2003年12月に爆発的に流行したCoolWebSearch系のマルウェアに関する記述です。
どちらにしても、このスパイウェアはIE起動画面の書き換えだけを抑えることはHijackThisから簡単にできますが、各所のレジストリを書き換えるため後遺症が残りがちです。リンク先を見てみると、明らかにCoolWebSearch系です。CoolWebShredderも素早く対応していますが、場合によってはまだ若干「ゴミ」が残ることがある様です。
いま現在http://t.rack.cc/hpx.phpにアクセスしてみると、http://www.cool-search.net/?aid=35にリダイレクトされました。画面は明らかにCoolWebSearch系です。
このCoolWebSearchだけは、いつまでたってもあの手この手で手法を変えて来て、しかも飛ばされる先が比較的まともなサイト(に見える)なのが不思議です。ホンマにいつまでこんなイタチごっこを続けるのか、あるいはこんなことでイメージアップ、アクセスアップになるのか非常に疑問です。というかムカつきます(笑)
HijackThisとそのログの取り方についてはこちらをどうぞ。
HijackThisのログには、こんなエントリが現れます
HijackThis以外のウィンドウをすべて閉じ、このエントリにチェックを入れてFix後、PCを再起動すればとりあえず起動時に「t.rack.cc/hpx.php」に飛ばされる症状は治まります。
ですが、この「sys.reg」の中身を見てみると、
となっています。検索関係その他のレジストリを書き換えている事がわかります。
毎度対応の速いMerijnが、素早くCoolWebShredderをアップデートしてくれてます。バージョン1.39.3以上を実行すればかなりキレイになります。
CoolWebShredderについてはこちらをどうぞ。
大体の場合はこれでキレイにゴミ掃除されるはずです。
何か症状が残っている場合、RegCheckSearchを使ってレジストリが改変されていないかチェックすることができます。このRegCheckSearchはadultさん作成のツールです。
この結果「RegCheck.txt」の中身に怪しいURLなどが発見された場合は、その内容を掲示板に貼り付けていただいて、その対処法について指示を待つということにしたいと思います。ただし、いきなり「RegCheck.txt」の内容だけを貼り付けてもらっても困るので、その場合はHijackThisのログと、困っている症状を具体的に書いて下さい。
このマルウェアに関しましては、adultさん、青い時計と日めくりさんをはじめ色々な方の努力で解決と問題の抽出がなされました。
皆様の努力に感謝致します。
2005.10.30 改訂
2003.12 ページ作成
