スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

DAEMON Toolsのアドウエアのメモ。


DAEMON Toolsのアドウエアに引っかかりそうになりましたw

なんとなく OK とか NEXT をクリックしてインストールを進めてると、ダメですね。
クリックする前によく見ないと危ないです。

そんなわけで、
どんなアドウエアがインストールされるのか気になったので実験してみました。

仮想OSに繰り返しインストールしてみた結果、

1、おそらく3種類のアドウエアが組み込まれていて、ランダムに1つ選択される。(ユーザーがキャンセル可能)
2、場合によっては、アドウエアのインスト画面が出ないことがある。
3、ネットを切断してインストールするとアドウエアのインスト画面が出ない。


という感じです。

安全対策としては3の方法が一番良いですね。
別のフリーウエアでは、アドウエアをインストールしないと絶対に先に進めないという困ったものもあるので、そういう意味では、アドウエアを単独でキャンセルできるDAEMON Toolsは、一応親切設計(?)なのかもしれません。


確認できたアドウエアは以下の3種類。

1、Istartsurf
istartsurf_tuuti.jpg

2、Search Protect
SearchProtect_tuuti.jpg

3、Desktop Weather
DesktopWeather_tuuti.jpg


どれもいらないソフトなので駆除方法を検討します。

Anti-Malware と AdwCleanerを使用してみたのですが、
インストールの必要が無い、検出率が良かった、という点でAdwCleanerのほうが使いやすかったです。

なので、以下の駆除方法はAdwCleanerを使った方法を記載します。


■■■■ 駆除方法 ■■■■
駆除にAdwCleanerを使用するので、オフィシャルサイトからダウンロードします。

AdwCleanerオフィシャルサイトはこちら。
http://general-changelog-team.fr/en/

Toolsをクリック
adwcleaner_01.jpg

AdwCleanerをクリック
adwcleaner_02.jpg

Click here to download AdwCleanerをクリック
adwcleaner_03.jpg

Download Nowをクリック
adwcleaner_04.jpg


ダウンロードしたファイルは単独で動作するので、インストール不要です。
ファイル名は、adwcleaner_4.113.exeです(v4.113の場合)。


実際の駆除方法ですが、アドウエアの種類で手順が異なります。
私の環境では以下の方法で駆除できました(Windows8.1 + IE11)。

Istartsurf
 →手順2を実行 → 手順3を実行(環境により必要が無い可能性もあります)
Search Protect
 →手順2を実行
Desktop Weather
 →手順1を実行 → 手順2を実行


◎手順1 コントロールパネルからアンインストール
インストールされる2つのソフトは、AdwCleanerでは認識しないようです。
しかし、これらはコントロールパネルからアンインストールできるので、まずそれをを実行します。
コントロールパネルに表示されないBaiduのアップデータは、後でAdwCleanerを実行して駆除します。
まず最初に、The Desktop Weather と Web Companion をアンインストールします。
DesktopWeather_uninst1.jpg

The Desktop Weatherのアンインストール
「アンインストールするには」にチェックを入れて、アンインストールをクリック
DesktopWeather_uninst2.jpg

Web Companionのアンインストール
以前の状態に戻す場合は、「ブラウザホームページ設定の復元」と「私のブラウザの検索エンジンの設定を復元する」にチェックを入れて、削除をクリック
DesktopWeather_uninst3.jpg

はい をクリック
DesktopWeather_uninst4.jpg

閉じる をクリック
DesktopWeather_uninst5.jpg



◎手順2 AdwCleanerで駆除
データベース?か何かをダウンロードするのでしばらく待つと、メイン画面が起動します。
スキャンをクリックしてしばらく待ちます。
adwcleaner_05.jpg

スキャン結果を確認して、削除をクリックします。
結果項目のそれぞれのタブをクリックすると、項目別の検出結果が表示されます。
adwcleaner_06.jpg

自動的にOSがリスタートして、ログファイルを表示します。



◎手順3 未検出のソフトを削除
各アドウエアと同時にSwift Recordというのも一緒にインストールされてる場合があるので、もしインストールされていたらこれも削除します。
コントロールパネルからアンインストールします。
istartsurf_swift.jpg

なお、仮想OS上で実行してる場合は、仮想OSに関連した箇所が改ざんされてる場合があります。
私は以下の箇所が改ざんされていましたが、AdwCleanerでは検出されませんでした。
なので、regeditを起動して自力で編集する必要があります。
istartsurf_reg.jpg

