2014年10月13日
フリーソフトで入ったマルウエアの削除(Salus.exe)
このフリーツールを導入(コーデックパック)したら、
『お使いのFlash Payerバージョンからエラーが検出されました。』とか、
『pcのパフォーマンスが低下しています』とか言い出して、
ブラウザの挙動が怪しくなりました。
前回の感染状況とはちょっと違う動きをしています。
タスクマネージャーを見ると怪しげなタスクが…。
今回のマルウエア(バツウエアだな)は、この3つの様です。
Salus.exe
UpdateService.exe
CrashMon.exe
まったく邪魔な存在なので、さっそく除去しよう。
下記手順は除去出来る事を保障するものではありません。
実施する場合は、当然ですが自己責任でお願いします。
特にREGEDITを使った操作では、
PCが起動できなくなるリスクが高いと思われますのでご注意ください。
【駆除方法※全部手動】
- タスクマネージャーで3つを止める
Salus.exe
UpdateService.exe
CrashMon.exe - インターネットオプション⇒詳細設定⇒リセットでIEの設定をリセット
インターネットオプション⇒全般⇒閲覧の履歴をすべて削除
- プログラムと機能⇒Salusをアンインストール
- regeditで下記のセクションを削除
- TEMPフォルダから復活しようとしている!この部分も削除。
ただし、フォルダ名やプログラム名は変わるので、
PendingFileRenameOperationsの文字列で検索しましょう - 下記のフォルダを削除
- 再起動して、上記のタスクが動いていないを確認しましょう。
以上です。
クリックしてくれると嬉しいです。
ネット・PC(全般) ブログランキングへ
この記事へのトラックバックURL
https://fanblogs.jp/tb/2864262
※ブログオーナーが承認したトラックバックのみ表示されます。
この記事へのトラックバック
ありがとうございます。
経緯と状況メモです。
1週間ほど前に、海外のメディアファイル形式変換フリーソフトの
ダウンロードで、やられてしまった。
ネット検索し、他の人の情報から「IObit Uninstaaller4」
フリーツール使っての削除にて、とりあえず「SALUS」を削除。
しかし、まだ「うざい広告」出る。
こちらのサイトに行き着く。以下、ご教示の削除実施の状況です。
1.で「UpdateService.exe」は、自PC内に無かった。
2.を実施。
3.は、前述のとおり「IObit Uninstaaller4」で実施済み。
4.で、「CrashiMon」「Salus」「Salus CrashiMon」は
ご教示のフォルダでは見つからず(フォルダを下がってい くと同じ名称が無いなど)、レジストリエディタ内の
名前検索で見つけ出し、削除した。
「Salus」のセクション?は見つからなかった。
(「IObit Uninstaaller4」が消してくれてたのか?)
ただし、「Salus」で検索したら、Salus.exeというのが
見つかり削除した。
「UniversalUpdater」は、ご教示のとおりの場所で発見。
※「PendingFileRenameOperetions」は別の場所で見つかる。
そこで示している値が、ご教示の内容と異なり、
自分PCでは、C:直下に、「Config.Msi」というフォルダを 生成するようになっていた。
5.「Salus」削除 「Universal Updater」は見つからず
tempは該当見当たらず、上述の C:直下「Config.Msi」を
削した。
以上です。ありがとうございました。
一度削除したら復活していたのでおそらくtempファイルから拾い出したんでしょう。
初めはsalus.exeがスタートアップで登録されていたのですが、2回目は変なファイル名(フォルダがF55Dで始まるランダムの文字羅列のような感じでした。)
Salus許せん!(笑) 楽天となんか関係あるんでしょうかね?