Remove Toolbarの対処法
RemoveToolbarは、Rootkitなどの手法を使うことで駆除を大変に困難にしているマルウェアです。
初期は「WareOut」というインチキアンチスパイウェアと一緒に現れることが多かったですが、2006年5月現在は「UnSpyPC」を伴うケースが増えてきています。
ここでは、その症状の例と駆除方法、およびHijackThisにどう現れるかについて纏めてます。
・ IE やエクスプローラのウインドウに「Remove Toolbar」というツールバーが張り付き、
「表示」→「ツールバー」メニューがグレーアウトされていて Remove Toolbar を消したくても消せない
・ PC を使っていると以下のようなポップアップバルーンがいきなり表示される。
・ 出てきたバルーンをクリックすると「Fight Spyware」という偽の Microsoft からの警告が開く
(画像をクリックすると拡大画面が開きます)
・ PC を使っていると以下のようなポップアップウインドウがいきなり表示される
・ ログオン毎に、「UnSpyPC」というインチキスパイ対策ソフト (古いバージョンでは「WareOut」です)が起動して勝手にスキャン
・ デスクトップにも、「UnSpyPC」のアイコンがある。
・ お気に入りに、AdultGambling、Free Online Dating などが勝手に追加され、削除しても復活する
・ Yahoo!やGoogleなど検索エンジンの結果画面リンクをクリックすると海外サイトへリダイレクトされる
上記のような症状が見られる方は、こちらのページの駆除方法をお試し下さい。
自力で駆除されるかたは、こちらを熟読して実行して下さい。
これは非常に優れたツールで、OSに依存せずRootkitなどの処理もほぼ自動で行ってくれます。ページの最後にあるHijackThisによる後処理も忘れずに行って下さい。
ただし、自信のない方や初心者の方は、中途半端な対処で問題をこじらせる前に遠慮せずに質問掲示板に質問していただいて構いません。
問題が解決したら、今後のためにこちらを熟読して実行して下さい
WinNT系の場合と、Win9X系とで感染の仕方およびHijackThisなどのログへの現れ方が違います。
WinNT系(WinXP/2000)の場合
Rootkitによって特定のエントリが隠蔽されているのが特徴です。感染している状態のHijackThis のログには、以下のようなエントリが現れます
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\vygwn.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} -
C:\WINDOWS\System32\vygwn.dll
O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779}
- C:\Program Files\UnSpyPC\UnSpyPC.exe (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779}
- C:\Program Files\UnSpyPC\UnSpyPC.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FCDB468-817C-4A0A-83D6-7B52172ED18A}:
NameServer = 85.255.113.110,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{1749E8F8-2479-4EA3-9520-529B4CF20C6B}:
NameServer = 85.255.113.110,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{294BEE66-92B5-4F56-B013-AE9198B587C5}:
NameServer = 85.255.113.110,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{E55EA281-1D1D-456C-998C-3496C2E97C5F}:
NameServer = 85.255.113.110,85.255.112.151
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FCDB468-817C-4A0A-83D6-7B52172ED18A}:
NameServer = 85.255.113.110,85.255.112.151
少し古いWareOut型の場合はこちら
O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779}
- C:\Program Files\WareOut\WareOut.exe (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779}
- C:\Program Files\WareOut\WareOut.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B506583-DB99-4ACB-B83D-5F9B03513542}:
NameServer = 195.95.218.1,85.255.112.7
(O17 エントリは複数ある場合があります)
実際には存在するにも関わらず、Rootkitによって隠蔽されているエントリがこちらです
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe
O4 - HKLM\..\Run: [hclean32.exe] C:\WINDOWS\system32\hclean32.exe
O4 - HKLM\..\Run: [dm???.exe] C:\WINDOWS\system32\dm???.exe
この場合、Silent Runnersのログを見てみると以下のような出力があり、実際には裏で活動していることが分かります。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"yaemu.exe" = "C:\WINDOWS\system32\yaemu.exe" [file
not found]
"hclean32.exe" = "C:\WINDOWS\System32\hclean32.exe"
[null data]
"dm???.exe" = "C:\WINDOWS\System32\dm???.exe" [null
data]
などと
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "cs???.exe" [null data]
など。こうなっていたら完璧にやられています。ただし上記全部が必ず存在するというわけではありません。
ログの中の実行ファイルで、
cs???.exe, dm???.exe
の「???」の部分は任意のアルファベット3文字の並びになります。これは場合によって違いますし、悪玉が生きている場合は再起動をかける毎に変化します。
Win9X系(WinME/98)の場合
通常モードでのHijackThisのログでは隠蔽されていて、セーフモードでのみ現れるエントリがあるのが特徴です。
感染している状態のHijackThis のログには、以下のようなエントリが現れます
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\KCDAK.DLL
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} -
C:\WINDOWS\SYSTEM\KCDAK.DLL
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779}
- C:\Program Files\UnSpyPC\UnSpyPC.exe (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779}
- C:\Program Files\UnSpyPC\UnSpyPC.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FCDB468-817C-4A0A-83D6-7B52172ED18A}:
NameServer = 85.255.113.110,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{1749E8F8-2479-4EA3-9520-529B4CF20C6B}:
NameServer = 85.255.113.110,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{294BEE66-92B5-4F56-B013-AE9198B587C5}:
NameServer = 85.255.113.110,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{E55EA281-1D1D-456C-998C-3496C2E97C5F}:
NameServer = 85.255.113.110,85.255.112.151
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FCDB468-817C-4A0A-83D6-7B52172ED18A}:
NameServer = 85.255.113.110,85.255.112.151
少し古いWareOut型の場合はこちら
O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779}
- C:\Program Files\WareOut\WareOut.exe (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779}
- C:\Program Files\WareOut\WareOut.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B506583-DB99-4ACB-B83D-5F9B03513542}:
NameServer = 195.95.218.1,85.255.112.7
(O17 エントリは複数ある場合があります)
こちらが、実際には存在するにもかかわらずセーフモードでないとログに現れないエントリです
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\SYSTEM\yaemu.exe
O4 - HKLM\..\Run: [dm???.exe] C:\WINDOWS\SYSTEM\dm???.exe
O4 - HKLM\..\Run: [cs???.exe] cs???.exe
O4 - HKLM\..\Run: [hclean32.exe] C:\WINDOWS\SYSTEM\hclean32.exe
など。ただし、上記全部が必ずしも全て存在するというわけではありません。
セーフモードと通常モードでの HijackThis のログを見比べて、「cs???.exe」とか「hclean32.exe」とかのファイル名がセーフモードでだけ出ているようなら完璧にやられています。この「cs???.exe」,
「dm???.exe」といったファイル名の「???」の部分については、任意のアルファベット3文字の並び、その名前は、悪玉が生きている限り再起動をかける毎に変化します。
このページについて
このページは、fooさんが作成されたこちらのWikiを纏めてHTML化したものです。fooさんに深く感謝致します。
更新履歴
2006.5.7 Fixwareout.exeでの駆除へ全面改定と「WareOut」から「UnSpyPC」への変更。
2005.10.29 ページ作成
【文頭に戻る】
POWERED by 