キー
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\VMWAREHOSTOPEN.EXE\shell\open\command
値のデータ
"C:\Program Files\VMware\VMware Tools\VMwareHostOpen.exe" http://www.istartsurf.com/?type=sc&ts=1427057905&from=smt&uid=3219913727_1787_1C4056DE

値のデータで、最後に付け足されているアドレス(赤文字部分)を削除します。







■■■■ 各アドウエアのインストール結果 ■■■■
何かの参考にどうぞ。

◆Istartsurf
コントロールパネルからアンインストールを実行しても、それっぽいフリだけして実は全然アンインストールされてないという、ふざけたソフト。
そのアンインストールも、それを阻止するようにしつこく確認を要求してきます。

インストール画面
「DAEMON Tools Lite Setup」となっていて紛らわしいが、DAEMON Toolsとは無関係。
なお、ここでCancelするとアドウエアはインストールされません。
istartsurf_inst.jpg

インストールするとこんなプロセスやサービスが発生します。
istartsurf_pro.jpg

istartsurf_sea.jpg

AdwCleanerの検出結果(ログファイル抜粋)
***** [ サービス ] *****
サービス 検出済み項目 : WindowsMangerProtect
サービス 検出済み項目 : IHProtect Service

***** [ ファイル / フォルダ ] *****
フォルダ 検出済み項目 : C:\Program Files\XTab
フォルダ 検出済み項目 : C:\ProgramData\IHProtectUpDate
フォルダ 検出済み項目 : C:\ProgramData\WindowsMangerProtect
フォルダ 検出済み項目 : C:\Users\xxxxx\AppData\Roaming\ASPackage
フォルダ 検出済み項目 : C:\Users\xxxxx\AppData\Roaming\istartsurf
フォルダ 検出済み項目 : C:\Users\xxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage

***** [ レジストリ ] *****
キー 検出済み項目 : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
キー 検出済み項目 : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0}
キー 検出済み項目 : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
キー 検出済み項目 : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{E733165D-CBCF-4FDA-883E-ADEF965B476C}
キー 検出済み項目 : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}
キー 検出済み項目 : HKLM\SOFTWARE\Classes\CLSID\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}
キー 検出済み項目 : HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8}
キー 検出済み項目 : HKLM\SOFTWARE\Classes\TypeLib\{968EDCE0-C10A-47BB-B3B6-FDF09F2A417D}
キー 検出済み項目 : HKLM\SOFTWARE\IHProtect
キー 検出済み項目 : HKLM\SOFTWARE\istartsurfSoftware
キー 検出済み項目 : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
キー 検出済み項目 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}
キー 検出済み項目 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ASPackage
キー 検出済み項目 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall
キー 検出済み項目 : HKLM\SOFTWARE\SupDp
キー 検出済み項目 : HKLM\SOFTWARE\SupTab
キー 検出済み項目 : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect
データ 検出済み項目 : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command [(Default)] - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1427152016&from=smt&uid=3219913727_1787_1C4056DE

***** [ Webブラウザ ] *****
-\\ Internet Explorer v11.0.9600.17416

設定 検出済み項目 : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page] - hxxp://www.istartsurf.com/?type=hp&ts=1427152016&from=smt&uid=3219913727_1787_1C4056DE
設定 検出済み項目 : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL] - hxxp://www.istartsurf.com/?type=hp&ts=1427152016&from=smt&uid=3219913727_1787_1C4056DE
設定 検出済み項目 : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://www.istartsurf.com/web/?type=ds&ts=1427152016&from=smt&uid=3219913727_1787_1C4056DE&q={searchTerms}
設定 検出済み項目 : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL] - hxxp://www.istartsurf.com/?type=hp&ts=1427152016&from=smt&uid=3219913727_1787_1C4056DE
設定 検出済み項目 : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page] - hxxp://www.istartsurf.com/?type=hp&ts=1427152016&from=smt&uid=3219913727_1787_1C4056DE
設定 検出済み項目 : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page] - hxxp://www.istartsurf.com/web/?type=ds&ts=1427152016&from=smt&uid=3219913727_1787_1C4056DE&q={searchTerms}


◆Search Protect
インストール画面
「DAEMON Tools Lite Setup」となっていて紛らわしいが、DAEMON Toolsとは無関係。
なお、ここでCancelするとアドウエアはインストールされません。
SearchProtect_inst.jpg

インストールするとこんなプロセスやサービスが発生します。
SearchProtect_pro.jpg

SearchProtect_sea.jpg

AdwCleanerの検出結果(ログファイル抜粋)
***** [ サービス ] *****
サービス 検出済み項目 : CltMngSvc
サービス 検出済み項目 : SPPD

