最近、ブラウザのスタートページを勝手に書き換える webssearches に出くわしました。海外サイトからフリーウエアをダウンロードしたときにやられた模様。
気をつけていたつもりだったけど、一瞬の隙を突かれた感じ。
・・・うっかりミスとも言いますが。orz
スタートページが webssearches.com になってしまう、アドウエアの一種な感じの奴です。
ちなみに使用ブラウザは Chrome。
webssearchesについてはネット検索で消し方の情報がわんさかヒットしますが、中には怪しげなのもありましたのでご注意。
結構はやってるのかな、とか思いつつ、「こんなのは AdwCleaner で一発でしょ」って感じだったんですが・・・
あ、AdwCleaner はご存じですよね。アドウエアをゴッソリ消してくれるフリーソフトです。
感染をブロックするタイプでは無く、駆除に特化しています。相当強力でファイルはもちろんレジストリやブラウザ、ショートカットなどもスキャンしてくれるので結構頼ってます。
↓ こちら
https://toolslib.net/downloads/viewdownload/1-adwcleaner/
サイトは英語ですが、ソフトは日本語対応です。
頻繁にバージョンアップしますが、自動ではないので、その都度上記ページからダウンロードしなければならないのがちょっとアレですが。
今まで、ほとんどのアドウエアはAdwCleanerで片付いてました。
今回もスキャンしてみたら続々怪しげなのがリストアップされたので、一気に削除。
このソフトは使用後に再起動必須です。使う前に他のソフトは終了しておきましょう。
再起動後、クロームの設定画面を確認。スタートページ等に残骸があったので、手動削除。
一応、レジストリもregeditを起動して、それらしいキーワードで検索、若干ヒットしたので削除。いつもは残骸がヒットすることは少ないんですが・・・。
その後しばらく(数時間)は快調でしたが、突如DOS窓っぽい真っ黒なウインドウが出現して数秒で消える現象が。
「やばっ」復活かぁ・・・
即クロームを起動してみたら、しっかり乗っ取られてました。(XXゞ
webssearchesは甘くないね。消しても消しても復活する厄介なシロモノのようです。
クロームの設定画面から諸々削除した位ではすぐに復活。
履歴全消去でもダメ。
クロームの履歴消去は設定画面の一番下にある「詳細設定を表示…」をクリックすると表示される、プライバシーの[閲覧履歴データの消去…]ボタンを押します。
次の期間のアイテムを消去: を「すべて」にして、全項目にチェック。
[閲覧履歴データを消去する]ボタンを押します。もちろん残したい項目があればそこはチェックしないのですが、今回は全部消しました。
効果無かったけど。(T_T)
で、クロームをアンインストールしてからダウンロードし直して再インストール。
これが一番長持ちだったけど、やはりダメ。
そりゃそうだ。潜んでるのを退治しないとね。
「面倒だな~」と思いつつも仕方ないので、再度ネット検索。でも使ったこと無い駆除ソフトとかをダウンロードする気は無いし。泥沼化するリスク大でしょ。
「Program Files(x86)」内の「Sup Tab」フォルダを丸ごと捨てるという記事を見つけたので
早速探して見たけど・・・
「Sup Tab」なんて無いぞ!
でも「STab」ってのがある!
この手のソフトが名前を変えるのはよくあること。
これかもね。
「STab」のなかを見るといくつかのファイルの中に「conf」ってのを発見。
conf は config でしょ。設定ファイルに付ける名前だよね~。
これに情報が書かれてるかも。
で、こいつを開いてみると・・・
※エディタはTeraPadを使用。
※confをTeraPadのアイコンに重ねる方法で開きました。
===以下は中身の抜粋===
[Url]
HP_Def=http://istart.webssearches.com/?type=hppp&ts=…以下省略
DS_Def=http://istart.webssearches.com/web/?type=dspp&ts=…以下省略
[WList]
Item01=*.google.com
Item02=google.com
Item03=*google.com
Item04=*.yahoo.com
Item05=yahoo.com
Item06=*yahoo.com
Item07=*.bing.com
Item08=bing.com
Item09=*bing.com
===ここまで===
googleとyahooとbingがターゲットなのか。
HP_Defの内容でホームページのデフォルトを書き換え、DS_Defでは検索エンジンを書き換えてる感じですね。
しっかりwebssearches.comの文字が確認できたので、このフォルダを削除することに。
なお、STabフォルダ内にはuninstall.exeなんてのも入ってますが、決して実行しないように。
怪しげなソフトに付いているアンインストーラなんか信用しちゃいけません。
他にも実行形式のファイルが入ってますが、興味本位で起動したりすると何が起こるか・・・リスク高すぎです。絶対に止めときましょうね。
場所をもう一度ちゃんと書いておきます。
32ビットOSの場合(起動ドライブがCでない場合は読み替えてください)
C:\Program Files\STab
64ビットOSの場合(起動ドライブがCでない場合は読み替えてください)
C:\Program Files(x86)\STab
消し方をまとめると・・・
まず、STabフォルダを捨てます。(私は後から捨てたけど、作業中に復活されるとマズイので先に捨てといた方が良いかと。)
そしてAdwCleanerを使ってざっくり削除。再起動後にブラウザの設定を確認、スタートページ・ホームページ・使用する検索エンジンの内容を確認。変な記述が残っていたら手動で削除、でおしまい。
STabフォルダはフォルダ上で右クリック→削除ですんなり消えてくれましが、アクセス権が無いと言われたり、消せない場合もあるようです。そんな場合はWindowsをセーフモードで起動してから消すと消えるようです。
セーフモードにするには再起動時(又は電源ON時)にF8キーを押したままにしておきます。Windowsロゴがでる前にF8キーを押し続けていないと普通に起動してしまいます。
Windowsの検索機能でCドライブ全体を対象にwebssearchesを検索したときはヒットしなかったです。拡張子無しのファイルだし記述内容は検索対象外になっちゃうのかな。
ま、これで一応解決ですが、この部分を起動させる指示がどこかに書き込まれているはず。
レジストリとかタスクスケジューラとかスタートアップとかに。
STabで検索すれば何か見つかるかも・・・ですが、あ~、面倒だ。
今のところ復活する気配は無いし、ヘンテコなウインドウも現れないので、もうちょい様子見って感じですね。
— 以下、追記です —
レジストリでSTabを含む記述を発見し、削除しました。
記述個所は
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
の中にある c:\Program Files (x86)\STab\CmdShell.exe でした。
32ピットOSなら c:\Program Files\STab\CmdShell.exe かな。
Firefoxを入れている場合は下記もチェックを
C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\WEBSSEARCHES.XML
見つかったらWEBSSEARCHES.XMLを削除ですね。