• About
• 被害対策
• マルウェア
• Topics
• FSWiki
• 質問掲示板
• Forum
• HJT DB
• リンク
• CGIで遊ぶ

「Your computer is infected!」の警告を出すインチキアプリの削除法

「Your computer is infected!」など脅しの警告を出すなどして製品を買わせようとする数々のインチキアンチスパイウェアソフトが登場しています。
最近では「Critical System Error！」「System Alert: Trojan-Spy.Win32@mx」バージョンも出てきました。

これらのインチキアンチスパイウェアの共通項は、

1. 承諾無しに、あるいは脅しや騙しに近い方法でインストールされるものである （悪質なダウンローダとタイアップしているものも多い）
2. 虚偽の検出結果、あるいは誇張した検出結果を報告して製品購入を促す （検出された「問題」の解決には製品購入が必須）
3. 多くのものは、その検出能力自体に疑問がある （程度の差はあります）

などです。特に重要なポイントは1.です。例え有用な製品であろうと無償であろうと、これに該当すればマルウェアです。

ここでは、この類のマルウェアをタイプごとに分類して、その症状と対処法について纏めます。

目次 （項目をクリックするとその部分にジャンプします）

• 共通する症状

• VirusBurst型 (旧SpyFalcon/SpywareQuake型) の場合

  • 駆除方法

• 旧バージョン(SpyAxe/SpywareStrike型)の例

  • 駆除方法

• 旧バージョン(PSGuard/AlfaCleaner型)の例

  • 駆除方法

• このページについて

共通する症状

通知領域からYour computer is infected!などの警告ポップアップが出る

Possible harmful infection was detected on your PC. The system will now download and install the most efficient spyware removal proguramu to prebent data loss and your identity theft. Click here to protect PC from the biggest spyware threats.

2006/09に出て来たバージョン「Critical System Error！」

（青丸・赤丸が交互に点滅し終了できない)

Critical System Error! System detected virus activities. They may cause critical system failure. Please, use antimalware software to clean and protect your system from parasite programs. Click here to get all available software.

黄▲に!マークのアイコンが点滅しています

System Alert: Trojan-Spy.Win32@mx

インチキアプリのショートカットとダミーのウイルス対策ツ−ル会社へのショートカットがデスクトップに出現する

インチキアプリが勝手にインストールされ、プログラムの追加と削除にも複数のエントリが登録される

"DisplayName"="Internet Explorer Security Plugin 2006"
"DisplayName"="Internet Security Add-On"
"DisplayName"="Public Messenger ver 2.03"
"DisplayName"="Safety Alerter 2006"

その他の症状

• カジノなどのポップアップ広告が出る
• IEホームがwww.safetyhomepage.comなどに変えられる
• 怪しいツールバーがインストールされる

VirusBurst型の場合(旧SpyFalcon/SpywareQuake型)

「プログラムの追加と削除」に現れるエントリ

これらがあれば「プログラムの追加と削除」よりアンインストールして下さい。参考Symantec・Trojan.Emcodec

"DisplayName"="X Password Manager 3.0"
"DisplayName"="eMedia Codec 4.0"
"DisplayName"="Media-Codec 4.0"

HijackThisのログに現れるエントリ

2006/09バージョン

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Program Files\X Password Manager\isaddon.dll
O3 - Toolbar: Protection Bar - {fe2d25c1-c1db-4b5e-9390-af1cb5302f32} - C:\Program Files\X Password Manager\iesplugin.dll
O4 - HKLM\..\Run: [VirusBurst] C:\Program Files\VirusBurst\VirusBurst.exe /h
O21 - SSODL: died - {7fa55359-7223-410f-bc82-efb3e3ded07f} - C:\WINDOWS\System32\gtpbx.dll

旧バージョン

O4 - HKLM\..\Run: [SpyFalcon] C:\Program Files\SpyFalcon\SpyFalcon.exe /h

症状と画像

VirusBurst

SpyFalcon

スキャンされたエントリを削除しようとするとサイトへ誘導され支払い画面になります（これはこのページの他のインチキアプリも共通）

SpywareStrikeなどのショートカットと、ダミーのウイルス対策ツ−ル会社へのショートカットがデスクトップに出現する

駆除方法

WindowsXP/2000の場合には、このタイプの駆除はSmitfraudFixを使うことで「プログラムの追加と削除」のエントリも含めてキレイに削除することができます。

