TOP> 過去ログ
2013年12月31日
このエントリーをはてなブックマークに追加

スポンサーリンク

conduit hao うざすぎ 完全削除で消えてもらう方法


年末のPC大掃除です。
Chromeのトップページがconduitになってしまうとかconduitのタブが生成される、hao123のページが表示されるなどの症状がある場合は根治してしまいましょう。
Windows7の場合の退治方法です。

どちらも、よくフリーソフトと一緒にインストールされる寄生ソフト。(以下、寄生ソフトと呼びます)
しかもバイドゥの日本語入力システム(IME)は利用者の入力した内容を無断で外部送信しているとの話題がいまあります。hao123はバイドゥのソフト
これホントだとするとウイルスとして駆除して欲しいレベル。
このような悪のソフトとは徹底的に戦います。



2014/02/09追記

Bingで「Search Protect by Conduit削除アンインストール」で上位検索される中国のWebサイトは危険です。
Chrome32で、不正アクセスサイトとしてセーフブラウジングブロックしたのを確認しました。
セーフブラウジングが何か分からない場合は下記の記事を参考にして下さい。
【Google】Chromeのセーフブラウジング

セーフブラウジングでブロック

他のブラウザを利用してセーフブラウジングされない場合は十分注意下さい。



ウイルスリアルタイムガードソフト削除ログより


conduitですが、こいつはウイルスにあたります。
リアルタイムウイルスガードのログをみると過去にウイルスとして削除されていますが残骸がまだどこかにいるようです。もし下記のファイルが削除されていないで存在しているとなるとまずい状態です。
hao123のウイルスリアルタイムガードのログは検出されていません。
【コンピューターNAME】:あなたのPCのコンピューター名
C:\USERS←エクスプローラでは「C:ユーザー」と見えるかもしれません(以下、同じ)


リアルタイムウイルスガードのログ

C:\USERS\【コンピューターNAME】\APPDATA\LOCAL\CONDUIT\CT3312326\APPBARIOJPAUTOUPDATEHELPER.EXEファイルにウイルスを発見 Win32.HeurC.KVMH004.a.(kcloud) 処理成功(操作:削除)

詳細は、過去記事「お勧めの無料ウィルス対策ソフト」へ


寄生ソフトの探し方と削除について


コンパネのプログラムのアンインストールで発行元不明の怪しいソフト、conduitやhao123、バイドゥをコンパネから削除するとか、ブラウザの拡張設定からアドインを削除するのは当り前の前提としてここには記載しません。
それでは根治できないからこんな記事を書いてるんです。
非常に悪質で完全削除できないように巧妙に潜んでいます。
レジストリエディタから検索して潜んでいる場所を突き止めフォルダやファイルを「Shift+Del」で完全削除します。ブラウザや他のプロセスが立ち上がっていると消せないファイルがでてくる場合は、最後にconduitやhao123、バイドゥおよびブラウザのプロセスを終了させてブラウザの削除およびconduitやhao123、バイドゥ関連ファイルを根こそぎ削除します。
削除後にブラウザを再インストールします。

コントロール パネル>システムとセキュリティ>バックアップと復元の復元もおすすめです。
但し、復元は後戻りがききません。Windows7が起動されなかったらそれまでというリスクがあります。
最終手段として復元は可能でしたが、Conduitはあえて復元から戻さずにいろいろ触ってみました。

adwcleanerなどのadware削除ツールも信用出来ない


ファイルのバックアップを取得して、「adwcleaner」という削除ツールをダウンロード&一度動かしましたが、
完全削除するにはProにしないといけません。有料かつ海外にクレジット情報の送信が必要です。
また、アンチウィルスソフトで不審な動作をしました。
ということで、このソフトの評価は☓です。
不審な動きをしたのでこのままだと純粋なConduit完全削除の方法がよく分からなくなってしまいます。
ということでコントロール パネル>システムとセキュリティ>バックアップと復元の復元からConduit汚染直後の状態に戻しました。
削除ツールで信用できるものは、Microsoftの「悪意のあるソフトウェア削除ツール」ですが、
軽くスルーしました。conduit何で削除できないの?('〜`;)

