スパイウェアを発見・削除する方法(Windows95以降)


 二宮国際特許事務所 弁理士 二宮 正孝 updated: 2009/MAY/09
 Windows2000-SP4, Shockwave-Flash, Irvine, J-word その他外国製のソフトなどをダウンロードしてインストールすると、一緒にスパイウェア
NetworkMonitor
WebHancer
Zango
InternetOptimizer
CnsMin
などがインストールされることがあるようです。スパイウェアはウイルスとは異なりパソコンを壊すものではないので、そのままにしておいても良いのですが、パソコン内部のデータを読み取られる恐れがあるので、気持ち悪い人は次のようにして駆除しましょう。ただし危険な操作なので自己責任で実行してください

IEの最初に表示される頁が怪しい


  IEのインターネットオプションでホームページは空白にしましょう。変な広告サイトに飛ばされることがあります

hostsファイルが怪しい


  hostsファイルに広告サイトがたくさん並んでいるときは削除しましょう
 hostsファイルは基本的には不要ですからバックアップをtmpなどに保存してから削除しましょう

コントロールパネルが怪しい


  コントロールパネルのプログラムの追加と削除にインストールした覚えのない怪しいプログラムがあるときは削除しましょう。ただし削除しようとするとエラーになることがあります。このときはレジストリを書き換える操作が必要になることがあります

Downloaded Program Files が怪しい


  IEのプラグインに怪しいプログラムがあるときは削除しましょう

起動時のエラーはWin.iniファイルが怪しい


  Win.ini ファイルの run や load に変なプログラムがあるときは削除しましょう

起動時のエラーはスタートアップディレクトリが怪しい


  スタートアップディレクトリに変なプログラムがあるときは削除しましょう
 

ダイヤルアップ時のエラーはTelephon.iniファイルが怪しい


  スパイウェアはパソコン内部データを自分の指定したサイトに飛ばすので Telephon.ini ファイルが使えないように壊します。壊された Telephon.ini ファイルはバイト数が極端に増大しているので削除してダイヤルアップを再度作り直しましょう
 

system32フォルダにある日付の新しい ****.exe ファイルが怪しい


  これらのファイルは知らないうちにダウンロードされる Active-x の実行ファイルで放置しておくと危険なので削除しましょう
 

特定のホームページを見るたびにPCの動作がおかしくなるのは


  そのサイトのコンテンツがウィルスに汚染されているからです。IEの設定で Active-x や アクティブスクリプトを無効にしましょう
 

サービスの remote Registry が怪しい


  Windows2000, XP以降のこのサービスは外部からの指令でレジストリを書き換えしてしまうという恐ろしいサービスです
 オンラインバージョンアップを必要とする時以外は「無効」にしておきましょう
 無効にするにはコントロールパネルから管理ツール、サービスを開いて、Remote Registry を右クリック、選択メニューから無効を選びます
 ついでに Messenger サービスも無効にしておきましょう、余計なゴタクを並べてバージョンアップさせようと誘惑します
 オンラインバージョンアップするとウィルスやスパイウェアが入り込んできます

それでもだめならレジストリが怪しい


  レジストリエディタを起動してレジストリキー
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
に変なプログラムがあったら削除しましょう
ただし BrowserWebCheck, IME*, IMJP*, internat, LoadPowerProfile, Promon, ScanRegistry, SystemTray, TaskMonitor などは正常なプログラムなので削除しないこと
 Windows 95 & 98 であればレジストリを操作する前に MS-DOS を使って user.dat と system.dat を他のディレクトリに複写しておくことをお勧めします

NTFSはなるべく止めましょう


  ファイルシステムをNTFSにしてしまうと MS-DOS を使った削除操作ができなくなるので 止めてFAT32に直しましょう
【スパイウェアを除去した実例】
 【他サイトでの相談(転載)】
IEのツールのインターネットオプションの全般でホームページとして使用するページを【空白】に常にしてるのですが
一度IEを閉じてしばらく時間を置くと勝手に【http://freeart1cile.com】のサイトに繋がるように設定が変わっています
その都度また空白に設定し直すのですが何度も毎回設定が変わってしまっています。何故なんでしようか?
【他サイトでの回答(転載)】
ウィルス駆除ソフトを最新のものに変えてください
【当サイトでの回答】
XP-sp1で変なサイトを閲覧中にActive-XをONにするとスパイウェアやウィルスに侵入されることがあるようです。
対処法は
スタートアップに変なプログラムがないかを確認し、
コントロールパネルのプログラムの追加と削除に変なプログラムがないことを確認してからレジストリエディタを起動
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
に以下の1行があれば削除します
C:\WINDOWS\System32\mdm.exe
続いてエクスプローラでこの偽装mdm.exeを他のフォルダに移動させ
パソコンを再起動してから偽装mdm.exe 26624bytes を削除する
再びレジストリエディタを起動して先ほど削除した1行が復活していれば再度削除する
IEの最初のページを空白に戻せば解決です
【追加情報】スパイウェアではなくウイルスが侵入することもあります
Command.exe は Backdoorウイルスが侵入すると作られます
ska.exe, ska.dll, wsock32.ska は Happy99ウイルスが侵入すると作られます
上記のスパイウェア削除方法でウイルス削除に成功する可能性があります
二宮国際特許事務所のホ−ムペ−ジ(英語)へ
二宮国際特許事務所のホ−ムペ−ジ(日本語)へ