C2.lopの除去方法

C2.lopの除去方法（doxdesk.comの翻訳を中心に）

Spybot S&Dでは制作元のC2Mediaの名前を取ってC2.lopと呼ばれるlopは、今現在最もタチの悪いスパイウェアの一つです。「Messenger Plus!にはご注意」のところにも書きましたが、「タチの悪い」という理由は一つは除去が非常に困難なこと、もう一つはその振る舞いが悪質だということで、例えばアンチウイルスソフトによっては「トロイの木馬」として検出されるものもあるくらいです。

まず、今最も多いであろう感染経路はMessenger Plus!に同梱されているものをインストールしてしまうケースです。これをデフォルトでインストールしてしまうとlopを組み込まれます。その場合はMessenger Plus!のアンインストーラで除去するのが一番簡単で確実だと思いますのでそちらを参照して下さい。

ここでは、例によってdoxdesk.comのページの翻訳（2006.2.5に元のページは無くなりました）を中心として、最近の報告例から得た情報を加えてページを作りました。

掲示板での通りがかりさんの情報によると、あの悪名高い「XupiterのモデレーターをC2Mediaが雇って開発させているらしい」ということで、このページの情報では除去しきれない新種、変種に出会う可能性があります。その場合には掲示板で相談して下さい。新しい情報が入り次第逐次追記していきますので。

lopとは

lopは、IE検索バーを乗っ取って検索結果をコントロールしたり、その情報を送信したりするbrowser hijackerの一種です。また、放置しておくと再起動の度にBargainBuddyやIGetNetを初めとした別のスパイウェアを任意にインストールしてしまい、状況はどんどん悪化していきます。

最近のバージョンで特徴的なのはそのインストールのされ方で、色々なところでランダムな名前が用いられます。

例えばインストールされた検索バーを右クリックすると

「xieoulyckcr」の様な出鱈目な名前が使われていることが解ります。除去する場合は、この名前が非常に重要になります。

どうやってインストールされるか

沢山のサイトにばらまかれており、ActiveXによってインストールされます。逆に言うと、セキュリティが「中」ならばActiveXの警告に「はい」を押さない限りインストールされません。「はい」を押させるために、例えば「MP3を検索するのに便利なツール」などの呼び文句を使います。ダウンロードされて実行されるファイルの名前も様々で、例えばmp3.exeやfree_plugin.exeなどがあります。

また、Messenger Plus!の例の様にアプリケーションに同梱されているケースもあります。

lopのアンインストーラを用いた除去方法

古いバージョンのlop/Toolbar（ファイル名などがランダムでないもの）の場合は、システムトレイ（右下のバー）に丸いアイコンを出すので、右クリックしてMenuを選び、Helpからuninstallを選択し、あとは指示に従ってアンインストールすることができます。

少し古いバージョン（？）のlop/Rndの場合はシステムトレイにアイコンを出しませんが、コントロールパネルの「アプリケーションの追加と削除」にエントリーがある場合があります。色々な名前で登録されている可能性があり、例えば

Browser Enhance r
Brows er Enhancer
Ultimate Browse r Enhancer
Ultimate Browser En hancer
L.O P. Un insta11
L O.P. Un instal1
Live 0n line Portal
Live.0nli ne Porta1

などが見つかっています。見つかった場合は、アンインストーラの指示にしたがって除去し、残ったゴミをSpybot S&Dで除けば良いです。
これらのものが見つからない場合は、最新のバージョンだと思われます。その場合は手動で除去することになります。

あるいは、lop.comのサイトにあるアンインストーラを使って除去し、完全に削除できなかったものをSpybot S&Dで削除するという手もあります。
アンインストーラも、一応変なものは仕込まれないことは確認しましたので。

手動での除去方法

ここではdoxdesk.comから離れて、HijackThisによるやり方を書きます。レジストリエディタを使うよりは初心者には簡単だと思いますので。Hijack Thisのダウンロードとレポートの作り方についてはこちらをどうぞ。

HijackThisによるログの取得と、不正エントリの修正(fix)方法

まずHijackThisでログを作り、デスクトップにでも保存しておきます。lopが入り込んでいると、このレポートの中3カ所に下の実例の様なエントリーが現れます。

O2 - BHO: (no name) - {25b85ca5-91e1-41d7-9de9-58d984804d3a} - C:\WINDOWS\APPLICATION DATA\FRVGLYDRCHQ.DLL
O3 - Toolbar: xieoulyckcr - {4cff5178-9b29-440e-8072-f1939b4da55b} - C:\WINDOWS\APPLICATION DATA\FRVGLYDRCHQ.DLL
O4 - HKLM\..\Run: [rdrchv] C:\WINDOWS\APPLIC~1\ckxbrthc.exe -QuieT

ここで太字にした部分がランダム（無作為）に作成されたファイル名です。見つけ方としては、

「O3 - Toolbar」の中に、にツールバーをクリックしたときの名前（xieoulyckcr）のものがあるはずなので、まずそれを見つけます
次にその行の最後にあるDLLファイル名（FRVGLYDRCHQ.DLL）を含むものを「O2 - BHO」の中から見つけます
この二つに共通して含まれるアドレス（C:\WINDOWS\APPLICATION DATA）を含むものを「O4 - HKLM\..\Run」から探し、その中から怪しげなファイル（ランダムな名前、見覚えのない名前）を持つものを探します

別の実例を二つ挙げると、

O2 - BHO: (no name) - {d81e98a0-95fc-11d7-a6f9-00022d5ed299} - C:\WINDOWS.000\APPLICATION DATA\PSTVHSHEESS.DLL
O3 - Toolbar: iqushjetcrr - {d81e98a1-95fc-11d7-a6f9-00022d5ed299} - C:\WINDOWS.000\APPLICATION DATA\PSTVHSHEESS.DLL
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS.000\SYSTEM\igfxtray.exe

＊注： IgfxTray.exeが発見されても必ずしもlopに感染してるとは限りません。上の例の様に、O2とO3に同じ場所のものがある場合がlopであり、

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

は正常なシステムファイルです。

O2 - BHO: (no name) - {1c4b168f-40ed-4b40-8490-c190118c3517} - C:\DOCUME~1\TEIZO\APPLIC~1\bljglgnoast.dll
O3 - Toolbar: txdgdrpqfrt - {49eae6d3-8064-4c3c-854b-7f1bdbda30c3} - C:\DOCUME~1\TEIZO\APPLIC~1\bljglgnoast.dll
O4 - HKLM\..\Run: [fnoaj] C:\DOCUME~1\TEIZO\APPLIC~1\drtzwpfb.exe -QuieT

といった感じです。IEをすべて終了後、これら3つのエントリーをまずHijackThisから削除します。削除が成功したらPCを再起動します。これで一通りの症状は治まっているはずです。

再起動後、問題のdllファイルとexeファイルを削除します。一番最初の例だと、C:\WINDOWS\APPLICATION DATA\にある「FRVGLYDRCHQ.DLL」と「ckxbrthc.exe」を削除します。どうしても見つからない場合は隠しファイルになっている可能性がありますので、フォルダオプションから「隠しファイルやフォルダを表示しない」のチェックをはずしてから試して見て下さい。

ついでに、デスクトップにこんなアイコンが有ればすべて削除して下さい。IEの「お気に入り」もチェックして、同じ名前のものや見慣れないものが有ればすべて消去して下さい。

最後の仕上げにSpybot S&Dでゴミ掃除をします。Spybot S&Dでスキャンを行い、検出されたC2.lop関係のファイル、クッキーをすべて削除します。

【文頭に戻る】