すたらブログ

文系Webプログラマの備忘録

Windows7のPCからwebssearchesとSalusを削除する

セキュリティ

(2015-04-11: 大幅に記事を書き換えました)

目次

  1. まず試してほしいこと
  2. webssearches.comについて
    1. 使用する検索エンジンのリストからwebssearches.comを削除する
    2. %AppData%\webssearches以下を削除する
    3. webssearches関連とそれに汚染されたレジストリを削除する
    4. セーフモードで起動できない場合はその障害となるものを強引に削除する
  3. Salusについて
    1. Salusの削除方法
  4. コメント欄でいただいた助言のまとめ

1. まず試してほしいこと

まず、AdwCleanerというソフトを実行してください。
これだけで全て解決する可能性があります。

2. webssearches.comについて

基本的に下記の記事の手順に従いつつ、自身の環境に合わせた処理を行いました。

2-1. 使用する検索エンジンのリストからwebssearches.comを削除する

私の場合、GoogleChromeで使用する検索エンジンwebssearches.comに設定されていたので、これを削除して別のものに換えました。
(設定 > 検索 > 検索エンジンの管理)

2-2. %AppData%\webssearches以下を削除する

参考記事で紹介されているIObit Uninstallerパワフルスキャンを実行した際、下記の場所にもwebssearches.com関連と思われるフォルダが作成されていたのを発見したので削除しました。
(C:\Users\Yuusaku\AppData\Roaming\webssearches)

2-3. webssearches関連とそれに汚染されたレジストリを削除する

参考記事の手順7: レジストリエディタを使いレジストリから除外する。 の補足です。

私は記事の手順に従わずに前述の"IObit Uninstaller"で関連レジストリも削除したのですが、取りこぼしがないかを確認するために一応レジストリ エディターで検索しました。
すると、キー名にはwebssearchesが含まれないものの、それに汚染されたと思われるものが見つかりました。
具体的にはHKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Mainの中の以下のキーです。
これらも削除しました。

  • Search Page
  • Default_Page_URL
  • Default_Search_URL

(参考: ITmedia エンタープライズ:Windows Tips「スタートページが勝手に書き変わってしまう」)

2-4. セーフモードで起動できない場合はその障害となるものを強引に削除する

参考記事の手順9: フォルダのCドライブ直下の「Program Files(x86)」の「Sup Tab」のフォルダを丸ごと削除する の補足です。

セーフモード上でフォルダを削除するようにと勧めていますが、なぜかセーフモードで起動できませんでした。
F8キーを連打しても何の反応もなく、通常起動となってしまいます。
そこで、タスクマネージャからhpui.exeを終了させて、再びそれが自動起動するまでのわずかな間にSupTab内のファイルを削除しました。
いくつかのファイルが削除できずに残ったので再度行ったところ、今度は別のexeファイルが障害となっているようでした。
(メモしそこなってしまいましたが、たしかLoader.exeだったかと…)
そこでそのexeをタスクマネージャで終了させて、すかさずSupTab内のファイルを削除。
すると今度は、とあるdllファイルが障害となっている模様。(これもメモ忘れ)
タスクマネージャのプロセス一覧にはそのdllはなかったため、一旦PCを終了させてもう一度セーフモードで起動できないか試したところ、今度は成功。
無事、SupTabフォルダを削除することができました。

…ということは、hpui.exeもしくはもうひとつのexeがセーフモードで起動させないように妨害していたということでしょうか…?

3. Salusについて

webssearches関連を削除したものの、Googleやmsnのページのいくつかで不自然な広告が表示されているのに気がつきました。
構わずログインのリンクテキストをクリックすると、一面広告のページに飛ばされてしまいます。

例えば、下記のURLはGmailの紹介ページであり広告は全く表示されないはずなのですが、問題のPCでは以下の写真のような広告が表示されます。
https://www.gmail.com/intl/ja/mail/help/about.html

構わずログインしようとすると下記のようなページに飛ばされます。
(http://adf.ly/5895970/https://accounts.google.com/ServiceLogin?service=mail&continue=https://mail.google.com/mail/&hl=ja)

Ads by salusという語句を頼りに検索すると、どうやらSalusというスパイウェアだと判明しました。

3-1. Salusの削除方法

試行錯誤を繰り返していたらいつの間にか消えていたという経過をたどったため、有効なな方法がどれだったのかが分かりませんが、ともかく列記しておきます。

  • IObit Uninstallerパワフルスキャンで関連ファイル・レジストリを削除する。
  • ブラウザの履歴、キャッシュ、クッキーを削除する。
  • 広告ページのURLをネットで検索して対処法を探す。
  • プログラムと機能の一覧に表示される中で明らかに異質な英数字の羅列のプログラム名を削除する。

4. コメント欄でいただいた助言のまとめ

id:kota_46ra さん

Salusについて、下記を削除することで改善したそうです。

  • C:\Program Files(x86)\Sn2zhntm1mzixzdv
  • %appdata%\n2zhyznxm2sxbtv

また、salus_update_crypt.exeを有害と判断してくれるウイルス対策ソフトもあるそうです。

id:masahal さん

Salusについて

自分の場合Sn2zhntm1mzixzdvではなく別のランダムな文字列でしたがProgram Files(x86)内にあるそのフォルダを削除したら直りました。

また、Unlockerというソフトを使うことで他のプロセスが使用していて削除できないファイルを削除できるそうです。