Chromeから、不正アプリを削除するツールが出たというので試してみました。
特に、不正なアプリをインストールした覚えはないので「大丈夫だろう」と思ってツールを実行してみたのですが、なんと1つ不審なプログラムが発見されてしまいました。
photo by Tom Woodward
スポンサーリンク
目次
Chromeのソフトウェア削除ツールとは
Chromeのソフトウェア削除ツール(ベータ版)とは、Chrome で問題を引き起こす可能性のあるソフトウェアをスキャンして削除してくれるWindows用のアプリケーションです。
Chromeには、ユーザーに気づかれずブラウザの設定を変更してしまうような、不正アプリが、こっそりと出回っているそうです。
ソフトウエア削除ツールは、そんな不審な動作をするソフトなどを実行するだけでスキャンしてくれます。
ソフトウエア削除ツールの使い方
ソフトや削除ツールの使い方を紹介します。
まずは、ソフトウェア削除ツールに移動して、「今すぐ無料でダウンロード」ボタンを押してください。
確認画面に同意をしてダウンロードすると、以下のような「software_removal_tool.exe」というツールがダウンロードされます。
あとはこれを実行すればスキャンが始まります。
スキャン後Chromeを起動すると、以下のようなダイアログが表示され、「リセット」を押すと設定がデフォルトに戻ってしまうので「キャンセル」をしてください。
設定を元のデフォルトに戻します。これにより、ホームページ、新しいタブの画面、検索エンジンがリセットされ、拡張機能は無効となり、全てのタブの固定は解除されます。また、その他の一時的なキャッシュデータ(Cookie、コンテンツデータ、サイトデータなど)も削除されます。
もし不正ツールが沢山表示された場合などは、「リセット」の利用を検討してもいいかもしれません。
削除ツールスキャン結果
で、ツールでスキャンしてみた結果、「1件の不審なプログラムが発見されました」と表示されてしまいました。
これを削除するには、「不審なプログラムを削除」ボタンを押すだけです。
削除する前にGoogleにフィードバックする情報を見てみると、以下のように書かれていました。
迷惑ソフトウェアの ID が見つかりました: 1-Search Protect,
環境データ: - Windows 版: 6 - アプリのバージョン: 2.6.2 - CPU 情報: - アーキテクチャ: x86_64 - ベンダー: GenuineIntel - ID: XXXXXX クライアント ID: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 迷惑ソフトウェアの ID が見つかりました: 1-Search Protect, 詳細ログ: [1217/111516:INFO:chrome_cleaner_main.cc(237)] --elevated [1217/111516:INFO:crash_client.cc(242)] GoogleCrashHandler could not be reached. [1217/111516:INFO:chrome_cleaner_main.cc(239)] Crash reporting is not available. [1217/111516:INFO:recovery_component.cc(179)] Sent request to download Recovery Component. [1217/111516:WARNING:scanner.cc(330)] Protector service 'sppd' found: SearchProtect. [1217/111516:WARNING:scanner.cc(347)] displayname = SPPD [1217/111516:WARNING:scanner.cc(347)] imagepath = \??\C:\WINDOWS\system32\drivers\SPPD.sys [1217/111516:WARNING:scanner.cc(351)] Protector service end. [1217/111516:INFO:scanner.cc(247)] Found registry key: 1, system\currentcontrolset\services\sppd [1217/111516:INFO:scanner.cc(450)] UwS detected: Search Protect [1217/111517:INFO:main_controller.cc(194)] Reboot reason: 2 [1217/111519:INFO:recovery_component.cc(146)] Recovery Component successfully downloaded. 終了コード: ??
なんか、Search Protectとかいう迷惑ソフトが発見されたようです。
「不審なプログラムを削除」ボタンを押すと、「不審なプログラムを削除しています…」というメッセージとともに不審ファイルが削除されます。
削除が完了すると、以下のようなダイアログが表示されます。
削除後のフィードバック情報を確認してみると、以下のようになっていました。
詳細なログを見てみると、発見された不審ソフトは1つなのですが、かなりのファイルが削除されています。(クリックで表示)
環境データ: - Windows 版: 6 - アプリのバージョン: 2.6.2 - CPU 情報: - アーキテクチャ: x86_64 - ベンダー: GenuineIntel - ID: XXXXXX クライアント ID: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 迷惑ソフトウェアの ID が見つかりました: 1-Search Protect, 詳細ログ: [1217/112034:INFO:action_utils.cc(14)] Running action StopRunningServices(cltmngsvc) [1217/112034:INFO:scoped_service_handler.h(49)] Service 'cltmngsvc' doesn't exists. [1217/112034:INFO:action_utils.cc(14)] Running action StopRunningServices(sppd) [1217/112034:INFO:system_util.cc(288)] Stopping service 'sppd'. [1217/112034:INFO:system_util.cc(301)] Service 'sppd' is not active. [1217/112034:INFO:system_util.cc(312)] Wait for service 'sppd'. [1217/112053:INFO:registry_remover.cc(26)] Delete registry key: software\searchprotect, from registry root:HKLM [1217/112053:INFO:registry_remover.cc(50)] Delete registry value: savedlegacysettings, from registry key: HKCU, software\microsoft\windows\currentversion\internet settings\connections [1217/112053:INFO:registry_remover.cc(50)] Delete registry value: proxyenable, from registry key: HKCU, software\microsoft\windows\currentversion\internet settings [1217/112053:INFO:registry_remover.cc(50)] Delete registry value: proxyoverride, from registry key: HKCU, software\microsoft\windows\currentversion\internet settings [1217/112053:INFO:registry_remover.cc(89)] Update value: appinit_dlls, registry key: software\microsoft\windows nt\currentversion\windows, from registry root:HKLM, updating: 'C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll C:\WINDOWS\SysWOW64\nvinit.dll' to 'C:\WINDOWS\SysWOW64\nvinit.dll' [1217/112053:INFO:registry_remover.cc(26)] Delete registry key: software\microsoft\windows\currentversion\uninstall\searchprotect, from registry root:HKLM [1217/112053:INFO:registry_remover.cc(26)] Delete registry key: system\currentcontrolset\services\sppd, from registry root:HKLM [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\Main\bin\uninstall.exe [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\Main\bin\SPTool.dll [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\Main\bin\CltMngSvc.exe [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\Main\rep\SystemRepository.dat [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\Main\rep [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\Main\bin [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\SearchProtect\bin\SPVC64Loader.dll [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\SearchProtect\bin\SPVC64.dll [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\SearchProtect\bin\SPVC32Loader.dll [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\SearchProtect\bin\SPVC32.dll [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\SearchProtect\bin\SPTool64.exe [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\SearchProtect\bin\cltmng.exe [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\SearchProtect\rep [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\SearchProtect\bin [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\bin\cltmngui.exe [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Consent\defaults.js [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Consent\consent.js [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Consent\consent.html [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Consent\consent.css [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\x.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\v.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\text-field.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\SP_DialogBG.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\Settings-icon.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\radio-button2.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\radio-button.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\radio-button-selected.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\radio-button-def.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\menu-selected.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\menu-rollover.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\info-icon.