Ms4Hdは、2004年11月中旬ころ現れた新種のBrowser Hijackerで、12月初旬にはバージョン2が、続いてバージョン3が出現しています。感染例も多く、除去も難しい最もタチの悪いものの一つです。ここではfooさんがHijackThis DBに登録されたものを使って対処法を纏めます。
fooさんの情報によると、「about:blank」と複合感染しているケースが非常に多いということです。
手動駆除の難易度は結構高いので、自動駆除で問題が解決しない場合は質問掲示板で回答者の指示を仰ぐのも一つの方法です。
ですが、自力で解決を目指す人のため、ないし回答者向けとして手動削除の手順についても後半で解説します。
ページが長くなったので、とりあえず自動駆除の方法へのリンク(このページ内)を貼っておきます。
感染すると、次のものがお気に入りに追加されます(これだけとは限りません)
| お気に入りのタイトル | URL |
| Block Popups | http://www.findspyware.net/links/?said=66&q=Block+Popups |
| Free Online Dating | http://www.personal-photo.net/links.php?qq=Free+Online+Dating&said=66 |
| Make MONEY | http://www.money-athome.net/search.php?said=66&qq=make+money |
| Personal Photos | http://www.personal-photo.net/links.php?qq=Personal+photos&said=66 |
| Phentermine | http://trustedpharmacy.net/links.php?said=66&q=phentermine |
| SPYWARE UNINSTALL | http://www.findspyware.net/links/?said=66&q=Spyware+Uninstall |
| VIAGRA | http://www.trustedpharmacy.net/links.php?said=66&q=viagra |
| Work at Home | http://money-athome.net/search.php?said=66&qq=work+at+home |
また、上に登録されるURLを中心に突然違うサイトに飛ばされる症状も見られます。
ポップアップウィンドウも開きます (実際の画像と文章募集中)
| Windows Security Center WARNING: Windows Firewall detected suspicious network activity on your computer. Malicious software codes try to steal your privacy information, such as credit card numbers, electronic mail accounts, financial data or passwords. Do you want to download certificated software and protect your computer? |
 |
| Your Computer might be at risk 漂our (Your) virus protection status is bad 百pyware (Spyware) Activity Detected Click this ballon to fix this problem これはまるでWinXP SP2のバルーンそっくりです。騙されない方が不思議なくらい。 我々は日本語圏だからマシでしょうか。先頭の文字が文字化けしてますし。 |
 |
| POKER ONLINE NUDE GIRL & REAL MONEY! POKER SECRETS PLAY FREE STRIP POKER WEBCAM INCLUDED 画像は三分の一に縮小してます。 |
 |
| Free remote security scanner FRSS v2.6 - Scanning IP address: XXX.XXX.XX.XXX(自分のIP)
port: variable - Microsoft Internet Explorer FRSS v2.6 Scanning TCP ports opened by Spyware progress (中略) Words found: young gays, adult movies, Sexy Couple fucking, huge cocks, adult movies, animal sex, young lesbians, illegal porn, (中略), nude schoolgirls, (中略), Dirty video, (後略) Searchning for privacy protection and spyware removal software... not found Conclusion: It is recommended to install any anti-spyware software More information about Spyware Nuker こんな所に「Spyware Nuker」が…画像は40%に縮小。 |
 |
| ・ Your system infected | (画像無し) |
HijackThisのログには、バージョンによって次のようなエントリとして現れます。HijackThisについてはこちらのリンクをどうぞ
・ バージョン1 (すべてが存在するとは限りません)
・ バージョン2 (すべてが存在するとは限りません)
・ バージョン3 (すべてが存在するとは限りません)
バージョン1、2の場合は、
という特徴があります。バージョン3の場合にはさらに
とタチの悪さが増してます。
O2、O4のエントリに関してはrootkitによって不可視にされているも場合がありますので、HijackThisのログの最初の「Running Processes」で走っているファイルにも関わらずO4にエントリが存在しない場合は特に要注意です。感染の可能性が高いです。
