« リカバリ後、メールの送受信が出来ない | トップページ | 光プレミアムV6ステージで動画再生できない »

2006年4月22日 (土)

アドウェア退治

本日のお客さんはパソコンを使っていると一定時間ごとにポップアップが立ち上がり、動きも急に遅くなるとの事。話をお聞きしている時点でほぼ間違いなくアドウェアの類だと思われます。

PCはショップで購入したと思われるノートパソコン WinXPでウィルス対策としてウィルスセキュリティー2006が入っています。

とりあえず状況を見せていただくと何やらデスクトップには怪しいアイコンが・・・

Photo_1   

これらのアイコンは削除しようとしても出来ませんし、それどころか移動すら出来ません。

インターネットエクスプローラの「お気に入り」にもいろいろと追加されています。当然削除も出来ません。

それからポップアップですが、確かにいろんなものが勝手に起動してきます。

下の2つは広告と出会い系のサイト。

Photo_2

Photo_3

WinAntiVirusPRO 2006とWinAntiSpyware2006というソフトをダウンロードした方がいいですよ~。という内容のいかにもアドウェアというページ。

Winantiviruspro

あと、こんなのも。

Photo_5

たまにこんなメッセージも出してきます。

 「新しい脅威が検出されました:ウィルス名新しい脅威が検出されました:ウィルス名「BloodHound Virus」感染を防ぐ為、セキュリティーソリューションをダウンロードするのお勧めします。感染を防ぐ為、セキュリティーソリューションをダウンロードするお勧めします。」

Bloodhound_1

などと、しつこいぐらいにダウンロードさせようとしてきます(--+

このWinAntiVirusPRO 2006はおそらくパソコントラブル出張修理・サポート日記さんの記事に出ているインチキ駆除ソフトでしょう。どうやらインストールされた場合はアンインストーラがあってそれで簡単に削除は出来るようです。しかし、今回のお客さんはどうやらインストールまでは思いとどまって(笑)されていなかったようです。

しかし、このポップアップを表示させている悪玉を何とかしなくてはなりません。

とにかく、現状では動きが遅くて作業にならないのでタスクマネージャーを起動しました。

すると、「Vgacoolbook.exe」というプロセスがCPU使用率99%でフル稼働しています。そこで、こいつを終了。

とりあえず、作業できるようにはなったので「プログラムの変更と削除」からそれらしいものを探してみるとアイコンにあった「Casino~」があったのでアンインストール。これは問題なく終わりアイコンもきれいに無くなりました。

しかし、他は見つかりません。

そこでHijackThisを使ってみました。すると、何やら怪しいものが・・・。

O2 - BHO: (no name) - {F634FBAA-0C18-B411-3EDC-6BAA3925753A} - C:\DOCUME~1\○○○\APPLIC~1\MEOWDR~1\seekbib.exe

O4 - HKLM\..\Run: [Roam download cake cdrom] C:\Documents and Settings\All Users\Application Data\axis help roam download\Ace Long.exe

O4 - HKCU\..\Run: [lies cash] C:\DOCUME~1\○○○\APPLIC~1\POLLTH~1\Meta close.exe

検索してみましたがこれらの情報はほとんどありませんでした(--;

という事でこれらをFix&再起動。

結果は・・・・・。

見事退治できました(^^)v

デスクトップのアイコンもなくなり、お気に入りからも消えています。

しばらく様子を見ましたがポップアップも出ませんし、ネットワークケーブルを繋いでも復活する気配もありません。念のためログを元にファイルも削除しておきました。

仕上げにspybotAd-Aware SEをかけて終了です。

最近はスパイウェアの駆除依頼はあまりなかったのですが、やはりまだまだ健在のようですね(^^;

|

« リカバリ後、メールの送受信が出来ない | トップページ | 光プレミアムV6ステージで動画再生できない »

コメント

なかなか派手ですね~。(^^;
ご紹介いただいた記事では、光プレミアム付属のNTT版ウイルスバスターが入っている状態でやられましたが、SP2未適用でした。
今回のパソコンがどうだったのかはわかりませんが、SP2未適用だと、たとえウイルス対策ソフトが入っていても、こういうのにやられやすい傾向にあるようです。

ところでちょっと気になったんですが、ポップアップ画面のURLは隠した方がよろしくないですか?
長いURLですから、わざわざ打ってまでアクセスしようとする人はいないでしょうけど、あえて宣伝する必要もないと思いますので。

ちなみに、こういう内容ならトラックバックいただいた方がいいような気がします。
最近、宣伝オンリーのくだらないトラックバックに辟易してるので、こういう有益な内容でのトラックバックをいただくと嬉しいんですけどね(^^)
気が向いたらで結構ですので、よろしくお願いします。

投稿: ささもと | 2006年4月23日 (日) 06時30分

ささもとさまコメントありがとうございます。
今回のお客さんは一応SP2適用済みだったのですがいろんなフリーのソフトをダウンロードしていたらしくどうやら自分で招き入れてしまったようです(^^;その後心当たりのソフトをアンインストールしたが改善されなかったようです。

>ポップアップ画面のURLは隠した方がよろしくないですか?
全く気がつきませんでした(^^; 複数の方が見られる可能性が
ありまからね。早速訂正いたします。

>こういう内容ならトラックバックいただいた方がいいような気がします。
実は最近ブログを始めたばかりなのでお恥ずかしながらトラックバックの仕方がイマイチよく分かりません(--;
今度、勉強してトラックバックさせていただきますのでよろしくお願いいたします(^^)/

投稿: EDO | 2006年4月23日 (日) 08時30分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック


この記事へのトラックバック一覧です: アドウェア退治:

« リカバリ後、メールの送受信が出来ない | トップページ | 光プレミアムV6ステージで動画再生できない »