ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« WindowsMeなのにsvchost。 | トップページ | ESCキーが利きません。 »

2005年9月29日 (木)

検知してくれないアドウェア。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

パソコン2台の不具合解消の依頼の続き。
もう1台は、実は1年程前の前回訪問時におかしかったもので、症状が軽いから我慢して使っていたそうです。
こちらもややこしいサイトを表示するアドウェアですが、カジノやスクリーンセーバーなど、比較的大人しいめのアドウェア。
ただ、問題なのは、お気に入りの編集ができなかったり、画面下に出る妙なツールバー。いくら消しても消えません。
ツールバーは、画面キャプチャを取り忘れたので、どんなものかをお見せできないのが残念です…。
お気に入りも、勝手に追加された項目を消そうとして右クリックしても「お気に入りを閉じる」としか出ず、「お気に入り」メニューから整理を選んでも、消したい項目はそこにはない。
な、なんで??

こちらは時間短縮のために、いきなりSpybotとAd-Awareでチェックをかけたのですが…なんと全然効き目無しでした。
いろんなクッキーなどの軽微なものはたくさん削除してくれていましたが、肝心のアドウェアが消えてくれない。
CWShredderまでかけてみましたが、結果は同じ。
1年も前のアドウェアを、どうして駆除できないんだ?
やっぱりツールに頼っていてはダメだ。
しかたない、HijackThisでもう一度地道にチェックしていこう。

チェックをかけてみたはいいけど…うーむ。
いろんなものが入っているので、どれが要る物で、どれが要らない物なのか、はっきりと区別がつかない。
とりあえず、

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {1C9D421B-ACBC-48BB-9CED-51368BC1CE31} (HgArcadePluginJP3 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HgArcadePluginJP3.cab
O16 - DPF: {20050205-D35A-4233-926E-2E801AE25949} (NMJPStarter2 Class) - http://www.netmarble.jp/_common/cab/NMStarterJP3.cab
O16 - DPF: {20050325-D35A-4233-926E-2E801AE25949} (NMJPStarter15 Class) - http://www.netmarble.jp/_common/cab/NMStarterJP5.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2A7EFEAA-8059-4C69-8FE2-4BA999C3B102} (TrickCtrl Class) - https://ssl2.gcrest.com/trickster/cabs/TrickLauncher.cab
O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by101fd.bay101.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5082D9B5-5538-4C50-BDB1-C5F44BFB98CC} (HgRunPub Class) - http://www.hangame.co.jp/publish/HgRunPub.cab
O16 - DPF: {6FC19219-C47E-4880-9A79-D218A1C374F9} (NMJTransX Control) - http://file.netmarble.jp/Control/NMJTransX.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B469C508-9A75-4A62-BFA9-62802D653A4B} (HanGamePluginJP15 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP15.cab
O16 - DPF: {B74F5519-5893-4F7F-974D-96E105A3C3A8} (KingDomLauncher Class) - http://www.hangame.co.jp/publish/do/HgDO.cab
O16 - DPF: {B905F63D-7489-4B3D-9B62-49A1B8647E2A} (HgPluginJP21 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HGPluginJP21.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll

この辺は一通り要らなさそうなんでHijackThisでFIX。
しかし再起動後すぐ復活。
その他、外せるものをいくつか外したが、一向に改善の兆しがない。
こりゃ難問だなぁ…。

こりゃ怪しいのをひとつずつ調べるしかないか…と思ったが、いくつかのファイルの置き場所がおかしいのに気が付いた。

O4 - HKLM\..\Run: [boldfunkslowinternet] C:\Documents and Settings\All Users\Application Data\mpegforboldfunk\Ref idol.exe
O4 - HKLM\..\Run: [GrimToolHeckCoal] C:\Documents and Settings\All Users\Application Data\logo wait grim tool\BoneLocks.exe
O4 - HKCU\..\Run: [Build mp3] C:\DOCUME~1\Owner\APPLIC~1\LOCKSB~1\more enc media.exe

「C:\Documents and Settings」って…そんなフォルダのファイルがなんで起動項目に?
ためしにそのフォルダを開けてみた。
malware01
(クリックすると拡大します)
おおお~!なんじゃこりゃ~~!!
おびただしい数の怪しい実行ファイルが!!

(この絵では拡張子はすべて「EX_」ですが、元は「EXE」で、起動しないように私が変更したものです)
しかも何やら意味ありげな名前のファイル名ばかり。
他の2つも開けてみましたが、全く同様でした。
これだけあるなら、面倒なので一気に拡張子を書き換えます。

  1)フォルダパスをコピーしておいて、DOSプロンプトを開く。
  2)「CD 」(CDの後に半角スペース一つ)と打ち、DOSプロンプトの中で右クリックし、貼り付け。
  3)フォルダパスが貼り付けられたらEnter。
  4)「DIR」Enterでファイルリストを出し、希望のフォルダか確認。
  5)「REN *.exe *.ex_」Enter。(拡張子「exe」のファイルすべてを拡張子「ex_」に書き換えろ、というコマンド)
  6)終わったら「EXIT」Enter。

