タグ:マルウェア ( 11 ) タグの人気記事

HitmanProで迷惑ソフトのSpeedUpMyPCを削除

まず迷惑ソフトのSpeedUpMyPCをPCに取り込んだ。
このソフトは「深刻なエラー」などの警告をどうでもいいレジストリエントリなどに対して発し、有料版の購入を促すものである。

迷惑ソフト削除ソフトのHitmanProは http://www.surfright.nl/en/hitmanpro/からダウンロードできる。

c0240934_15034444.jpg
c0240934_15042049.jpg
「Download now」ボタンをクリックすると画面が遷移するので「名前を付けて保存」を選択する。

c0240934_15045401.jpg
右下にダウンロード済みのメッセージが出て、ブラウザの下のほうにダウンロード後の動作選択ボタンが出てくるので、「実行」ボタンをクリックする。

「このアプリが…」との警告メッセージがWindowsから出るので、「はい」ボタンをクリックする。

c0240934_15051599.jpg
HitmanProが起動するので、NEXTボタンをクリックする。
c0240934_15053454.jpg
画面が遷移するので上の欄では「No, I only want to perform...」を選択
下の欄では「Pleasea e-mail」のチェックを外す。
NEXTボタンをクリックする
c0240934_15055106.jpg
スキャンが始まる。
124GBほど使っているハードディスクだが5分強でスキャンが終わった。
c0240934_15061520.jpg
PCValidatorService.exeをいうマルウエアにも感染していた。
SpeedupMyPCの検知は想定内。

その他多数のトラッキングクッキーが検出された。

スキャンが完了して結果が表示されたら「Next」ボタンをクリックする。
c0240934_15063593.jpg
ここで購入するか30日の無料お試し期間を使うか尋ねられるので、「Activate Free licence」を選択。

メールアドレスを求められるので、メールアドレスを入力して(2カ所)「Activete」ボタンをクリックする。

「Next」ボタンをクリックする。

コンピュータの再起動を求められるので「はい」をクリックする。

これで完了。

テスト環境
・日本HP 500-540jp (Intel Core i7-4790、8GB DDR3-1600 / PC3-12800 DDR3 SDRAM UDIMM、2TB SATA HDD、Microsoft Windows 10 Build 14393 日本語版、Microsoft Edge 38.14393.0.0日本語版)
[PR]
by 1229n | 2016-10-06 15:10 | マルウエア・クッキー等 | Comments(5)

マルウエア、迷惑ソフト駆除まとめ

悪意のあるソフトウエアや迷惑ソフトの駆除に使えるWindows対応のソフトで基本的に無料なものをまとめる。
検出・駆除できるマルウエア、アドウエアには差がある。

c0240934_21210081.jpgノートンパワーイレーサー
  • セキュリティソリューションの大手からリリースされているスカムウェア駆除ソフト。
  • メーカーの紹介文では「従来のウイルススキャンでは検出されない脅威を取り除く」とされている。
  • 日本語対応。価格は無料。
  • ルートキットの駆除も可能とうたわれている。
  • あまりにも強力なため正規のプログラムを駆除してしまうこともあるらしいので、使用には注意。
  • 他のセキュリティソフトウエアと共存可能。
  • 常駐は出来ない。
  • c0240934_21223383.jpg
    迷惑アプリのSpeedUpMyPCを検出したノートンパワーイレーサー

c0240934_21225357.jpgMalwarebytes Anti-Malware
  • 有料版のPremiumは 2980円/年/PC1台だが、無料版でもマルウエアを含むPUPのスキャンと駆除が可能。
  • Trojan、ルージュなどにも対応。日本語対応はメニューとメッセージの一部のみ。
    (日本語のファイルはスキャン可能)
  • なお、駆除の時に必要なブラウザ情報なども消えてしまうことがあるらしい。北きつねさん、情報ありがとうございました。
  • 常駐は有償版でのみ対応。
  • c0240934_21243630.jpg
    Malwarebyteスキャン画面 SpeedUpMyPCはスルーされた。tradeadexchangeは検出したらしい。

c0240934_21250618.jpgHitmanPro
  • トラッキングクッキーなどの発見率は高い。
    (ただし2016/3/22現在、アドウエアのtradeexchange.comに対応していなかったとの情報あり)
  • 開発元のWEBサイトには、他のセキュリティソフトウエアと共存可能であると書かれている。
  • 駆除もできる有償版は24.95米ドル/年間/PC1台。ただし無料で14日間試用可能。
  • c0240934_22522385.jpg
    ReviverSoft、SpeedUpMyPC、GardeningEnthuasist、PCMechanicのアンインストール後レジストリに残るキーを検出したHitmanPro。


c0240934_21271392.jpgSpybot
  • 窓の杜では「定番のスパイウエア対策ソフト」と紹介されている。
  • マルウエアの検索・駆除とも無償版で対応可能。機能を追加した有償版も用意されている。
  • Windows 10にインストールした際、スタートアップに登録されたが、どのような動作をするのかは不明。
  • 日本語化もできるらしいが、シンプルなインターフェースなので英語版のままでも十分利用可能。
  • c0240934_21281753.jpg
    SlimwareをPUPとして検出したSpybot


