WildWestCoupon とういうスパイウエアに感染した PC をお預かりして修復した件

時々知人から、こんな要請を受けます。

なんかおかしいから見てって。

SONY の結構新しい PC です。

Windows7 で動いてはいます。

問題は、ブラウザでページを閲覧していると、どうも変な広告が表示されるとの事。

ポップアップ広告

とっても目障りだし、なんか変なので見て欲しいと。

お預かりしてざっくり見ましたけれども、ふーむ確かに。

聞いていた現象はばっちり再現していますね。ますはこれを確認する事が重要なのです。

Chrome を使っているというので、とりあえず、chrome の設定 -> 拡張機能で確認すると、なにやらおかしな拡張機能が入っている。

まずはこれをゴミ箱のアイコンをクリックして削除。

多分この拡張機能は意図して入れた物では無いし、おそらくその元の実行形式のファイルがあるのだろうなと思うので、Windows のコントロールパネルから、プログラムと機能を起動して、探してみると、いたいた。

WildWestCoupon

だって。

こいつだねぇ多分という事で、ダメ元でアンインストールを試みると、やっぱりダメ。

ブラウザのウインドウを全部クローズしてもう一度アンインストールしろだと。

まぁ試しに全部クローズしてみたけど、やっぱりアンインストールできないね。

google 先生に聞いてみたけど、沢山ヒットするけど、アンインストール用のアプリをインストールしてなんて、怪しげな日本語のページしか出てこないね。
こんなの信用できないでしょ。

って事で、自分で削除をする事に。

スタートボタンを押して、プログラムとファイルの検索の窓に regedit と入力するとレジストリエディタが起動する。

レジストリエディタの左側の窓で、コンピュータを左クリックしておいて、メニューから編集 -> 検索をクリック。

検索のキーワードとして WildWestCoupon を入力して検索。

しばらくすると該当のキーが表示される。

内容を確認すると Windows のインストーラをキックして、拡張機能をインストールするような動作をする事が確認できる。こいつつぶしてやれば終わり。

必要であればここで場所がわかるので、へんてこな実行ファイル等をディレクトリごと削除するのだけど、今回はその必要はなし。

内容を確認後、そのキーごと削除してしまう。（なれないと勇気がいるので、自信がなければあらかじめバックアップを取ると良い）

このときコントロールパネルのプログラムの機能が開いていれば、まだ WildWestCoupon のエントリは残っていると思うので、こいつをクリックして再度アンインストールしてみると、既にプログラムはアンインストールされていますと表示されます。

念のため再起動して、しばらく使ってみるけれども、どうやら問題はない模様。

このマシンはブラウザに chrome と IE が入っていたけれども、これらの拡張機能に、自動的にプログラムをインストールしてしまうって、ものだったようですね。

したがって、これら以外のブラウザ(firefoxとか）を使っている場合は、こちらの拡張機能(plugins)も削除してから WildWestCoupon のレジストリを触って削除してしまう作業を行います。

多分これ、ファイル交換プログラムを実行したんじゃないのかなって思うけど、こういうことは聞かないようにしてる。興味ないし。

レジストリをいじるので、自己責任で行ってくださいね。

complete!

minorus

電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな（役にあんまり立たない）ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きますが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。