WORM_AUTORUN.SM5
Trojan:Win32/Otran (Microsoft); Generic.dx!xja (McAfee); Trojan.ADH (Symantec); Trojan.Win32.Regrun.fzk, Trojan.Win32.Regrun.fzk (Kaspersky); Trojan.Win32.Generic!BT (Sunbelt); Backdoor.Agent.1 (FSecure)
Windows 2000, Windows, XP, Windows Server 2003
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下のフォルダを作成します。
- %System%\~A~m~B~u~R~a~D~u~L~
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Revenger = "%System%\K0L4B0R451.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Winlogon = "%System%\~A~m~B~u~R~a~D~u~L~\winlogon.exe"
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe "%System%\K0L4B0R451.exe""
(註:変更前の上記レジストリ値は、「Explorer.exe」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%System%\K0L4B0R451.exe"
(註:変更前の上記レジストリ値は、「%System%\userinit.exe,」となります。)
他のシステム変更
ワームは、以下のファイルを削除します。
- %System%\~A~m~B~u~R~a~D~u~L~\JPG.ico
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
ワームは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\
Control\SafeBoot
HKEY_CLASSES_ROOT\lnkfile\shell\
open\command
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
inffile\Shell\Edit\
Command
HKEY_CLASSES_ROOT\regfile\shell\
Install\command
HKEY_CLASSES_ROOT\VBSFile\shell\
Install\command
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
setup32.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
PCMAV.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
PCMAV-CLN.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
PCMAV-RTP.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
PCMAV-SE.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
ansav.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
avscan.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
avgnt.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
SMP.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Avguard.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Avgw.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
CClaw.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Nip.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Nipsvc.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Niu.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Njeeves.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Nvccf.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Nvcoas.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Zanda.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Zlh.exe
ワームは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\
Control\SafeBoot
AlternateShell = "cmd.exe %System%\Kantuk.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\
Control\SafeBoot
AlternateShell = "cmd.exe %System%\Kantuk.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
exefile
NeverShowExt = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
scrfile
NeverShowExt = 1
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableCMD = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableCMD = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableConfig = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableSR = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Installer
LimitSystemRestoreCheckpointing = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Installer
DisableMSI = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer
NoTrayContextMenu = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer
NoViewContextMenu = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
setup.exe
Debugger = "notepad.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
install.exe
Debugger = "notepad.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
setup32.exe
Debugger = "notepad.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
PCMAV.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
PCMAV-CLN.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
PCMAV-RTP.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
PCMAV-SE.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
ansav.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
avscan.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
avgnt.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
SMP.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Avguard.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Avgw.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
CClaw.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Nip.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Nipsvc.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Niu.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Njeeves.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Nvccf.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Nvcoas.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Zanda.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Zlh.exe
Debugger = "cmd.exe /c del"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
CabinetState
FullPathAddress = 1
ワームは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%Windows%\K0L4B0R451.jpg"
(註:変更前の上記レジストリ値は、「%Windows%\web\wallpaper\Bliss.bmp」となります。)
HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = "0"
(註:変更前の上記レジストリ値は、「2」となります。)
HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = "%System%\Windows_3D.scr"
(註:変更前の上記レジストリ値は、「%System%\logon.scr」となります。)
HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaverIsSecure = "0"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaveTimeOut = "100"
(註:変更前の上記レジストリ値は、「600」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot
AlternateShell = "%System%\GoldenGhost.exe"
(註:変更前の上記レジストリ値は、「cmd.exe」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot
AlternateShell = "cmd.exe %System%\Kantuk.exe"
(註:変更前の上記レジストリ値は、「cmd.exe」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AeDebug