[PR]
by 1229n | 2016-05-01 00:00 | マルウエア・クッキー等 | Comments(0)

大げさにエラー表示して有料版の購入を迫るSpeedUpMyPC 2016

SpeedUpMyPCが2016になっていたので、その挙動を確かめた。併せて駆除の方法もまとめた。

セキュリティ関連サイトでの記載
SpeedUpMyPCの以前のバージョンはシマンテックの公式サイトに「SpeedUpMyPc は、コンピュータの動作を遅くするという問題について誤解を招く情報を表示する、不要と思われるアプリケーションです。問題を解決するために代金を支払うようユーザーに要求する可能性があります。」と記載されている。
(引用者からの補足:実際に要求される。)
SpeedUpMyPC 2016も同じくPUP(シマンテックの用語でいうとPUA)であると考えられる。

SpeedUpMyPC 2016の挙動
  • 「PCにエラーがみつかりました」等のブラウザのメッセージと混同しそうな広告で、ダウンロードを促す。
  • ダウンロードしたファイルを実行すると、「SpeedUpMyPC 2016で無料スキャンを開始」というタイトルの画面が出てきて「同意してスキャンする」をクリックすると、SpeedUpMyPC 2016のインストールが開始される。
    c0240934_20153962.jpg

  • インストールが完了すると「スキャン」が開始され大げさな警告がポップアップする。
    c0240934_2015524.jpg

  • 例として優先度が高とされているジャンクファイルの結果を見てみる。
  • ごみ箱が空にされていない、Windows一時ファイルがある、インターネット一時ファイルがあるなど、このSpeedUpMyPC 2016を使わなくても簡単に解決できるものばかりである。わかる人にはわかるが、これらのファイルを削除したとしても「スピードアップ」は望めない。
    c0240934_2016673.jpg

  • 緑色の「削除」や「修復」ボタンを押すと、WEBブラウザが開き有料版の購入を促される。
    c0240934_20162133.jpg

  • SpeedUpMyPC 2016を閉じようとして右上のxボタンをクリックしてもこのプログラムは終了できない。
  • さらに下のような画面が出てきて右上の「閉じる」をクリックしても終了できない。
    c0240934_20164029.jpg


    終了するには「今すぐ購入」という緑色のボタンの下の「終了」をクリックする。
  • SpeedUpMyPC 2016は自身をスタートアップに登録し、Windows起動のたびに「スキャン」→「エラーの表示」→「有料版の購入督促」を繰り返す。
    c0240934_20165445.jpg

  • しばらく放っておくと、Windows画面右下からポップアップを出して、エラーの表示と有料版の購入督促を行う。
    c0240934_2017267.jpg



セキュリティソフトでの判定
有名どころのセキュリティソフト4種類のうち半数が、迷惑ソフトとしてSpeedUpMyPC 2016を検出した。
SpeedUpMyPC 2016の駆除

コントロールパネルからのアンインストールという方法もあるが、事前にタスクマネージャーでSpeedUpMyPC 2016関連のプログラムを終了させる必要があるため、ノートンパワーイレーサーを使ったほうが簡単である。
  1. ノートンパワーイレーサー(ファイル名はNPE.exe)をダウンロード、実行する。
  2. 内容に同意し、ノートンパワーイレーサーが起動したら「迷惑アプリのスキャン」を実施
    c0240934_2018311.jpg

  3. SpeedUpMyPCが見つかるので、アンインストールをクリックして終了。
  4. アンインストールが完了すると値引きされた値段でソフトを買うように誘うページが開くが無視してよい。
    c0240934_2023873.jpg


[PR]
by 1229n | 2016-04-09 20:18 | マルウエア・クッキー等 | Comments(0)

Malwarebyte Anti-malwareがWinZip Registry OptimizerをPUPとして検出。駆除も可能。

最初にまとめ
  • WinZip Registry Optimizerは3種類のうち1つのセキュリティソフトでPUPとして検出された。
  • 侵入経路は主にWEBサイトの広告から
  • このソフトの挙動は、勝手にレジストリスキャンを行いPCが危機にあるような不安を煽る。
    またスタートアップに登録され、有料版の購入を促す。
  • 削除は手動のほかに無料のセキュリティソフトで行える。






侵入経路
侵入経路は、主にWEBページに出てくる広告からである。
c0240934_18232398.jpg

この画面の例では「PCのエラーを修正しました」という文字広告が出てくる。
これをブラウザからのメッセージと思いクリックすると、「Windowsエラーの修復の仕方」と題されたページに飛ばされ「Windows修復ツール」のダウンロードを促される。このツールは無料と錯覚されやすい。
c0240934_18241476.jpg



