「HijackThisの解説ページに行っただけでIEが落ちる」とか、「Spybot S&Dのダウンロードができない」、「ダウンロードしたこれらのツールがどこにも見つからない」という症状が頻発してます。大まかに見て3種類のパターンがありますが、これらが完全に独立したものなのか、あるいは関連したものかはまだ不明です。
ここで提示した対処法は、まだ十分に検証されたものではありませんが、現時点で最も有効と思われる方法を集約したものです。また、この対処法によって問題が生じても、極力元の状態に戻せる様にしてあります。ただ、あまり書きたくないのですがやっぱり最終的には自己責任で実行して下さい。
もしこの問題が生じたのが最近で、かつ適当な復元ポイントが存在するならばシステムの復元をお薦めします。
このスパイウェア(というよりトロイ)はかなり悪質で手強いものです。このページで述べる削除の操作も比較的面倒で、まだ完全では無いと思われます。
こちらのリンクを参考に操作を行って下さい。
なお、システムの復元で問題が解決した場合は以下の作業はすべて不要です。
WindowsME、WindowsXPの機能であるシステムの復元は、何か問題が起こったときの復帰法としては最も優れたものです。これらのOSをお使いの方は、作業前に必ず復元ポイントを作っておきましょう。
スタートメニューから、「プログラム」→「アクセサリ」→「システム ツール」の中の「システムの復元」を起動します。
「復元ポイントの作成」を選択し、「次へ」をクリックし、後で解るように適当な名前を付けて復元ポイントを作成して下さい。作業によって問題が起きた場合は、同じツールを使って「コンピュータを以前の状態に復元する」から、作業前の復元ポイントを選択してやれば良いです。
ただし、作業前に作った復元ポイントは「スパイウェアやウイルスに感染した状態へ復元するもの」であることに注意して下さい。
次からの操作では、IE関連のレジストリのうち、cheshire-catさんが改ざんを確認されたものを使って修正を行います。ここでは念のために修正するレジストリのバックアップを作っておきます。下記のリンクをクリックして「HackerDefenderBackup.bat」をデスクトップなどにダウンロードして下さい。
ダウンロードしたら、ダブルクリックして実行します。コマンドプロンプトの黒い画面が現れてしばらくすると、「HackerDefenderBackup.bat」と同じ場所に「HDBackup.reg」が作成されているはずです。これが問題が起こった場合にレジストリを元に戻すためのものになりますので、大事に保存しておいて下さい。
作業後に問題が起こった場合は、いつでもこの「HDBackup.reg」をダブルクリックして「はい」→「OK」を押したあとPCを再起動すれば元の状態にもどります。ただし、これまた「スパイウェアやウイルスに感染した状態へ復元するもの」です、ご注意を。
こちらのリンクが、改ざんされたレジストリ修正用にcheshire-catさんが作られたレジストリバッチです。クリックしてデスクトップなどに保存して下さい
ダウンロードされるのは「HackerDefender-svhost.reg」です。以上でとりあえず作業準備完了です。いよいよ作業に入ります。
まず、他の自動実行ファイルの影響を除くためにPCをセーフモードで再起動します。やり方についてはOSによって違うので下記のリンクを参考にして下さい
HackerDefender自体は、その名前の通りハッカー(クラッカー)から身を守るためのツールとしてRootKit.comが開発したツールです。ここではそれを悪用して、逆にクラッカーのツールとして、あるいはスパイウェアとして使っています。ですのでこの場合は、まずその機能を止める必要があります。もし感染してない状態で実行しても、「そんなもの無いよ」というエラーメッセージが返ってくるだけなので問題ありませんので、とりあえず実行して下さい。
ただし、Windows95/98/MEの方はこの「サービス」の機能自体がありませんのでこの部分は飛ばして下さい。
スタートメニューから、「プログラム」→「アクセサリ」→「コマンドプロンプト」を開いて下さい。その状態で、
と入力して「Enter」キーを押して下さい
HackerDefenderがインストールされていない場合はこの様なエラーメッセージが出ます
インストールされている場合もエラーメッセージが出ますが、内容がちょっと違います
エラーメッセージは出ますが、この操作は有効です。
結果がどちらであっても、コマンドプロンプトを終了して次のステップに進んで下さい。
ちなみにこのHackerDefenderを使ったウイルスも報告されています。同じものか類似のものだと思われます→Win32.HacDef (Computer Associatesウイルス情報)
先ほどダウンロードした「HackerDefender-svhost.reg」をダブルクリックして実行し、改変されたレジストリを修正します。
実行すると確認メッセージが出るので「はい」を押します
成功すれば確認の画面が表示されますので「OK」をクリックして終了して下さい
以上終了後、再度PCをセーフモードで再起動して下さい。
下記のページを参考にhostsファイルを見つけてメモ帳で開いてみて下さい。見慣れないものが並んでいたなら同じページにあるダミーのhostsファイルと入れ替えて下さい。
あるいは、確認無しでいきなりhostsファイルをダミーに入れ替えても構いません。ただし、どちらの場合でも念のため必ず元のhostsファイルはどこかに保存しておいて下さい。
次に可能ならばHijackThisのログを取って下さい。
こちらのページにも接続できない、あるいは実行ファイルがダウンロードできない、ダウンロードできてもすぐに閉じてしまう場合には、ファイル名だけを「higaitaisaku.exe」に変更したこちらを使ってみて下さい。
HijackThisのログを取れたら、そのO4の終わりあたりに注目して下さい。下は実際にあった例です。
の二ヶ所「★」を付けたものが問題のスパイウェアです。これらのエントリ(Network Service)が見つからない場合は下記の作業は不要です。次の項に進んで下さい。
この「★」のエントリは、以前に報告のあった「クルクル名前の変わるスパイウェア(通称クルクル)」と非常に類似してます。
見つかった場合は下記のリンクを参考に「クルクル」と同様の手順で作業して下さい。
引き続きセーフモードで起動した状態でWeb設定のリセットを行います。デスクトップ上のIEのアイコンを右クリックしてプロパティを出すか、コントロールパネルからインターネットオプションを開いてから作業して下さい。詳しくはこちらをご参考に
以上の作業が終了したら、PCを再起動して下さい。ここまでの作業でHijackThisやCoolWebShredderなどが使える状態に戻るはずです。
このスパイウェアに感染するのは、アンチウイルスを入れてない人、WindowsUpdateをやってない人がほとんどのはずです。この機会に是非購入&実行して下さい。
これらを含めて今後の被害を防ぐためにこちらも熟読して下さい。
このページの情報は、cheshire-catさんが感染テストをした結果、およびcheshire-catさんが作られたレジストリパッチを中心として成り立っています。感染実験が解決法の確立にもっとも有用なのはもちろんですが、それがスキルのある人によって行われるといかに有効かという例でもあります。
cheshire-catさんに深く感謝致します。
2004.5.25 改訂
