先日、友人のパソコンがマルウェアにやられてしまい復旧を手伝いました。

動画系のなんらかのフリーウェアをダウンロードする時に入ってしまったと言っていましたがその辺は大人の事情という事で、これはこうだからこうとちゃんと釘を刺しておきました。よくあるRegclean Proのように画面を上げて悪意のあるものの購入を促すものです。名前は忘れました（汗）控えておけば良かった。手順は同じなのでRegclean Proについて書いておきます。

 

とは言ってもRegclean Proの削除方法は検索すればいくらでも見つかりますので詳しい情報はそのサイトをご確認頂ければと思います。

http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/regclean-pro.htm

簡単に言うといくら危険だと言われても常駐まで終了してから全てのプログラムの中にあるアンインストールを選択してアンインストールするだけです。くれぐれも修復などしないで右下に小さくあるアンインストールをするというボタンを押してください。

最後にはお別れするのは残念ですとまで言われますが未練を持ってはいけません（笑）

 

 

で、それだけで終われば良かったのですがどうやら他にもやられていたようでFacebookを開くとサイドバーの一番下にバナーが追加おり、これに「このコンピュータは危険ですといったRegclean Proをインストールさせるバナー広告が表示されていました。

 

他のサイトを確認しても特に現象が確認できていなかったのですが現象が発生する共通点としてGoogleのadsのバナー広告があるサイトだと表示されてかつ毎回ではありません。普段では表示されないgoogleのトップやgoogleの検索結果でも表示されています。また、このパソコンにはIE他Chrome、FireFoxと入っていたのですがどのブラウザでも表示されました。

 

すべてのプログラムからも特に怪しげなプログラムは存在せずタスクマネージャのプロセスでも確認ができませんでした。もしやブラウザのアドオンに乗ってるのかと思い調べてみましたがこういったタイプでよくある「Yontoo」でもなさそうです。ただ恐らくブラウザの共通部分で追加されているか正常のadsバナーの上に乗っかって動いているのではないかと現象から見て取れたのでシステムの復元にて数日前のwindows updateの時点まで戻したところ現象は出なくなりました。今のところ現象は出ていないようです。

 

ただし本来であればこういうグレーな状態の場合、まだ残っている可能性も否定できないためシステムの初期化までは覚悟してもらわないと安全という保証はありません。実際に細かく見る前に現象を改善してしまったので全てを確認できた訳ではありませんがフリーウェアをダウンロードする際はダウンロード元が信頼できるところなのか、URLに矛盾が無いか等、注意しないといけませんね。

 

 

最後に、上記とも別のタイプですがたまたま見つけた同じような現象を確認できるサイトについて書いておきます。「office 2013 ダウンロード」で検索したときに出てくる★一つ半のサイトでは同じスクリプトがサイトに埋め込まれているという事例を見て取れます。（くれぐれも自己責任で万全の対策をした上で見に行ってください。）

 

サイト名出していいのかな（問題あればそこも削除はしますので）

　　　　　　

　　　　　　↑　上の写真の緑枠が点滅。何度かやるとこれが出てこなくなります。

 

　　　　　　↑　RegClean Pro のバナーが表示された状態 

 

 

 　　　　　　

　　　　　↑　こんな感じで正常と思われるGoogle Adsのバナーも表示されます。

 

 

そもそも有償のものを無料でダウンロードさせるという時点でおかしな話なのでくれぐれも注意ですね。

 

こういったたぐいのものは、だいたいがバナーをクリックしなければとくに問題はありませんが１枚目の画像にあるような緑枠の点滅が動いていると何らかのスクリプトが動いている可能性もありますので気になります。また同じものを見つけたときにはネットワークキャプチャもしてみたいと思います。