WinZip Registry Optimizerの挙動
  1. インストールが終わると、自動的にスキャンが行われ、「インパクト」が「高」として「問題の修正」を促す。
    c0240934_1824425.jpg

  2. 「レジストリの問題を放置しておくとシステムのパフォーマンスと安全性に悪影響を及ぼし、PCのクラッシュやシステムエラーの原因となったり…」と警告メッセージを出し、有料版の購入を促す。
    c0240934_18252192.jpg

  3. Windows画面右下からポップアップが出て有料版の購入を促す。
    c0240934_18254094.jpg

  4. 自身をスタートアップに登録し、PCの電源を入れるたびに「スキャン」→「有料版の購入督促」の動作を行う。
    c0240934_1826616.jpg


ちなみに価格は年間4423円であった。
Nortonでは「エラーの警告をしてソフト購入を誘導する詐欺に遭遇する可能性が高いといえます。」言い切っている。


無料セキュリティソフトでの検出と駆除
WinZip Registry Optimizerに対するスキャン結果は、


であった。
セキュリティソフトによりバラつきがあるが、上の3つのうち1つでもPUP扱いしており、さらにノートンブログのコメント(怪しげなサイトよりこちらのほうが信用できる)でも詐欺の可能性が高いとしているので、削除したほうがいいというのがブログ主の意見である。
(他の記事との重複になるがマイクロソフトの公式サイトやノートンの公式サイトでもレジストリクリーナー自体が今のWindowsには不要という見解がある。)


(botcrawl によるとCCleanerによるレジストリの削除も記載されているが、上記のことからそれは必要ないと「思う」。)
CCleaner自体には勝手なスキャンや有料版の押し売りが無いので、詐欺という印象はなかった。

駆除は、コントロールパネルからのアンインストールがあるが、WinZip Registry Optimizerのタスクマネージャーから強制終了などの手順が必要なため、Malwarebyte Anti-malwareを使ったほうがシンプル。


1.まずは自動的に起動しているWinZip Registry Optimizerを終了させる右上のxボタンを押せばよい。
このときにまた脅し画面が出るが、それもx印を押してプログラムを完全に終了させる。
c0240934_18301674.jpg



2.Malwarebyte Anti-malware をダウンロードしてインストールする。(無料版で良い)
c0240934_18332418.jpg


3. スキャンを行って、「remove selected」をクリックして完了。(PCは再起動する)



上記以外に参照したサイト
[PR]
by 1229n | 2016-04-04 18:38 | マルウエア・クッキー等 | Comments(0)

YoutubeダウンロードソフトのFreemake Video Downloaderのインストーラーが「Riskware」と分類された。

セキュリティソフトであるHitmanProはYoutubeダウンロードソフトの「Freemake Video Downloader」のインストーラーファイルをRiskwareのWin32.OpenCnadyとして検出した。
c0240934_22161428.jpg

なお、インストール済のFreeMake Video ConveterはPUPやRiskwareとして検出されていない。


結果
結果
Freemake Video Downloaderは、インストール時にすべてデフォルトで進めてしまうとInternet Exporer と Firefoxのトップページとデフォルト検索エンジンを書き換える。それ以外に特に目立った害はなかった。
検出状況
Win32.OpenCnadyとは
スキャン結果
問題のインストラーの挙動
感染後の挙動
対処方法


検出状況
複数のウェブサイトの情報によればESET AntivirusMicrosoft Security EssentialsなどもこのインストーラーをPUPとして検出している。
なお、「Spybot」、「 Malwarebytes Anti-malware」、「Avast」などの、こののインストーラーをスルーしているセキュリティソフトもある。(2016年3月30日現在)
c0240934_21184083.jpg


HitmanProの簡易的な説明によれば「not-a-virus:Adware.Win32.OpenCnady.bv(ウイルスではない:アドウエアWin32.OpenCnady.bv)」となっている。


Win32.OpenCnadyとはMalwaretipsによれば、複数のアンチウィルスソフトウエアがPUP(アドウエアを含んでいたり、ツールバーや不明確なオブジェクトをインストールする潜在的に望まれないアプリ)とする特定の検出である。
Win32.OpenCnadyはまたブラウザに広告、バナーポップアップ広告、文字広告を表示させる。
その他の一般的な挙動としては、

  • 広告バナーを閲覧したウェブページに挿入させる
  • ウェブページの文字がランダムにハイパーリンクに変わってしまう。
  • 偽のアップデートソフト、その他のソフトを勧めるポップアップがブラウザに出る。
  • コンピュータユーザーの知らないうちに、他の望まれないアドウエアをインストールしてしまう可能性がある。
である。


