こんばんは、皆様。いよいよ今週も終わりですね。
といいますか、もう1月も終わりです。
それでは今回の投稿にまいりましょう。
【スポンサーリンク】
Certified Toolbarに関する概要
さてトライデントさんの山猫のフォーラムのほうでCertified Toolbarに関するご質問が増加していました。また当ブログにおきましてもCertified Toolbarに関する当記事の閲覧数が増加していますね。
そこで本日の投稿は、当記事を全面改訂することに致しました。今まではレジストリエディタを使っての検索→削除でしたが、左記の部分をもう少しわかりやすくしてみました。その分手間がかかりますが、ご了解ください。
まず、Certified Toolbarの概要は以下です。
どうやらインストールしてしまいますとと、ブラウザの各種設定を改ざんするブラウザハイジャックと呼ばれるものですね。
インストール途中の以下の画像を見てください。
IEのみならず、firefox及びgoogle chromeの設定も改ざんするようですね。インストール後は各ブラウザのホーム・検索プロバイダ・新しいタブに至るまで設定が改ざんされます。
上記は改ざんされたIEのホーム画面です。IEを起動しますと見事に表示されてしまいます。
Certified Toolbarをインストールした後のhijackthisのログです。
Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 14:55:01, on 2013/01/25 Platform: Windows 7 SP1 (WinNT 6.00.3505) MSIE: Internet Explorer v9.00 (9.00.8112.16457) Boot mode: Normal
Running processes: C:\Program Files (x86)\IObit\Advanced SystemCare 6\Monitor.exe C:\Program Files (x86)\Protected Search\ProtectedSearch.exe C:\Program Files (x86)\IObit\Advanced SystemCare 6\ASCTray.exe C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_5_502_146_ActiveX.exe C:\Users\tetuya_akiba\Downloads\HiJackThis.exe
R3 – URLSearchHook: McAfee SiteAdvisor Toolbar – {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} – c:\progra~2\mcafee\sitead~1\mcieplg.dll F2 – REG:system.ini: UserInit=userinit.exe O2 – BHO: Certified Toolbar – {8ce31ebd-051a-495f-9b41-3cc886889da8} – C:\Users\tetuya_akiba\AppData\Roaming\CertifiedToolbar\CertifiedToolbar.dll O2 – BHO: McAfee SiteAdvisor BHO – {B164E929-A1B6-4A06-B104-2CD0E90A88FF} – c:\progra~2\mcafee\sitead~1\mcieplg.dll O2 – BHO: Advanced SystemCare Browser Protection – {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} – C:\PROGRA~2\IObit\ADVANC~1\BROWER~1\ASCPLU~1.DLL O3 – Toolbar: McAfee SiteAdvisor Toolbar – {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} – c:\progra~2\mcafee\sitead~1\mcieplg.dll O3 – Toolbar: Certified Toolbar – {8ce31ebd-051a-495f-9b41-3cc886889da8} – C:\Users\tetuya_akiba\AppData\Roaming\CertifiedToolbar\CertifiedToolbar.dll O4 – HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 – HKCU\..\Run: [Advanced SystemCare 6] “C:\Program Files (x86)\IObit\Advanced SystemCare 6\ASCTray.exe” /AutoStart O4 – HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User ‘LOCAL SERVICE’) O4 – HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User ‘LOCAL SERVICE’) O4 – HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User ‘NETWORK SERVICE’) O4 – HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User ‘NETWORK SERVICE’) O9 – Extra button: (no name) – {1c632c0a-9751-4778-8ef1-a1778a4d0caf} – C:\Users\tetuya_akiba\AppData\Roaming\CertifiedToolbar\CertifiedToolbar.dll O10 – Unknown file in Winsock LSP: c:\windows\system32\vsocklib.dll O10 – Unknown file in Winsock LSP: c:\windows\system32\vsocklib.dll O11 – Options group: [ACCELERATED_GRAPHICS] Accelerated graphics O15 – ESC Trusted Zone: http://*.update.microsoft.com O18 – Protocol: dssrequest – {5513F07E-936B-4E52-9B00-067394E91CC5} – c:\progra~2\mcafee\sitead~1\mcieplg.dll O18 – Protocol: sacore – {5513F07E-936B-4E52-9B00-067394E91CC5} – c:\progra~2\mcafee\sitead~1\mcieplg.dll O23 – Service: McAfee Application Installer Cleanup (0195091359059783) (0195091359059783mcinstcleanup) – – (no file) O23 – Service: Advanced SystemCare Service 6 (AdvancedSystemCareService6) – IObit – C:\Program Files (x86)\IObit\Advanced SystemCare 6\ASCService.exe O23 – Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) – Unknown owner – C:\Windows\System32\alg.exe (file missing) O23 – Service: ALYacRealTimeService (ALYac_RTSrv) – Unknown owner – C:\Program.exe (file missing) O23 – Service: ALYac Update Service (ALYac_UpdSrv) – Unknown owner – C:\Program.exe (file missing) O23 – Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) – Unknown owner – C:\Windows\System32\lsass.exe (file missing) O23 – Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) – Unknown owner – C:\Windows\system32\fxssvc.exe (file missing) O23 – Service: @keyiso.dll,-100 (KeyIso) – Unknown owner – C:\Windows\system32\lsass.exe (file missing) O23 – Service: McAfee SiteAdvisor Service – McAfee, Inc. – c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe O23 – Service: Mozilla Maintenance Service (MozillaMaintenance) – Mozilla Foundation – C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe O23 – Service: @comres.dll,-2797 (MSDTC) – Unknown owner – C:\Windows\System32\msdtc.exe (file missing) O23 – Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) – Unknown owner – C:\Windows\system32\lsass.exe (file missing) O23 – Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) – Unknown owner – C:\Windows\system32\locator.exe (file missing) O23 – Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) – Unknown owner – C:\Windows\system32\lsass.exe (file missing) O23 – Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) – Unknown owner – C:\Windows\System32\spoolsv.exe (file missing) O23 – Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) – Unknown owner – C:\Windows\system32\sppsvc.exe (file missing) O23 – Service: TP AutoConnect Service (TPAutoConnSvc) – Cortado AG – C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe O23 – Service: TP VC Gateway Service (TPVCGateway) – Cortado AG – C:\Program Files\VMware\VMware Tools\TPVCGateway.exe O23 – Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) – Unknown owner – C:\Windows\system32\UI0Detect.exe (file missing) O23 – Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) – Unknown owner – C:\Windows\system32\lsass.exe (file missing) O23 – Service: @%SystemRoot%\system32\vds.exe,-100 (vds) – Unknown owner – C:\Windows\System32\vds.exe (file missing) O23 – Service: VMware Tools (VMTools) – VMware, Inc. – C:\Program Files\VMware\VMware Tools\vmtoolsd.exe O23 – Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) – Unknown owner – C:\Windows\system32\vssvc.exe (file missing) O23 – Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) – Unknown owner – C:\Windows\system32\wbengine.exe (file missing) O23 – Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) – Unknown owner – C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
