HAGANEYA(@imech_jp)です。
先日、大規模なマルウェア・スパイウェアの攻撃を受けてしまいました。
パソコンの起動後に、次々と不要なアプリケーションが勝手にインストールされていき、アンチウイルスソフトの警告音は鳴りっぱなし、デスクトップはフリーズ・・・という、まさに地獄絵図のような状態。
このレベルの被害には以前も遭遇したことがあり、なんとか解決出来たんですが、その時はスクリーンショットを保存してませんでした。今回、運良くスクリーンショットを撮りながら駆除作業を行うことが出来ましたので、記事に残しておこうと思います。
目次
Tempフォルダ内のデータを削除するこれでとりあえず一件落着・・・のはずが!?アンチスパイウェアを使って、犯人を一気にあぶり出す
最初にやること
通常起動だとアンチウイルスソフトによる検知が延々と続き、一切の操作が効かなくなってしまうため、まずパソコンを「セーフモード」にする必要があります。
メーカー製のノートパソコンやデスクトップPCであれば、電源を入れた直後の黒画面で「F8」キーを押し続けることで、セーフモードによる起動が可能です。(メーカーによっては、F8キー以外の場合もあります)
セーフモードに入ってしまえば、自動インストール攻撃は一時的におさまります。この状態で、コントロールパネル内の「プログラムと機能」から、怪しいアプリケーションを削除していきましょう。
ちなみに、私が被害に遭ったのは自作のデスクトップPCなので、F8キーを押してもセーフモードに入ることが出来ませんでした。この対処法も書いておきます。
「ファイル名を指定して実行」を起動します(「Windowsキー(旗マーク)」+「R」で起動可能です)。そして、検索窓に「msconfig」と入力してください。
「システム構成」メニューが開きます。左上の「ブート」タブを選択し、ブートオプション内の「セーフブート」にチェックを入れて、「適用」→「OK」ボタンを押します。
この状態で再起動を行うと、F8キーを押さなくても自動的にセーフモードに切り替わります。注意点としては「設定を戻さないと、何度再起動してもセーフモードで起動し続ける」ので、駆除作業が終了したら必ず設定を元に戻すことを忘れないでください。
それと「あまり時間を掛け過ぎると、ポップアップ攻撃が始まってしまい操作が効かなくなる」ので、起動したらすぐにこの設定を済ませてしまいましょう。
入れた覚えのないプログラムを全てアンインストールする
さて、ここからが本番です。コントロールパネルの「プログラムと機能」メニューを開き、インストールされているアプリケーションの一覧を見てみましょう。
マルウェア ・スパイウェアと思われるアプリケーション
- AnySend (発行元:CMI Limited)
- Crossbrowse (発行元:The Crossbrowse Authors)
- mystartsearch uninstall
- Opera Stable 31.0.1889.174 (発行元:Opera Software)
- oursurfing uninstall
- SmartWeb (発行元:SoftBrain Technologies Ltd.)
- The Desktop Weather 2.0 (発行元:Baidu Japan.Ink)
- 日本hao123ショートカット
スクリーンショットを撮る前に消してしまったものも含めると、全部で「8つ」ありました。
基本的には「ブラウザのホーム画面を強制的に変更してしまう(ブラウザハイジャッカー)」ものが多いです。「mystartsearch」「oursurfing」「SmartWeb」「hao123」なんかが、そのタイプになります。
また、デスクトップ右上にお天気ボタンが表示される「The Desktop Whather 2.0」みたいな、一見無害に見えるアプリもありますが、これはこれで「アンインストール時にチェックを外さないと、別のスパイウェアがインストールされてしまう」という厄介なシロモノだったりします。
Operaはスパイウェアではない(はず)ですが、なぜか今回勝手にインストールされてしまいました。古いLinux(Ubuntu)機で重宝している軽量ブラウザなので、あまり悪いことは言いたくないものの、大昔にスパイウェアの疑惑が挙がったこともあるので、警戒したほうが良いかもしれません。
operaというブラウザを使っているのですが、先日友人に「operaはスパイウェアが入ってるらしいよ。」と聞きました。これは本当なのでしょうか? - Yahoo!知恵袋
さて・・・この中で、もっとも手を焼いたのが「Crossbrowse」です。どうやらコイツが諸悪の根源のようで「起動直後から、デスクトップに延々とショートカットを作り続ける」ことで、マトモにキー操作・マウス操作を受け付けなくさせてしまうようです。
以下のブログを参考にさせていただきました。
前項のように「プログラムと機能」メニューから、Crossbrowseをアンインストールしようと試みましたが、出来ませんでした。なぜかと言うと「バックグラウンドで起動しているから」です。タスクマネージャーを開いてみてください(「Ctrl」+「Shift」+「Esc」で起動します)。