adwcleanerで不審な動作を検知


conduitの削除方法


conduitとは


検索エンジンがsearch.conduit.com という虫眼鏡の検索エンジンに変わります。
また、ブラウザを使用していると「PCエラー クリーンアップ」などの広告が出力されます。驚いてクリックする人もいるかもしれませんが、無視してください。しかし無視するにも限度というものがあり、広告の表示頻度が異常に高いのでそのうちきれます。
conduitの検索画面とクリーンアップエラー

conduitを持ち込んだソフトはOPTIMIZER PRO


ウィルスソフトのログから分かります。
こいつもコンパネからアンインストールさせてくれるような生易しいソフトではありません。
下記の3ファイルは最後まで消せません。
Chromeを終了させても他のプロセス起動により削除できません。
プロセスを特定するのが面倒くさいのでセーフモードにしてから完全削除します。
通常のPCはリブート直後にF8をポンポン叩くとセーフモードメニューが表示されます。
セーフモードの起動がうまくいかない場合はPCの操作説明書を確認下さい。
セーフモードは画面の解像度が低いので、このように削除できない場合にモードを変更しました。

OPTIMIZER PROが他のプロセス起動により削除できないケース

レジストリエディタからの検索(実施する場合は自身のある方のみ自己責任でお願いします)


レジストリエディタから「conduit」を検索します。
見つけたからといって安易にレジストリを削除したりしないで下さい。
最悪、PCが立ち上がらなくなります。
あくまでも、潜んでいるフォルダの場所を探すために実施します。


コマンドプロンプトから「Regedit」を打ち込み、編集>検索
Windowsレジストリエントリの検索


デフォルトの状態で検索キー【conduit】を打ち込み頭から最後まで検索します。
conduitのWindowsレジストリエントリの検索

検索画面の拡大図
conduitのWindowsレジストリエントリの検索の拡大図


途中で「conduit」の定義が引っかかってきますが、フォルダやファイルのパスがないかを探します。
conduitのWindowsレジストリエントリの検索

検索しているうちに、潜んでいるフォルダパスを発見します。
conduitのWindowsレジストリエントリの検索でconduitのフォルダパスを発見


関連フォルダの拡大
conduitのフォルダパスの拡大
見つかったのは、faviconのパスとテンポラリのパスでした。

faviconPath


最初のパスはファビコンのファイルです。悪さはしないでしょうがうっとうしいので消します。
C:\Users\【コンピューターNAME】\AppData\LocalLow\Microsoft\Internet Explorer\Services
にいます。

「Shift+del」でファビコンに完全に消えてもらいます。

conduitのファビコンを完全消去

TempPath


次のパスはテンポラリです。テンポラリといえど怪しい物は「Shift+del」で完全に消えてもらいます。
C:\Users\【コンピューターNAME】\AppData\Local\temp

conduitのテンポラリを完全消去

dll_Path


dllです。ようやくのconduitの心臓部を発見しました。
パスは、
C:\Program Files (x86)\Conduit\Community Alerts\Alerts.dll
conduitの心臓部のAlerts.dllへのパス

こんなdllもありました。
パスは、
C:\Program Files (x86)\Conduit\CT3312326\plugins\TBVerifier.dll
TBVerifier.dllへのパス
発見というよりも普通な感じのC:\Program Files (x86)\Conduit フォルダがありました。
「Shift+del」でフォルダごと完全に消えてもらいます。

C:\Program Files (x86)\Conduitフォルダを削除

Mobile_Path


意外なところApple\Mobile Device Supportにもいました。
パスは、
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\iSyncConduit.dll
apple device supportに潜むiSyncConduit.dll

このファイルと同じです。
windowsレジストリエントリに定義されるiSyncConduit.dll
「Shift+del」でファイルを完全に消しました。

このファイルはAppleのデジタル署名とSymantecのタイムスタンプデジタル署名が同時に施されていれば問題ありません。


以上、上記のフォルダやファイルの削除をして下さい。

ラスボス戦


と言って終わりたいところですが、まだ上記は手下レベルです。
悪の根源の黒幕がここにいます。

上記の削除レベルだとChromeを再インストールした後に、見知らぬプラグインが拡張機能に追加されます。
これが黒幕のappbarioJPです。

appbarioJPのプラグインが拡張機能に追加

拡張機能を確認すると有効化されてません。
有効化されてないので普通は気に留めるようなプラグインじゃないんですが、
このプラグインは削除しても復活するゾンビプラグインです。
appbarioJPをchrome拡張機能で表示

