偽対策ソフト対策

実は先週、タイトルにもある偽対策ソフトに四苦八苦しまして。

まぁ私の場合は被害が少なく済んだので良かったが、メインPCでこれが起こったらパニックになるところだった。

対応策を探してたくさんのサイトを巡ったので同じ目にあっている方の為にも、こちらで備忘録としてまとめておきます。

そもそも、これに感染したタイミングはハードディスクの積み替えがきっかけと思われる。
システムディスクが不良セクタだらけになり、まともに動作しなくなったため、新しいHDDを購入。
OSをインストールし、各種ドライバをインストールしていた時。

それだけに被害が少なかったんですが、さすがに困りました。

おかしいなと初めに思ったのは、ブラウザでネットを見ているとき、突然本来リンクされるページに飛ばず、ウィルス対策に関するページが開いた時。

こんな画面。

内容としてウィルス対策ソフトの名前が書かれており、
「ウィルス検索の為に全体スキャンを行っています」
「検出された脅威：XXX」
「脅威に対してパソコンを無料でスキャンできます」

といった内容。

よく出てくる偽対策ソフトの名前
WinAntiVirusPro
WinAntiSpyware
Winfixer
ErrorSafe
SpyAxe

Winsoftwareという架空企業からの偽装セキュリティーソフトウェアらしく、ウィルス検知能力は全くなく不正に代金を徴収する。
まったく困ったものです。

画面を見てわかるように、完全に日本人をターゲットとしたもので、なんらかの方法で各ユーザー端末にマルウェアと呼ばれるスパイウェアに感染させる。
ちなみに、どうやらそのままソフトを購入すると一応セットアップすることができ、日本語で表示できるソフトウェアもある模様。完全に日本人ターゲットですね。

さて、これをやってる犯人。裏で操作している者まではわかりませんが、「WINFIXER.com」が大きく関与している事が判明しています。「WINFIXER.com」はインチキなソフトを作る事で有名な会社で、今回以外にも色々なうわさが飛び交っています。

さて、さっそく対応策を以下にまとめます。

まず、ブラウザのインターネット一時ファイルを削除します。
InternetExplorerの場合、ツール→インターネットオプション

「すべてのオフラインコンテンツを削除する」にチェックを入れて削除。

続いてクッキーも削除。（Cookie）
履歴も削除。

これで症状がなくなれば、万々歳ですが、ほとんどの方はそうも行きません。
作業中も「感染しています」的なダイアログが出て、×で閉じるとさらにウィンドウが開いて・・・
となっていることでしょう。「×」や「閉じるボタン」には罠があることが多い。
閉じるときは　「Alt + F4」で閉じましょう。

次にウィルススキャンソフトでスキャンします。ウィルススキャンソフトがこの時点でインストールされていない方は、ちとマズイ。今の時代感染して当たり前。OSから再インストールをお勧めします。

一応フリーで利用できるウィルス対策（本物）ソフトをご紹介。
AVG Anti-Virus　自動アップデートも可能なアンチウイルスソフト
http://www.grisoft.com/

avast! 4 Home　常駐保護も可能なアンチウィルスソフト
http://www.avast.com/

AVG Anti-Virus Free Edition 7 日本語化
http://atubon.hp.infoseek.co.jp/avg-jp.html

ここで大事なことは二次災害を引き起こさないこと。

スキャンが完了すると、おそらく「Temporary Internet Files」という場所などにウィルスの反応が出てくると思います。とにかく駆除しましょう。

これで症状がなくなれば、あなたはラッキーです。

しかし、なかなか症状は治まらない。

次に必要なのはスパイウェア除去ソフトウェア。（無料スパイウェア対策ソフト）

AD-AWARE（窓の杜でのダウンロード）
http://www.forest.impress.co.jp/lib/inet/security/antiadspy/adawarese.html

SpyBot
http://www.spybot.info/en/

※両方必要です！
ちなみに、これらのサイトを開いてても腹が立つことに「感染しています！」的なウィンドウがガンガン開きました。無視しましょう。

ここでも二次災害に気をつけましょう。
二つをインストールし、時間はかかりますが、スキャンします。
よくここでそれぞれ1回しかスキャンしない方がいらっしゃいますが、それぞれ3回はスキャンしましょう。

毎回引っかかってきます。消えるまでやりましょう。たまに、自分自身をスパイウェアと判断してアラートを出してくれますが、そこまで見てくれていると考え、寛大な心でスルーしてあげましょうｗ

これで症状がおさまればOKです。しかし・・・それでも消えない。そんな方は、無駄な時間を労費せず、再インストールを考えたほうがいいと思います。

私はこの時点で再インストールしました。1時間ほどで再インストール完了。
ウィルススキャンなどで4時間ほど使った後でしたので、「早く再インストールすれば良かった」と思いました・・・

再インストール時、現状のバックアップを取る方もいらっしゃるかと思います。
この時点でも二次災害の可能性は残っていますので、十分に注意してください。
自分のバックアップデータで感染したら悲しいでしょうから。

補足として
AD-AWAREやSpybotでも駆除できないスパイウェアがあります。「CoolWebSearch」と呼ばれるもので、スタートページなどが書き換えられます。
エロサイトとかガンガン引っ張ってきます。

しかし、「CoolWebSearch」は専用の駆除ソフトが有志により用意されています。
CWShredder
http://www.intermute.com/spysubtract/cwshredder_download.html

ウィルスやスパイウェアの感染を防ぐためにもWindowsUpDATEは常に行いましょう。
ちなみに私はアップデートする以前に感染してしまいました。
また、インターネット上の情報をすべて鵜呑みにしないことを心がけましょう。

以上。