はい、出てきました。該当の名前(crossbrowse.exe *32)を右クリックして、プロセスを終了させてしまいましょう。
あとは普通に「プログラムと機能」メニューからアンインストールが出来るはずです。
「プログラムと機能」に出てこないけど、引っかかったもの
Windows Defenderの警告にて検出
- BrowserModifier:Win32/SupTab
日本語サイトが少ない中、知恵袋に貴重な情報が投稿されていました。「トロイ」の一種だそうです。
「BrowserModifier:Win32」には、SupTabの他にも「DealPly」「KipodToolsCby」「AskToolbarNotifier」「CashOn」「Zwangi」「TogiraSP」「PerionSearchProtect」「CouponRuc」「RestrictsUserControl」「DefaultTab」などなど、亜種が山ほど存在するみたいです。
Windows Defenderが勝手に駆除してくれましたが、上記リンク先の内容を読む限りだと、何とも言えない感じですね。。。とりあえず、こまめにアンチスパイウェア・アンチウイルスソフトでスキャンしたほうが良いと思います。
Avastでは「SFKEX64.exe」の名前で検出されました。Program Files (x86)の中の「SFK」というフォルダに入ってましたが、おそらく「SSFK」が正式名称だと思います。実際、その名前でググったら日本語サイトがいくつかヒットしました。
これもCrossbrowseと同様「バックグランドで動作」しているので、事前にタスクマネージャーからプロセスを終了しておく必要があります。
「プログラムと機能」に名前が見当たらなかったので、フォルダごと削除しちゃいました。この段階だけでは、もしかすると100%消しきれていないのかもしれません。
Baidu(百度)は説明不要ですね。「中国最大の検索エンジン」であると同時に「スパイウェア」でもあるという、一石二鳥な感じのヤツらです。これもプログラムと機能に出てこなかったので直接消します。
あと、明らかに胡散臭い「数列のフォルダ」も発見。
もしかすると重要なプログラムだったりして。。。と思ったのも束の間、フォルダ内に「Uninstall.exe」があったので、完全にクロだと判明しました。
Tempフォルダ内のデータを削除する
勝手に作られてしまったショートカットの元を辿っていくと「Temp」フォルダに行き着くことがあります。必ずしもTempフォルダとは限りません。前項のように、Program Filesフォルダに潜伏している可能性もありますし、Cドライブ直下に潜伏してる場合もあります。
今回、実際にTempフォルダにスパイウェアの元ファイルが隠れていたので、全部削除しました。
Temp内のデータは、慎重に取り扱うべきという意見の方も中にはいらっしゃいます。ですが基本的には「一時作業ファイル置き場」ですので、そこまで神経質にならなくても大丈夫だと思います。今のところ、私の環境で不具合が発生したことは全くありません。
これでとりあえず一件落着・・・のはずが!?
Crossbrowseも駆除、BrowserModifier:Win32/SupTabも駆除、SSFKも駆除。最前線で暴れまくっていたアプリケーションは、ひと通り駆除できました。少なくとも、アプリケーションやショートカットの自動インストール攻撃はおさまったので、ひと安心。
で、マルウェア ・スパイウェアによるストレスを紛らわそうと思い、気晴らしにネットサーフィンでも・・・と、Chromeを起動。すると、この画面が出てきました。
「プログラムと機能」からアンインストールしたはずの「mystartsearch」です。このように「消したはずなのに消えてなかった」みたいなスパイウェアは少なくありません。
とりあえず上記リンク先を参考に、レジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mystartsearchSoftware」を削除してみました。
・・・残念!トップページはmystartsearchのままでした。
ちなみに上記リンク先で私が見落としてた回答がありまして、どうやら「ショートカットのリンク先が、mystartsearchになっていた」とのこと。※Internet Explorerの場合
ただし、Chromeのほうは残念ながら、大元のexeファイルから起動してもmystartsearchが出てきてしまうようですね。
そんなわけで、手動によるマルウェア ・スパイウェア駆除は、そろそろお手上げのようです。。。
アンチスパイウェアを使って、犯人を一気にあぶり出す
・・・と、そんな感じで「手動駆除」ばっかりにとらわれてしまい、「アンチスパイウェア」の存在を忘れていました。前回、大規模なマルウェア ・スパイウェア被害に遭った時にも重宝したアプリ。「Adwcleaner」のことです。
深刻なウイルス・スパイウェア・マルウェア被害に悩まされている、そこのあなた。騙されたと思って、試しにこのアプリをダウンロードして使ってみてください。アホみたいに検出されまくります。
「Scan」を押してしばらく待ち、検出されたら「Clean」を押して駆除。最後に、パソコンを再起動させれば完了です。