スキャン結果
試した4種のセキュリティソフトウエアのうち、HitmanProだけがFreemake Video Downlorderのインストール用ファイルであるFreemakeVideoDownloderSetup.exeをRiskwareとして検出した。



問題のインストラーの挙動
実際にFreemake Video Downlorderインストール用ファイルをした画面。
c0240934_16352158.jpg

「Bing®により起動する検索を、ホームページ、新しいタブ、デフォルト検索エンジンとしてFirefoxとInternet Explorerに設定する」とある。
どうやらここが、HitmanProの検出に引っかかったと思われる。


感染後の挙動
  • Firefoxのスタートページが「bing」に書き換えられていた。
    c0240934_1775818.jpg
  • Firefoxの検索ボックスが「bing」に書き換えられていた。
    c0240934_17133118.jpg
  • EdgeでYahooのトップページを表示させた場合の広告などの表示は特に変わり無し。
    (Malwaretipsで記載されたような広告バナーやテキスト広告の挿入等の挙動は確認できなかった)
    c0240934_1822535.jpg

  • Internet Explorerは通常使っていないため確認していない。
  • MicrosoftEdgeは確認とれず(もともとスタートページがBingでデフォルト検索エンジンもBingのため)



  • 対処方法
    Malwaretips の記事(英文)に記載してある AdwCleaner、Junkware Removal Toolによる除去は、スタートページの改ざんのみに対処できた。
    1. AdwCleanerによる修復を試みると、スタートページの変更だけが元に戻った。

    c0240934_17162919.jpg

    2. Junkware Removal Toolでの修復を試みるが、検索窓のデフォルトサーチエンジンはもとに戻らなかった。
    3. FireFoxの設定をし直して、復元完了
    c0240934_17221595.jpg



    以上により、Freemake Video Downloderのインストールファイルで行われたブラウザ改変を元に戻すことができた。
    なお、Microsoft Internet Explorer でも同様にデフォルトサーチエンジンの手動設定による回復が必要と思われる。


    テストOS: Windows 10 Home 64bit
    ブラウザ:Firefox英語版
    [PR]
by 1229n | 2016-03-25 21:20 | マルウエア・クッキー等 | Comments(0)

マルウエア PC Mechanic 2015 / PC Mechanic 2016 の挙動と削除


PC Mechanic 2015、PC Mechanic 2016に関して記載する。

PC Mechanic とは?

PC Mechanicのインストール過程と挙動
PC Mechanicのアンインストール

PC Mechanic とは?

PC Mechanic 2016はPCの最適化ツールとしてプロモートされている。
Webサイトの広告で「PCのエラーを回復」などの文句でダウンロードページにリンクされている場合もあれば、動画加工ソフトやPDF作成ソフトなどの無料アプリをインストールする際に、気付かずに一緒にインストールしてしまう場合もある。

インストールしてしまった場合、PCにサインインしたときに、勝手に起動し、レジストリ、スタートアッププログラムの問題など、大量のエラーを表示して不安を煽り、有料版のソフトウエアの購入を催促する。
有料版の価格は5100円。複数のセキュリティソフトでは PUPとして分類される。
(このアプリの提供元 Uniblueからアプリをインストールするときには、同じくPUPである myPCBackup.comも一緒にインストールされてしまう)
(myPCBackup.comをPUPとして紹介しているシマンテックのサイト)
c0240934_19305830.gif
PC Mechanicのインストール過程と挙動
いくつかのフリーソフトをインストールするときに勝手にPC Mechanicがインストールされてしまう場合もあるが、ここでは広告を見てダウンロードとインストールをしてしまった場合について記述する。

インストール画面は下の画像のようなもの
c0240934_19323332.gif
インストールの途中でセキュリティソフトが警告を出す場合もある。
Avast(無料版)では、警告が出たがPC Mechanicのブロック、駆除は出来なかった。
挙動としては、正常な設定やファイルや簡単な操作で削除できる不要ファイル対しても「PCの起動時間に影響を与えている」、「貴重なディスク領域を消費する不要なファイル」などとして高レベルの問題があるとして表示し、不安を煽る。
c0240934_19361252.gif

実際に「PCの起動時間に影響を与えているアプリケーションプログラム」の問題として表示された結果を見てみるたのが下記の画面。

c0240934_19363836.gif
2番目の「Canon Advanced Printing Technology」は、キヤノン製のMFPの正常動作に必要なもの。
3番目の「EmEditor」はタスクバーにエディタのアイコンを常駐に必要なもの。
このようにして、正常な設定に対しても問題があるように表示される。

続いて「貴重なディスク領域を消費する不要なファイル」の問題として表示されたのが下記の画面。
c0240934_19370342.gif

「Internet Explorerの一時ファイル 37.95MB」とあるが、これはブラウザに閲覧履歴や一度表示させたページの高速表示などに必要なものである。また、PC Mechanicを使わなくとも、簡単な操作で削除できる。
「削除されたファイル 63.81MB」とあるが、これもPC Mechanicを使わなくとも、簡単な操作で削除できる。

