Windows7のPCからwebssearchesとSalusを削除する
(2015-04-11: 大幅に記事を書き換えました)
目次
- まず試してほしいこと
webssearches.com
についてSalus
についてSalus
の削除方法
- コメント欄でいただいた助言のまとめ
1. まず試してほしいこと
まず、AdwCleaner
というソフトを実行してください。
これだけで全て解決する可能性があります。
2. webssearches.com
について
基本的に下記の記事の手順に従いつつ、自身の環境に合わせた処理を行いました。
- webssearches.comの削除方法 | アドウエア対策 | とりあえず、やってみる
- webssearches.comの削除方法② | アドウエア対策 | とりあえず、やってみる
- webssearches.comの削除方法③ | アドウエア対策 | とりあえず、やってみる
2-1. 使用する検索エンジンのリストからwebssearches.com
を削除する
私の場合、GoogleChromeで使用する検索エンジンがwebssearches.com
に設定されていたので、これを削除して別のものに換えました。
(設定 > 検索 > 検索エンジンの管理
)
2-2. %AppData%\webssearches
以下を削除する
参考記事で紹介されているIObit Uninstaller
でパワフルスキャン
を実行した際、下記の場所にもwebssearches.com
関連と思われるフォルダが作成されていたのを発見したので削除しました。
(C:\Users\Yuusaku\AppData\Roaming\webssearches
)
2-3. webssearches
関連とそれに汚染されたレジストリを削除する
参考記事の手順7: レジストリエディタを使いレジストリから除外する。 の補足です。
私は記事の手順に従わずに前述の"IObit Uninstaller"で関連レジストリも削除したのですが、取りこぼしがないかを確認するために一応レジストリ エディター
で検索しました。
すると、キー名にはwebssearches
が含まれないものの、それに汚染されたと思われるものが見つかりました。
具体的にはHKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
の中の以下のキーです。
これらも削除しました。
- Search Page
- Default_Page_URL
- Default_Search_URL
(参考: ITmedia エンタープライズ:Windows Tips「スタートページが勝手に書き変わってしまう」)
2-4. セーフモードで起動できない場合はその障害となるものを強引に削除する
参考記事の手順9: フォルダのCドライブ直下の「Program Files(x86)」の「Sup Tab」のフォルダを丸ごと削除する の補足です。
セーフモード上でフォルダを削除するようにと勧めていますが、なぜかセーフモードで起動できませんでした。
F8キーを連打しても何の反応もなく、通常起動となってしまいます。
そこで、タスクマネージャからhpui.exe
を終了させて、再びそれが自動起動するまでのわずかな間にSupTab
内のファイルを削除しました。
いくつかのファイルが削除できずに残ったので再度行ったところ、今度は別のexeファイルが障害となっているようでした。
(メモしそこなってしまいましたが、たしかLoader.exe
だったかと…)
そこでそのexeをタスクマネージャで終了させて、すかさずSupTab
内のファイルを削除。
すると今度は、とあるdllファイルが障害となっている模様。(これもメモ忘れ)
タスクマネージャのプロセス一覧にはそのdllはなかったため、一旦PCを終了させてもう一度セーフモードで起動できないか試したところ、今度は成功。
無事、SupTab
フォルダを削除することができました。
…ということは、hpui.exe
もしくはもうひとつのexeがセーフモードで起動させないように妨害していたということでしょうか…?
3. Salus
について
webssearches
関連を削除したものの、Googleやmsnのページのいくつかで不自然な広告が表示されているのに気がつきました。
構わずログイン
のリンクテキストをクリックすると、一面広告のページに飛ばされてしまいます。
例えば、下記のURLはGmailの紹介ページであり広告は全く表示されないはずなのですが、問題のPCでは以下の写真のような広告が表示されます。
https://www.gmail.com/intl/ja/mail/help/about.html
構わずログインしようとすると下記のようなページに飛ばされます。
(http://adf.ly/5895970/https://accounts.google.com/ServiceLogin?service=mail&continue=https://mail.google.com/mail/&hl=ja
)
Ads by salus
という語句を頼りに検索すると、どうやらSalus
というスパイウェアだと判明しました。
3-1. Salus
の削除方法
試行錯誤を繰り返していたらいつの間にか消えていたという経過をたどったため、有効なな方法がどれだったのかが分かりませんが、ともかく列記しておきます。
IObit Uninstaller
のパワフルスキャン
で関連ファイル・レジストリを削除する。- ブラウザの履歴、キャッシュ、クッキーを削除する。
- 広告ページのURLをネットで検索して対処法を探す。
プログラムと機能
の一覧に表示される中で明らかに異質な英数字の羅列のプログラム名を削除する。
4. コメント欄でいただいた助言のまとめ
id:kota_46ra さん
Salus
について、下記を削除することで改善したそうです。
C:\Program Files(x86)\Sn2zhntm1mzixzdv
%appdata%\n2zhyznxm2sxbtv
また、salus_update_crypt.exe
を有害と判断してくれるウイルス対策ソフトもあるそうです。
- 参考: VirusTotalでの分析結果
id:masahal さん
Salus
について
自分の場合Sn2zhntm1mzixzdvではなく別のランダムな文字列でしたがProgram Files(x86)内にあるそのフォルダを削除したら直りました。
また、Unlocker
というソフトを使うことで他のプロセスが使用していて削除できないファイルを削除できるそうです。