Debugger = ""%System%\K0L4B0R451.exe""
(註:変更前の上記レジストリ値は、「drwtsn32 -p %ld -e %ld -g」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AeDebug
Auto = "1"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
ProductId = "W32/K0L4B0R451.A"
(註:変更前の上記レジストリ値は、「76487-640-8834005-23093」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
ProductName = "Microsoft Worm.32"
(註:変更前の上記レジストリ値は、「Microsoft Windows XP」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
RegisteredOrganization = "B 4 N Y U W 4 N 9 1"
(註:変更前の上記レジストリ値は、「orciM dnerT」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
RegisteredOwner = "Br0nt0x's Student 2008"
(註:変更前の上記レジストリ値は、「winxpsp2」となります。)
HKEY_CURRENT_USER\Control Panel\International
s1159 = "K0L4B0R451"
(註:変更前の上記レジストリ値は、「AM」となります。)
HKEY_CURRENT_USER\Control Panel\International
s2359 = "K0L4B0R451"
(註:変更前の上記レジストリ値は、「PM」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
DefaultValue = 1
(註:変更前の上記レジストリ値は、「2」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
NOHIDDEN
CheckedValue = 2
(註:変更前の上記レジストリ値は、「2」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
NOHIDDEN
DefaultValue = 2
(註:変更前の上記レジストリ値は、「2」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = 1
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\HideFileExt
CheckedValue = 1
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\HideFileExt
UncheckedValue = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\HideFileExt
DefaultValue = 1
(註:変更前の上記レジストリ値は、「1」となります。)
ワームは、以下のレジストリ値を追加し、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableTaskMgr = 1
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableRegistryTools = 1
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoTrayContextMenu = 1
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoViewContextMenu = 1
作成活動
ワームは、以下のファイルを作成します。
- %Windows%\K0L4B0R451.jpg
- %System%\Word.ico
- %System%\Folder.ico
- %System%\Player.ico
- %System%\Rar.ico
- %System%\Asli.ico
- %System Root%\Aut0exec.bat
- %System%\~A~m~B~u~R~a~D~u~L~\winlogon.exe
- %System%\Kantuk.exe
- %System%\4K51K4.exe
- %System%\GoldenGhost.exe
- Windows_3D.scr
- %System%\K0L4B0R451.exe
- %System%\Shell32.com
- %Common Startup%\Empty.pif
このウイルス情報は、自動解析システムにより作成されました。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
スタートアップディスク、または、回復コンソールを用いて、「WORM_AUTORUN.SM5」として検出されたファイルを確認し削除します。
手順 3
レジストリエディタおよびタスクマネージャ、フォルダオプションの機能を有効にします。
手順 4
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control
- SafeBoot
- In HKEY_CLASSES_ROOT\lnkfile\shell\open
- command
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
- System
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT
- SystemRestore
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
- Explorer
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\Shell\Edit
- Command
- In HKEY_CLASSES_ROOT\regfile\shell\Install
- command
- In HKEY_CLASSES_ROOT\VBSFile\shell\Install
- command
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- setup32.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- PCMAV.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- PCMAV-CLN.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- PCMAV-RTP.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- PCMAV-SE.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- ansav.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- avscan.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- avgnt.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- SMP.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- Avguard.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- Avgw.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- CClaw.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- Nip.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- Nipsvc.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- Niu.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- Njeeves.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- Nvccf.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- Nvcoas.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- Zanda.exe
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- Zlh.exe
手順 5
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Revenger="%System%\K0L4B0R451.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Winlogon="%System%\~A~m~B~u~R~a~D~u~L~\winlogon.exe"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
- AlternateShell="cmd.exe %System%\Kantuk.exe"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
- AlternateShell="cmd.exe %System%\Kantuk.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
- NeverShowExt=1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile
- NeverShowExt=1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD=1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- DisableCMD=1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- EnableLUA=1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
- DisableConfig=1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
- DisableSR=1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
- LimitSystemRestoreCheckpointing=1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
- DisableMSI=1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- NoTrayContextMenu=1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- NoViewContextMenu=1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe
- Debugger="notepad.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe
- Debugger="notepad.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup32.exe
- Debugger="notepad.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV.exe
- Debugger="cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