これでこのフォルダの中のexeファイルを無力化できました。
そして再起動。

…見事に症状が治まりました!!
あとは消えてなかった起動項目を、HijackThisで改めてFIXし、再起動。
変な起動項目も復活せず、無事駆除完了です。

しかし、今回の一件で、自動のツールに頼りすぎてはいけない、と改めて痛感させられました。
SpybotもAd-Awareも、大変優れたツールではありますが、決して万能ではない、ということ。
万能ならば、似たような目的で2つもツールを使う必要もないわけですから。
また、HijackThis,も、それでチェックできるものが自動起動のすべてではない、ということ。

Windowsの出現により、いわゆるDOS/Vマシンは、素人でも格段に使いやすくなりました。
しかし、同時に素人では手が出ない部分が増えて、どんどんブラックボックス化が進んできました。
その例としては、Windows3.1の各種「iniファイル」、Windows95以降の「レジストリ」。
世代を重ねるごとに素人に親切な設計になり、同時に中身は複雑化していきました。
レジストリは、ツールを使えば素人でもいじれますが、下手ないじり方をすると復旧不可能になるという、完全な「ブラックボックス」になってしまいました。
それだけに、「ウラ技」がいくつも潜んでいる状態です。

しかし、こんなウラ技をいくつも見つけるなんて、アドウェア製作者って、ホント仕事熱心です…。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2005年09月29日(木) ウィルス・スパイウェア関連, ソフトウェア不具合関連, パソコントラブル, パソコン・インターネット |

« WindowsMeなのにsvchost。 | トップページ | ESCキーが利きません。 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/6189778/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: 検知してくれないアドウェア。:

コメント

maru です。

腕の見せ所だと思うのですが。
個人的にツールで解決出来ない状況で有ればリカバリを勧めす。なぜならばリカバリが一番確実で、時間とコストが安価な解決だから思います。

単に私にスキルが無いだけかも知れませんが・・・。

投稿: maru | 2005/10/01 13:08:55

maru です。

度々申し訳有りません

>「C:\Documents and Settings」って…そんなフォルダのファイルがなんで起動項目に?
>ためしにそのフォルダを開けてみた。

の件、参考になりました。

投稿: maru | 2005/10/01 13:13:02

maruさん

そうですね~ツールでは無理、ということでまさしく腕の見せ所です。
今回は横着こいてしまって、改めて「頼りすぎてはいけない」と痛感した次第です。
とはいえ、1年ほども昔のアドウェアが対処できていないというのも珍しいと思いました。
ツールバーが出てくるのはいいとして、「お気に入り」をフックするというのは今までに経験がありませんでしたが、1年ぐらい前からあるのなら、おそらくけっこうあったものなのかもしれませんね。

でも、未知のウィルスなら相当高度なスキルが必要になりますが、スパイウェアやアドウェアは、必ず自動起動のための手順が必要になるので、ややこしくはなっても探し当てれば息の根を止めることはできますので、まだ私程度の技術レベルでも対処できます。

ですので、「あきらめてリカバリ」は、本当に原因が見つけきれない場合か、よほど復旧を急いでいる場合のみと考えています。

ただ、ほとんどの場合は、リカバリ後の環境整備にただならぬ手間がかかるのと、失われたデータは永遠に取り戻せないので、明確にコストに換算しきれないダメージが出てきます。

つまり、今回のような軽度のアドウェア(我慢すればとりあえず使える程度)であれば、リカバリにともなうダメージの方が大きいので、安直にリカバリをかけると、お客さんをがっかりさせることになります。

つまり、症状を改善できても、こちらの信頼度が明確に下がってしまうわけです。

自分の環境なら、必要なソフトもわかっていますし、追加インストール項目も把握できていますが、残念ながらお客さんのパソコンは、なかなかそうは行きません。
こちらの都合でリカバリをかけると、環境整備もこちらの責任においてやらなければなりません。

持ち込み修理なら、単純に「リカバリーになりますがよろしいでしょうか?」と、パソコンの動作を確実にして返すだけで済みます。
でも、出張修理で、「使えない状態」にして帰るような仕事では、お金取れませんよね。

私はそう考えて仕事してます。
ですので、現地で4時間以上もかかる仕事になったり、力及ばずリカバリーとなった仕事は、実質的に負けだと考えてます。

ですので、こういう形で情報公開してます。
インターネットに載っている情報は、私も参考にさせてもらっているので、こちらの持っている情報は、支障のない範囲で公表していこうと考えています。

今後ともよろしくです。

投稿: ささもと | 2005/10/02 12:53:49

maru です。

ささもと様の、お客様に対するお気持ち十分理解いたしました。
今後、私も心がけたいと思います。

他のスレも含め色々アドバイスをありがとうございます。
また、私からの同じ内容のトラックバックが2個送られてしまっています。1個は削除して頂けると幸いです。

失礼いたします。

投稿: maru | 2005/10/02 18:13:02

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« WindowsMeなのにsvchost。 | トップページ | ESCキーが利きません。 »