ホームページが「http://213.159.117.134/index.php」に
ここのところ(2004年10月)この症状の被害が続出しています。IEを立ち上げたときのホームページが上記のサイトに変更されるとともに、お気に入りにもいくつかサイトが追加されます。基本的にはこれは悪名高きCoolWebSearchの変種です。
なお、このページに興味本位で行くのはやめて下さい。例えばAVGをインストールしていると、行くだけでこの様なウイルス警告が出ます
このページでは、助次さんが纏められた方法を中心に(と言うよりほぼ丸写し…)、このスパイウェアの除去方法を書きます。
2005.2月のアップデートでCoolWebShredderが対応
2005年2月のアップデート(CWShredder v2.13)で対応された模様です。CWShredderをまずセーフモードで実行してみて下さい。
それで駄目だった場合には以下の操作を。
まずコントロールパネルから削除可能なものを削除
インターネットにつないだ状態で、コントロールパネルの「アプリケーションの追加と削除(プログラムの追加と削除)」を開き、
があればそこから削除します。
HijackThisによる不正エントリの削除
HijackThisとそのログの取り方についてはこちらをどうぞ。
HijackThis以外のウインドウを閉じ、下記のエントリにチェックをつけて「Fix」ボタンを押して削除します。
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [DKTime] C:\WINDOWS\System32\dktime.exe
O4 - HKCU\..\Run: [DKTime] C:\WINDOWS\System32\dktime.exe
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O16に関しては、
O16 - DPF: {64CFF351-0DAE-2DAA-C717-50E229DBCF8B} - http://213.159.117.150/1/gdnJP10.exe
O16 - DPF: {72FB3CF8-7FFA-7502-DDA3-4AA151226BA5} - http://213.159.117.150/1/gdnJP10.exe
O16 - DPF: {491DFD38-BB3E-30AF-3F0A-02725569BF90} - http://213.159.117.150/1/gdnJP10.exe
O16 - DPF: {4EA471E3-7851-6A5F-4304-7783478699CF} - http://213.159.117.150/1/gdnJP10.exe
O16 - DPF: {7FF8C71C-0AD2-653E-67BC-12B24E47BFFA} - http://213.159.117.150/1/gdnJP10.exe
など、「http://213.159.117.150」が入っているものをすべてチェック。また、下記のエントリも同時に観察されることが多いのでこれもチェック
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=714b9e99bb1ec51fadc828f5983e23109b906c2b320d9f1b39ed54699be7e97f4caf42694383070009646062296ff92e68cfba8c:eb8a1fb09d00c5943edceabcca450006
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
もう一箇所、こちらはエントリ名とファイル名が4文字のランダムな名前になっています。ここでは「AAAA」と「BBBB」と書いてあります。
・Windows2000、XPの場合
O4 - HKCU\..\Run: [AAAA] C:\Documents and Settings\(ログイン名)\Application
Data\BBBB.exe
・Windows98、MEの場合
O4 - HKCU\..\Run: [AAAA] C:\WINDOWS\Application Data\BBBB.exe
* : ランダムなエントリ名、ファイル名の例
O4 - HKCU\..\Run: [Toun] C:\WINDOWS\Application Data\caos.exe
O4 - HKCU\..\Run: [Bhao] C:\Documents and Settings\(ログイン名)\Application
Data\sрrвр.exe
Fixが終了したら、PCを再起動して下さい。再起動後、Web設定のリセットをします。
次は実際に追加された不正ファイルの削除です。
改変されたIE関連レジストリの修復
まず「BegginerTool」をダウンロードして解凍して下さい。
このツールを使って、下記のファイルないしフォルダをごみ箱に移して下さい。念のためまだごみ箱からは削除しないで下さい。
C:\Program Files\Windows SyncroAd ←(フォルダ)
C:\WINDOWS\System32\dktime.exe ←(ファイル)
C:\WINDOWS\System32\systime.exe ←(ファイル)
C:\Documents and Settings\(ログイン名)\Application Data\BBBB.exe ←(ファイル、BBBBはランダム4文字、Win2000,XPの場合)
C:\WINDOWS\Application Data\BBBB.exe ←(ファイル、BBBBはランダム4文字、Win98,MEの場合)
これで大体終了。残された「ゴミ」を除去するために、念のため下記の操作を一通りやって下さい。
不正に登録された「信頼済みサイト」の削除
こちらを参考に、IEの「信頼済みサイト」をチェックし、見覚えのないものはすべて削除して下さい。
スパイウェアを除去した後でも、ここに不正なサイトが登録されていると無条件でプログラムをダウンロードされる可能性がありますので注意して下さい。
レジストリのクリーンアップ
続いて、WindowsXPでSP2を導入している人以外は「IE関連レジストリの完全なリセット」を実行して下さい。
XPでSP2を導入しておられる方のみ、「完全なリセット」の代わりに助次さんの作られたこちらのレジストリパッチを実行して下さい。
上のリンクをクリックして「213Fix.reg」をダウンロードしてデスクトップにでも保存。ダブルクリックして実行して「はい」→「OK」をクリックします。終了したらPCを再起動し、もう一度Web設定のリセットを実行します。
謝辞
最初にも書きましたが、このページはほとんど助次さんが作られた対処法の丸写しです。この症状が僕がサイト更新をサボっている間に現れたこともありますが、改めて優秀な回答者の存在に感謝するとともに、この症状に苦しむ方の助けになればと思います。
更新履歴
2004.11.3 ページ作成
【文頭に戻る】
POWERED by 
