ブラウザハイジャッカーとSuperFishの恐怖!徹底除去してみるが・・長い戦いの始まり~

ブラウザハイジャッカー PCアプリ・セキュリティ
2019.01.24

Hao123をインストールしてしまった!

あるツールが起動しない。なんでだろう?ダウンロードちゃんとできてなかったかな?と他のやり方でダウンロードしたらダウンロードの途中で、誤ってHao123をインストールしてしまった!

あるツールというのはflashtoolでXperiaのROM焼きツールなんですけど、auのXperia Z3 SOL26を手にいれたのでそのうちSIMロックフリーにしようとしてflashtoolを試そうと思ってダウンロードしていた次第です。

Torrentでダウンロードしたやつでflashtoolをインストールして起動できるか試してみたら起動しないので、Uploaded toからexeファイルをダウンロードしてみた・・・

通常の?flashtoolインストーラ

通常の?flashtoolインストーラ

Hao123が自動でインストールされると思われるflashtoolインストーラ

Hao123が自動でインストールされると思われるflashtoolインストーラ

こんな感じでアイコンが違います。下の薄緑のアイコンのやつがUploaded からダウンロードしたやつ、気をつけましょう。

上のほうの丸い虹色アイコンも怪しいツールの場合がある・・・。

exeファイルダウンロード中

exeファイルダウンロード中

Uploaded からダウンロードしたほうのflashtoolインストーラを起動すると、こんな画面が表示される。

Uploaded からダウンロードしたほうのflashtoolインストーラを起動すると、こんな画面が表示される。

UploadedからDLしたFlashtoolを起動すると上記のような画面が表示されるので、Hao123をインストールするか?というのがあるのでもちろんチェックを外して「Download」ボタンを押す・・・前になぜか?ダウンロードがスタートする。上手くダウンロードできるか?(このへんはうろ覚えなので選んでる途中に始まったような?)

が、・・・3分後くらいから異変発生! 開いていたブラウザが急に終了して、InternetExplorerが起動しHao123のページが表示!

やられました!Hao123祭りの始まり・・・こうなるとブラウザに広告が出まくって普通のサイトでも操作できなくなるほどクリックすると新しいウィンドウが出まくる。

 

慌ててHao123関連をすべて手動で除去したがInternetExplorerだけは何故かずっと削除できないでいる。

InternetExplorerでゆうちょ銀行にアクセスしたときだけこんな風にSafer-serfの広告が入る。

こりゃおっかなくて ゆうちょ銀行にログインできないや(;O;)

Microsoft Security Essentialsでスキャンしたところ

Microsoft Security Essentialsでスキャンしたところ

こちらは正常に定期的にクイックスキャンしてなにやらWxploit:HTML/Axpergle.Mというのを検疫したようだけどコレがゆうちょ銀行にアクセスした時に変な広告が出る原因とは思えない。まだ継続して広告が表示されるので・・・

AdwCleanerでスキャンしたところ

AdwCleanerは以下からダウンロードしました。

http://www.vector.co.jp/soft/winnt/util/se506143.html

Adwcleaner_4.112

早速スキャンしてみます。

AdwCleaner[R0].txt 一回目のスキャン結果

ログファイルは、C:\AdwCleanerのフォルダに保存される。

# オペレーティングシステム : Windows 7 Home Premium Service Pack 1 (x64)
# ユーザー名 : GO - VAIO Z
# 実行場所 : C:\Users\GO\Downloads\adwcleaner_4.112.exe
# オプション : スキャン

***** [ サービス ] *****

***** [ ファイル / フォルダ ] *****

ファイル 検出済み項目 : C:\END
ファイル 検出済み項目 : C:\Users\GO\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_search.conduit.com_0.localstorage
ファイル 検出済み項目 : C:\Users\GO\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_search.conduit.com_0.localstorage-journal
ファイル 検出済み項目 : C:\Users\GO\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.trovi.com_0.localstorage
ファイル 検出済み項目 : C:\Users\GO\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.trovi.com_0.localstorage-journal
ファイル 検出済み項目 : C:\Users\GO\AppData\Roaming\Mozilla\Firefox\Profiles\rbxellar.default\user.js
ファイル 検出済み項目 : C:\Windows\System32\roboot64.exe
フォルダ 検出済み項目 : C:\Program Files (x86)\digi docket
フォルダ 検出済み項目 : C:\Program Files (x86)\digi docket
フォルダ 検出済み項目 : C:\Program Files (x86)\ver8Safer-Surf
フォルダ 検出済み項目 : C:\ProgramData\Partner
フォルダ 検出済み項目 : C:\Users\GO\AppData\Local\Temp\digi docket
フォルダ 検出済み項目 : C:\Users\GO\AppData\Local\Temp\digi docket
フォルダ 検出済み項目 : C:\Users\GO\AppData\Roaming\baidu
フォルダ 検出済み項目 : C:\Users\GO\AppData\Roaming\DigitalSites
フォルダ 検出済み項目 : C:\Users\GO\AppData\Roaming\Maxiget
フォルダ 検出済み項目 : C:\Users\GO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
フォルダ 検出済み項目 : C:\Users\GO\AppData\Roaming\Systweak
フォルダ 検出済み項目 : C:\Users\GO\AppData\Roaming\VOPackage
フォルダ 検出済み項目 : C:\Users\GO\Documents\Updater

