Adware.Quiknowledge

ドキュメントを印刷する

更新日: October 23, 2014 1:54:23 AM
種別: Adware
名前: Quiknowledge
バージョン: 1.9.0.3
発行者: Quiknowledge
リスクインパクト: Low
影響を受けるシステム: Windows

動作

Adware.Quiknowledge は、コンピュータのブラウザに広告を表示するアドウェアプログラムです。

ウイルス対策日

  • Rapid Release 初回バージョン October 02, 2014 リビジョン 022
  • Rapid Release 最新バージョン October 14, 2014 リビジョン 008
  • Daily Certified 初回バージョン October 01, 2014 リビジョン 016
  • Daily Certified 最新バージョン October 14, 2014 リビジョン 025

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート

このプログラムは、他のソフトウェアにバンドルされて届きます。

このプログラムが実行されると、次のフォルダを作成します。

  • %UserProfile%\Administrator\Local Settings\Application Data\Google\Chrome\User Data\lockfile
  • %UserProfile%\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Extension Rules
  • %ProgramFiles%\Quiknowledge
  • %ProgramFiles%\Quiknowledge\3rd Party Licenses
  • %ProgramFiles%\Quiknowledge\Chrome
  • %ProgramFiles%\Quiknowledge\IE
  • %ProgramFiles%\Quiknowledge\Service
  • %UserProfile%\Administrator\Application Data\Microsoft\Crypto\RSA\S-1-5-21-1316737702-3227248519-3113389456-500\c27d308aae3c33db11bd5e24f355c417_298dcd47-1fea-4ee9-bee3-d747db7fd72e
  • %UserProfile%\Administrator\Application Data\Microsoft\SystemCertificates\My\Certificates\98B5606E20D171BC6B2EC1415A76568F931A1365
  • %UserProfile%\Administrator\Application Data\Microsoft\SystemCertificates\My\Keys\25D2E410C33BB9533678D0D3273F08B8E76B8D78
  • %UserProfile%\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Extension Rules\LOCK
  • %UserProfile%\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Extension Rules\LOG

その後、次のファイルを作成します。
  • %ProgramFiles%\Quiknowledge\3rd Party Licenses\buildcrx-license.txt
  • %ProgramFiles%\Quiknowledge\3rd Party Licenses\Info-ZIP-license.txt
  • %ProgramFiles%\Quiknowledge\3rd Party Licenses\nsJSON-license.txt
  • %ProgramFiles%\Quiknowledge\3rd Party Licenses\UAC-license.txt
  • %ProgramFiles%\Quiknowledge\Chrome\dfgikfbdnbkcddjkkcfjchpbgoeiecaj.crx
  • %ProgramFiles%\Quiknowledge\IE\QuiknowledgeClientIE.dll
  • %ProgramFiles%\Quiknowledge\Service\qksvc.exe
  • %ProgramFiles%\Quiknowledge\terms-of-service.rtf
  • %ProgramFiles%\Quiknowledge\Uninstall.exe
  • %Windir%\system32\drivers\qknfd.sys

