BrowserCleanserは、Intenet Washer ProやSystem Soap Proに酷似した方法でワナを仕掛けて、自社のセキュリティソフトを買わせようとするものです。HijackThisログの解析例(4)に例を載せたところ、思ったより多くの人がこのキーワードで飛んできている様で、このポップアップに苦しんでいる人は多くいそうです。
ポップアップにはいくつか種類があり、InternetWasher系に酷似しています。というより同じベンダーの可能性は極めて高いでしょう。ネーミングのセンスも含めて(笑)
まず一つ目、
このポップアップは、http://www.yahoostocks.com/にアクセスすると確認することができます(セキュリティに自身がない方にはお薦めしません)し、www.searchwww.comでも同じポップアップが出てきます。HijackThisログの解析例(4)のちわ子さんの例では赤いこういう奴でしたが、今は上記のものに変更されています。
次にこちら
こちらはhttp://www.searchwww.com/vbs.htmlにアクセスすると現れるもの。後に述べますがこのサイトがSearch.vbsに仕込まれているのでこちらで脅かされる人の方が多そうです。
InternetWasher系と違うのは、こちらのの場合はポップアップをクリックしても今のところ勝手にインストールされることは無く、BrowserClesnserのサイトに飛ばされるだけだというところです。URLを見ても解る通り、明らかにCoolWebSearch系ですから、CoolWebSearchとInternetWasherが手を組んだ結果かもしれません。
このポップアップは、Search.vbsのファイルがスタートアップフォルダにインストールされることが原因で発生します。ですから、このファイルを削除するだけで良いです。
Search.vbsを削除するには、まず「スタート」を右クリックして、 「開く - All Users」を選択します
すると「スタートメニュー」フォルダーが表示されるので、その中から「プログラム」フォルダを開き、さらにその中から「スタートアップ」フォルダを開来ます。
そこに、Search.vbsというファイルがあるはずなので、ごみ箱に捨てるか、右クリックから削除して下さい。(PCの設定によっては「Search」とだけ表示されることもあります)
念のために、最初のところで「開く」を選択して、「プログラム」→「スタートアップ」にSearch.vbsが無いかどうか確認し、もしあれば同様に削除して下さい
見つからなければそれでOKです。削除が終了したらPCを再起動すればポップアップは納まっているはずです。良く解らない場合は初心者ツールを使うと簡単です。この文書をクリックして下さい。
前に書いたとおり、CoolWebSearch系のサイトに飛ばされていますので、念のためCoolWebShredderもやっておくことをお薦めします。
テキストエディタを使ってSearch.vbsを開くと、こんな内容になっています。
つまり、3,600,000ミリ秒(=60分)ごとにwww.searchwww.com/vbs.htmlにアクセスするという命令をWScript.exeに実行させているファイルです。
ちなみにこのWscript.exeはWindowsにもともとあるスクリプトを実行させるアプリケーションであり、これ自身は悪者ではないのでご注意を。
ポップアップの画像、対策手順のほとんどはadultさんからの提供によります。いつもながらの手腕に感謝致します。
