■stormfall adware との闘い

経緯と概要

上からのむちゃぶりで慌てて動画作成したときに変なものをインストールしてしまったんだろう。

定期的に stormfall というオンラインゲームの広告がブラウザポップアップするようになってしまった。

疑わしかったのは mp4splitter_setup.exe というもので、

ダブルクリックするといきなりダウンロードが云々とか変な挙動をしたので慌てて消したんだけど遅かったんだろう。

ダラダラ対策してしまい、どうすればよかったのか分からないのでセキュリティに詳しい人からのツッコミ待ち。

あと、同じように困っている人への情報共有。

反省と学んだこと

• どこからダウンロードしたのか分からない状態になったが CNET かもしれない。CNET でバンドルなしのリンクがあるというのを初めて知った http://freesoft-100.com/beginner/cnet-download.html
• このファイル怪しいんじゃないかと思ったら https://www.virustotal.com/ にかけてみるのはいいかもしれない。
• 気付いたら復元ポイントを初めに使うのが最も正しかったかもしれない http://windows.microsoft.com/ja-jp/windows7/create-a-restore-point 今からでもそうするかも。

暫定的なオススメ

http://general-changelog-team.fr/en/tools/15-adwcleaner を使って関連しそうなレジストリ項目、ファイルなどを削除する。

環境

• Windows 7
• Microsoft Security Essential 導入済み
• 他にウイルス対策は特にしていない

実際に対処した流れ

• コントロール パネル\すべてのコントロール パネル項目\プログラムと機能

でstormfallと名のついたものを消した。でもポップアップが続く。

• C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StormFall

というものを見つけたので消した。でもポップアップが続く。

• レジストリエディタでstormfallで検索。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ 以下に６つstormfallと名のつくものがあった。削除。

それに関連付けられていた

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ 以下の３つのキーも削除。

でもポップアップが続く。

• オンラインで削除法を検索。めんどいからソフトウェアを使って消せという指示が http://pcinfectionremovalguide.blogspot.jp/2014/06/remove-stormfall-know-how-to-remove.html など多数見つかるが、カモを狙った罠の可能性が高くて躊躇。

• Googleに買収されたセキュリティ企業 virustotal.com に元の mp4splitter_setup.exe をかけてみる。

https://www.virustotal.com/ja/file/a27d738c87c6172ddfb02c90c07ed6e8089032b674e5e598339fe1dba5094b0d/analysis/1427548194/

ほう、確かに検出される。このサイトなかなかいいな。

• 比較的文面で信頼できた Remove StormFall Ads - MalwareFixes http://malwarefixes.com/remove-stormfall-ads/ を参考に AdwCleaner の使用を検討。

• http://general-changelog-team.fr/en/tools/15-adwcleaner からダウンロード

• ダウンロードしたものを再度 virustotal.com にかけるが大丈夫そう。

https://www.virustotal.com/ja/file/6cf7d683ebe4f1f5cb9fa8e24272d66a6c1ef6fb2fa5f97c39faec9b95e4404a/analysis/

• ちなみに vector http://www.vector.co.jp/soft/dl/winnt/util/se506143.html からは Chrome が警告を発してダウンロードできないのでまた不安に襲われる。

• 最悪OSクリーンインストールするつもりでバックアップ体制を整えて AdwCleaner を検出のみに使用。

• 以下の３つが検出されたので手動で削除。

C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\StormFall.lnk

C:\Users\User\AppData\Roaming\StormFall

C:\Users\User\AppData\Local\StormFall

今のところポップアップはおさまっている。（追記）→と思ったらまだだった

• Windows の更新日時検索で

https://www.virustotal.com/ja/file/b9d36cc67eb18a031c5b022eee0cbf89be15562a795f8fa4c2fa911ed8b4ea14/analysis/

も怪しいことに気付く。そのインストール前後に

C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Web Applications\plarium.com

というのがあるのだ…。これを消してみた。

Permalink | 記事への反応(0) | 15:43

ツイートシェア