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\icon-win.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\hez.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\hez-selected.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\hez-def.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\hez-def-grey.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\gray-bg.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\close-win-over-click.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\close-win-def.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\checkbox_def.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\checkbox_checked.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\checkbox.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\button-bg.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\btnSilver.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\btnClose.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\btnBlue.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\bgUninstall.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\bgSettingsDS.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\bgSettings.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\bgNotif.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\bg.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\bg-with-logo.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\bg-uninstall.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\bg-dia.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\Apply-Rollover.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\Apply-onclick.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images\Apply-default.png [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\libs\SPDialogAPI.js [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\libs\main.js [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\libs\json2.min.js [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\libs\jquery.1.7.1.min.js [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\libs\dialogUtils.js [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\libs\defaults.js [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\protection\protection.js [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\protection\protection.html [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\protection\protection.css [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\protection\defaults.js [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\protectionDS\protectionDS.js [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\protectionDS\protectionDS.html [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\protectionDS\protectionDS.css [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\protectionDS\defaults.js [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\settings\settings.js [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\settings\settings.html [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\settings\settings.css [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\settings\defaults.js [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\uninstall\uninstall.js [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\uninstall\uninstall.html [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\uninstall\uninstall.css [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\uninstall\defaults.js [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\uninstall [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\style.css [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\settings.html [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\settings [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\protectionDS [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\protection [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\libs [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Images [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs\Consent [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\rep [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\dialogs [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI\bin [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\UI [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\SearchProtect [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\Main [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect\EULA.txt [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Program Files (x86)\searchprotect [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Users\XXXXXX\AppData\Local\searchprotect\SearchProtect\rep\UserSettings.dat [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Users\XXXXXX\AppData\Local\searchprotect\SearchProtect\rep\UserRepository.dat [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Users\XXXXXX\AppData\Local\searchprotect\SearchProtect\rep\Cvc.dat [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Users\XXXXXX\AppData\Local\searchprotect\SearchProtect\STG [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Users\XXXXXX\AppData\Local\searchprotect\SearchProtect\rep [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Users\XXXXXX\AppData\Local\searchprotect\UI\rep\UIRepository.dat [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Users\XXXXXX\AppData\Local\searchprotect\UI\rep [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Users\XXXXXX\AppData\Local\searchprotect\UI [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Users\XXXXXX\AppData\Local\searchprotect\SearchProtect [1217/112053:INFO:file_remover.cc(271)] Scheduled for deletion: C:\Users\XXXXXX\AppData\Local\searchprotect 終了コード: ??
レジストリキーからProgram Filesフォルダ、AppDataフォルダに至るまで、結構汚染されていたようです。
最後に、「再起動」ボタンを押してシステムを再起動したら削除完了です。
Search Protectとは
で、発見された「Search Protect」なる迷惑ソフトは何なんだ?ということで調べてみました。
「Search Protect」とは、イスラエルの企業が開発した主要なWEBブラウザの設定を改ざんするソフトのようです。
これがインストールされていると、ブラウザのスタートページなどが勝手に改ざんされてしまいます。
Search Protect / SearchProtect (サーチプロテクト)は中東イスラエル Conduit Ltd. が開発元になってるプログラムです。
名目上は、ブラウザ起動時のホームページと検索エンジンの変更を阻止するプログラムとなってます。
僕は、スタートページにサムネイルブックマークを表示するChrome拡張を入れていたのでこのページは表示されていませんでした。
参考 ブラウザハイジャッカー!【Search Protect by Conduit】 検証と削除方法について – ネットセキュリティブログ
まとめ
僕は、こういったソフトがインストールされないよう、かなり気をつけているつもりでした。
ダウンロードしてきたソフトをインストールするときは、インストーラーから余分なソフトを入れるチェックはすべて外していると思っていました。
けれど、チェックを外し忘れたか、その他にも混入経路があったのか、何らかの方法で迷惑ソフトがインストールされてしまったようです。
これは、気をつけていただけに、残念です。
というわけで、WindowsでChromeを利用している人は、不正ソフトの心当たりがある/なしにかかわらず一度、ソフトウェア削除ツールでのスキャンをお勧めします。