ファイル名はある種のリストに従っていくつか種類があります。また、rootkitによって不可視に設定されている場合もあります。内容は後で述べるThe new Tool - REm.zip download hereからダウンロードしたファイルの内容そのままです。サーチエンジンで引っかけるために転記させていただいております。
・ バージョン1 (remv3.zipの中のver1.txtの転載です)
・ バージョン2 (remv3.zipの中のver2.txtの転載です)
・ バージョン3 (remv3.zipの中のver3.txtの転載です)
新しいファイル名が見つかった場合にはここに逐次追加していきます。
もしこの問題が生じたのが最近で、かつ適当な復元ポイントが存在するならばシステムの復元をお薦めします。
このスパイウェア(というよりトロイ)はかなり悪質で手強いものです。このページで述べる削除の操作も比較的面倒で、まだ完全では無いと思われます。
こちらのリンクを参考に操作を行って下さい。
なお、システムの復元で問題が解決した場合は以下の作業はすべて不要です。
自動駆除用パッチファイルによる除去手順です。上記の通りファイル名にはかなりのバリエーションがありますので、残念ながらこれで駆除できるのはMs4Hd 関連として確認済みのファイルとレジストリエントリのみです。リストは随時更新されていますが、その時点で登録されていない構成ファイル名での感染には対応できませんので、その場合は別途手動削除をする必要があります。
どちらにしてもまずこの自動駆除を試して下さい。
最初に、こちらのサイトから「remv3.zip」をダウンロードします。
開いたページの最初の文書最下部から、「remV3.zip ( 9.43k ) 」をクリックするとダウンロードが開始されます。デスクトップなどにダウンロードして下さい
ダウンロードした「rem.zip」を解凍します。解凍にはLhacaを使うのが一番簡単でしょう。解凍が完了すると、「rem」フォルダが作成されます。その中身はこうなってます
準備ができたら、まずPCをセーフモードで再起動します。通常モードで実行すると削除はうまくいきません。PCのセーフモードでの起動の仕方はこちらをどうぞ
セーフモードで再起動したら、「rem」フォルダ内の「remv3.bat」をダブルクリックして実行します。すると黒いDOS画面が現れ沢山の文字がスクロールして行きます
処理が終了すると、このクロ画面が閉じてログファイル「log.txt」が開きます。この「log.txt」はCドライブ直下に作成されます。何も発見されなかった場合は
の様に、「Files Found」と「Files Not deleted」が空欄になっています。「log.txt」の最後には、
という一覧が作られます。これらは感染の可能性があるファイルの一覧ですが、正規のファイルも沢山含まれています(特に「ms*.dll 」の方)ので、この一覧に現れたものを無条件に消しては絶対駄目です。ここに現れたファイルについては、名前だけではなくウイルス対策ソフトの検出結果やプロパティの内容もふまえて処理する必要があります。
Ms4Hd感染が発見されて駆除された場合には、同じくCドライブ直下に「bad.reg」と「bad.zip」が作成されます。「bad.reg」は、削除されたMs4Hdのレジストリを万一のためにバックアックしたものですので、ダブルクリックすると元の黙阿弥で感染状態に戻りますのでご注意を。また、「bad.zip」は削除されたMs4Hd関連ファイルを圧縮してバックアップしたものです。これも万が一の時のためのものです。
後は、HijackThisからO2とO4に残った残骸をFixして通常モードでPCを再起動します。これで症状が治まった場合は自動駆除成功です。
この操作で症状が改善しない場合は、Ms4Hdの亜種感染ないし別の悪玉の複合感染が疑われます。この場合は次に述べる手動駆除方法を試すか、自信がない方は質問掲示板に質問して下さい。その際には上記の自動駆除手順を実施したことを明記し、HijackThis のログとアンインストール情報とともに、必ず自動駆除の際に作成された「log.txt」と「bad.reg」の内容をメモ帳で開いた中身も投稿に貼り付けてください。
以下はMs4Hdの手動駆除手順です。特にバージョン3の手動駆除については完全に方法が確立されていないので、自信がある方以外は質問掲示板に質問する方が正解でしょう。
まず、後の作業のために初心者ツールをダウンロードして解凍しておいて下さい
以下の作業はかならずセーフモードで行います。通常モードで実行すると表示されない場合もあり、削除はうまくいきません。PCのセーフモードでの起動の仕方はこちらをどうぞ
(1) ダウンロードしておいた「Unhide.REG」た後、ダブルクリックして適用します。「追加しますか?」に対しては「はい」をクリックします。作業後、もう一度PCをセーフモードで再起動します。
(2) HijackThisのログを取り、このページを参考にMs4Hd関連のエントリを確認します
(3) 下のリンクをクリックして「CHKMs4Hd.bat」をデスクトップなどにダウンロード。ダブルクリックして実行。生成した「Ms4Hd.txt」の内容を確認。
このバッチファイルの内容はこちらです。
この「Ms4Hd.txt」に現れるエントリやファイルは、すべて悪玉の感染ファイルと考えて良いです。ここで、
に注目して下さい。例えば、
ここに現れるexeファイル、dllファイルのファイル名をメモするか印刷しておいて下さい。
(4) 「HKLM\..\Ms4Hd\Files」キー以下に名前のあるdllの登録を解除します。ファイル名は正規のものに似せてあるので間違わないように注意して下さい。
「スタート」→「ファイル名を指定して実行」から、「Ms4Hd.txt」の「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Files」に現れているdllファイルすべてにつき下記のコマンドを打ち込んで実行します。
「netcfg.dll」の部分を、見つかったファイル名に変更して、見つかったファイルの数だけ実行します
(5) HijackThisを起動しなおしてログを取り、Ms4Hd関連のO2とO4をFixします(ログは二回連続して取らないこと!)
