「ある日OEを起動すると、突然初期画面(スタート画面)が英語になってしまった!」というのがこのトラブルで、ここでは仮に「OE Hijacker」と呼んでます。
これはOEの初期画面に見せかけたOutlookInfo.comのHTMLで、search.findwhatevernow.comへのリンクが貼ってあります。
どこでどういう形でこれが配布されており、どういう方法で感染してしまうかは今のところ不明です。何か心当たりのあるかたは情報を寄せていただけると大変嬉しいです。
OE(Outlook Express)を立ち上げたときに表示される画面が英語(正確にはOutlookInfoの画面)になってしまうというものです。具体的には
(70%に縮小したもの)、
こんな奴です。そして、ここからののリンクが、「http://search.findwhatevernow.com」になっています。
実はこの「OEの初期画面が英語になった」というのはそんなに大したことではなく、OEの起動画面が 「http://www.outlookinfo.com/ 」からコピーされたHTMLファイルに書き換えられただけです(このHTMLファイルは、PC上のどこかにコピーされて存在します)。ただ、この起動画面は通常の方法では変更ができないのが嫌らしいところです。
それにしても「There are 2 unread Mail」とか、「Outlook」の下に小さく「Info」とか、OEの画面に似せようとしてるのが笑えます。
英語圏ではそそっかしい人がHijackされていることに気づかずにクリックする可能性がありそうですが、非英語圏ではすぐに「これはおかしい」とバレてしまいます。実際、通りがかりさんの情報によると、この被害は非英語圏(中国、独など)で多く起こっているけれども、英語圏では問題になっていないということです。
ひょっとすると英語圏では単に気がつかれていないだけかもしれません(笑)
Outlook Express関連のレジストリに、初期設定画面(FrontPagePath)を設定することが可能で、ここに変なHTMLファイルが登録されているのが原因です。具体的には、
の二ヶ所に「FrontPagePath」が存在し、その値(Value)がPC内のどこかにあるOutlookInfoのHTMLを指しているはずです。これは、OEを立ち上げた際の初期画面を指定するエントリですので、最初に書いた症状が出ることになります。正確な位置はOSによって違いますが、レジストリエディタから「「FrontPagePath」で検索するとこの二ヶ所のエントリが見つかります。
この「OE Hijacker」を削除するためには、
の二段階の作業が必要です。1だけでも症状は治まりますが、嫌なファイルをPC内に残すのは気持ちの良いものではありませんから削除した方が良いでしょう。
レジストリエディタを使ってこれらの値を削除することも可能なのですが、もっと便利で安全なツールを発表されていました。それが「Outlook Express 5.0 Tweak'r」なのですが、既に作者のページが閉鎖されてしまいダウンロードができません。他のダウンロードサイトが無いかこちらのリンクで探してみて下さい。
これは、本来スパイウェア除去用のツールではなくOE版の「窓の手」とも言うべきアプリケーションで、通常ではいじれない隠れたOEの設定を変えることができるものです。この「通常ではいじれない隠れた」部分に今回のOE Hijackerが棲み着いているため、これを削除するツールとして使えるということになります。レジストリエディタで直接レジストリを変更するよりもずっと簡単で安全です。
まずダウンロードした「oe5setup.zip」を解凍します。XPならシステムに解凍ツールが入っていますし、無償ソフトのLhacaを使っても良いでしょう。すると「oe5setup.exe」と「readme.txt」の二つのファイルができるはずです。readmeはバージョン情報やサイト情報などが入ったシンプルなものです。ここでは「oe5setup.exe」をダブルクリックしてインストールしましょう。インストール手順については特に問題無いと思います。「次へ」→「I Agree」→「Next」→「Yes」→「Next」→「Next」→「Finish」でインストール終了です。
早速起動してみましょう。これが起動直後の画面です。起動は「スタート」→「プログラム」→「OE5.0 Tweak'r 2.0」→「Outlook
Express 5.0 Tweak'r」でできます。
OEがHijackされている状態では、上の画像の下の方、「welcome page」が(default)ではなく何か値が入っているはずです。この値(アドレス)は後で本体を削除する時に必要になりますのでメモしておいて下さい(選択してコピペもできます)。
アドレスをメモしたら次に「setting」タブを開き、「Restore Default Setting」をクリックします
すると、下記メッセージが出て全ての設定がデフォルトに戻るはずです。
念のためもう一度「general」タブを開いて、「welcome page」が(default)になっていることを確認して下さい。
さて、この状態ですでに症状は納まっているはずです。一応OEを開いて通常の起動画面になっていることを確認して下さい。次は本体の削除です。
先ほどメモしたアドレスに「OutlookInfo」で始まる、拡張子がhtmまたはhtmlのファイルがあるはずです。また、同様に「OutlookInfo」で始まるフォルダ(画像などが入ったもの)があるはずです。両方とも削除しましょう。おそらく「OutlookInfo_com.htm」のファイルと、「OutlookInfo_com.files」のフォルダでしょう。
これですべて終了です。
ここで紹介したのは「Outlook Expressの起動画面に見せかけたOutlookInfoのHTML」でしたが、これは他のものにも応用可能で、亜種が出てくる可能性は十分にあります。ただ、僕の知ってる限りではOE起動時に受信フォルダに飛ばす設定にしている人が大多数ですのであまり効果がないかもしれませんし、感染しても気が付かない可能性も大です。
これはここの掲示板で拾ったネタです。通りがかりさん、heto2さんの活躍で試行錯誤の末見事解決されてます。今後同じ症状に苦しむ人も出てくるでしょうから、サーチエンジンにちゃんと引っかけさせるためにも(笑)ここに纏めさせてもらうことにしました。
2005.9.25 「Outlook Express 5.0 Tweak'r」へのリンクをGoogleの検索結果へ変更