続いて、次のレジストリエントリを作成します。
  • HKEY_CLASSES_ROOT\CLSID\{323C6E6D-1621-470F-8A52-4FDEC4E75E40}\"Default" = "Quiknowledge"
  • HKEY_CLASSES_ROOT\CLSID\{323C6E6D-1621-470F-8A52-4FDEC4E75E40}\InprocServer32\"Default" = "%ProgramFiles%\Quiknowledge\IE\QuiknowledgeClientIE.dll"
  • HKEY_CLASSES_ROOT\CLSID\{323C6E6D-1621-470F-8A52-4FDEC4E75E40}\InprocServer32\"ThreadingModel" = Apartment"
  • HKEY_CLASSES_ROOT\CLSID\{323C6E6D-1621-470F-8A52-4FDEC4E75E40}\TypeLib\"Default" = "{F213853A-D221-4C97-8A4B-7E0AC63F31A1}"
  • HKEY_CLASSES_ROOT\CLSID\{323C6E6D-1621-470F-8A52-4FDEC4E75E40}\Version\"Default" = "1"
  • HKEY_CLASSES_ROOT\Interface\{CE4B58AF-E4FD-4C27-8627-AE9324C11F3F}\"Default" = "IBrowserHelperObject"
  • HKEY_CLASSES_ROOT\Interface\{CE4B58AF-E4FD-4C27-8627-AE9324C11F3F}\ProxyStubClsid\"Default" = "{00020424-0000-0000-C000-000000000046}"
  • HKEY_CLASSES_ROOT\Interface\{CE4B58AF-E4FD-4C27-8627-AE9324C11F3F}\ProxyStubClsid32\"Default" = "{00020424-0000-0000-C000-000000000046}"
  • HKEY_CLASSES_ROOT\Interface\{CE4B58AF-E4FD-4C27-8627-AE9324C11F3F}\TypeLib\"Default" = "{F213853A-D221-4C97-8A4B-7E0AC63F31A1}"
  • HKEY_CLASSES_ROOT\Interface\{CE4B58AF-E4FD-4C27-8627-AE9324C11F3F}\TypeLib\"Version" = "1"
  • HKEY_CLASSES_ROOT\TypeLib\{F213853A-D221-4C97-8A4B-7E0AC63F31A1}\1.0\"Default" = "VitruvianClientIELib"
  • HKEY_CLASSES_ROOT\TypeLib\{F213853A-D221-4C97-8A4B-7E0AC63F31A1}\1.0\0\win32\"Default" = "%ProgramFiles%\Quiknowledge\IE\QuiknowledgeClientIE.dll"
  • HKEY_CLASSES_ROOT\TypeLib\{F213853A-D221-4C97-8A4B-7E0AC63F31A1}\1.0\FLAGS\"Default" = "0"
  • HKEY_CLASSES_ROOT\TypeLib\{F213853A-D221-4C97-8A4B-7E0AC63F31A1}\1.0\HELPDIR\"Default" = "%ProgramFiles%\Quiknowledge\IE"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\Nqzvavfgengbe\Qrfxgbc\"dhvxabjyrqtr-frghc-1.9.0.3.rkr" = "[16 進数値]"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Quiknowledge\"nid" = "298DCD47-1FEA-4EE9-BEE3-D747DB7FD72E"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Quiknowledge\"ie-pid" = "3F94EBEC-7464-4B9A-BE89-E7AD52C1287F"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Quiknowledge\"cr-pid" = "BBC5016F-74C7-4C85-A33D-8513B4388C30"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Quiknowledge\"nf-pid" = "0781FF25-615E-4602-89E2-9FC6458B7380"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Quiknowledge\"iid" = "00000000-0000-0000-0000-000000000000"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Quiknowledge\"itm" = "2014-10-02T09:28:37Z"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Quiknowledge\"hid" = "A86D6C6B-1A13-5BD2-BE75-7BD5767C6383"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Quiknowledge\"ie-at" = "7D9A37E5-4A30-244B-B19F-7E050B0CA0C8"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Quiknowledge\"cr-at" = "DC91D05B-D062-C539-98F6-07958C259ADE"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Quiknowledge\"nf-at" = "A90C4140-5688-37E3-6AB2-E6ECEB62FAE1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Quiknowledge\"ie-ver" = "8.0.6001.18702"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Quiknowledge\"cr-ver" = "37.0.2062.124"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Quiknowledge\"dbsr" = "chrome"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Quiknowledge\"osn" = "Microsoft Windows XP"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Quiknowledge\"osv" = "5.1.2600"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Quiknowledge\"ost" = "x32"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{323C6E6D-1621-470F-8A52-4FDEC4E75E40}\"Default" = "Quiknowledge"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{323C6E6D-1621-470F-8A52-4FDEC4E75E40}\InprocServer32\"Default" = "%ProgramFiles%\Quiknowledge\IE\QuiknowledgeClientIE.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{323C6E6D-1621-470F-8A52-4FDEC4E75E40}\InprocServer32\"ThreadingModel" = "Apartment"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{323C6E6D-1621-470F-8A52-4FDEC4E75E40}\TypeLib\"Default" = "{F213853A-D221-4C97-8A4B-7E0AC63F31A1}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{323C6E6D-1621-470F-8A52-4FDEC4E75E40}\Version\"Default" = "1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CE4B58AF-E4FD-4C27-8627-AE9324C11F3F}\"Default" = "IBrowserHelperObject"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CE4B58AF-E4FD-4C27-8627-AE9324C11F3F}\ProxyStubClsid\"Default" = "{00020424-0000-0000-C000-000000000046}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CE4B58AF-E4FD-4C27-8627-AE9324C11F3F}\ProxyStubClsid32\"Default" = "{00020424-0000-0000-C000-000000000046}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CE4B58AF-E4FD-4C27-8627-AE9324C11F3F}\TypeLib\"Default" = "{F213853A-D221-4C97-8A4B-7E0AC63F31A1}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CE4B58AF-E4FD-4C27-8627-AE9324C11F3F}\TypeLib\"Version" = "1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F213853A-D221-4C97-8A4B-7E0AC63F31A1}\1.0\"Default" = "VitruvianClientIELib"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F213853A-D221-4C97-8A4B-7E0AC63F31A1}\1.0\0\win32\"Default" = "%ProgramFiles%\Quiknowledge\IE\QuiknowledgeClientIE.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F213853A-D221-4C97-8A4B-7E0AC63F31A1}\1.0\FLAGS\"Default" = "0"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F213853A-D221-4C97-8A4B-7E0AC63F31A1}\1.0\HELPDIR\"Default" = "%ProgramFiles%\Quiknowledge\IE"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{323C6E6D-1621-470F-8A52-4FDEC4E75E40}\"Default" = "Quiknowledge"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{323C6E6D-1621-470F-8A52-4FDEC4E75E40}\"NoExplorer" = "1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext\"IgnoreFrameApprovalCheck" = "1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Quiknowledge\"DisplayName" = "Quiknowledge"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Quiknowledge\"DisplayIcon" = "%ProgramFiles%\Quiknowledge\Uninstall.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Quiknowledge\"DisplayVersion" = "1.9.0.3"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Quiknowledge\"Publisher" = "Quiknowledge"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Quiknowledge\"URLInfoAbout" = "http://www.quiknowledge.com"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Quiknowledge\"UninstallString" = "%ProgramFiles%\Quiknowledge\Uninstall.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Quiknowledge\"NoModify" = "1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Quiknowledge\"NoRepair" = "1"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QKNFD\"NextInstance" = "1"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QKNFD\0000\"Service" = "qknfd"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QKNFD\0000\"Legacy" = "1"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QKNFD\0000\"ConfigFlags" = "0"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QKNFD\0000\"Class" = "LegacyDriver"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QKNFD\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QKNFD\0000\"DeviceDesc" = "qknfd"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QKNFD\0000\Control\"*NewlyCreated*" = "0"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QKNFD\0000\Control\"ActiveService" = "qknfd"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QKSVC\"NextInstance" = "1"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QKSVC\0000\"Service" = "qksvc"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QKSVC\0000\"Legacy" = "1"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QKSVC\0000\"ConfigFlags" = "0"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QKSVC\0000\"Class" = "LegacyDriver"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QKSVC\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QKSVC\0000\"DeviceDesc" = "Quiknowledge Client Service"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QKSVC\0000\Control\"*NewlyCreated*" = "0"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QKSVC\0000\Control\"ActiveService" = "qksvc"
  • HKEY_USERS\S-1-5-21-1316737702-3227248519-3113389456-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\Nqzvavfgengbe\Qrfxgbc\"dhvxabjyrqtr-frghc-1.9.0.3.rkr" = "[16 進数値]"

