}.{BLOCKED}.11.236:50000/{string}
  • {BLOCKED}.{BLOCKED}.105.159:21/{string}
  • {BLOCKED}.{BLOCKED}.19.21:8080/{string}
  • {BLOCKED}.{BLOCKED}.135.159:21/{string}
  • {BLOCKED}.{BLOCKED}.19.219:22/{string}
  • {BLOCKED}.{BLOCKED}.217.49:80/{string}
  • {BLOCKED}.{BLOCKED}.53.227:21/{string}
  • {BLOCKED}.{BLOCKED}.240.91:8080/{string}
  • {BLOCKED}.{BLOCKED}.67.134:8090/{string}
  • {BLOCKED}.{BLOCKED}.215.66:8080/{string}
  • {BLOCKED}.{BLOCKED}.39.59:7080/{string}
  • {BLOCKED}.{BLOCKED}.247.220:80/{string}
  • {BLOCKED}.{BLOCKED}.247.10:80/{string}
  • {BLOCKED}.{BLOCKED}.25.30:53/{string}
  • {BLOCKED}.{BLOCKED}.161.166:443/{string}
  • {BLOCKED}.{BLOCKED}.203.26:8080/{string}
  • {BLOCKED}.{BLOCKED}.153.252:8080/{string}
  • {BLOCKED}.{BLOCKED}.93.103:7080/{string}
  • {BLOCKED}.{BLOCKED}.193.139:20/{string}
  • {BLOCKED}.{BLOCKED}.132.213:8090/{string}
  • {BLOCKED}.{BLOCKED}.140.110:8080/{string}
  • {BLOCKED}.{BLOCKED}.216.44:8080/{string}
  • {BLOCKED}.{BLOCKED}.138.82:22/{string}
  • {BLOCKED}.{BLOCKED}.246.93:8080/{string}
  • {BLOCKED}.{BLOCKED}.44.20:21/{string}
  • {BLOCKED}.{BLOCKED}.11.150:8080/{string}
  • {BLOCKED}.{BLOCKED}.234.16:8080/{string}
  • {BLOCKED}.{BLOCKED}.252.13:443/{string}
  • {BLOCKED}.{BLOCKED}.106.43:995/{string}
  • {BLOCKED}.{BLOCKED}.98.125:8080/{string}
    where {string} can be one or a combination of any of the following strings, separated by "/":
    • teapot
    • pnp
    • tpt
    • splash
    • site
    • codec
    • health
    • balloon
    • cab
    • odbc
    • badge
    • dma
    • psec
    • cookies
    • iplk
    • devices
    • enable
    • mult
    • prov
    • vermont
    • attrib
    • schema
    • iab
    • chunk
    • publish
    • prep
    • srvc
    • sess
    • ringin
    • nsip
    • stubs
    • img
    • add
    • xian
    • jit
    • free
    • pdf
    • loadan
    • arizona
    • tlb
    • forced
    • results
    • symbols
    • report
    • guids
    • taskbar
    • child
    • cone
    • glitch
    • entries
    • between
    • bml
    • usbccid
    • sym
    • enabled
    • merge
    • window
    • scripts
    • raster
    • acquire
    • json
    • rtm
    • walk
    • ban

情報漏えい

スパイウェアは、以下の情報を収集します。

  • Computer Name
  • System Locale
  • OS Version
  • Running Processes

その他

スパイウェアは、実行後、自身を削除します。

スパイウェアは、以下を実行します。

  • スパイウェアは、管理者権限がある場合、スタートアップサービスを作成します。管理者権限がない場合は、レジストリに自動実行エントリのみを作成します。
  • スパイウェアは、ファイル名に以下の文字列を含む古い自身のコピーを削除します。
    • %System%\{文字列1}{文字列2}.exe
    • %AppDataLocal%\{文字列1}{文字列2}\{文字列1}{文字列2}.exe
      上記の{文字列1}および{文字列2}には、以下のいずれかの文字列が当てはまります。
      • bml
      • vault
      • apo
      • ttls
      • winsat
      • cim
      • types
      • depth
      • idaho
      • example
      • photos
      • gateway
      • themes
      • khmer
      • lite
      • rpl
      • media
      • tran
      • mondeu
      • plan
      • power
      • sans
      • subs
      • namesof
      • sine
      • events
      • enums
      • tier
      • icon
      • nirmala
      • cred
      • was
      • ipsm
      • sms
      • flows
      • code
      • sound
      • dlls
      • click
      • lanes
      • vmbus
      • blb
      • setthe
      • tasks
      • item
      • als
      • cluster
      • prof
      • psec
      • cofire
      • ram
      • phong
      • vector
      • notices
      • cull
      • netsh
      • wan
      • cpl
      • shims
      • convert
      • chx
      • sens
      • ihun
      • priv