***** [ ファイル / フォルダ ] *****
ファイル 検出済み項目 : C:\END
ファイル 検出済み項目 : C:\Windows\AppPatch\Custom\{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb
ファイル 検出済み項目 : C:\Windows\AppPatch\nbin\VC32Loader.dll
フォルダ 検出済み項目 : C:\Program Files\SearchProtect
フォルダ 検出済み項目 : C:\Users\xxxxx\AppData\Local\SearchProtect

***** [ レジストリ ] *****
キー 検出済み項目 : HKCU\Software\Conduit_Search_Protect
キー 検出済み項目 : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{015DB5FA-EAFB-4592-A95B-F44D3EE87FA9}
キー 検出済み項目 : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledsDB\{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}
キー 検出済み項目 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchProtect
キー 検出済み項目 : HKLM\SOFTWARE\SearchProtect
キー 検出済み項目 : HKLM\SOFTWARE\SPPDCOM
データ 検出済み項目 : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\PROGRA~1\SearchProtect\SearchProtect\bin\VC32Loader.dll

***** [ Webブラウザ ] *****
-\\ Internet Explorer v11.0.9600.17416

設定 検出済み項目 : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page] - hxxp://www.trovi.com/?gd=&ctid=CT3325159&octid=EB_ORIGINAL_CTID&ISID=MACE65FB0-4BA2-42FB-AFCE-A52243D9B9EF&SearchSource=55&CUI=&UM=8&UP=SP221B3059-2021-48CD-95C2-A353BA453E2F&D=032515&SSPV=


◆Desktop Weather
インストール画面
「DAEMON Tools Lite Setup」となっていて紛らわしいが、DAEMON Toolsとは無関係。
ここでCancelすると、DAEMON Toolsのインストールを中断するかのようなメッセージが表示されますが、
これはアドウエアに対してのメッセージ。
ここで「はい」をクリックすると、アドウエアはインストールされません。
DesktopWeather_inst1.jpg

DesktopWeather_inst2.jpg

インストールするとこんなプロセスやサービスが発生します。
DesktopWeather_pro.jpg

DesktopWeather_sea.jpg

AdwCleanerの検出結果(ログファイル抜粋)
***** [ ファイル / フォルダ ] *****
フォルダ 検出済み項目 : C:\Program Files\baidu
フォルダ 検出済み項目 : C:\ProgramData\baidu
フォルダ 検出済み項目 : C:\Users\xxxxx\AppData\Roaming\baidu
フォルダ 検出済み項目 : C:\Users\xxxxx\AppData\Roaming\RHEng
フォルダ 検出済み項目 : C:\Windows\system32\config\systemprofile\AppData\Roaming\baidu

***** [ レジストリ ] *****
キー 検出済み項目 : HKLM\SOFTWARE\Baidu
キー 検出済み項目 : HKLM\SOFTWARE\Classes\CLSID\{533403E2-6E21-4615-9E28-43F4E97E977B}
キー 検出済み項目 : HKLM\SOFTWARE\Classes\Interface\{0FCE4F01-64EC-42F1-83E1-1E08D38605D2}
キー 検出済み項目 : HKLM\SOFTWARE\Classes\Interface\{1A2A195A-A0F9-4006-AF02-3F05EEFDE792}
キー 検出済み項目 : HKLM\SOFTWARE\Classes\Interface\{2D9DB233-DC4B-4677-946C-5FA5ABCF506B}
キー 検出済み項目 : HKLM\SOFTWARE\Classes\Interface\{3AE76A17-C344-4A83-81CE-65EFEE41E42D}
キー 検出済み項目 : HKLM\SOFTWARE\Classes\Interface\{4C0A69B0-CE97-42B7-86FC-08280C99C74D}
キー 検出済み項目 : HKLM\SOFTWARE\Classes\Interface\{4E9EB4D5-C929-4005-AC62-1856B1DA5A24}
キー 検出済み項目 : HKLM\SOFTWARE\Classes\Interface\{8FAF962C-3EDE-405E-B1D0-62B8235C6044}
キー 検出済み項目 : HKLM\SOFTWARE\Classes\Interface\{C1F5E799-B218-4C32-B189-3C389BA140BB}
キー 検出済み項目 : HKLM\SOFTWARE\Classes\Interface\{F60C9408-3110-4C98-A139-ABE1EE1111DD}

スポンサーサイト

テーマ : Windows 全般
ジャンル : コンピュータ

プロフィール

エリアX

Author:エリアX
 
気になることを実験。
忘れないように記録。
こんなことをやってるブログです。

最新記事
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。