一時期大変に流行したCoolWebSearchの変種です。当時のHijackThisで検出されなかった「ShellServiceObjectDelayLoad」を悪用したもので、駆除は困難を極めましたが、今のバージョンではHijackThisから簡単にFixすることができます。Merijnに感謝!です。
症状は、「http://greatsearch.biz/」や「http://jksearch.biz/redir.php」などにIEのホームページがこれらのURLに固定されて変更できなくなるものです。
サイトはもちろんCoolWebSearch系です。
2004年5月24日、別のサイトが出現しました
まだまだ変種がでそうなので、飛ばされるサイトのリストをここに羅列します。
古いバージョンのHijackThisのログには現れない自動起動でしたが、今のバージョンではO21に現れます
ただし、ログの中のCLSID({7CA44A28-DC4A-4C01-9041-5DC20A14184B})は可変です。
(1) まず初心者ツールをダウンロードしておいて下さい
(2) 次にPCをセーフモードで起動します
(3) 初心者ツールを使って当該不正ファイルをごみ箱へ移動します。上の例だと、
です。念のためごみ箱にはまだ保持しておいて下さい。
(4) 続いてHijackThisからO21の当該エントリをFixします
(5) 最後にInternetExplorer関連レジストリの完全なリセットを行います
以上で駆除作業は終了です。通常モードで再起動して問題が解決しているかどうか確認して下さい。
このスパイウェアの解決のきっかけを見つけられたのはMech.Mozillaさんです。回答者が内心敬遠するStartupListの解析から、「ShellServiceObjectDelayLoad」に不正なエントリである「System: C:\WINDOWS\system32\system32.dll」があることを発見されました。
このあたりに昔から目をつけられていたadultさんの慧眼はもとより、Mech.Mozillaさんの発見をかつ兄さん、眠さんという錚々たる回答者の面々で解析をしていただいた結果を纏めたのがこのページです。特に、助次さんがkeitaさんとされたやりとりの中で確認できたものが大きかったです。また、ここでも「優秀な質問者」keitaさんの存在が見逃せません。
いつもながら、回答者の皆様に深く感謝致します。
2005.9.29 改訂
2004.5.24 ページ作成
