2004年06月22日

踏んじゃった・・・

海外のサイトから作業に使えそうなフリーウェアを探そうと思って適当な検索ワードで適当に徘徊してたら、ブラクラに遭遇。
Sleipnirを使ってたのでとりあえず終了させようと思ったら、なんかいきなりIEのウィンドウが開いてそっちで盛大にブラクラ開始Σ( ̄□ ̄;

うわぁ、どうやったらSleipnirの外にウィンドウ出せるんだろうと思いつつもIEを強制終了させようとタスクマネージャーを呼び出して、IEのプロセスを切ろうと思ったその瞬間!

「あれ、今なんか確認ダイアログ出てきて押さなかったか・・・?」

タスクマネージャーを常に最前面表示にしてなかったので、タスクマネージャーに被る形でダイアログが出てきたんですが、どうも左側のボタンを丁度クリックした様な気がします。
そうしているうちにIEに妙なツールバーが追加されたんで、こりゃ不味いとIEを強制終了。

って、まだなんか余計なソフト動いてませんか?(;´д`)ノ

タスクマネージャーの表示をプロセスの使用CPU順でソートして上位にいる怪しいのを片っ端から強制終了。

で、一通り見通しが良くなったんで、おそるおそるIEを開いてみたら、IEに余計なツールバーは付きっぱなしだし、ホームは妙なのに刺し変わってるし・・・
さっきの挙動からしておそらくアドウェアやらスパイウェアやらごっそり入れられただろうなぁと検討をつけたので、がんばって消すこととなりました。

ちなみに、以下の方法は自分の勉強のためと、ダメならいい機会なのでOS入れ替えようと思いつつやった作業なので、相当無茶してます(笑)
故に以下の方法は全くお勧めできません。

まず、再起動時に妙なのが立ち上がるのが一番困るので、レジストリの項目から

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunonceEX
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windowsの「AppInit_DLLs」キー
辺りを確認。
作業が終わるまではIE系は棄ててOperaを使ってネットで調べつつ見ていくと、「optimize.exe」「ISTSVC.EXE」「msbb.exe」「jyxkr.exe」「Sync.exe」など身に覚えの無いキーがごろごろしてたので全て削除。

次にスタートアップを確認して、一応余計なショートカットが無いことと、全てのショートカットが本物であることを確認。

最後に「コントロールパネル」→「管理ツール」→「サービス」から自動実行になっている変なサービス(特に説明文が無いものや、英語のもの)を確かめてネットで調べつつおかしいのがないことを確認

で、ひとまず再起動。

その後、起動させてから、自動起動するアプリケーションを片っ端から終了させて、その後のプロセスをタスクマネージャから確認。
変なのは見つからなかったのでひとまず、メモリから追い出しは成功と判断。

次は、削除ですが、なにげに「コントロールパネル」→「アプリケーションの追加と削除」を見てみたら

いくつかのスパイウェアがちゃんと登録されてる( ̄○ ̄;)!

ここで悪い癖がでて「ここからアンインストールしたらちゃんと消えるのだろうか」確認したい欲求がむくむくと(笑)

なのでやってみました(爆)
結果は

そこそこ消える(笑)

ブラウザで怪しいサイトを呼び出したりするのもあったのでびくびくでしたが、あちこちにゴミは残すもの一通り消えるものとか、動かないものとかで、それをクリックしたからと行ってさらに追加されるような悪質なものはありませんでした。
これは意外でしたねぇ。
※危険なんで皆さんはマネしないように(^^;

で、まっとうな削除に戻ります。

まずノートンさんで削除を試してみましたが、コーポレートエディションだったためか検索に3時間も掛かったくせに何もヒットせず(;´д`)ノ
使えない・・・

と言うことで今日インストールされたんだからら今日できた怪しいファイルを消そうと検索して消すことにしました。
今日作成されたファイルを検索するためには、マイコンピュータを開いてシステムが入って居るドライブ(普通はC)のアイコンを右クリックして「検索」をクリックします。

そこで左の検索のバーの「検索オプション」から「日付」を開いて、「新規に作成されたファイル」「過去1日間」を選んで検索スタート。
すると過去1日ぐらいに新しく作成された一覧がでる(つまりインストールされたファイルが列挙され)ます。
おそらく結果には入れられたアダルトサイトのブックマークとか、さっきレジストリから削除したファイル名がごっそり出てくるので、結果の中で怪しいものを片っ端から削除します(笑)

次に検索の設定で「新規に作成されたファイル」を「修正されたファイル」に変えて検索。こちらはちょっと慎重に相当怪しいものだけを削除します。

これで一通り消えたはずですが、さすがにこんなザル削除で放置するのも気持ち悪いので、仕上げはちゃんとしたソフトに頼ることにしました。

入れたソフトは

無料版ではリアルタイム監視とか拡張機能が使えませんが、最後の仕上げの確認なら十分なのでインストールして日本語パッチをあて、パターンファイルを最新版にアップデートして実行。

さすがにプログラム自体は上記の作業で全部消えたようで一つも見つかりませんでしたが、レジストリやクッキーにスパイウェアなどの痕跡が大量に見つかったようなので、面倒なので全部隔離(笑)

でも、ちゃんと実行ファイル検査しているのかなぁと、削除しないでひっそり確保しておいたサンプル(Sync.exe)を書く戻してみたところ

ヒットしねぇ・・・_| ̄|○

もう一個ぐらい試した方が良さそうです。

と言うわけで

を試してみました。

するとさらに67ぐらい問題発覚しましたがSync.exeはやっぱり見つからない(苦笑)

・・・まぁ、怪しいのは手動で消したしいいか(笑)

と言うわけでこれできれいになったと思いこむことにしました。
問題が出たら随所対処すると言うことで( ̄▽ ̄)ノ

・・・にしても疲れた(;´д`)ノ

Posted by Takuchan at 2004年06月22日 14:52 | トラックバック(0)