(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)

<補足>
侵入方法

スパイウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

インストール

スパイウェアは、以下のフォルダを追加します。

  • %AppDataLocal%\{文字列1}{文字列2} → 管理者権限なしで実行された場合

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\{文字列1}{文字列2}.exe → 管理者権限ありで実行された場合
  • %AppDataLocal%\{文字列1}{文字列2}\{文字列1}{文字列2}.exe → 管理者権限なしで実行された場合
    上記の{文字列1}および{文字列2}には、以下のいずれかの文字列が当てはまります。
    • chunk
    • counter
    • drawa
    • isve
    • two
    • next
    • mapi
    • rtapi
    • nlsdl
    • defs
    • tenant
    • rstrt
    • window
    • machine
    • mira
    • system
    • stream
    • cursor
    • structs
    • history
    • watched
    • hash
    • report
    • program
    • durable
    • offc
    • rsat
    • folders
    • shell
    • yellow
    • sounds
    • adjust
    • toner
    • tlb
    • sorted
    • loop
    • post
    • txt
    • icons
    • intel
    • inset
    • move
    • reports
    • trc
    • based
    • wim
    • lumber
    • violet
    • dom
    • easy
    • cvt
    • center
    • even
    • readand
    • xinput
    • mem
    • cues
    • layer
    • tools
    • wfd
    • running
    • mail
    • gesture
    • misc

スパイウェアは、以下のプロセスを追加します。

  • {マルウェアのファイルパス}\{マルウェアのファイル名}.exe --{ランダムな8文字}
  • %System%\{文字列1}{文字列2}.exe → 管理者権限ありで実行された場合
  • %System%\{文字列1}{文字列2}.exe --{8 Random Characters} → 管理者権限ありで実行された場合
  • %AppDataLocal%\{文字列1}{文字列2}\{文字列1}{文字列2}.exe → 管理者権限なしで実行された場合
  • %AppDataLocal%\{文字列1}{文字列2}\{文字列1}{文字列2}.exe --{ランダムな8文字} → 管理者権限なしで実行された場合

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • Global\I{ボリュームシリアルナンバー}
  • Global\M{ボリュームシリアルナンバー}

