ブラウザーに望まない(危険そうな)ポップアップが表示されるようになりました。
直前の記事で書いたように対処してみました。
Windows を再起動し、ブラウザーを立ち上げると、ポップアップが表示されます。
対処が功を奏したのか分かりにくくなりました。
"appround.net" は消えたようなのですが、"WunderWeb" が表示されています。
このまま放置しておくのは厭なので、
別のサイトに書かれていたことを参考にしながら再挑戦してみました。
# このサイトは、機械翻訳の結果のようで、妙な日本語です。
日本語としては変ですが、元の内容は推測できるので参考になると思います。
# このサイトでも、手動操作を行った後で "iSafe virus removal tool" が勧められますが、
1.駆除ツール自体がマルウェアだったら困る
2.病巣がどこにあるのか知っておきたい
ので、まずは手動操作だけを行うことにしました。
どうしてもダメだったら、駆除ツールに頼ることにします。
なお、このサイトの記述とオヤヂのPC環境(Windows 7 Ultimate 64-bit)はかなり異なります。
たとえば、
C:\ WINDOWS \ SYSTEM32 \ DRIVERS \ SERIAL.SYS
と書かれていますが、
オヤヂPCの C:\Windows\System32 下に Drivers フォルダーはありません。
なので、そのような記述部分は無視しています。
また、タスクマネージャーでのプロセス停止については、
Appround.net に関連するプロセスがどれなのかわからないので、何もしていません。
さて、手動操作の開始です。
記載内容を順次実施し、その都度 Windows を再起動して結果を見ることにします。
1.ファイルの削除
[記載内容]
%AllUsersProfile% \アプリケーションデータ\ DLL
%AllUsersProfile% \アプリケーションデータ\ EXE
これについては、C:\ユーザー\All Users 下に
"34BE82C4-E596-4e99-A191-52C6199EBF69" フォルダーがあり、
その下に "GEARDIFx.exe" がありました。
(タイムスタンプは 2012/08/21 13:01、サイズは 1,932 KB = 1,977,816 Byte)
"X64" フォルダーがあり、その下に "DifXInst64.exe" や "GEARAspi.dll" などがありました。
C:\ユーザー\All Users\34BE82C4-E596-4e99-A191-52C6199EBF69 フォルダーを削除しました。
(これは C:\ProgramData\(同名フォルダー)のシンボリックリンクのようです)
Windows を再起動しました。
本記事の冒頭にある画像(Microsoft CERTIFIED Partner, リペアツールをダウンロードする)は
表示されなくなりました。
ただし、右側に「Trust Rating」が付いた横長のポップアップは
(その表示内容は変化しますが)相変わらず表示されます。
2.レジストリー操作
[記載内容]
HKEY_CURRENT_USER \ Software \ Microsoft \ Windowsの\ CurrentVersionの\インターネットの設定 "WarnOnHTTPSToHTTPRedirect" = 0
HKEY_CURRENT_USER \ Software \ Microsoft \ Windowsの\ CurrentVersionの\ポリシー\システム "DisableRegedit" = 0
(以下、省略)
これについては、該当するエントリーがあれば、削除しました。
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
にあった長い名前(意味不明の英数字の組み合わせ)のキーを削除しました。
Windows を再起動しました。
右側に「Trust Rating」が付いた横長のポップアップは
(その表示内容は変化しますが)相変わらず表示されます。
実在する商品(市販のソフトウェアや化粧品)とか、見知らぬソフトウェアなどのポップアップです。
・・・ここら辺からオヤヂは混乱ぎみです。
"Appround.net" と "WunderWeb" を混同しているようにも思います。
でも、ポップアップに書かれているのは "WunderWeb" なので、
今後は "WunderWeb" のポップアップということにします。
で、こいつを消したいですねぇ。
・・・というわけで、次回に続きます。
【追記】
「偽装ソフト:ブラウザーのポップアップ - WunderWeb (1)」
「偽装ソフト:ブラウザーのポップアップ - WunderWeb (2)」
直前の記事で書いたように対処してみました。
Windows を再起動し、ブラウザーを立ち上げると、ポップアップが表示されます。
対処が功を奏したのか分かりにくくなりました。
"appround.net" は消えたようなのですが、"WunderWeb" が表示されています。
