スパイウエア図鑑
 

001 「Wild_jp」 ▼end

たとえば、下記のサイトへアクセスすると、いきなり、ファイルをダウンロードする警告画面になります。

http://www.findpornhere.com/ars/sites/1st/index.php?refid=92031

「Wild_jp」というファイルを「204.177.92.198」という場所からダウンロードしようとしています。

☆「キャンセル」

「キャンセル」をクリックすると、何も起こりません。

☆「保存」

「保存」をクリックすると、ユーザーが指定した場所に、「Wild_jp」というプログラムが保存されます。

「Wild_jp」を起動しなければ何も起こりません。

早急に、このプログラムを削除してください。

☆「開く」

「開く」をクリックすると「Wild_jp」というプログラムが実行されます。

  • "C:\Program Files\comsoft\dialers\wild_jp\wild_jp.exe" というダイアラーがインストールされ
  • デスクトップに「Wild_jp」のアイコンが、登録され
  • スタートメニューに「Wild_jp」のプログラムが登録され
  • システムトレイにアイコンが表示されます。

ダイアラーが起動され、下記の画面になります。

ここで、「ENTER」をクリックしてしまうと、国際電話等に接続されてしまいます。

右上の「X」をクリックして終了してください。

☆Instant Sex Access

また、アダルトサイト等から「Instant Sex Access」という画面がリンクされていることがあります。

この画面で、下記のボタンをクリックしると、上の場合同様、「Wild_jp」というダイアラーがインストールされてしまいます。

 
 
002 トレイメニュー ▼end

このプログラムはレジストリを使って、OSと同時に起動され、常駐するようになっています。

システムトレイにあるアイコンを右クリックすると、メニューが表示されます。

このプログラムを削除する場合は、メニューの「退場」を使って終了させる必要があります。

ここでのアンインストールはあまり信用できません。

 


003 「HijackThis」 ▼end

☆「HijackThis」のログ

O4 - HKLM\..\Run: [Wild_jp] c:\program files\comsoft\dialers\wild_jp\wild_jp.exe /noconnect

キー名が省略されていますが、正式には下記のとおりです。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run

☆startuplist.txt

には、次の項目が表示されています。

「Running processes」
c:\program files\comsoft\dialers\wild_jp\wild_jp.exe

「Autorun entries from Registry」
Wild_jp = c:\program files\comsoft\dialers\wild_jp\wild_jp.exe /noconnect

「Windows NT 'Wininit.ini'」
PendingFileRenameOperations: c:\program files\comsoft\dialers\wild_jp||c:\program files\comsoft\dialers\wild_jp

(この表示の意味は私にはわかりません。)

☆日本語非対応

「デスクトップ」(日本語ディレクトリ)にある項目は検出できません。


004 「Ad-aware 6」でスキャン ▼end

三つのレジストリキーと一つのディレクトリーが検出されます。

HKEY_CURRENT_USER:SOFTWARE\Comsoft\Dialers\
HKEY_LOCAL_MACHINE:SOFTWARE\Comsoft\Dialers\
HKEY_LOCAL_MACHINE:Software\Comsoft\
c:\program files\comsoft\dialers\wild_jp

下記のキーが検出されていません。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\Wild_jp


005 「Spybot-S&D」でスキャン ▼end

三つのレジストリキーと一つのディレクトリーが検出されます。

All-In-One Telcom: Autorun settings (レジストリ値, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\Wild_jp
All-In-One Telcom: ProgramFiles (ディレクトリ, nothing done)
c:\program files\comsoft\dialers
Comsoft: User Settings (レジストリキー , nothing done)
HKEY_LOCAL_MACHINE\Software\Comsoft\Dialers
Comsoft: User Settings (レジストリキー , nothing done)
HKEY_USERS\S-1-5-21-1214440339-1343024091-1957994488-1004\Software\ComSoft\dialers

006 クッキー ▼end

このページ自体からはクッキーは書き込まれないようです。


007 アンインストール ▼end

☆「HijackThis」

ここでは試しに「HijackThis」で「Fix」して見ます。

O4 - HKLM\..\Run: [Wild_jp] c:\program files\comsoft\dialers\wild_jp\wild_jp.exe /noconnect

を選択して、「Fix」をクリックすると、下記の警告が出ます。

Fix 1 selected items? This will permanently delete and/or repair what you selected, unless you make a backup.