不安を煽られて、「修復を開始」などのボタンを押すと、ブラウザが開き購入を催促される。
c0240934_19381452.gif

PC Mechanicのアンインストール
PC Mechanic 2016は、コントロールパネルの機能でアンインストールした後、残ったレジストリをフリーのセキュリティソフトウエア「Malwarebyte Anti-malware Free」で修正・削除し、消去することができる。

手順は下記の通り。

I.まずコントロールパネルからアンインストールする
  1. PC Mechanicを終了させる。
  2. スタートボタンを右クリックしてコントロールパネルを起動する。
    c0240934_19384754.gif
  3. コントロールパネルで「プログラムと機能」を選択
    c0240934_19390913.gif
  4. PC Mechanicを選択して、「アンインストール」をクリックし、あとは画面の指示に従って削除する。
    c0240934_19394371.gif
  5. アンインストール完了後、ブラウザが起動し値引きされた価格での購入催促画面が出るが、それは無視してブラウザまたはタブを閉じる。
c0240934_19403957.gif

II.フリーのセキュリティソフトウエアでのレジストリ修正。
  1. Malwarebyte Anti-malware Free をダウンロードしインストールする。
  2. スタートメニュー→「すべてのアプリ」→「Malwarebyte Anti-malware」 → 「Malwarebyte Anti-malware Notification」でMalwarebyte Anti-malwareを起動する。
  3. 「データベースのバージョンが最新ではありません」の表示が出たら、「今すぐ修復」ボタンでデータベースを最新版にする。青い「Scan Now」ボタンをクリック。
  4. 十数分するとスキャンが完了し、PC Mechanicに関するレジストリやファイルが表示されるので、青い「Remove Selected」ボタンをクリック。
    c0240934_19430430.gif
  5. 再起動を促すダイアログが出るので、「はい」をクリック。
    c0240934_19433737.gif
以上でPC Mechanic 2016の駆除は完了する。

参考サイト

実験環境
  • PC:Hewlett-Packard 500-540jp
  • OS:Windows 10 (64bit) 日本語版

[PR]
by 1229n | 2016-02-14 19:45 | マルウエア・クッキー等 | Comments(0)

Spyhunter4は怪しいソフトウエアか?

当ブログの「Spyhunter4 = 怪しい」という見方は、撤回しないことにした。
I. SpyHunter4に対する見方。
SpyHunter4については、下記の3つの見方がある

  1. 好意的な見方では、有償(半年の利用で4555円)のスパイウエア駆除ツール。
  2. 中立的な見方では、「隠れたコストのある」スパイウェア対策ツール。
  3. 批判的な見方では、隠れたコストがあるだけでなく、ユーザーの知らない間にインストールされる可能性もあり、通常のクッキーに対しても警告を出して不安を煽る迷惑プログラム。

当ブログでの扱いとしては「3.批判的」とする。後述するが、PUPの検出が行えなかったので、スキャン結果が本当かどうかも疑わしい。

Spyhunter4 インストーラー (「隠れたコスト」の一例)
「特定の問題にカスタム修正を生成する」と書いてあるが、実際に無料版では修正は不可能である。
c0240934_18375335.jpg

II. 他のセキュリティソフトウェアとの比較。
前項の解釈のうち、どれをとるにしてもSpyhunter4を使うよりも評判の良い無償スパイウエア対策ツールを使ったほうが良い。
(半年で4500円以上の費用を払う必要はない。払うにしても有名な製品を使うべき)

III. I.-3の批判的な見方の裏付け。
  1. SpyHunter4を怪しいとしているのは当サイトだけではない。
  2. スパイウェアではないクッキーに対してまで警告を出してユーザーの不安を煽る。
  3. Any Video Converterなど無料ソフトのインストール時に勝手にインストールされてしまうこともある。
  4. Spyhunterを勧めるウェブサイトに、隠れたコスト(駆除などは有料で継続課金制であること)を記載していないものがある。
  5. 実際に検出・駆除ができないPUPがある。

IV. 他サイトでの記載

他サイトでSpyHunterがどう記載されているかまとめた。
Wikipediaの記事
引用)a computer program that's advertised as a free anti virus program at some internet sites and as a potential malware at other sites.
訳)無料のアンチウイルスプログラムとして公表しているインターネットサイトもあれば潜在的なマルウエアとも公表しているサイトもあるコンピュータプログラム。

shorte.st対策としてspyhunter4を紹介しているサイト。
引用)Download and Install Spyhunter scanner for free.
訳)無料でSpyhunterをダウンロードとインストール。
コメント)駆除動作などが有料(しかも継続課金)ということは一切書かれていない。