このまま放置しておくのは厭なので、
別のサイトに書かれていたことを参考にしながら再挑戦してみました。
# このサイトは、機械翻訳の結果のようで、妙な日本語です。
日本語としては変ですが、元の内容は推測できるので参考になると思います。
# このサイトでも、手動操作を行った後で "iSafe virus removal tool" が勧められますが、
1.駆除ツール自体がマルウェアだったら困る
2.病巣がどこにあるのか知っておきたい
ので、まずは手動操作だけを行うことにしました。
どうしてもダメだったら、駆除ツールに頼ることにします。
なお、このサイトの記述とオヤヂのPC環境(Windows 7 Ultimate 64-bit)はかなり異なります。
たとえば、
C:\ WINDOWS \ SYSTEM32 \ DRIVERS \ SERIAL.SYS
と書かれていますが、
オヤヂPCの C:\Windows\System32 下に Drivers フォルダーはありません。
なので、そのような記述部分は無視しています。
また、タスクマネージャーでのプロセス停止については、
Appround.net に関連するプロセスがどれなのかわからないので、何もしていません。
さて、手動操作の開始です。
記載内容を順次実施し、その都度 Windows を再起動して結果を見ることにします。
1.ファイルの削除
[記載内容]
%AllUsersProfile% \アプリケーションデータ\ DLL
%AllUsersProfile% \アプリケーションデータ\ EXE
これについては、C:\ユーザー\All Users 下に
"34BE82C4-E596-4e99-A191-52C6199EBF69" フォルダーがあり、
その下に "GEARDIFx.exe" がありました。
(タイムスタンプは 2012/08/21 13:01、サイズは 1,932 KB = 1,977,816 Byte)
"X64" フォルダーがあり、その下に "DifXInst64.exe" や "GEARAspi.dll" などがありました。
C:\ユーザー\All Users\34BE82C4-E596-4e99-A191-52C6199EBF69 フォルダーを削除しました。
(これは C:\ProgramData\(同名フォルダー)のシンボリックリンクのようです)
Windows を再起動しました。
本記事の冒頭にある画像(Microsoft CERTIFIED Partner, リペアツールをダウンロードする)は
表示されなくなりました。
ただし、右側に「Trust Rating」が付いた横長のポップアップは
(その表示内容は変化しますが)相変わらず表示されます。
2.レジストリー操作
[記載内容]
HKEY_CURRENT_USER \ Software \ Microsoft \ Windowsの\ CurrentVersionの\インターネットの設定 "WarnOnHTTPSToHTTPRedirect" = 0
HKEY_CURRENT_USER \ Software \ Microsoft \ Windowsの\ CurrentVersionの\ポリシー\システム "DisableRegedit" = 0
(以下、省略)
これについては、該当するエントリーがあれば、削除しました。
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
にあった長い名前(意味不明の英数字の組み合わせ)のキーを削除しました。
Windows を再起動しました。
右側に「Trust Rating」が付いた横長のポップアップは
(その表示内容は変化しますが)相変わらず表示されます。
実在する商品(市販のソフトウェアや化粧品)とか、見知らぬソフトウェアなどのポップアップです。
・・・ここら辺からオヤヂは混乱ぎみです。
"Appround.net" と "WunderWeb" を混同しているようにも思います。
でも、ポップアップに書かれているのは "WunderWeb" なので、
今後は "WunderWeb" のポップアップということにします。
で、こいつを消したいですねぇ。
・・・というわけで、次回に続きます。
【追記】
「偽装ソフト:ブラウザーのポップアップ - WunderWeb (1)」
「偽装ソフト:ブラウザーのポップアップ - WunderWeb (2)」
programdataの中の英数字の羅列のフォルダを削除したら、出てこなくなりました。
スパイウェア削除系のソフトやレジストリから検索削除しても改善しなかったので、PCリカバリ寸前でした。
「bettermarkit」というのは見たことがありませんが、邪魔なポップアップが表示されることはありがちですよね。
入り込んだアドウェアの駆除パターンは幾つかあります。sky さんがお書きになっているように「Program Data」内にあるフォルダーを削除したり、レジストリーから不要なキーを削除したり、ブラウザーのアドオンをアンインストールしたり・・・
PCリカバリーは避けたいので、今回うまく行ってよかったですね。おめでとうございます。(^^)/