念のためレジストリエントリを確認するとappbarioJPとconduitが同一エントリで定義されており、つながりました。appbarioJPが黒幕です。
appbarioJPとconduitがwindowsレジストリの同一エントリで定義

appbarioJPを検索するとブラウザのキャッシュに存在しています。
appbarioJPのexeがブラウザのキャッシュに存在

Shift+delでは全く削除ができません。
appbarioJPのexeが削除不可

ブラウザのキャッシュ削除だけでいけるかもしれませんが、相手がラスボスということもありそれでは不安です。気合の最終兵器を使いました。
はい、レジストリエントリの削除です。
(実施する場合は自己責任でお願いします)
このconduitとappbarioJPの複数項目が定義されている1エントリを削除してから、ブラウザのキャッシュ削除を行いました。

conduitとappbarioJPが同一エントリで定義されるレジストリエントリを削除

ラスボス戦完了です。
プラグインからも表示されなくなりました。
しかしここまでやっても、ブラウザによってはまだConduitのタブがでてきます。

顛末は、ブラウザの復旧に続きます。

hao123の削除方法


やり方はconduitと同じ潜んでいる場所を突き止め完全削除します。

hao123とは


トップページが下記のようなページになりいくら直しても復活する超うざソフトです。
hao123の検索画面の表示

hao123はバイドゥの関連ソフト


レジストリエディタを見れば一発で分かります。
バイドゥのレジストリエントリにhao123のレジストリエントリが定義されてます。
バイドゥのレジストリエントリにhao123のレジストリエントリが定義

Uninstaller


アンインストーラーとなっていますが、信用できないので完全削除します。
パスは C:\USERS\【コンピューターNAME】\LOCAL SETTINGS\APPLICATION DATA\BUNDLE SOFTWARE UNINSTALLER
haoのアンインストーラーを完全削除

hao123のexe


心臓部のexeです。exe名はバージョン毎に変更されると思われます。
パスは C:\USERS\【コンピューターNAME】\APPDATA\ROAMING\BAIDU\HAO123-JP\HAO123.1.0.0.1108.exe
HAO123.1.0.0.1108.exeをレジストリで発見

HAO123.1.0.0.1108.exeをレジストリで発見

haoでフォルダ検索


C:\USERS\【コンピューターNAME】\APPDATA配下を「hao」でフォルダ検索します。
jp.hao123.com
APPDATA配下を「hao」でフォルダ検索してjp.hao123.comを削除
haoが付いているファイルは全て完全削除します。

こんなexeもありました。
hao123inst-japan-smt01.exe
ファイルの説明がショートカットになっているexeを始めて見ました。完全削除します。
hao123のインストーラー(hao123inst-japan-smt01.exe)を削除

ブラウザの復旧


conduit hao の関連ファイルを全て削除します。
プロセスが起動していて削除できない場合は、タスクマネージャを起動(Ctrl+Alt+Del同時押し)してタスクもしくはプロセスをキルして削除します。
ブラウザを全てアンインストールして再インストールします。
ブラウザがプロセス起動中によりアンインストールできない場合もタスクマネージャを起動してプロセスをキルします。

Bookmarkの退避


詳細は割愛しますが、必要なBookmarkは全てローカルかクラウドにエクスポートしておきます。

ブラウザの削除


コントロール パネル\プログラム\プログラムと機能のプログラムのアンインストール
よりブラウザ(chrome、firefoxなど)を削除します。
削除する理由をアンケートされたりしますが、アンケートには答えず涙をこらえて削除します。