バックドア活動

スパイウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}.{BLOCKED}.191.134:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.93.46:443/{文字列}
  • {BLOCKED}.{BLOCKED}.92.210:7080/{文字列}
  • {BLOCKED}.{BLOCKED}.6.27:7080/{文字列}
  • {BLOCKED}.{BLOCKED}.88.162:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.37.188:443/{文字列}
  • {BLOCKED}.{BLOCKED}.125.16:7080/{文字列}
  • {BLOCKED}.{BLOCKED}.162.209:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.136.232:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.172.5:443/{文字列}
  • {BLOCKED}.{BLOCKED}.253.46:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.124.36:443/{文字列}
  • {BLOCKED}.{BLOCKED}.57.109:80/{文字列}
  • {BLOCKED}.{BLOCKED}.43.213:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.139.101:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.218.192:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.25.128:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.219.147:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.49.124:443/{文字列}
  • {BLOCKED}.{BLOCKED}.177.26:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.97.210:80/{文字列}
  • {BLOCKED}.{BLOCKED}.71.72:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.182.217:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.95.218:143/{文字列}
  • {BLOCKED}.{BLOCKED}.125.212:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.203.55:80/{文字列}
  • {BLOCKED}.{BLOCKED}.194.134:443/{文字列}
  • {BLOCKED}.{BLOCKED}.67.62:7080/{文字列}
  • {BLOCKED}.{BLOCKED}.182.191:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.6.2:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.225.150:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.119.246:80/{文字列}
  • {BLOCKED}.{BLOCKED}.14.170:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.187.192:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.59.244:20/{文字列}
  • {BLOCKED}.{BLOCKED}.3.54:443/{文字列}
  • {BLOCKED}.{BLOCKED}.172.5:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.194.153:993/{文字列}
  • {BLOCKED}.{BLOCKED}.131.87:80/{文字列}
  • {BLOCKED}.{BLOCKED}.11.236:50000/{文字列}
  • {BLOCKED}.{BLOCKED}.105.159:21/{文字列}
  • {BLOCKED}.{BLOCKED}.19.21:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.135.159:21/{文字列}
  • {BLOCKED}.{BLOCKED}.19.219:22/{文字列}
  • {BLOCKED}.{BLOCKED}.217.49:80/{文字列}
  • {BLOCKED}.{BLOCKED}.53.227:21/{文字列}
  • {BLOCKED}.{BLOCKED}.240.91:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.67.134:8090/{文字列}
  • {BLOCKED}.{BLOCKED}.215.66:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.39.59:7080/{文字列}
  • {BLOCKED}.{BLOCKED}.247.220:80/{文字列}
  • {BLOCKED}.{BLOCKED}.247.10:80/{文字列}
  • {BLOCKED}.{BLOCKED}.25.30:53/{文字列}
  • {BLOCKED}.{BLOCKED}.161.166:443/{文字列}
  • {BLOCKED}.{BLOCKED}.203.26:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.153.252:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.93.103:7080/{文字列}
  • {BLOCKED}.{BLOCKED}.193.139:20/{文字列}
  • {BLOCKED}.{BLOCKED}.132.213:8090/{文字列}
  • {BLOCKED}.{BLOCKED}.140.110:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.216.44:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.138.82:22/{文字列}
  • {BLOCKED}.{BLOCKED}.246.93:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.44.20:21/{文字列}
  • {BLOCKED}.{BLOCKED}.11.150:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.234.16:8080/{文字列}
  • {BLOCKED}.{BLOCKED}.252.13:443/{文字列}
  • {BLOCKED}.{BLOCKED}.106.43:995/{文字列}
  • {BLOCKED}.{BLOCKED}.98.125:8080/{文字列}
    上記の{文字列}には、以下のいずれかの文字列、またはいずれかを組み合わせた文字列が当てはまります。{文字列}は、 "/"により分けられています。
    • teapot
    • pnp
    • tpt
    • splash
    • site
    • codec
    • health
    • balloon
    • cab
    • odbc
    • badge
    • dma
    • psec
    • cookies
    • iplk
    • devices
    • enable
    • mult
    • prov
    • vermont
    • attrib
    • schema
    • iab
    • chunk
    • publish
    • prep
    • srvc
    • sess
    • ringin
    • nsip
    • stubs
    • img
    • add
    • xian
    • jit
    • free
    • pdf
    • loadan
    • arizona
    • tlb
    • forced
    • results
    • symbols
    • report
    • guids
    • taskbar
    • child
    • cone
    • glitch
    • entries
    • between
    • bml
    • usbccid
    • sym
    • enabled
    • merge
    • window
    • scripts
    • raster
    • acquire
    • json
    • rtm
    • walk
    • ban

情報漏えい

スパイウェアは、以下の情報を収集します。

  • コンピュータ名
  • 感染コンピュータの位置情報
  • オペレーティングシステム(OS)のバージョン
  • 実行中のプロセス

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.376.03
初回 VSAPI パターンリリース日 2019年9月19日
VSAPI OPR パターンバージョン 15.377.00
VSAPI OPR パターンリリース日 2019年9月20日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

「TrojanSpy.Win32.EMOTET.TIABOFDB」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

RESTORE
  • 「レジストリエディタ」を閉じます。
  • 手順 5

    このレジストリ値を削除します。

    [ 詳細 ]

    警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
    レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
    レジストリの編集前にこちらをご参照ください。

    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{string1}{string2}
      • Type = 16
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{string1}{string2}
      • Start = 2
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{string1}{string2}
      • ErrorControl = 0
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{string1}{string2}
      • DisplayName = {string1}{string2}
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{string1}{string2}
      • ObjectName = {string1}{string2}
    • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      • {string1}{string2} = %AppDataLocal%\{string1}{string2}\{string1]{string2}.exe

    手順 6

    以下のフォルダを検索し削除します。

    [ 詳細 ]
    註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
    • %AppDataLocal%\{string1}{string2}

    手順 7

    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.Win32.EMOTET.TIABOFDB」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

    手順 8

    このレジストリ値を削除します。

    [ 詳細 ]

    警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
    レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
    レジストリの編集前にこちらをご参照ください。

    RESTORE
  • 「レジストリエディタ」を閉じます。

  • ご利用はいかがでしたか? アンケートにご協力ください