スパイウェア除去ウィザードをやってもどうしても駄目だった場合、基本的には質問掲示板にHijackThisのログとアンインストール情報のログを添えて質問していただくことになると思います。あまり自己流に色々やると事態を悪化してしまう可能性はありますが、ここではスパイウェアを手動で除去する場合の基本手順を纏めておきます。
タチの悪いスパイウェアの場合、例えばO10をいじられていたりする場合やHackerDefenderなどのツールが使われている場合にはこの手順で効果がない場合もあります。ですが、かなりのケースでこの手順は有効です。HijackThisログでどのエントリが不正なものなのかが解れば、大体この手順で症状が治まります。逆に、システムに必要なエントリを間違ってこの手順で削除してしまうと最悪の場合はPCが起動しない可能性もあります。あくまでも慎重に、自己責任でお願いします。
ある種のウイルスの場合と同様に、一旦インストールして起動してしまうと種種のアンチスパイウェアソフト(Ad-Aware、Spybot S&D、HijackThis等々)を関知してその動作を妨害したり、自身を変化させたりするものが増えています。また、起動するきっかけも複数仕掛けてある場合があるので、その一つだけを削除してもまた復活することがあります。
そこで、セーフモードでPCを起動して、まずその仕込まれたファイル自体を先に削除してしまおうというのがこの方法の骨子です。その後にそれらが起動されるきっかけ(エントリ)を削除。その他のレジストリ改竄についてはAd-Awareやアンチウイルスソフトに任せて「とりあえず」回復することを目的にしています。
WindowsXPないしMEをお使いの方で、最近トラブルが始まって適切な復元ポイントが存在する場合はいつでもシステムの復元を考慮して下さい。
これで治ればめっけものですので。
主な作業はすべてセーフモードで行います。従って、インターネットに接続できない可能性がありますので、あらかじめいくつかのファイルをダウンロードして準備しておきます。インストールが必要なものはインストールを行って動作確認をしておきます。
(1) Ad-Aware (ダウンロードしてインストール。定義ファイルをアップデートしておく)
(2) HijackThis (ダウンロード)
(3) 初心者ツール (ダウンロードしてダブルクリックして解凍しておく)
(4) Internet Explorer関連レジストリの完全なリセットの準備 (IERegCleanFix2.exeをダウンロードしておいて下さい)
(5) ANTIDOTE(ダウンロードしておくだけで良いです)
とにかくすべての作業はセーフモードで行います。
次に「通常モードでPCを再起動します」と書くまではすべてセーフモードで。
と一言で言いますが、結局ここがすべてのポイントです。近日中に何とか自動解析のシステムを作るつもりですが、今のところは質問掲示板で質問するか、Googleでファイル名等を検索するか、このサイトのHijackThis Entry Databaseで調べてみるかなどの方法で怪しいエントリを抽出する他ありません。正しい「不正エントリ」のリストができたら問題は半分解決したみたいなもんです。
次にこれらの不正エントリから、削除対象のファイルを同定します。ポイントは、
いくつか例を挙げてみます。
・不正エントリの例1
・削除対象のファイル1
・不正エントリの例2
・削除対象のファイル2
削除対象を当該ファイルのみにするか、それが入っているフォルダごとにするかはフォルダ名によって判断します。
不正ファイルやフォルダは、隠しファイルになっている場合も多いですし、設定によってはシステムファイルが見えない状態になっていることがあるので、初心者ツールを使って削除対象ファイル、フォルダを削除します。注意することは、
この段階では削除したファイルやフォルダは絶対にごみ箱に残しておくこと
です。不正ファイルはシステムファイルに近い名前を持つことが多いですので、いきおい間違えて必要なファイルを削除してしまう可能性があります。必ず上記を守って下さい。念のため一応もう一度リンクを貼っておきます
初心者ツールからDLLファイルを削除しようとした場合、「ファイル、またはフォルダの削除エラー。XXXXXXX.dllを削除できません。アクセスできません。ディスクがいっぱいでないか、書き込み禁止になっていないか、またはファイルが使用中でないか確認してください」のエラーが出て削除できない場合があります
その場合は、一旦当該DLLファイルの登録を解除してから試して下さい。手順は下記です。
「スタート」→「ファイル名を指定して実行」から、削除したいdllファイルすべてにつき下記のコマンドを打ち込んで実行します。
「netcfg.dll」の部分を、見つかったファイル名に変更して、見つかったファイルの数だけ実行します
そのまんまです。HijackThisの場合は問題が起こった場合は復活できますので大丈夫です。削除するエントリすべてにチェックを入れてFixして下さい。
自動起動等HijackThisに現れる箇所以外にも、ほとんどの場合レジストリに改竄が行われています。ここでは、Ad-AwareとANTIDOTEをセーフモードで実行して既知のレジストリ改変のお掃除を行います。もしキチンと定義ファイルがアップデートできる状態のアンチウイルスソフトがあれば、それもついでに実行して下さい。
Ad-AwareとANTIDOTEで大体のレジストリの改竄は修正されていると思いますが、特に改竄されやすいIE回りのレジストリをキレイにしておきましょう
PCを通常モードで再起動して下さい。症状が治まったらめっけもの。それでももう一度Ad-AwareとSpybot S&D、およびアンチウイルスソフトのスキャンは実行して下さい。
無事症状が治まった場合でも、ちゃんとした状態、すなわち購読期限が切れていない状態のアンチウイルスソフトを導入していないかたは至急購入して下さい。
こちらを熟読していただけると、その怖さが解っていただけると思います
さもないと、近い将来間違いなく元の木阿弥、いや、もっと酷い状態におちいる可能性が高いです。
また、どちらにしても今後のためにこちらを熟読しておいて下さい
お疲れ様でした。
2005.2.13 ページ作成