問題はieです。
コントロール パネル\プログラム\プログラムと機能のプログラムのアンインストール
からは削除できません。
「windows機能の有効化または無効化」より一旦「無効」PC再起動後に「有効」にします。
これはieが有効にならないかもしれない危険性を秘めた結構危険な技なので、実施する場合は自己責任でお願いします。実施する前に念のためieのインストーラをデスクトップかクラウドに保存しておきます。
windows機能の有効化または無効化からie11を無効にする

ブラウザの復旧


再起動後に、ieを有効化して開くとhaoのトップページを覚えていますが、トップページを変更するとhaoのトップページにはもう変わらなくなっています。
他のブラウザをインストールします。

Conduitとの戦いで、ieでは「検索エンジンエラー」と一瞬でましたがappbarioJPのプラグインは消えてくれました。
ChromeでもappbarioJPのプラグインは表示されなくなりましたが、なんとConduitのタブが暫くすると表示されました。しかし黒幕は消し去っているので、Chromeの設定から
ブラウザのリセット
を実施します。

。ブラウザの設定をリセットすると、再インストールではまだ覚えている可能性がある変更がリセットされます。保存したブックマークやパスワードが削除または変更されることはありません。
Chromeの同期機能にも影響はありませんでした。
これにより、ChromeでConduitおよびhaoは完全削除で消えてもらいました。


ChromeのブラウザリセットでもappbarioJPゾンビが復活する場合

念のため確認したところ、Chromeエクステンションのレジストリエントリの定義と実態が削除されてませんでした。←ゾンビ復活が再発する場合は手動で削除します。
(エクステンションのレジストリエントリの定義がブラウザ完全削除のアンインストールやリセットで削除されないのはChromeのバグ?一度削除した後はこのエントリやファイル実態は復活しない)

上段はレジストリエントリの定義の削除直前(削除しました)、下段はディスク実態の削除後(痕跡の証拠としてZIPで圧縮)
appbarioJPをクロムエクステンションから削除


Baidu_IMEのアンインストール手順



すっかり忘れてましたが、Baidu_IMEのアンインストールです。
バイドゥはコントロール パネル>プログラム>プログラムと機能>プログラムのアンイストールから削除します。素直に消えます。
困ったのは美少女に泣かれることぐらいでしょうか。
他に困ったことはないので特に記載することはありません。

画像をクリックすると「中国産の日本語入力『Baidu IME』をアンインストールすると美少女に泣かれることが判明:痛いニュース」にリンクします。
Baidu_IMEをアンインストールすると美少女に泣かれる
30 : ラグドール(東京都):2013/06/02(日) 18:51:04.16 ID:l3KyICld0
この手があったか



Baidu_IMEをアンインストールすると美少女に泣かれる
14 : サビイロネコ(東京都):2013/06/02(日) 18:45:49.56 ID:NrRi0+6nP
知らないうちに入るのかよ

マルウェアに対する予防



マイクロソフトのPCの保護 悪意のあるソフトウェアに対する防御より引用

だまされてマルウェアをダウンロードしない
以下のアドバイスに従ってください。

電子メールや IM、またはソーシャルネットワーク (Facebook など) の投稿に含まれる添付ファイルを開けるときや、リンクをクリックするときは、たとえ送信者を知っていても十分な注意が必要です。 実際に友人が送信したかを電話で確認の上、 送信していなければファイルを削除するか、IM ウィンドウを閉じます。

バナー広告、予期しないポップアップや、疑わしい Web サイト、またはスパイウェアやウイルスの削除を提案するメッセージの [同意する]、[OK]、 または [承諾する] などをクリックすることは避けてください。

代わりに、キーボードで Ctrl + F4 を押します。

これでもウィンドウが閉じない場合は、キーボードで Alt + F4 を押してブラウザを閉じます。 確認のメッセージが表示されたら、次回起動時に表示するタブを保存しないようにして、すべてのタブを閉じます。

ダウンロードは信頼できる Web サイトからのみ行うようにします。 音楽、ゲーム、ビデオなどの「無料」提供には注意が必要です。 このような売り文句は、ダウンロード ファイルにマルウェアが潜んでいることで有名です。