無題な濃いログ
ブラウザが標準で受け入れるcookieにまで警告を出すという問題を指摘している。
「『××× ([数字] 感染)』『Spyware cookie』といったミスリードを誘う表現に注意が必要」とされている。
ただしこのサイトでは、「有償ウイルス駆除ツールです。偽ツールではない」ともコメントされている。

PCトラブルサポートセンター
「SpyHunterにスパイウェアが仕込まれていて、クレジットカード番号等の個人情報を引き抜かれるという事例が過去にあったと紹介されています。」と記載されている。
「はい、安全ではありません!」と断言もしている。

【悪い評価?】 エラーを見せつけ不安を煽って購入誘導する要注意な迷惑ソフト 【詐欺評判?】
内容はページタイトルの通り。
spyhunter4を一例に挙げている。

最後に、実際にSpyHunter4や他のマルウエア対策ソフトウエアを、PC Mechanic 2015に感染させたPC (Windows 10 Home)にインストールし、検出・駆除ができるか比較してみた。
少なくとも、Spyhunter4は、PC Mechanic 2015などのPUPに対処できない。

【結果】
無料で検出と駆除ができたもの。
  • HitmanPro (3.7.12 Build 253)
    (無料の駆除は登録してから14日間のみ有効)
  • MalwareByte Anti-Malware (2.2.0.1024 DBバージョンv2016.01.22.09)
  • Soybot (2.4)

PC Mechanic 2015を検出したHitmanPro
c0240934_18442332.jpg

PC Mechanic 2015を検出したMalwarebyte Anti-malware
c0240934_18460851.jpg
PC Mechanic 2015を検出したSpybot
c0240934_18470930.jpg

検出ができなかったもの
  • SpyHunter4 (4.21.18.4608)
PC Mechanic 2015を検出できなかったSpyhunter4
c0240934_18475057.jpg
無料ソフトで駆除できるPUPに対応できないことから、他の検出力も疑われてしかるべきであろう。



2016/3/22追記
北きつね様の記事によるとtradeadexchange.comマルウエアにはHitmanProでは対応できなかったそうです。
(Malwarebyte Anti-malwareで駆除可能だったそうですが、必要なブラウザ情報なども消えてしまい、注意が必要だそうです。)

[PR]
by 1229n | 2016-01-23 20:53 | マルウエア・クッキー等 | Comments(4)

HitmanProでマルウエアとトラッキングクッキーの削除

通常クッキーと呼ばれるものは小さなテキストファイルです。Internet ExplorerやChoromeなどのブラウザでWebの訪問履歴などを記録します。
「トラッキングクッキー」はオンラインの行動を記録し、WEBサイト訪問の傾向を収集します。その収集したデータをもとに、ユーザ向けに特化した広告を表示させることが可能になります。

これは日本ヒューレットパッカードのウェブサイトを数回訪問して外国のWEBサイトを閲覧した例です。(外国のサイトにもかかわらず日本語の広告が出ていますね。)
c0240934_20202234.jpg

トラッキングクッキーはWEB閲覧の速度を低下させたり、望まない広告をいろいろなWEBサイトにアクセスするたびに表示させるといった特徴も持っています。また個人情報流失に対しても懸念を示す意見があります。

これらの邪魔なトラッキングクッキーをHitmanProで削除します。

HitmanProは、トラッキングクッキーだけでなく、DNSUnlockerのようなマルウエアも削除できます。また、他のセキュリティソフトと共存可能です。

HitmanProのダウンロードはこちらからできます。
c0240934_20204192.jpg

自分のPCのOSに合わせて32-bitか64-bitを選択してダウンロードします。
リリース元が動作すると言っているのは、Windows XP/2003/Vista/2008/7/8」となっていますが、Windows 8.1と10でも動作しました。

ダウンロードが完了したら、c:\Program Filesにサブフォルダをつくってそちらにファイルを移動します。
c0240934_20211565.jpg


移動したファイルをダブルクリックすると、HitmanProが起動します。
c0240934_20214836.jpg


最初に[Next]ボタンをクリックすると、設定画面が現れます。
c0240934_2022539.jpg

英文ですが、上の行から順に
Would you kike to store a copy of the HitmanPro program file on this computer?
「このコンピューター上のHitmanProプログラムファイルを保存しますか?」
Yes, create a copy of HitmanPro so I can regularly scan this computer (recommended)
「はい。HitmanProのコピーを定期的にこのコンピュータをスキャンできるようにコピーを作成します。(推奨)」
Automatically scan the computer daily during startup
「スタートアップの間、自動的にスキャンします。」(注:スタートアップの2~3分の間ですが、ほんの少しコンピューターの速度が遅くなります。)
Create a shortcut on the desktop
「デスクトップにショートカットを作成します」
Create shortcuts in the Start menu
「スタートメニューにショートカットを作成します。」
No, I only want to perform one-time scan to check this computer
「いいえ、このコンピューターを一度だけスキャンしたいだけです。」
画面の下半分は登録のためのメールアドレス入力欄です。
特に登録はいらないでしょう。

