顧客のブラウザが検索画面乗っ取りプログラムにおかされてしまった。
ブラウザのホームページがtroviなんとかというサイトになってしまって、元に戻すことができない。
あまり検索してもちゃんとした削除の仕方が書いてないようなので、今日やったことを振り返ってみます。記録を取っていないので、ざっとでごめんなさい。
まず考えたことは、ブラウザのアドオンとして何か余分なものが入っていないかどうかである。これはIEの場合、ブラウザのメニュー(歯車のマーク)か、コントロールパネルから、インターネットオプションを起動する。このプログラムタブのアドオンの管理に、見慣れないプログラムがないかどうかを探してみる。
すると、検索のアドオンとしてConduit searchというのが入っている。
そこで、レジストリエディターを起動してConduit を検索してみる。
これは、ウィンドウズのスタートボタンをクリックして、「プログラムとファイルの検索」に「regedit」と書いてENTERをするのである。レジストリは安易にいじるとシステムがおかしくなるけれども、ウィルスや不正なプログラムは必ずここに必要な情報を書き込むのだ。
Conduitを検索してみると、4つぐらいヒットした。Program Filesの中のSearchProtectというフォルダにインストールされたものがこのプログラムの実体である。では、SearchProtectフォルダを削除してみようとすると、他のプログラムが使用中なので削除できませんとでる。
またHKEY_LECAL_MACHINE\software\Microsoft\Windows\currentversion\runなどにプログラムを指定することによって、起動時にプログラムを実行するようにできる。ところがこうした起動時に動くプログラムを調べても、SearchProtectの中のプログラムは指定されていない。どうやって起動しているのだろう?
実は
HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001
HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET
の中のserviceにSearchProtectのサービスがあった。だから実はこれは管理ツールにあるサービスだったのだ。サービス、というのは、ユーザがログインをしなくても、ウィンドウズがどのユーザのプログラムからでも使えるように、裏側でずっと動かし続けているプログラムのことです。
レジストリを見ると、アンインストールのパスも書いてある。ひょっとしたらこれを実行したらきれいになくなるのかもしれない。しかし、本当にこれが悪質なウィルスだとすると、これを実行することによってさらに悪いことが起こってしまわないとも限らない。
本当は多分管理ツールの「サービス」で該当のサービスを無効にしてしまえば削除できたのかもしれない。これもプログラムフォルダとは違う名前のサービスとして登録されていた。
しかし、今回はWindowsをセーフモードで起動してフォルダを削除し、関連のレジストリを消した。
すごくざっとでごめんなさい。今度誰かやったら補完してね。
今はレジストリは触らないようにMicrosoftさんも言っているけれども、悪意あるプログラムが悪さをするとき、必ずどこかからそのプログラムが勝手に呼び出されるように仕掛けをしているのである。内容を安易に書き換えたりするのは難しくても、「はは~ん、どうやらここにあるな。」という見当をつけるためには、ある程度中身を知っておくほうがいいと私は思う。Windows NT4.0ぐらいの時代は、コンピュータはある程度よく知っている人が触るのだから、レジストリぐらい触れて当たり前という前提があった。そして、今でも基本的な構造はそんなに変わっていないと思う。