また、このプログラムは、次のレジストリサブキーを作成します。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Quiknowledge\ff-at
  • HKEY_LOCAL_MACHINE\SOFTWARE\Quiknowledge\ff-ver

このプログラムはその後、次のプロパティを持つサービスを作成します。

表示名:
  • qknfd
  • Quiknowledge Client Service

イメージパス:
  • [16 進数値]

説明:

  • このサービスは、HTTP Web サイトで Quiknowledge を有効にします。

続いて、次のレジストリサブキーを作成し、自分自身をサービスとして登録します。
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\qknfd
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\qksvc

このプログラムはその後、ユーザーのインターネットの閲覧履歴に関する情報を収集してブラウザに広告を表示します。


駆除方法

お使いのシマンテック製品がこのリスクについて警告した場合、またはこのリスクへの感染について懸念がある場合は、このページをご確認ください。

次に進む前に、Symantec Full System Scan User Guide (英語) を参照して、システムの完全スキャンを実行することをお勧めします。それでも問題が解決されない場合は、次のいずれかのオプションをお試しください。



Norton (個人向け) 製品のお客様
お客様が Norton 製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。


駆除ツール


感染した Windows システムファイルがある場合は、Windows のインストール CD を使用してファイルの置き換え が必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。


ビジネス (企業、法人向け) 製品のお客様
お客様がシマンテックのビジネス製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。


疑わしいファイルの特定と提出
提出された疑わしいファイルにより、シマンテックでは、保護機能が絶えず変化し続ける脅威の動向に対応していることを確認できます。提出されたファイルはシマンテックセキュリティレスポンスによって解析され、必要な場合は、更新された定義が LiveUpdate™ を介して直ちに配布されます。これにより、周辺のその他のコンピュータを攻撃から確実に保護することができます。シマンテックに提出する疑わしいファイルを特定する方法は、次のサイトで確認できます。


駆除ツール

感染した Windows システムファイルがある場合は、Windows のインストール CD を使ったファイルの置き換え が必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。
セキュリティのベストプラクティス - インターネットのあらゆる脅威を阻止する



手動による駆除
以下の手順は、現在サポート対象のシマンテック製ウイルス対策製品のすべてを対象に記述されています。


1. システムの完全スキャンの実行
Symantec Full System Scan User Guide (英語)


2. レジストリの設定の復元
レジストリを改ざんするリスクは多く、侵入先のコンピュータの機能または処理速度に影響を与える可能性があります。改ざんの多くは、さまざまな Windows コンポーネントによって復元することができますが、レジストリの編集が必要な可能性があります。作成または改ざんされたレジストリキーに関する情報については、この文書の「テクニカルノート」を参照してください。このリスクによって作成されたレジストリサブキーとレジストリエントリを削除して、すべての改ざんされたレジストリエントリを以前の値に戻します。