[Next]ボタンをクリックすると、コンピューターのスキャンが始まります。
NortonやTrendmicroなどのセキュリティソフトではスルーされるファイルも検出します。

この例では3分24秒のスキャンで37個のトラッキングクッキーが見つかりました。
c0240934_2022527.jpg

c0240934_20233211.jpg

ここで[Next]ボタンをクリックすると、それらを削除してプログラムは完了です。

c0240934_20231290.jpg

このようにフリー版では削除できないマルウエアが検出された場合は、30日無料試用を利用して、駆除を行います。
[Next]ボタンをクリックしたときに「Procuct Activation」という画面になりますので、「Activate free license」をクリックします。

参考サイト
Tracking Cookies: What They Are, and How They Threaten Your Privacy
トラッキングクッキー、スパイウェアクッキーとは?
Remove 'Ads by DNS Unlocker' virus -Malware Tips

この文書作成に使った環境
PC:Hewlett-Packard 500-540jp
CPU:Intel Core i7-4790
OS:Windows 10 Build 10240, 64-bit (日本語版)
ブラウザ:Firefox 40.0.3 (英語版)
[PR]
by 1229n | 2015-09-27 20:26 | マルウエア・クッキー等 | Comments(0)

HitmanProマルウェア・スキャナーについて(翻訳) マルウェア除去

http://www.surfright.nl/en/hitmanpro/intro より無断翻訳(超訳)

セカンドオピニオン・マルウェア・スキャナー

自分の子供が具合が良くなくウイルスに感染したのじゃないかと思ったら、かかりつけの医者に行きますよね?
でも悪いところは見つけられないと言われ、それでも具合が良くならなかったらどうしますか?
もちろんセカンドオピニオンを求めて他の医者に行くことと思います。

HitmanProは、同じことをコンピューターに対して行います。
HitmanProは、あなたがとったすべてのセキュリティ手法(アンチウイルスソフト、ファイアウォール等)を使い、それでもなおコンピューターに影響を与えているマルウェア(ウイルス、トロージャン、ルートキットなど)から、コンピューターを救うセカンドオピニオン・マルウェア・スキャナーです。

なぜセカンドオピニオンなのか?

調査によれば、コンピューターはアンチウイルスソフトによっても100%保護されておらず、感染する危険があります。
32%のコンピューターがアンチウイルスソフトを入れているにも関わらず感染しています。
詳しくはこちら (英文)

一つのベンダーだけを頼っていては、十分に自分を守りきれません。
自分自身が安全だということを確信するためには二番目の情報源が必要なのです。

しかし多くの場合、二つ目のアンチウイルスソフトをインストールするということは解決策としては実行可能ではありません。

二つのプログラムはコンピューターのパフォーマンスに劇的な影響を与えます。
また時にはコンピュータークラッシュにつながるような競合を引き起こすこともあります。

HitmanProはどのセキュリティソフトとも一緒に動き、競合しないよう設計されています。HitmanProはコンピューターを5分未満で素早くスキャンし、スキャン中の数分を除けばコンピューターの速度を低下させません。
HitmanProはインストールすら不要です。
USBフラッシュドライブ、CD/DVD、内蔵・外付けハードディスク、NASから直接実行できます。

HitmanProが提供するのは、セカンドオピニオンのための無料スキャンであり、セキュリティ方策が動作しているかどうかをチェックするよう設計されています。
もし何も見つからなければ(心からそう希望します)、ライセンスは必要ありません。
ウイルスが見つかったら、それを除去するために30日の無料ライセンスを受け取ることになるでしょう。
(訳注:HitmanProのメニューで30日限定の無料ライセンスが取得できる。なおトラッキング・クッキーはライセンスを取得しないでも削除できた。)

Behavioural(挙動)スキャン
SurfRight(訳注:HitmanProの提供元)はマルウェアに共通する挙動を正確に決めるため広範囲な調査を行いました。HitmanProクライアントはこの調査結果をコンピューターをウイルスの活動やマルウェアの特徴を持っている疑わしいファイルを求めてスキャンするときに使います。

スキャンクラウド
疑わしいと分類されたファイルのために、HitmanProクライアントは本当に悪意のあるファイルであるかどうか確認するためにスキャンクラウドを要求します。
スキャンクラウドは複数のコンピューターの集合体で、インターネットに接続されています。スキャンクラウドはその要求に対して回答します。
・安全
・悪意がある
・不明

ファイルが「Unkown(不明)」であった場合、HitmanProクライアントはスキャンクラウドにそのファイルをアップロードします。
スキャンクラウドでは5つの異なるベンダーのアンチウイルスプログラムを使ってそのファイルをスキャンします。
これらのアンチウイルスプログラムはそれぞれファイルを分析し、safe(安全)またはmalicious(悪意のある)かのいずれかの応答をします。
スキャンクラウドについては、こちら(英文)。

