読者です 読者をやめる 読者になる 読者になる

倭マン's BLOG

くだらない日々の日記書いてます。 たまにプログラミング関連の記事書いてます。 書いてます。

delta-homes が発症 and/or 「ダウンロード」ボタンだけの広告がよく表示されるって人いる?

Windows

GW 中にまたもや delta-homes さんが悪さをしていたようで、Windows ユーザーさんは GW 明けから苛立ちの修正作業をしていたことと思います。 今回の症状も、今までの方法で(対症療法レベルでは)元に戻せます。 Google Chrome については以前の記事で修正方法を書きました:waman.hatenablog.com
おさらいをしておくと、

  • 知らない拡張機能の削除
  • 起動時のページの修正
  • 検索エンジンの修正
  • ホーム画面の修正
  • デスクトップ&タスクバーのアイコンの設定を修正

をすればよいのでした。 これらは基本的に Firefox でも Internet Explorer でも同じです(Internet Explorer の場合、「コントロール パネル」の「インターネット オプション」から同様の設定を行うことも可)。

で、これで一応は元通りにブラウザが使えるようになって一安心っ!と思ってたんですが、どうもこれらの悪戯設定(なんて軽いもんじゃない?)をした元のプログラム(というかマルウェア)を入れたままにしておくと、本来 Google Adsense 広告が表示されるべき箇所に「Download Now ↓」みたいな何のツールのダウンロードなのかわからない、怪しいだけの広告が表示されまくるみたいです(拙者の場合、こちらの記事にあるような iLivid の広告が多くありました)。 「広告なんて無視すればいいや」と思うかも知れませんが、ちょっと間違ってクリックしてしまうと削除が結構面倒くさいツールがインストールされてしまったりいろいろトラブルにつながるかと思うのでほっとかないようにしましょう。 なにより、広告を出してる人や広告を掲載している人(サイト主)にとっては、本来表示されるべき広告が表示されないのは非常にイタいんで。 拙者のブログのアフィリエイトはスズムシの涙程度ですが、それでもマルウェアの利益になるなんて耐えられん。

ということで元プログラムをなんとか駆除する原因療法が必要なんですが、悪さをしているプログラムは(上記の拙者の記事に追記してある、もしくはリンクを張って頂いているサイトに書いてある)

  • [IePluginservice]
  • [suptab]
  • [winzipper]

などで*1、これらを削除しないといけません。 通常の「プログラムのアンインストール」方法は

[コントロール パネル] → [プログラムのアンインストール]

もしくは

[コントロール パネル] → [プログラムと機能]

から「プログラムのアンインストールまたは変更」に行き、対象のプログラムに対して

右クリック → アンインストール

とします。 どのプログラムをアンインストールするかですが、インストールした覚えのないプログラム、特に発行元の知らないプログラム*2インストール日時が発症日ごろのプログラムなどが候補となります。 ただ、悲しいかなマルウェアは正当な手順だけでは完全に削除できないのが悲しいところ。 完全に削除するにはクリーンナップツールを使うのが簡単そう。 例えば

などにそういう方法が載ってます。 少々不安なのは、それらのクリーンナップツールは信頼できるものなのか?というところ。 実際、YAC ってのはそれ自体がマルウェアっぽいツールなようです。 ・・・拙者の PC に、子どもの日のプレゼントみたくインストールされとったゼ。

自力で削除するのは結構面倒、そして完全かどうかが不安ではありますが、概ね

  • C:\Program Files
  • C:\ProgramData
  • C:\Users\《ユーザー名》\AppData

あたりのフォルダ下にある怪しいプログラムのデータを片っ端から削除していきます*3。 削除候補はコントロールパネルで削除したプログラムや、発症日時ごろに作成・更新されているフォルダです。 大体会社名別・プログラム別にフォルダ分けされているので消してはいけないプログラムやフォルダは分かると思います。 で、たまに手動で削除しようとするとアクセスが拒否されるなどして削除できない場合がありますが、こいつはアタリのプログラムでほぼ確実にマルウェアの元プログラムです*4。 こいつを削除するには、

[スタートメニュー] → [プログラムとファイルの検索]欄

に「msconfig.exe」と入力し、システム構成ダイアログを表示させ、

f:id:waman:20150508112130p:plain

サービス」タブ*5を開いて、削除できなかったプログラムを探してチェックを外します。 再起動するかどうか問われるのでそのまま再起動して、先ほど削除できなかったファイル・フォルダを削除します。

これでたぶん元となるマルウェアが削除できます。 万全を期すなら、ドライブ内をそのプログラム名で検索して削除漏れがないかを探すといいかと思います(「delta-homes」で検索するとブラウザの履歴とかも検索にかかりますが・・・)。 まぁ、安全そうなクリーンナップツールを使う方が無難かと思います。

なにはともあれ、感染しているのが分かっているのに放っておくとマルウェアの配布者以外誰も得しないので、きちんと治療しましょう。

*1:他に、IePluginServices, YAC, WPM, WindowsManagerProtect, wprotectmanager.exe, XTab, Picexa Viewer(, ESTsoft) なども怪しいプログラム。

*2:プログラム名や発行元名をネットで検索すれば、マルウェアの場合、削除方法が検索上位に表示されるので、そのあたりを参考に。

*3:フォルダを手動で削除する前に、必ずコントロールパネルの「プログラムのアンインストオールまたは変更」からの削除を実行して下さい。 アンインストールの実行ファイルを消してしまうとちょっと面倒なことになる場合があるので。

*4:自分でプロセスを作って使用中にすることで削除されるのを防いでいるらしいです。

*5:もしかしたら「スタートアップ」タブにあるかもしれません。