黒い画面にマウスカーソル (Win32/Daonol) - セキュリティホール memo Windows PE を使ったレジストリ修正については、たとえば、Windows PE 完全活用ガイド［Technique 3］オフラインの状態でレジストリを編集するには？(ComputerWorld.jp) を参照。
日本のセキュリティチーム (Japan Security Team) : 黒い画面にマウスカーソル (Win32/Daonol) さて、このマルウェアですが、(1) 最近出回った、メールに添付されたマルウェア(A)を、ユーザーが実行して感染、その後、マルウェア(A)が、Daonol等別のマルウェアをダウンロードするケースと、 (2) Webを参照した際に、アプリケーションの脆弱性を悪用されて、不正なコードが実行され、Daonol等のマルウェアをダウンロードするケースのおおむね２経路での感染が多いようです。

Web 経由の感染は、いわゆる gumblar (GENO, JSRDir) の手法なわけですが
（中略）
Windows XP で黒い画面で止まってしまう現象のかたは、一例として、以下のレジストリを削除することで回復できます。とはいえ、このレジストリを操作するために、 WinPEイメージによる起動か、Windows Vista 以降の回復コンソールが必要になりますし、不用意なレジストリ操作はいささか危険です。

　[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32]
　"midi9"="C:\\WINDOWS\\<random>.tmp <random>"

追記：2009.10.24 土曜日 急 - UnderForge of Lack
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32]
の aux(nnn)= midi(nnn)= の各エントリに妙なファイルが設定されている部分です。 midi?=だけでなくaux?=もですか。
妙というのが判断しづらいですよね……「<random>.拡張子（tmpとか） <random>」な感じという認識でいいのかな？

うちのレジストリを見たところ
"aux"="wdmaud.drv"
"aux1"="wdmaud.drv"
"midi"="wdmaud.drv"
　：
"midi4"="wdmaud.drv"
のようにaux?とmidi?は全て"wdmaud.drv"でした。

追記2：判断しづらいなんて書いてしまったものだからG`nome様がわざわざ解説を……
す、すいません。m(_ _)m

2009.10.25 日曜日 - UnderForge of Lack Drivers32 に設定されるファイルは eisvmyu.tmp, ayndn.bak, diq.dat, hgwcmg.oldなど、ランダム + tmp bak dat old
登録時に Document~1\user\LOCALS~1\Temp のように、マイドキュメントへのフルパスが入っている

というところでしょうか？ 詳細は「UnderForge of Lack」を見ていただくとして、大雑把に
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32]
"midi9"="C:\\WINDOWS\\<random>.tmp <random>"
は真っ黒で
aux?やmidi?にフルパスがあったらかなり黒いグレーで
tmp、bak、dat、oldのようなドライバーと関係なさそうな拡張子だったら限りなく黒と思えばよさそうですね。

今のぞいてみたらDrivers32でフルパスなのは
"msacm.l3acm"="C:\Windows\System32\l3codeca.acm"
だけでした（カスタマイズによって違うでしょうけれど）。

※新しいGumblarはレジストリを隠蔽するようになったので、感染したWindows上からはmidi9が確認できなくなっています。


富士通のサポートがつながりにくくなるくらい多発中のようです。
電話お問い合わせ窓口の混雑について（お詫び） - AzbyClub サポート : 富士通