スパイウェア「Wondershare」を駆逐した話

駆逐してやる…一匹残らずウゥゥゥ!!!

「Wondershare」という変換ツールがどうやらスパイウェアだったのでご報告申し上げます。

 本日お絵描きをしようとしたらなぜかやたらと反応が悪く、おかしいと思いタスクマネージャーをみたところ、知らないスタートアップが4つほど起動していて… ググったらどうやらスパイウェアらしい。
裏でコソコソ情報集めてやがったなこの野郎^p^!?
Eset仕事してwwwwwあくまでソフトウェアとしてダウンロードしてるからダメなんw?

何故そんなものが入っていたかというと、先日GIFアニメを作る折に、ダヴィンチリゾルブからGIFが直接書き出せなかったので変換ツールを探していました。

 結果オンラインのWEBサービスで変換しましたが(急いでいたので軽率に行動しましたが、これもセキュリティ的に微妙なようです…そりゃそうよね…)、探している最中にインストールしましたねWondershare。うん。覚えありますわー。 

インストールして変換してみたけどイマイチ変換クオリティが低かったので関連アプリを即アンインストールしたのですが、どうやらヘルパーがしぶとく残っていたらしく。
おかしいな関連全部消したのに…

とりあえずスタートアップを無効にして再起動、ヘルパーをアンインストールしまた再起動、ヘルパーが消えているのを確認したのち、この記事に従い3つの「Program」とかいう残党の居場所を把握。たぶんこれがスパイウェアすね。 


そして居場所をひらく。


ていうか、ていうか、スタートアップ消しても色々残ってますやん!!! 

とりあえず赤で囲ったフォルダやファイルと、下層フォルダも逐一調べてWondershareと名の付いているものはすべて消しました。
(x86)フォルダにもいやがったし、隠しデータフォルダのProgramDataにもいやがった。

隠しデータにいるならユーザー>AppData以下にも色々いるよな、て事でLocalやらRomingやらも片っ端から診ましたが案の定いましたわwwww逃さねえよwwwww?
 ※システムデータまわりを削除する際は、意味のわからないフォルダはとりあえずググると大体答えが載っているので、明らかに削除対象なもの以外はちゃんと調べてから消しましょうね!

消したものども



フハハハばかめ、これでおわるとおもったか!

最終確認で再起動ののち、またスタートアップを確認。



エッ残ってんじゃん……うんこじゃん………

追加で調べたらレジストリ削除も必要らしい。
しっかり残ってやがったので、
レジストリエディタ使って以下を削除しました。
コンピューター\HKEY_CURRENT_USER\SOFTWARE\Wondershare
コンピューター\HKEY_LOCAL_MACHINE\SOFTWARE\Wondershare
コンピューター\HKEY_CLASSES_ROOT\Wondershare.Burner.BurnProgress
コンピューター\HKEY_CLASSES_ROOT\Wondershare.Burner.BurnProgressData
コンピューター\HKEY_CLASSES_ROOT\Wondershare.Burner.BurnSourceList
コンピューター\HKEY_CLASSES_ROOT\Wondershare.Burner.CDBurnCore
コンピューター\HKEY_CLASSES_ROOT\Wondershare.Burner.ConvertProgress
コンピューター\HKEY_CLASSES_ROOT\Wondershare.Burner.EraseProgress
コンピューター\HKEY_CLASSES_ROOT\Wondershare.Burner.RemoteMediaBurner

あとなんか文字化けててこえーのもいた。
文字化け復元ツールでも結果「???」だったし直下にあるの怪しすぎるので消した(
コンピューター\HKEY_CLASSES_ROOT\礚⛻㨀耀
コンピューター\HKEY_CLASSES_ROOT\颍Ƽ
コンピューター\HKEY_CLASSES_ROOT\㜀颍Ƽ