(6) Ms4Hdによってインストールされた不正exeファイル、dllファイルを削除
「Ms4Hd.txt」の「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Files」に現れているexe、dllファイルのうち、存在するものをすべて削除します。ファイル名は、正規のシステムファイルに似ているものが多いので注意して下さい。また、削除したものは念のためまだごみ箱に残しておいて下さい。
削除には、あらかじめダウンロードしておいた「初心者ツール」を使うと確実で便利です。
不正ファイルは全て下記のフォルダに存在します。
(6) 不正レジストリキーの削除
最後にMs4Hdによって不正に追加されたレジストリキーを削除します。まず「Ms4Hd.txt」の中のこちらに注目して下さい(存在しない場合は無視して下さい)
ここで現れている二つの値、「98DBBF16-CA43-4c33-BE80-99E6694468A4」と「A5366673-E8CA-11D3-9CD9-0090271D075B」が不正レジストリキーのCLSIDです。いつでも上の例と同じとは限りませんのでこの値を記録しておき、下記のレジストリキーを削除します。
削除にはレジストリエディタを使います。レジストリエディタの作業は、間違えると取り返しがつかないので慎重に。また、自己責任で
場合によってはMs4Hd 関連のレジストリキーの中身が見えないことがあります。その場合はANTIDOTEでスキャンし、見つかったものを同様に削除して下さい。
(参考) ANTIDOTEで検出されるMs4Hd 関連ファイルの検出名の例
以上すべて終了後、PCを通常モードで再起動します。症状が治まっていればめでたしめでたしです。
Version 3 ではファイルのリストを見られなくなったので、レジストリを書き出しても無意味です。
(1) まず、セーフモードでPCを再起動し、ANTODOTEでスキャンを行います。
そして「Trojan-Downloader.Win32.Agent」等として検出される以下のようなファイル名のdllファイルを特定します。
(?は任意の英字一文字)
(2) 同様に、セーフモードで regsvr32 /u を使って、特定したdllファイルの登録解除を行います。(バージョン1, 2の手動削除を参照のこと)。また、上記バージョン3のファイルリストの中で、存在するdllファイルの登録も解除します。
(3) 以下のファイルをセーフモードで先に削除します。
不正ファイルは全て下記のフォルダに存在します。
削除は初心者ツールを使って行います。場合によっては「強削」を使う必要があるかもしれません。
(4) HijackThisから、関連するO2とO4をFixします
(5) レジストリエディタから、[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Hd] キーを削除
これで、一応の症状は治まると思います。他にもレジストリへの書き込みがある模様ですが、これについてはもう少し情報が集まるのを待ちます。
Merjin.orgによると、Ms4Hdに感染したPCで最新バージョンHijackThis(v.1.99.0)を実行した場合にクラッシュしてしまうケースがある様です。その場合には旧バージョンであるv.1.98.2を用いてログを取る必要があります。このサイトではv.1.98.2をアップロードしており、当面こちらを使用することを推奨します。
最初にも書きましたが、このページはfooさんがHJT DBに登録された力作、
をほぼそのままHTML化したものです。fooさんと相談の結果、僕がページを作成する許可をいただきました。fooさんに深く感謝致します。
2005.1.25 改訂