***** [ スケジュールタスク ] *****

***** [ ショートカット ] *****

***** [ レジストリ ] *****

キー 検出済み項目 : HKCU\Software\dsiteproducts
キー 検出済み項目 : HKCU\Software\InstallCore
キー 検出済み項目 : HKCU\Software\MICROSOFT\INTERNET EXPLORER\DOMSTORAGE\superfish.com
キー 検出済み項目 : HKCU\Software\Microsoft\Internet Explorer\DOMStorage\www.superfish.com
キー 検出済み項目 : HKCU\Software\Softonic
キー 検出済み項目 : HKCU\Software\systweak
キー 検出済み項目 : [x64] HKCU\Software\dsiteproducts
キー 検出済み項目 : [x64] HKCU\Software\InstallCore
キー 検出済み項目 : [x64] HKCU\Software\Softonic
キー 検出済み項目 : [x64] HKCU\Software\systweak
キー 検出済み項目 : HKLM\SOFTWARE\Classes\AppID\{51BEE30D-EEC8-4BA3-930B-298B8E759EB1}
キー 検出済み項目 : HKLM\SOFTWARE\Classes\AppID\DownloadProxy.EXE
キー 検出済み項目 : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
キー 検出済み項目 : HKLM\SOFTWARE\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762}
キー 検出済み項目 : HKLM\SOFTWARE\Classes\Interface\{E7270EC6-0113-4A78-B610-E501D0A9E48E}
キー 検出済み項目 : HKLM\SOFTWARE\Classes\protector_dll.protectorbho
キー 検出済み項目 : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1
キー 検出済み項目 : HKLM\SOFTWARE\DeviceVM
キー 検出済み項目 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
キー 検出済み項目 : HKLM\SOFTWARE\MozillaPlugins\@qq.com/TXSSO
キー 検出済み項目 : HKLM\SOFTWARE\systweak
キー 検出済み項目 : [x64] HKLM\SOFTWARE\Classes\Interface\{E7270EC6-0113-4A78-B610-E501D0A9E48E}
キー 検出済み項目 : [x64] HKLM\SOFTWARE\DeviceVM
データ 検出済み項目 : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - *.local

***** [ Webブラウザ ] *****

-\\ Internet Explorer v11.0.9600.17689

-\\ Mozilla Firefox v36.0.1 (x86 ja)

[rbxellar.default] - ライン 検出済み項目 : user_pref("browser.startup.homepage", "hxxp://jp.hao123.com/?tn=incore_pay_hp_01_hao123_jp");

-\\ Google Chrome v41.0.2272.89

*************************

AdwCleaner[R0].txt - [4051 bytes] - [16/03/2015 14:33:03]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [4110 bytes] ##########

ネットでHao123の削除方法とかいろいろ調べて手動で削除したつもりだけど、なんかいろんなの仕込まれてるなぁ。

AdwCleanerで駆除できたみたい?

AdwCleanerで駆除できて何もなくなったのでOKかな?と思い、InternetExplorerでゆうちょ銀行にアクセスすると・・・・(TOT)

ぜんぜん駆除できておらず・・・同じようなSafer-serfなどの広告が表示される(;O;)

もう一度AdwCleanerをスキャンしてみると、

AdwCleaner Superfish.com

またsuperfish.comがレジストリに混入している!こいつらの仕業か(# ゚Д゚)

この2つのSuperfishのレジストリを削除して再起動後、InternetExplorerのゆうちょ銀行にアクセスしたらまた2つのSuperfishのレジストリ復活(;O;)

元はどこにあるか分からない・・・こりゃリカバリーかな?最後までいろいろ試してみます。

AdwCleaner[R1].txt 二回目のスキャン結果

# オペレーティングシステム : Windows 7 Home Premium Service Pack 1 (x64)
# ユーザー名 : GO - VAIO Z
# 実行場所 : C:\Users\GO\Downloads\adwcleaner_4.112.exe
# オプション : スキャン