• SmitfraudFix の使い方 - 【アダ被の部屋】Wiki

何か不具合が起こってうまくこのツールが動作しない場合や、自信の無い場合は質問掲示板へ投稿して下さい。

また、SpyFalcon/SpywareQuakeの場合は「roguescanfix.exe」を使った駆除方法もあります。こちらをご覧下さい

• roguescanfix.exe の使い方 - 【アダ被の部屋】Wiki

旧バージョン(SpyAxe/SpywareStrike型)の例

HijackThisのログに現れるエントリ

O4 - HKLM\..\Run: [SpywareStrike] C:\Program Files\SpywareStrike\SpywareStrike.exe /h

画像と症状

PC起動と共にSpywareStrikeなどが起動してスキャンが開始される

検出されたものを除去しようとして中央下のCleanをクリックすると、メールアドレスと名前の記入を促される

スキャンされたエントリを削除しようとすると、サイトへ誘導されて支払い画面になる

その他の症状として、

• InternetExplorerのホームページが改竄される
• 時々アダルトページや他ページが開く
• PCが重くなる

などが報告されています。

駆除方法

SpyAxe/SpywareStrike型の場合には、「smitRem」というツールを使って駆除を行います。こちらを参照して下さい。

• smitRem.exe の使い方 - 【アダ被の部屋】Wiki

旧バージョン(PSGuard/AlfaCleaner型)の例

HijackThisのログに現れるエントリ

AlfaCleaner

O4 - HKLM\..\Run: [AlfaCleaner] C:\Program Files\AlfaCleaner\AlfaCleaner.exe
O23 - Service: AlfaCleanerService - AlfaCleaner.com - D:\Program Files\AlfaCleaner\ACServer.exe

これ以外にも、こちらのエントリも多く見られます

O4 - HKLM\..\Run: [intell321.exe] C:\WINDOWS\system32\intell321.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

症状と画像

アプリ画面はこちらです。

AlfaCleaner

やはり、スキャンされたエントリを削除しようとするとサイトへ誘導されて支払い画面になります。

また、複合で「Desktop Uninstall」(プログラムの追加と削除を確認)の感染もよく見掛けます。

駆除方法

PSGuard/AlfaCleaner型感染の場合は、「SmitfraudFix」を使って自動駆除が可能です。こちらをお試し下さい。

• SmitfraudFix の使い方 - 【アダ被の部屋】Wiki

基本的にこれで一発駆除できるはずですが、念のため処理後に正規のファイル「wininet.dll」の感染の有無をこちらのサイトから調べて下さい

• Online malware scan

上の「File to upload & scan」の所にある「参照」をクリックし、「C:\WINDOWS\system32\wininet.dll」を指定して「Submit」をクリックします。
すると、「Uploading file, please wait...」と出たあと画面が切り替わり、各種アンチウイルスエンジンによるスキャンが行われます。

Kaspersky Anti-Virusで「"Virus.Win32.Nsag.b"」感染が確認された場合「wininet.dll」の処理が別途必要になります。

感染wininet.dllの処理

＊注１： 「wininet.dll」自体はWindowsの大事な正規ファイルです。いきなり削除しないでください。
＊注２： これはWinXP/Win2000のファイル保護機能利用しての対処法です。Win9X系では行わないで下さい。

9X系の場合で、お使いのウイルス対策ソフトが対応していない場合には駆除は困難です。残念ながらリカバリをお勧めします。

以下の処理は、必ずPCを通常モードで起動した状態で行って下さい。また、その際は他のウィンドウはすべて閉じておいて下さい。

1) スタート＞すべてのプログラム＞アクセサリ＞コマンドプロンプトを選択し、コマンドプロンプトを起動します。

起動したら、

cd C:\WINDOWS\system32

と入力して「Enter」キーを押します。次に、

ren wininet.dll wininet.dll.ren

と入力して「Enter」キーを押します。終了したらコマンド画面を閉じてPCを再起動してください。

このページについて

このページは、こちらのWiki文書を元に、場主がHTML化したものです。

• 「Your computer is infected!」警告＆アプリが勝手にインストールされる - 【アダ被の部屋】Wiki

更新履歴

2006.9.12 最新型VirusBurst型を中心に全体を改訂
2006.5.9 手動除去を削除。知りたい方はWikiの方へどうぞ
2006.4.23 全面改定
2006.4.4 序文を改訂
2006.4.1 改訂
2006.3.27 SpywareQuake追記
2006.3.26 SpyFalcon、AlfaCleanerの部分を改訂
2006.2.23 Wikiを元にページ作成

【文頭に戻る】

POWERED by