クルクル名前の変わるスパイウェア − 二重、三重の自動起動が
ウイルスと同じく、スパイウェアもイタチごっこで、どんどんタチの悪いものが出現して来ています。このスパイウェアは、通常のHijackThisに現れるエントリを含めて二重三重に自動起動を仕込み、かついかにもシステムファイルっぽい名前をクルクル変えてくる悪質なものです。特に当時は、日本語OSにおいてHijackThisがFの項目にバグがあり、表示およびFixができなかったため駆除はかなり困難でした。
症状
www.click-monkey.com、www.movie-revolution.com、real.ura-video.net/index2.phpなどのアダルトサイトが開く場合もありますし、何も症状が現れない場合すらあります。ですが、何らかの嫌なプログラムが走り続けているのは間違いないので駆除する必要があります。
ファイル名の例
ファイル名のパターンは無数にあります。ランダムではなく「それらしい」名前がほとんどです。例をここに羅列しておきます。
aucompat.exe, audcntr.exe, audioinf.exe, avimgt.exe, avimgt32.exe, cabchk.exe,
cabchk32.exe, cdcompat.exe, cddrv32.exe, cmt101.exe, cpusave.exe, cpusave32.exe,
de32gen.exe, dmtdll.exe, dskcompat.exe, dvdcompat.exe, dvraudio.exe, dvrvideo.exe,
dx8compat.exe, dxsty.exe, enhance32.exe, flpycntl.exe, helpex32.exe, hvid.exe,
idecntl.exe, imagemgt32.exe, info32x.exe, intmgr.exe, keybdcntl.exe, kbddrv32.exe,
eybdcntl.exe, main32.exe, monitormgt.exe, mousecntl.exe, mousecntl32.exe,
mqinx.exe, msurl32.exe, mswave.exe, nvid32.exe, nvidex32.exe, pakuri32.exe,
p3p4chk.exe, p4mx4.exe, pixel32.exe, pixelpwr32.exe, pixelsvr.exe, pwr32ctr.exe,
pwr32ctrl.exe, pwr32mgt.exe, pwroff.exe, scopedll.exe, sndcompat.exe, sndsaver.exe,
svcinfo.exe, syscenter.exe, sysflg32.exe, un32info.exe, unldr16.exe, unldrexe.exe,
vid32cntl.exe, vidcntl.exe, vidcompat.exe, wminf.exe, wminfo.exe
前に書いたように、これらのファイル名はクルクルと変わっていきます。また、
O4 - HKLM\..\Run: [VideoGirls_jp] C:\Program Files\GMSoft\Dialers\VideoGirls_jp\VideoGirls_jp.exe
/dontdial
O4 - HKLM\..\Run: [EasyDates_jp] C:\Program Files\ComSoft\Dialers\EasyDates_jp\EasyDates_jp.exe
/dontdial
O4 - HKLM\..\Run: [XXXmovie_jp] C:\Program Files\SCom\Dialers\XXXmovie_jp\XXXmovie_jp.exe
/dontdial
O4 - HKLM\..\Run: [Hot_jp] C:\Program Files\GMSoft\Dialers\Hot_jp\Hot_jp.exe
/dontdial
など、アダルトサイトを表示させるプログラムと一緒に現れることが多い様です。
感染の有無の確認
HijackThisのログには、
Windows XP/2000の場合は「O4 - HKLM」、「O4 - HKCU」の二ヶ所に自動起動エントリとして現れます
O4 - HKLM\..\Run: [Dvrvideo] c:\windows\system32\dvrvideo.exe
O4 - HKCU\..\Run: [Dvrvideo] c:\windows\system32\dvrvideo.exe
Windows ME/98/95の場合は一ヶ所に現れます
O4 - HKLM\..\RunServices: [Dvraudio] c:\windows\system\dvraudio.exe
HijackThisからこれらのエントリをFixすると、削除に成功した様に見えて、Running Processesを見るとまだ残っているパターンと
C:\windows\system32\dvrvideo.exe
名前を変えて居座るパターン
・ Windows XP/2000の場合
O4 - HKCU\..\Run: [Mousecntl] c:\windows\system32\mousecntl.exe
O4 - HKCU\..\Run: [Mousecntl] c:\windows\system32\mousecntl.exe
・ Windows ME/98/95の場合
O4 - HKCU\..\Run: [Mousecntl] c:\windows\system32\audcntr.exe
がありますが、いずれの場合もHijackThisのFの項目に、
F1 - win.ini: c:\windows\system32\mousecntl.exe
としてエントリが現れます。
最初に書いた様にこのスパイウェアは名前をクルクル変えるのが特徴ですので、いずれの場合も「mousecntl.exe」や「audcntr.exe」などはファイル名の一例です。
駆除方法
(1) まず初心者ツールをダウンロードしておいて下さい
(2) 次にPCをセーフモードで起動します
(3) 初心者ツールを使って当該不正ファイルをごみ箱へ移動します。上の例だと、
c:\windows\system32\audcntr.exe
や、
c:\windows\system\dvraudio.exe
などです。念のためごみ箱にはまだ保持しておいて下さい。最初に取ったログから既に名前が変わっている可能性もあります。
その場合はHijackThisのログで、同じ場所で類似の新しいものがあるはずです。これらを削除対象にします。
(4) 続いてHijackThisからF1およびO4のエントリをFixします
同じく上の例だと、
F1 - win.ini: c:\windows\system32\mousecntl.exe
および
O4 - HKCU\..\Run: [Mousecntl] c:\windows\system32\mousecntl.exe
O4 - HKCU\..\Run: [Mousecntl] c:\windows\system32\mousecntl.exe
などです。必ずF1とO4を同時にFixして下さい。
以上で駆除作業は終了です。通常モードで再起動して問題が解決しているかどうか確認して下さい。
謝辞 (作成当時のまま)
このページは既にadultさんが詳細に纏められていた対処方法のページを、adultさんのリクエストによって「群青流」にアレンジしなおしたものです。いつもながらのadultさんの手腕と、快く転載を認めていただいたことに感謝いたします。
更新履歴
2005.9.28 全面改定
2004.2.10 ページ作成
【文頭に戻る】
POWERED by 