***** [ サービス ] *****

***** [ ファイル / フォルダ ] *****

***** [ スケジュールタスク ] *****

***** [ ショートカット ] *****

***** [ レジストリ ] *****

キー 検出済み項目 : HKCU\Software\MICROSOFT\INTERNET EXPLORER\DOMSTORAGE\superfish.com
キー 検出済み項目 : HKCU\Software\Microsoft\Internet Explorer\DOMStorage\www.superfish.com

***** [ Webブラウザ ] *****

-\\ Internet Explorer v11.0.9600.17689

-\\ Mozilla Firefox v36.0.1 (x86 ja)

-\\ Google Chrome v41.0.2272.89

*************************

AdwCleaner[R0].txt - [4213 bytes] - [16/03/2015 14:33:03]
AdwCleaner[R1].txt - [931 bytes] - [16/03/2015 14:39:07]
AdwCleaner[S0].txt - [3944 bytes] - [16/03/2015 14:35:26]

########## EOF - C:\AdwCleaner\AdwCleaner[R1].txt - [1048 bytes] ##########

3回目からAdwCleanerやってから再起動後、もう一度AdwCleaner をしたら何もでてこなかったけど、InternetExplorerでゆうちょ銀行にアクセスしたらまだ広告でる!

で、もう一度AdwCleaner スキャンしたらまた同じSuperFish出てきた(TOT)

試しにまたHao123インストールされちゃってみた後のAdwCleanerのスキャン結果

再現するためにもう一度Hao123をインストールされちゃってみます。その後AdwCleanerをスキャンしてみました。

# オペレーティングシステム : Windows 7 Home Premium Service Pack 1 (x64)
# ユーザー名 : GO - VAIO Z
# 実行場所 : C:\Users\GO\Downloads\adwcleaner_4.112.exe
# オプション : 削除

***** [ サービス ] *****

サービス 削除済み項目 : UniversalUpdater
サービス 削除済み項目 : webTinstMKTN

***** [ ファイル / フォルダ ] *****

フォルダ 削除済み項目 : C:\Program Files (x86)\Salus
フォルダ 削除済み項目 : C:\Program Files (x86)\ver4Safer-Surf
フォルダ 削除済み項目 : C:\Users\GO\AppData\Roaming\baidu
ファイル 削除済み項目 : C:\Windows\patsearch.bin
ファイル 削除済み項目 : C:\Users\GO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Hao123.lnk
ファイル 削除済み項目 : C:\Users\GO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Hao123.lnk
ファイル 削除済み項目 : C:\Users\GO\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Hao123.lnk
ファイル 削除済み項目 : C:\Users\GO\Desktop\Hao123.lnk
ファイル 削除済み項目 : C:\Users\GO\AppData\Roaming\Mozilla\Firefox\Profiles\ac0h4odo.adsense\user.js
ファイル 削除済み項目 : C:\Users\GO\AppData\Roaming\Mozilla\Firefox\Profiles\f6t9az0o.default-1408077307496\user.js
ファイル 削除済み項目 : C:\Users\GO\AppData\Roaming\Mozilla\Firefox\Profiles\rbxellar.default\user.js

***** [ スケジュールタスク ] *****

タスク 削除済み項目 : Safer-Surf Update

***** [ ショートカット ] *****

***** [ レジストリ ] *****

値 削除済み項目 : HKCU\Software\Mozilla\Firefox\Extensions [{A5E000D8-E879-D802-C74A-852EAD4B6120}]
キー 削除済み項目 : HKCU\Software\MICROSOFT\INTERNET EXPLORER\DOMSTORAGE\superfish.com
キー 削除済み項目 : HKCU\Software\Microsoft\Internet Explorer\DOMStorage\www.superfish.com
値 削除済み項目 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [CrashMon]
値 削除済み項目 : HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce [hao123Setting]
キー 削除済み項目 : HKLM\SOFTWARE\Classes\CLSID\{E0668B00-BE4E-66B8-85E9-C151731DF643}
キー 削除済み項目 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E0668B00-BE4E-66B8-85E9-C151731DF643}
キー 削除済み項目 : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E0668B00-BE4E-66B8-85E9-C151731DF643}
キー 削除済み項目 : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E0668B00-BE4E-66B8-85E9-C151731DF643}
キー 削除済み項目 : [x64] HKLM\SOFTWARE\Classes\CLSID\{E0668B00-BE4E-66B8-85E9-C151731DF643}
キー 削除済み項目 : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E0668B00-BE4E-66B8-85E9-C151731DF643}
キー 削除済み項目 : HKCU\Software\Baidu
キー 削除済み項目 : HKCU\Software\AppDataLow\Software\Safer-Surf
キー 削除済み項目 : HKLM\SOFTWARE\Salus
キー 削除済み項目 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Salus
キー 削除済み項目 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\3D5E75C2-3B8D-6A3D-0FC5-6390CE480079

***** [ Webブラウザ ] *****

-\\ Internet Explorer v11.0.9600.17689

設定 復元済み項目 : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]