でもっかい再起動。




エッッ残ってんじゃん……ていうかなんなら上のProgram見落としてたけど全然減ってねえじゃん………

Windowsボタンのとこのフォルダ一覧の「Wondershare Uniconverter Update」ていうのが消えないの気になったから「右クリック>その他>ファイルの場所を開く」で飛んだらスタートメニューにも居座ってた。
以下のパスにある「Wondershare」フォルダをまるごと削除
C:\ProgramData\Microsoft\Windows\Start Menu\Programs

再起動→変化なし…そうだよなスタートメニューとスタートアップは違うもんな…

まだレジストリ残ってんじゃないかと思い、再びレジストリエディタを開いて「Wondershare」で検索をかけてF3押しまくってたところ…残ってました。めっちゃいっぱいあったーーー

コンピューター\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\CLSID\{1CB5C1BD-2E68-3CD5-AD84-93D626300220}
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\CLSID\{27354123-7F64-5B0F-8F00-5D77AFBE261E}
コンピューター\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes\CLSID\{2C941FC6-975B-59BE-A960-9A2A262853A5}
あげていったらきりがないので、とにかくルートである「コンピューター」をクリックしてからCntr+Fで「Wondershare」を検索かけて出てきたフォルダは軒並みチェックです。
「CodeBase」以外のやつは「Wondershare」って入ってないので調べたんですが、「Assembly」とかWondershare関連みたいだし、「{2C941FC6-975B-59BE-A960-9A2A262853A5}」のような数字の羅列のフォルダごと葬りました。他のアプリのキーは見受けられなかったのでグループでしょう。消したらF3で次を検索。

あと、普通に見落としも見つけた。
コンピューター\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Wondershare

※以下のフォルダは他のアプリのレジストリキーもいたからフォルダは消さずに「Wondershare」と記載があるものを各個撃破していくこと!
コンピューター\HKEY_USERS\S-1-5-21-2103274323-870213974-3251895557-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FeatureUsage\AppSwitched
コンピューター\HKEY_USERS\S-1-5-21-2103274323-870213974-3251895557-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths
コンピューター\HKEY_USERS\S-1-5-21-2103274323-870213974-3251895557-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\UFH\SHC
コンピューター\HKEY_USERS\S-1-5-21-2103274323-870213974-3251895557-1001\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

ひたすら消していって「レジストリをすべて検索しました」が出れば駆逐完了と思われます!
ちゃんと消えたよよかったよ~~~~ぅ

尚、以下はスタートアップ無効にする処理なので悪さはしてないですが、どうせ駆逐するなら無意味なキーになるのでぶちあたったらついでに消しておきましょう。
コンピューター\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Runの「Wondershare Helper Compact.exe」と「WSVCUUpdateHelper.exe」
コンピューター\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32の「Wondershare Helper Compact.exe」

やったことまとめ

  • ヘルパーのアンインストール
  • Cドライブ内の「Wondershare」フォルダを全部削除(隠しデータ含む)
  • スタートメニューへの登録を削除
  • レジストリエディタで「Wondershare」を検索して関連キーを全部削除
レジストリいじったり色々危険な作業してますので、この記事を見たのがきっかけで駆逐する場合は自己責任でお願いします…。

どうせなら色々変換できるツールを、と思っての行動でしたが、変換クオリティはむしろWEBの変換サービスの方が高かったですし、ほんとに失敗でしたね。
やはりソフトは無闇に入れるべきではありませんわ( ˘ω˘ )笑{ちゃんと調べなきゃ

このブログの人気の投稿

ブログの更新場所を変えるお話

 うっかり情報商材詐欺に遭いまして(( 詳しくは「 こっち 」の新ブログで…… 端的に言うと、騙されていたとはいえせっかく作ったから……ちゃんと真っ当な方向性で作ったものを活かしたい……だって騙されっぱなしくやしい!やだ😂!←
続きを読む