- –
C:\Program Files (x86)\Protected Search\ProtectedSearch.exe
O2 – BHO: Certified Toolbar – {8ce31ebd-051a-495f-9b41-3cc886889da8} – C:\Users\tetuya_akiba\AppData\Roaming\CertifiedToolbar\CertifiedToolbar.dll
O3 – Toolbar: Certified Toolbar – {8ce31ebd-051a-495f-9b41-3cc886889da8} – C:\Users\tetuya_akiba\AppData\Roaming\CertifiedToolbar\CertifiedToolbar.dll
O9 – Extra button: (no name) – {1c632c0a-9751-4778-8ef1-a1778a4d0caf} – C:\Users\tetuya_akiba\AppData\Roaming\CertifiedToolbar\CertifiedToolbar.dll
↑
上記のようにログにもしっかりと表示されています。
それでは実際の削除方法について記載したいと思います。検証環境はwindows7 64bitです。
【スポンサーリンク】
削除方法
まず削除方法ですが、レジストリを操作します。そのため間違えたレジストリの値を削除しますと、最悪はOSに致命的なダメージを与えかねない場合もありますから、不安な方は無理をせず、以下のサイトにご相談ください。また削除方法についてはIEのみの記載となります。その他のブラウザについての修正は同様に以下のサイトにご相談ください。
それでは削除方法を記載していきます。
まずは以下のツールを御用意してください。
それでは、はじめにiobit uninstallerを使ってCertified Toolbarのプログラムを削除していきます。
ダウンロードしたiobit uninstallerを解凍し、起動してください。起動画面より一括アンインストールにチェックを入れてから、該当のプログラムをアンインストールします。該当のプログラムは、
>Certified Toolbar >Protected Search
↑
一覧よりこの2つに該当するプログラムをアンインストールしてください。お使いのブラウザによって削除すべきプログラムが変化します。僕の場合、firefoxを使っていますから削除すべきプログラムは3つありました。
アンインストール後は、さらにパワフルスキャンを行い残存レジストリを削除してください。
上記のようにファイアウォールに関するエントリが表示されるはずです。
さて次にATF Cleanerを使います。
ATF Cleanerを起動し、select allにチェックを入れて、empty selectedをクリックします。作業が完了するまでお待ちください。
この時点でCertified Toolbarにより作成されたファイルの削除は完了しています。IEのアドオンに関しても削除されていると思います。
さてそれでは最後にCertified Toolbarにより作成されたレジストリエントリの残存を削除していきます。
RegGlassを解凍し、起動してください。
起動画面の検索文字列の欄に以下を入力して検索をクリックします。
>Certified
↑
上記の文字です。検索しますと結果が表示されます。そして結果にて表示された値を一つずつ削除していきます。
まず結果にて表示された値をマウスで右クリックし、ジャンプを選択してください。そうしますとレジストリエディタが起動し、該当のレジストリエントリが青く表示されます。
このような画面です。青く表示された値をマウスで右クリックして削除してください。この行為を結果にて表示されたレジストリエントリ全てに行います。
ここで注意点が一つ!
結果にて表示されるレジストリエントリには、以下のようなものがあります。
上記画像のように種類という項目の部分に(キー)という表示のあるエントリがあります。実際にこの値へジャンプしますと、
このエントリの場合は、青く表示される部分がレジストリエディタの左画面になります。ですからこのレジストリエントリを削除される場合には左画面より削除してください。
それからRegGlassを用いて、Certified の語句から検索し、結果にて表示されたレジストリエントリを削除していくと半分くらいからジャンプで該当のレジストリエントリにアクセスしても青く表示されなくなると思います。これはすでにレジストリエントリが存在しないということですから削除はせず、画面を閉じてください。問題はありません。
結果にて表示された値をマウスで右クリックし、ジャンプを選択してアクセスしたレジストリエディタ画面にて青く表示されたエントリがない場合にはそのまま必ず画面を閉じてください。絶対に青く表示されたエントリ以外を削除することはしないようにしてください。
以上でレジストリエントリの削除は終了です。削除終了後はPCを再起動してください。
これでレジストリエントリもほぼ削除できたはずです。ほぼというのは、実は検証過程でもう少しレジストリエントリの残存らしきものがありましたが、残存しても特に問題のないエントリと判断したのでこの記事では省かせていただきます。
さて次はトライデントさんがご指摘されていたショートカットのリンク先の改ざんがないか確認します。
詳しくは以下をご覧ください。
http://www46.atpages.jp/~tridentsd/5ecur1ty/viewtopic.php?f=11&t=72#p255
1. IEのショートカットアイコン上で右クリックして「プロパティ」>「リンク先」を参照
2. リンク(IEなら、”C:\Program Files\Internet Explorer\iexplore.exe”)の前後に、Certified Toolbarのサイトアドレスがセットされていないか確認。
3. サイトのアドレス部分だけ選択して削除。
↑
上記を確認してください。確認後はコントロールパネルのインターネットオプションより、ブラウザのホーム設定及び新しいタブの設定を修正してください。
本日の投稿は以上です。