実際、Adwcleanerによって「mystartsearch 」は、跡形もなく消え去りました。
Adwcleanerはインストール不要なので、気軽に扱えるのがありがたいですね。インストール形式のアンチスパイウェアの場合、どうしても「アンチスパイウェアのはずが、実はスパイウェアだった」みたいに、要らぬ心配をしてしまうので。。。
インストール不要のアンチスパイウェアだと、他にも「Junkware Removal Tool」などがあります。
Junkware Removal Tool|Information about the tool
「.exe」ファイルが裸の状態で置かれてますが、怪しいアプリケーションではありませんのでご心配なく。圧縮・解凍ソフトすら使用不可能なレベルでウイルスに侵されたパソコンの場合、解凍してる余裕も無いので「あえて、exeファイルで即使える状態にしている」だけでしょう(おそらく)。
Adwcleanerと同様、非常にシンプルな作りですので、使い方で特に迷うことは無いはずです。
パッと見はコマンドプロンプト(ターミナル)形式のアプリですが、exeファイルから起動します。Adwcleanerと併用することで、少しでも多くのスパイウェアを駆除できますので、こちらも常備しておくと良いです。
記事執筆時点では「7.6.0(2015/08/31)」が最新版でした。本体にアップデート機能はあるみたいなんですが、私の環境ではなぜかエラーが出てアップデートが出来ません。もしあなたが同様の状態なのであれば、先ほどのサイトなどからこまめに最新版をダウンロードして使ったほうが良いかと思います。
「Spybot - Search & Destory」は超老舗のアンチスパイウェアです。日英両方のWikiを読んでも、いつから存在してるのか不明ですが、Windows95にも対応していたほどのアプリなので、歴史はかなり長いと思います。
項目がゴチャゴチャあるので一見複雑に見えますが「Start a scan」→「Show Details(スクショ撮り忘れました。。。)」→「Fix Selected」の順にクリックしていくだけですから、非常にシンプルです。
フリーソフト版(英語)がVectorには存在せず、窓の杜にだけあったので一瞬「?」と思いました。おそらく、Vector PC Shopのほうで製品版(日本語)を販売してるため、フリーソフト版を置けない事情でもあるのかもしれません。営業妨害になってしまうようでアレですが、フリーソフト版で十分だと思います。
前述の3つのアンチスパイウェアだけでは不安であれば「Malwarebytes Anti-Malware Free」を併用するのも良いかもしれません。インストール型になってしまいますが、検出・駆除能力は非常に高いと評判です。
Malwarebytes Anti-Malware Free
ちなみに無料だと、トライアル版ということで「2週間のみ使用可能」です。基本無料アプリではなく、あくまでも「体験版」ですね。多くのサイトでインストール~使い方~アンインストール方法までセットで説明してるのは、それが理由ではないでしょうか。
面倒くさかったので今回は使用しませんでしたが、他のアンチスパイウェアでは検出されないようなウイルスまで検出されますので「アンインストールの手間を掛けてでも使う価値がある」と思います。
最後に
行った駆除作業の順番どおりに記憶を追いつつ記事を書きましたが、もしかすると「Adwcleaner」「Junkware Removal Tool」「Spybot」を先に走らせてしまえば、7~8割方のマルウェア ・スパイウェアが駆除できちゃうかもしれません。中でも「Adwcleaner」の検出能力は、特に高いです。
もし、この手の駆除作業が苦手であれば、冒頭の記事を参考に「セーフモード」状態だけ作ってしまい、その後すぐに「アンチスパイウェアを使って、犯人を一気にあぶり出す」だけでも良いと思います。これだけでも、かなり被害は食い止められるはずです。
こういったトラブルが発生した時、すぐに「クリーンインストール」や「リカバリー」「復元」を勧める方もいらっしゃいます。実際そのほうが確実ですし、誰でも間違いなくマルウェア・スパイウェアの脅威から逃れられるので、これはこれで鉄板の対処法です。
その一方で「今すぐにはクリーンインストールや復元ができない状況にある」ような人もいるでしょう。「仕事で期限・納期などが間近に迫っているため、PCを再セットアップし直さざるを得ない状況は極力避けたい」みたいな方であれば、当記事で書いたような手順でマルウェア・スパイウェアを駆除していったほうが都合が良い場合もあります。
マルウェア・スパイウェアの情報って、あればあるほど助かるんですよね。マイナーなウイルス・新種のウイルスの場合、日本語サイトだとなかなか出てこないため、駆除アプリがないとお手上げ状態になる場面も少なくないです。
仮に短めの記事だとしても、ブログに書き残しておくことで対処法を共有することが出来ます。もし何らかの被害に遭われた際、状況を把握しつつ駆除作業を行える余裕のある方は、ブログを立ち上げて記事を書いてみるのも良いかもしれません。
この記事が気に入ったら
いいね!しよう
最新情報をお届けします