「HijackThis」では時々、修復用のバックアップが作られないことがあるようです。

「はい」を選択してFixの後、「Ad-aware 6」でスキャンしてみます。

HKEY_CURRENT_USER:SOFTWARE\Comsoft\Dialers\
HKEY_LOCAL_MACHINE:SOFTWARE\Comsoft\Dialers\
HKEY_CURRENT_USER:Software\Comsoft\
HKEY_LOCAL_MACHINE:Software\Comsoft\
c:\program files\comsoft\dialers\wild_jp

☆AutoRun設定が消えた

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\Wild_jp

だけが「Fix」されていて、ほかは残っています。

1番目と3番目が重複、2番目と4番目が重複、従って、実質3番目以降の3項目が検出されました。


009 「Spybot-S&D」 ▼end

どうやら、このソフトの場合「Spybot-S&D」が一番正確なようですので「Spybot-S&D」でアンインストールして見ます。

All-In-One Telcom: ProgramFiles (ディレクトリ, fixed)
c:\program files\comsoft\dialers
Comsoft: User Settings (レジストリキー , fixed)
HKEY_LOCAL_MACHINE\Software\Comsoft\Dialers
Comsoft: User Settings (レジストリキー , fixed)
HKEY_USERS\S-1-5-21-1214440339-1343024091-1957994488-1004\Software\ComSoft\dialers

☆常駐ソフトも削除

c:\program files\comsoft\dialersフォルダが削除され、システムトレイのアイコンが消えました。

レジストリキーも2件削除、残りは「Ad-aware 6」で「Fix」します。

HKEY_CURRENT_USER:Software\Comsoft\
HKEY_LOCAL_MACHINE:Software\Comsoft

☆ショートカットアイコンの削除

デスクトップのアイコンとスタートメニューのアイコンは手作業で削除してください。


010 まとめ ▼end

かなり混乱しましたので、まとめると下記のようになります。

ファイルの削除
"c:\program files\comsoft\dialers\Wild_jp\Wild_jp.exe"
フォルダの削除
"c:\program files\comsoft\dialers\Wild_jp"
"c:\program files\comsoft\dialers"
"c:\program files\comsoft"
ショートカットの削除
"C:\Documents and Settings\m\スタート メニュー\Wild_jp.lnk"
"C:\Documents and Settings\m\デスクトップ\Wild_jp.lnk"
レジストリの削除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run c:\program files\comsoft\dialers\wild_jp\wild_jp.exe /noconnect
HKEY_CURRENT_USER\Software\Comsoft
HKEY_CURRENT_USER\Software\Comsoft\Dialers
HKEY_LOCAL_MACHINE\Software\Comsoft
HKEY_LOCAL_MACHINE\Software\Comsoft\Dialers

HKEY_USERS\S-1-5-21-1214440339-1343024091-1957994488-1004\Software\ComSoft\dialers

どうやら、「Ad-aware 6」と「Spybot-S&D」で「Fix」して、後は手作業ということになりそうです。

それとも、常駐解除した後、フォルダとショートカットはバッチファイルで削除、レジストリは「Spybot-S&D」で掃除、という方法があるかもしれません。

バッチファイルの見本
del "c:\program files\comsoft\dialers\Wild_jp\Wild_jp.exe"
rd  "c:\program files\comsoft\dialers\Wild_jp"
rd  "c:\program files\comsoft\dialers"
rd  "c:\program files\comsoft"
del "%USERPROFILE%\スタート メニュー\プログラム\Wild_jp.lnk"
del "%USERPROFILE%\デスクトップ\Wild_jp.lnk"
pause

それにしても、アンティ・スパイソフトの弱点が見えてしまったという感じです。

≪Prev ▲Top Next≫
end