ハードディスクを吹っ飛ばしました(その2)

 さて、復旧ソフトを手当たり次第にダウンロードしたらマルウェアの嵐です。どれにどれがくっついてきたのかはいまさらわかりません。とにかく焦ってましたんで。大手のソフトだと、たとえばフラッシュなんかでも余計なもの落とさせようとしますけど、「チェックを外せば」入りませんよね。海外の日本語じゃないとこだとそれが逆のところもあります。入れないためにはチェックを入れるという。英語でずらずらと書いてあるんで、わかるときはわかるけど、わからないんですよね。さらにチェックボックス無しで勝手に一緒に入り込むのもあります。あるいは、ダウンロード先に進むとダウンロードボタンがいっぱいあって、どれが目的のかわかりずらいのもあるし、わざとなのか一番それっぽいのがマルウェアのだったりすることも。一応全部覚悟の上でやりました。あとでなんとかすればいいと。

で、事後処理。
 コントロールパネルから普通にアンインストールできるものもあります。
 プログラムフォルダにフォルダができてアンインストーラーが入ってるのもあります。
 それはまあ普通に消せますよね。

 ブラウザを立ち上げるとツールバーになってたり、アドオンになってたりするのもあります。ブラウザのホームページを書き換えてるのもある。ホームページは再設定。アドオンは各ブラウザのアドオン管理あたりで削除したりします。

 私は SpyBot ってのをかなり昔から愛用してまして、これでほとんどマルウェアは削除できます。使い方は「Spybotのインストール方法」を見ればわかると思います。追跡型のクッキーもこれで発見出来ますけど、クッキーは気にしない。広告なんかけっこう便利だなとか思ってますし(笑)

 ここまででも削除できないしつこいのがあります。「BaiduBar」。中国の百度です。こいつはしつこいし、しかも入り込むときに声を掛けてこない。こいつを削除するには Windows をセーフモードで立ち上げて SpyBot を使います。セーフモードで立ち上げるのはWin7まではF8を押しながら再起動だったですが、Win8はそれができません。「Windows8のセーフモード起動方法・PC復旧方法」で確認してください。ファイル名を指定して実行に「shutdown /r /o /t 0」と打ち込むのがなにげに手早くて便利です。

 まだあります。「conduit」ってのが恐ろしいくらいしつこいです。痕跡をすべてつぶしたはずなのに C:\Program Files(C:\Program Files (x86) だったかも)に「conduit」が残ってます。フォルダ名を換えて、たとえば conduitXX とかにして、再起動すると dll がないって窓がでます。つまり起動時に読み込んで常駐しようとしてる。でも、スタートフォルダはもちろん、タスクマネージャを見ても、出てきません。起動時にこいつを読み込んでる箇所が見つかりません。でも、こいつを読み込むと起動がかなり遅くなる上に、タイミングは不定なんですがデスクトップで作業してるときに画面表示が一瞬クリアされて開けてたフォルダが勝手に閉じられてしまいます。これのためと確証があるわけじゃないんですが、退治したらどちらも解消したのでこいつのせいだと思ってます。

 退治方法はオンライン検索して出てきた方法では完全に削除できなかったので、レジストリを見てあったら削除してみることに。regedit を起動し最初に現状をエクスポートしてから、編集→検索「キー、値、データ」全部にチェックを入れて conduit を検索。キーの場合はそのまま削除。値やデータならそこだけ削除。ちょっと怖いですけど他に方法が見つかりませんでした。同じはめになったら自己責任でやってくださいね。先にレジストリのエクスポートをお忘れなく。

 削除したあと再起動したらdllが見つからないという窓が出なくなりましたので、たぶんこれでいいんでしょう。二度と引っかからないようにしよう。