もしCWS系のスパイウエアにかかったら

この間、CoolWebSearch PaytimeというものにかかったPCの駆除をした。

駆除は非常にやっかい。

CWShreaderで消えればそれにこした事は無い。

でも、だめだったら、一生懸命レジストリを自分で消して行くしかない。

その時は、hijackThisと言うソフトが役に立つが、それだけでも消えない。

では、どうするかというと、まずはセーフモードで起動。

ファイルの検索でpaytime.exeをハードディスクから探す。

その上で、プロセス上のpaytimeを強制終了して、paytime.exeを削除。

その後、hijackThisでpaytimeと書かれたレジストリを削除。
hijackThisを動かした時に、変な数字だけとか、インストールした覚えが無かったり、見た事ない名前がある場合は、regeditを起動して、レジストリのバックアップをとってから、みた事ない項目をhijackThisで削除。

その後、regeditで『pay』という項目を検索。paytimeとかの項目は削除。その後、探して行くうちにpayと言う文字を含むドメインが見つかる。その中は、ちょうどDomainsというフォルダ状態のレジストリになっていて、怪しいサイトのURLが満載だと思うので、そのサイトのアドレスをみんな削除。

これで、駆除は終了。

通常起動する前に、一度Ad-AwareSEやSpybotを実行して、他にもいないか確認し、Spybotを次回起動時に限りスタートアップ起動するように設定して、通常起動する。

そうすると、やれ元通りとなる。

これで、もしデスクトップ周りの設定が画面のプロパティで選べない状態なら、レジストリのその項目のチェックを入れたり、PolicesのレジストリにSystemとExplorerの2つの項目があるため。Systemの項目を削除したら、元に戻ります。

いやあ、ここに行くまで丸2日はかかりました。

皆さんも、スパイウエアやアドウエアには気をつけましょう。