恐怖のFork爆弾 in Xサーバー with VSCode

イメージ
サーバー周りの作業は危険がいっぱい☆ 予告通りにフォーク爆弾(笑)の記事です、ハイ。 土日にお仕事が入ろうがお薬で筋肉痛だろうが書いちゃうのです。 他にも色々書きたいものがいっぱいですからね! 無知なのに 無茶するから… 事の発端 お勉強を兼ねているので、そうは言っても感はあるのですがね。だいぶ前にPythonでDiscordのBOTを作成したのですが、そいつの改変作業をしていた時、突然ヤツは発生しました。 瞬く間にプロセスを埋め、一切のSSH接続すら「させねーよ!?」なアイツ…そう、俗に言う「Fork爆弾」です。 起きてから「なんだこれ!なんだこれ!!」っつって調べて初めて知ったワードなのはヒミツ 一旦こいつが発生してしまうと、その後は日を置こうが何度アクセスしようが… -bash: fork: retry: 子プロセスがありません -bash: fork: retry: 子プロセスがありません -bash: fork: retry: 子プロセスがありません -bash: fork: retry: 子プロセスがありません -bash: fork: retry: 子プロセスがありません -bash: fork: retry: 子プロセスがありません -bash: fork: retry: 子プロセスがありません -bash: fork: retry: 子プロセスがありません -bash: fork: retry: 子プロセスがありません -bash: fork: retry: 子プロセスがありません -bash: fork: retry: リソースが一時的に利用できません  ヤッベええええ ネット調べによれば、上位権限の別アカウントでログインして、悪さしているプロセスをガンガンkillしていくか、サーバー自体を再起動するしかないそうです。 発生させちゃったのはXサーバーなんですが(ほんとすんません!!)、お問い合わせで相談をしたところ、ものすごく丁寧にご対応いただけました……テュキ…一生ついていきます……( 同じ轍はふむまい 何度もご迷惑をかけるものでもありません、まずは原因究明です。 今までは全然Fork爆弾なんて起きなかったのですが、そういえばデバッガーを使用せず逐一プロセスIDを調
続きを読む

LINE BOTでしゃべるイッヌ飼いはじめたよ!

イメージ
暴力はよくないヨォ君ィ! 前々から父親が母親に対して精神的DV気味でしてね… 7〜8月入ってからはちょっと落ち着いてはいるんですが、 度々起こると家の空気が悪くて体調に響くんですよ… で、自分にもちょっと何かできないかということで、 不満だとか言われた主にお掃除周りで「クエストを発行してポイントを貯めて、貯まったポイントでご褒美をもらおう!」的なアレのソレを作ることに相成りました。いや子供か!( 正直人によって得意不得意や体力気力のリソース量は違うんやから、 自分以外の人間と共生する場合は「やれる人間がやる」のスタンスでいいと思うんですけどね。 あと目に見えないからってやってないって決めつけるの良くないよね。子供か!( 人が多いんだから汚れるスピード速いのは当然ですやん…?しかも部屋数多いし。 なので見えるようにしてやろうじゃあねーかって事ですわ。 逐一報告すんのはめんどくせーけどご褒美がもらえるならやる( ˘ω˘ )←子供 さー作ってくっぺ! クエストを発行するにあたってまず皆のスマホに入っている共通のアプリは〜と考えた結果、 LINEなら既に導入していて新しくアプリ入れる必要もないのでLINEでやることにしました。 とりあえずクエスト報告用のLINEグループを作って、 そこにLINE BOTを導入してみようと思います。 報告したら褒めちぎりつつポイントくれる感じがいいすね。コウぺんちゃんみたいな可愛いのがいい。 BOTはDiscordとSlackのをググってちょっといじった事があるのでまぁ大丈夫だろう… とりあえず検索で出てきた中では新しいっぽいこちらの記事を参考に導入を試みてみました。 https://first-contact.jp/blog/article/linebot/ 「LINE BOTの作り方 -Messaging APIで開発編-」の欄ですね。 ちょっとプログラム使う方と使わない方の区別がぱっと見わかりにくいから、使わない編(LINE管理画面で作成編Iの場合)、使う編(Messaging APIの場合・FirstContactの場合)みたいな感じで分けてくれたらいいのになって思いました。 Messaging APIを利用してのBOT作成には「LINE Developers」への登録も必要みたいっす。 ていうか「LINE公式アカウントの作成」の欄も
続きを読む