-\\ Mozilla Firefox v36.0.1 (x86 ja)

-\\ Google Chrome v41.0.2272.89

*************************

AdwCleaner[R0].txt - [4213 bytes] - [16/03/2015 14:33:03]
AdwCleaner[R1].txt - [1127 bytes] - [16/03/2015 14:39:07]
AdwCleaner[R2].txt - [1245 bytes] - [16/03/2015 14:50:13]
AdwCleaner[R3].txt - [1183 bytes] - [16/03/2015 15:07:41]
AdwCleaner[R4].txt - [1423 bytes] - [16/03/2015 15:10:09]
AdwCleaner[R5].txt - [1541 bytes] - [17/03/2015 06:29:55]
AdwCleaner[R6].txt - [1600 bytes] - [17/03/2015 13:18:13]
AdwCleaner[R7].txt - [4303 bytes] - [17/03/2015 15:54:47]
AdwCleaner[S0].txt - [3944 bytes] - [16/03/2015 14:35:26]
AdwCleaner[S1].txt - [1186 bytes] - [16/03/2015 14:46:30]
AdwCleaner[S2].txt - [1304 bytes] - [16/03/2015 15:04:57]
AdwCleaner[S3].txt - [1481 bytes] - [16/03/2015 15:13:44]
AdwCleaner[S4].txt - [1658 bytes] - [17/03/2015 15:37:34]
AdwCleaner[S5].txt - [4115 bytes] - [17/03/2015 15:55:54]

########## EOF - C:\AdwCleaner\AdwCleaner[S5].txt - [4174 bytes] ##########

Safer-SurfとかBaidoとかいろいろ仕込まれています(TOT)

SuperFishということで怖くなってLenovoの駆除ツールも試す

Lenovoで最近話題となっているSuperfish、広告を表示するだけじゃなくSSL通信(暗号化通信)も傍受して内容が筒抜けになるらしい!

SuperfishはLenovoが製品に入れたとか?なんとか?相当ヤバイ商売してやすねぇ・・・(TOT)

中国のBaidoもHao123をいろんなツールをインストールするときに同時にインストールさせようとするチェック項目があってそれを見逃すとHao123がインストールされちゃう仕組みで、大量の広告が表示されたりブラウザのすべてのトップページなどがHao123のサイトが表示される設定に強制的になったり、スパイウェアが仕込まれてしまう。

Hao123は日本のTVコマーシャルまで出たというのでオドロキです。

Lenovoはデスクトップ機にSuperfish仕込んだという噂、広告でてうざいしSSL通信傍受されたら銀行口座の内容からなにから全部筒抜けで、最悪は口座の預金が奪われる可能性もあると思う。

こりゃ完全に除去するまではVAIOからはゆうちょ銀行や他の銀行全部にログインできないですね。

Superfishのアンインストール方法 - Lenovo Support JP
Superfishのアンインストール方法
support.lenovo.com
Lenovo Superfish RemovalTool

Lenovo Superfish RemovalTool

Superfishを仕込んだLenovoということで信用おけないけど一応 削除ツールが配布されているのでダメ元でやってみる。

やはりLenovoのツールではSuperfish除去できない様子。Lenovoの仕掛けた?Superfishのみ除去できるのかな?

他のSuperfishは対象外らしい?

 

中国大手のBaidoやLenovoでさえヤバイスパイウェアとかマルウェアを仕込んでるので末端の中国企業はどんなヤバイことをやってるのか想像すると恐ろしくなってきます。

なので中国系の中国工商銀行とか中国銀行とか銀行系はセキュリティが日本よりも厳しいのも納得。

Microsoft Security Essentialsでフルスキャンする

今度はMicrosoft Security Essentialsでフルスキャンしてみます。

まだスパイウェア・マルウェア・ウィルスありそうだなぁ、

jp.hao123.comからアクセスがある

ツールのHao123と多分関連があるサイトだと思うけどこのサイトのRefererを見るとjp.hao123.comから日に数件アクセスがある。

Referer jp.hao123.com

Referer jp.hao123.com

実際にReferer jp.hao123.comのページを見ると、

jp.hao123.comのページ

jp.hao123.comのページ

こんなふうなページで、Google検索のようなレイアウト

右と上の広告はYahooのスポンサードサーチ広告みたい。特にマルウェア仕掛けられるとかはなさそうでまともなサイトなのかな?

でも、Hao123をインストールされるとこのサイトがメインページになるっぽいのでこのページから来た人はすでにHao123をインストールされてメチャメチャ広告表示されてるかもしれない。

 

しばらくあがいてみてダメだったらVAIOリカバリーします(TOT) どっちにしろ気持ち悪いのでリカバリーしよっと。

 

前へ
12

コメント