アドウェアを駆除する

アドウェア(マルウェアの一種)に入られたらしい

ある日突然、自分が管理しているブログの全部の画像にポップアップの広告が貼り付けられた

最初は、無料ブログだから運営会社が始めたのだと思ったが、なんと管理画面まで広告だらけになってしまった

これはアドウェアだと気づき、Chromeを使っているのだが、FireFoxとIEでも見てみたが、なんと全部に感染していたのだ

アドオン(いわゆる拡張機能とかアドインなど言い方いろいろ)を見てみるといるわいるわ

まったく入れた覚えのないアドオンがうじゃうじゃ

pRicechop
FunDeeals
priCCechooP
adblocker
NeixtCoouip
NeexutCOupo
NextCoup
NextCoupp
ppriceechop
pRicEchop
NeeXtCouup
NeuxtCoup
FunDeeaLs

おおよそこんな名前のヤツは怪しいです

コイツらのやること
・広告を出す(アフィリエイトになっているらしい)
・クッキーやブラウザが保存しているパスワードなど個人情報を拡散(ファイル共有ソフトなどと同じ)
・ポップアップやリンクの乗っ取り(ボクの場合両方やられた)

広告はまだいいが、個人情報を抜かれるのは困るよね

◆最初に試した事
アドオンを削除 ⇒ 再起動で復活しやがった
まずこれは無意味

◆次のステップ
コントロールパネル>プログラムのアンインストール(勇気をもって似たような名前のは全て削除した)
⇒ 残念、復活

◆次
コンピューター>Cドライブ>Program Files(x86)・ProgramData・Program Files(64bit用、ここにはいなかった) から削除
Chrome と FireFox についてはブラウザ自体削除 ⇒ 再インストール

⇒落ち着いたように見えたが、IE自体が削除できないので最新バージョンを削除して旧バージョンに遡っていった
IE11 ⇒ IE8 まで遡ったがアドオンに3つ残っていて以下の内容

名前: NeeXtCouup
発行元: コントロール名は利用可能ではありません
種類: ブラウザー ヘルパー オブジェクト
バージョン: 利用不可
ファイル日付:
最終アクセス日: 2014年8月21日23:20
Class ID: {C4F613E2-3804-13AF-C68C-548AB6E60E1D}
使用回数: 29
ブロック回数: 0
ファイル: Qbk5XyaQGJ.x64.dll
フォルダー: C:\Program Files (x86)\NeeXtCouup

名前: NeuxtCoup
発行元: コントロール名は利用可能ではありません
種類: ブラウザー ヘルパー オブジェクト
バージョン: 利用不可
ファイル日付:
最終アクセス日: 2014年8月21日23:20
Class ID: {8131987E-9978-0727-A5E6-164E5BD66F64}
使用回数: 28
ブロック回数: 0
ファイル: Pji1.x64.dll
フォルダー: C:\Program Files (x86)\NeuxtCoup

名前: FunDeeaLs
発行元: コントロール名は利用可能ではありません
種類: ActiveX コントロール
バージョン: 利用不可
ファイル日付:
最終アクセス日: 2014年8月21日7:21
Class ID: {99BC08E5-6C0B-B3FD-F053-8CCFF7AF705A}
使用回数: 14
ブロック回数: 0
ファイル: bNmwPKP4lg.x64.dll
フォルダー: C:\ProgramData\FunDeeaLs

まず不気味なのは削除したはずの場所を参照している
再度確認したが C:\Program Files (x86)\ ここにはいない

バージョンが利用不可というのはバージョンがわからないという意味で使用回数をみると何かにアクセスしてるのがわかる

有効/無効のボタンはグレーアウトでIE機能のアドオン初期化を実行しても、コイツらだけ有効のままで削除もできない

悩みに悩んだが、意を決しててレジストリを削除するすることにした

スタートメニューから「プログラムとファイルの検索」テキストボックスに「regedit」と入力してregedit.exeを起動する

プログラムとファイルの検索

プログラムとファイルの検索

「編集」⇒「検索」を選択

レジストリエディタ画面

レジストリエディタ画面

検索ボックスに削除対象のファイル名を入力し検索(それらしいの片っ端から検索した)

レジストリファイル検索

レジストリファイル検索

冒頭に書き出した名前のものは全て検索して削除したが、いろんな名前でファイル作っているようなので、残っているのもあるかもしれないが、流石にこれだけ消せば復活はできないのではないかと推測している

聞いた話によるとCドライブだけでなく、EやFなど他に内部外部問わずドライブが存在している場合は、そこにも感染している疑いもあるらしい

今回、Eも起動ドライブで接続されているから、E直下とProgram Files (x86) フォルダは確認したが変なのはいなかった

あとは各ファイルの日付も参考になると思う

原因については思い当たる節がある

8/12頃、海外サイトから無料フォントをダウンロードした

インストール形式になっていたので、一瞬「おやっ」と思ったが、あまり気にせずインストールを実行してしまった

開始してからインストーラが何回もグルグル回っていたのでそこで初めて「おかしい」と思い中止した

数十秒~2分程度だったと思うが、その後フォントはインストールされておらず、Microsoft Security Essentials のスキャンをかけたが脅威は発見されなかったので、安心していた

異変に気づいてからフルスキャンもかけたが、Microsoft Security Essentials で見つけ出す事はできなかった

このアドウェアは、PCのシステムに入り込み、システム側の正しい存在として居座るからたちが悪い

コイツを駆除すると謳っている無料駆除ソフトなどはもっと危ないから入れない方がよい

正直、これで勝ったとは思えない

全てを綺麗に駆除するには、恐らくOSをリカバリするしかないかな。osamushi

参照サイト: Nextcoupとpricechop(ウイルス)の削除方法

コメント