しいたげられたしいたけ

人権を守るには人権を守るしかない。人権以外の何かを守ることにより人権を守ろうとする試みは歴史的に全て失敗した

人から頼まれてマルウェアの駆除をした

同じ市内に住む知人。知人と言っても私より20歳くらい年上で、お孫さんがすでに成人している。

そのお孫さんが家庭のパソコンにビデオ系のフリーソフトをいくつかインストールしたところ、余計なソフトまで一緒にインストールされて、パソコンが「●件の深刻なウイルスに感染しています」という意味のメッセージが表示してびっくりしたのだそうだ。ちなみにウイルス対策ソフトは契約期限切れとのこと。

ウイルス対策ソフトの契約を更新することを条件に、見せてもらった。

「ウイルスに感染」云々のメッセージはマルウェア自身が表示しているんだろうなと思ったが、案の定だった。

つか、あるわあるわ、ウイルスではなく脅迫ソフト系のマルウェア中心だが。Uniblue Registry Boosterとか、Systweak RegClean Proとか、PC Performerとか…どれもネットで検索すると、いずれも悪評ふんぷんたるソフトばかりだ。

これらのソフトは、アンインストーラを使って削除可能なので、まだタチがいいほうだ。コントロールパネルの「プログラムのアンインストール」を使って、片っ端から削除する。5本ばかり削除したかな?くだんのメッセージを出しているのがどれかは確認しなかったが、再発しなかった。

ふと気づいて、IEのトップページが書き換えられていないか確認した。書き換えられていたので戻した。

IMEがBaiduに勝手に変更されていたので、これもアンインストールした。Baidu IMEはアンインストールしようとすると、ケモノミミ萌え絵のキャラが悲しげな表情で「今まで頑張りましたが、もう少し利用してみませんか?」と語りかけるメッセージを出すんだね。削除したけど(^^;

しかし問題はこれだけではなかった。IEを起動すると、ポップアップが出てくる。これがなかなか消せないのだ。Flashゲーム系と、あとPPTVというオンラインTV。特に後者が、検索によるとアンインストーラがついてなくてなかなか削除できないと、悪名高いものらしい。

日を改めて、再チャレンジ。検索したところPPTVのポップアップを消すためには、(1)一旦セーフモードで起動し、(2)Program Files中のPPLiveというフォルダを削除し、(3)「ファイル名を指定して実行」からレジストリエディタrededitを起動して「pplive」を検索し、片っ端から削除、(4)Cドライブの直下にある「FaboriteVideo」というフォルダを削除…という手間がいるらしい。

調べてみたところ、プログラム本体はDドライブ直下とCドライブのProgram Files(x86)の中に見つかった。さらに隠しフォルダのProgram data中に「PPlive」というフォルダが見つかったので、これも削除した。

rededitを起動して検索すると、ppliveのみならず、pptvそれにppliteという項目もいっぱい見つかった。ただしファイアウォール情報中にも見つかったが、これらはどう考えても残しておいたほうがよさそうに思えたので残した。それ以外は片っ端から削除。すごい数があった。

PC再起動。念のため復元ポイントは作成しておいたけど、無事、立ち上がってくれた。しかしPPTVは表示されなくなったが、Flashゲームのポップアップはまだ出てくる。

IEの「ツール」から「アドオンの管理」を表示すると、わけのわからんアドオンがいくつか入っていた。7 go gamesとか、speed analysisとか、delta toolbarとか。

どれもネットで検索して評判が悪いことを確認のうえ、アンインストール。これらもアドオンとはいえアンインストーラがついていたのは助かる。あ、delta toolbarはrededitでレジストリ項目を削除しといたほうがいいという情報もヒットしたので、念のためやる。

これでFlashゲームのポップアップも表示されなくなった。どれが効いたかまでは特定していない。

十指に余るソフトを削除したわけだが、まだ漏れがあるかも知れない。どれもウイルス対策ソフトからは「マルウェア」とは認識されないようだ。自力で感染するわけでなく、何かのソフトをインストールしようとすると抱き合わせでインストールされるかららしい。そしてどれかがインストールされると、芋づる式に次々と類が友を呼ぶようだ。迷惑であることには違いないが。

弊ブログでは以前にDriverDocというソフトを少し持ち上げたことがある。私は「はてな」のバナー広告経由でインストールしたのだが、あのソフトが評判悪いのも、この手の抱き合わせ商法に手を染めているからで、また起動プロセスが脅迫ソフトそのものであること、Registry BoosterやRegClean Proとユーザインタフェースがそっくりなので会社名こそ違え密接な関係が想像されることなども考え合わせると、みだりに他人に勧められるものではないのかなと思えてきた。

こういう抱き合わせダウンロードや脅迫ソフトなどのグレーなソフトが増えることによって、パソコンが素人にとってどんどん使いにくいものになっていくことを憂う。