PCの大掃除完了。気持よく新年を迎えられそうです。ヽ(*´∀`*)ノ スポンサーリンク


スポンサーリンク

広告表示LOLIPOP
人気ブログランキング

SNS Bookmarkサービス
Clip to Evernote
posted by マックん at 2013年12月31日12:36 | Comment(0) | TrackBack(0) | secure(セキュリティ/ウィルス対策) | このブログの読者になる | 更新情報をチェックする
2013年12月30日
このエントリーをはてなブックマークに追加

スポンサーリンク

【Google】Chromeのセーフブラウジング


【ウェブサイトA】のあるページにアクセスしようとしたところ、Chromeのセーフブラウジングでアラートがあがる場合があります。
このような場合は、Googleに「追加データを送信する」のチェックを入れましょう。

セーフブラウジングアラート画面

アラート画面の内容:


Google Chrome が 【ウェブサイトA】のこのページへのアクセスをブロックしました。
不正なソフトウェアの配信元として知られる 【ウェブサイトB】 のコンテンツがこのウェブページに挿入されています。
このページにアクセスすると、お使いのパソコンが不正なソフトウェアに感染する恐れがあります。
不正なソフトウェアとは、なりすまし犯罪、金銭的な損失、ファイルの完全削除といった問題を起こす悪意のあるソフトウェアのことです。




【ウェブサイトA】のこのページのコンテンツは、【ウェブサイトB】のコンテンツというところまで分かってしまうGoogle様は、インターネットでのスパムサイトや不正コンテンツなど全てお見通しのようです。
オンラインでの安全性とセキュリティを確保するための情報がChrome、Gmail、検索エンジンなどに反映されています。
詳しくはこちら

https://www.google.com/goodtoknow/



不審なコンテンツをホスティングしてウェブサイトが汚染されていく様


不審なコンテンツを一度でもホスティングしてしまうと、そのサイトはGoogle様からの信頼を取り戻すのに非常に長い努力を費やすか、そのドメインを放棄するかの2択を決定する必要がありそうです。
そのままWebサイトとしての人生が終わるやもしれません。


セーフブラウジングアラート画面からのスパムサイト情報


「詳細設定」から不正なソフトウェアの配信元として知られる 【ウェブサイトB】の詳細を確認することができます。
疑わしいサイトとして認識されています。1virusが検出されています。
過去90日に9個のサイト【ウェブサイトC、ウェブサイトDなど】への感染媒体となっていた形跡。
不正なソフトウェアのホスティングが行われ、5個のドメイン【ウェブサイトCなど】への感染が判明
1ネットワークでホストされていた事が判明。


セーフブラウジングアラート画面からのスパムサイト情報

ネットワークからのスパムサイト情報


過去90日間に10722個のサイトのうち106個のサイトのコンテンツで、ユーザの同意なしに不正なソフトウェアがダウンロードされインストールされていた。
このネットワークで、感染媒体となっていた形跡のあるサイトは14(【ウェブサイトB】など)
33個のサイト(【ウェブサイトB】など)から53個のサイトへ感染が判明


ネットワークからのスパムサイト情報

感染された【ウェブサイトC】のスパムサイト情報


感染が検知されると、Google検索エンジンインデックスから削除されたりGoogleウェブマスターツールにアラートが上がるのでウェブマスターは異常をすぐに検知できます。
この【ウェブサイトC】は、現在疑わしくないと認識されているので対策を講じたようです。



感染された【ウェブサイトC】のスパムサイト情報

感染された【ウェブサイトD】のスパムサイト情報


いまだに、疑わしいサイトとして認識されています。
51ページのうち49ページで、ユーザの同意なしに不正なソフトウェアがダウンロードされています。
不正なソフトウェア92virusなど。



感染された【ウェブサイトD】のスパムサイト情報

他のWebサイトのコンテンツをホスティングするような行為はやめておいたほうがよさそうですね。('〜`;) スポンサーリンク


スポンサーリンク

広告表示LOLIPOP
人気ブログランキング

SNS Bookmarkサービス
Clip to Evernote
posted by マックん at 2013年12月30日15:48 | Comment(0) | TrackBack(0) | Google | このブログの読者になる | 更新情報をチェックする
ブログパーツ