- Debugger="cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
- Debugger="cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-SE.exe
- Debugger="cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe
- Debugger="cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avscan.exe
- Debugger="cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe
- Debugger="cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
- Debugger="cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avguard.exe
- Debugger="cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avgw.exe
- Debugger="cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CClaw.exe
- Debugger="cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nip.exe
- Debugger="cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nipsvc.exe
- Debugger="cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Niu.exe
- Debugger="cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Njeeves.exe
- Debugger="cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nvccf.exe
- Debugger="cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nvcoas.exe
- Debugger="cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Zanda.exe
- Debugger="cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Zlh.exe
- Debugger="cmd.exe /c del"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState
- FullPathAddress=1
手順 6
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: Wallpaper="%Windows%\K0L4B0R451.jpg"
To: Wallpaper=%Windows%\web\wallpaper\Bliss.bmp
- From: Wallpaper="%Windows%\K0L4B0R451.jpg"
- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: TileWallpaper="0"
To: TileWallpaper=0
- From: TileWallpaper="0"
- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: WallpaperStyle="0"
To: WallpaperStyle=2
- From: WallpaperStyle="0"
- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: SCRNSAVE.EXE="%System%\Windows_3D.scr"
To: SCRNSAVE.EXE=%System%\logon.scr
- From: SCRNSAVE.EXE="%System%\Windows_3D.scr"
- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: ScreenSaverIsSecure="0"
To: ScreenSaverIsSecure=0
- From: ScreenSaverIsSecure="0"
- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: ScreenSaveTimeOut="100"
To: ScreenSaveTimeOut=600
- From: ScreenSaveTimeOut="100"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
- From: AlternateShell="%System%\GoldenGhost.exe"
To: AlternateShell=cmd.exe
- From: AlternateShell="%System%\GoldenGhost.exe"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
- From: AlternateShell="cmd.exe %System%\Kantuk.exe"
To: AlternateShell=cmd.exe
- From: AlternateShell="cmd.exe %System%\Kantuk.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
- From: Debugger=""%System%\K0L4B0R451.exe""
To: Debugger=drwtsn32 -p %ld -e %ld -g
- From: Debugger=""%System%\K0L4B0R451.exe""
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
- From: Auto="1"
To: Auto=1
- From: Auto="1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- From: ProductId="W32/K0L4B0R451.A"
To: ProductId=76487-640-8834005-23093
- From: ProductId="W32/K0L4B0R451.A"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- From: ProductName="Microsoft Worm.32"
To: ProductName=Microsoft Windows XP
- From: ProductName="Microsoft Worm.32"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- From: RegisteredOrganization="B 4 N Y U W 4 N 9 1"
To: RegisteredOrganization=orciM dnerT
- From: RegisteredOrganization="B 4 N Y U W 4 N 9 1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- From: RegisteredOwner="Br0nt0x's Student 2008"
To: RegisteredOwner=winxpsp2
- From: RegisteredOwner="Br0nt0x's Student 2008"
- In HKEY_CURRENT_USER\Control Panel\International
- From: s1159="K0L4B0R451"
To: s1159=AM
- From: s1159="K0L4B0R451"
- In HKEY_CURRENT_USER\Control Panel\International
- From: s2359="K0L4B0R451"
To: s2359=PM
- From: s2359="K0L4B0R451"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
- From: DefaultValue=1
To: DefaultValue=2
- From: DefaultValue=1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
- From: CheckedValue=2
To: CheckedValue=2
- From: CheckedValue=2
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
- From: DefaultValue=2
To: DefaultValue=2
- From: DefaultValue=2
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- From: HideFileExt=1
To: HideFileExt=1
- From: HideFileExt=1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
- From: CheckedValue=1
To: CheckedValue=1
- From: CheckedValue=1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
- From: UncheckedValue=1
To: UncheckedValue=0
- From: UncheckedValue=1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
- From: DefaultValue=1
To: DefaultValue=1
- From: DefaultValue=1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- From: Shell="Explorer.exe "%System%\K0L4B0R451.exe""
To: Shell=Explorer.exe
- From: Shell="Explorer.exe "%System%\K0L4B0R451.exe""
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- From: Userinit="%System%\userinit.exe,%System%\K0L4B0R451.exe"
To: Userinit=%System%\userinit.exe,
- From: Userinit="%System%\userinit.exe,%System%\K0L4B0R451.exe"
手順 7
以下のフォルダを検索し削除します。
手順 8
以下のファイルを検索し削除します。
- %Windows%\K0L4B0R451.jpg
- %System%\Word.ico
- %System%\Folder.ico
- %System%\Player.ico
- %System%\Rar.ico
- %System%\Asli.ico
- %System Root%\Aut0exec.bat
- %System%\~A~m~B~u~R~a~D~u~L~\winlogon.exe
- %System%\Kantuk.exe
- %System%\4K51K4.exe
- %System%\GoldenGhost.exe
- Windows_3D.scr
- %System%\K0L4B0R451.exe
- %System%\Shell32.com
- %Common Startup%\Empty.pif
手順 9
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_AUTORUN.SM5」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 10
以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。 %System%\~A~m~B~u~R~a~D~u~L~\JPG.ico
ご利用はいかがでしたか? アンケートにご協力ください