マルウェアの除去
スキャンクラウドによってファイルが悪意のあるものとして分類されたときにHitmanProクライアントは感染したファイルを隔離します。
様々な技術により、確実にすべての感染ファイルが誤検知なしに完全に除去されます。除去のプロセスについては
こちら(英文)


HitmanProを使うべき人
・コンピューターのユーザ:
既存のアンチウイルスソフトが脅威を見逃してしまったかどうかをチェックするために無料のスキャンが利用可能。

・ヘルプデスクとサポート部署:
ウイルスやマルウェアの迅速なチェックのため、HitmanProの無料のスキャンが利用可能。USBメモリやCD/DVDから実行可能で、インストールも不要。

・ホームページの持ち主:
訪問者へのサービスとして無料のHitmanProを提供可能。

(訳文:ここまで)

なお、スクリーンキャプチャや使い方などは別記事にて掲載予定。
[PR]
by 1229n | 2015-06-17 21:26 | マルウエア・クッキー等 | Comments(0)

scan tac 除去step 5

Scan tac 削除方法について、文字数制限があったので続編を翻訳した。
STEP1~4はこちらをクリック


ステップ5(オプション):ScanTack pop-up ads を Internet Explorer、Firefox そして Google Chromeのブラウザ拡張を除去する。
(訳注:時間的制約があるため、メニューの名前などは英語のままの表記をした。リアル友達およびネット友達に限ってこの件に関して電話とメールによるサポートを受け付ける。)

これだけしてもScanTack pop-up ads をInternet Explorer、Firefox または Chromeで経験しているのなら、ブラウザを初期設定に戻さなくてはならない。このステップはステップ1~4を行っても問題が解決しない場合に必要である。

ScanTack Ads 及び ScanTack Deals をInternet Explorerから除去

1. Internet Explorerを起動、トップ(ずっと右)歯車アイコンをクリック(XPユーザーのツール) 。Internet Optionsをもう一度クリック。

Image:Internet Options in IE

2. Internet Optionsのダイアログボックスでthe Advanced tabをクリック、そして Resetボタンをクリック。


3.「Reset Internet Explorer settings」セクションで, 「 Delete personal settings」ボックスをチェック、そしてResetをクリック。
Image:Internet Explorer back to its default settings to remove ScanTack virus

4.Internet Explorer がリセットを完了したら、confirmation dialogueでボックス内のCloseをクリック、そしてOKをクリック。

5. Internet Explorerをいったん閉じもう一度オープンする。

Mozilla Firefoxから ScanTack Ads と ScanTack Dealsを除去する

1. Firefox windowのトップから、Firefox ボタンをクリック、Help サブメニューに行く ( Windows XPでは、FirefoxのトップのHelpメニューをクリックする), それからTroubleshooting Informationを選択
image:Firefox Troubleshooting Information

2.Troubleshooting Information pageの右上の角にあるReset Firefox buttonをクリック

3.操作継続のため確認ウィンドウが出てきたらReset Firefoxをクリック。

4. Firefox は閉じられてリセットされる。終了したらウィンドウは入れられた情報をリストアップする。そうしたらFinishをクリック


ScanTack Ads およびScanTack DealsをGoogle Chromeから除去する

1. ScanTack extensions を Google Chromeから除去する

ブラウザツールバーの Chrome menu (漢字の「三」に見えるボタン)でToolsを選択してExtensionsをクリックする。.
Image:Google Chrome Extensions


2.Extensions タブでScanTack 1.0.0 と未知のエクステンションを削除する。これはゴミ箱アイコンをクリックする事によってできる。
基本的にエクステンションをインストールした事がないのだったらウェブブラウザから削除する
[Image: ScanTack Chrome extensions]



(ここから下は、翻訳予定未完了。以下、概要と原文)

・これでScanTackの脅威はなくなった。
・さらなる脅威に対応したいならここで紹介されたソフトの有料バージョンも検討する
・これで助かったのなら記事をFacebook,Twitterなで拡散してください
・MALWARETIPSを寄付などによってサポートしてください。



訳者より:
・本記事を翻訳する機会を与えて下さったMS様に感謝します。
・技術用語で分からないところを、サポートして下さったネットゲーム友達のAさん(ちゃん?、てか性別くらい教えてよ!)に感謝します。
英国Yahoo!Answersで有益なリンクを与えて下さった回答者の方々に感謝します。
・また有益なソフトウェアを無料で提供してくれる作者様に感謝します。
・原文はブカレスト(ルーマニア)に在住の作者様から提供されました。
(Avast(チェコ)といいこの記事といい、東欧州はセキュリティに詳しい@@;?)



(この個所に英語の原文を掲載していたが、削除した。2014/04/18 06;52 pm, JST)
[PR]
by 1229n | 2014-03-22 23:44 | マルウエア・クッキー等 | Comments(0)