SystemDoctor2006というプログラム自体は、コントロールパネルを開いて、プログラムの追加と削除(あるいはアプリケーションの追加と削除)のところから、アンインストール可能です。しかし以下のサイトにもあるように、"Hijack This"というソフトを利用してアンインストール後にさらに、レジストリなどをチェックして、以下のページにあるような項目が検出されないようであれば問題はないようです。ただし、一部のサイトの情報にもありますが、トロイの木馬をバンドルしているものもあるようですので、駆除後にウィルスに感染しているかどうか、ウィルス対策ソフトを利用してチェックしておくこともお勧めいたします。これで何も検出されなければ、終了ってことになります。
アダ被・higaitaisaku.com
さてここで紹介している、"HijackThis"というツールですが、こうしたマルウェア一般の駆除ソフトとしても非常に有効なツールです。ダウンロードして解凍さえすれば利用できるツールで、その後プログラムをダブルクリックさえすれば利用可能なものです。初心者向けのソフトではありませんが、興味のある方はあくまでも自己責任のもと、お試しになってみてください。
HijackThisの利用法とダウンロード先
HijackThisで検出された場合のマルウェアの該当部分の一覧
*上記データは随時更新されています。また古いものは一覧から削除されているものもあります。
また以前にも紹介したようにNortonAntiVirusでも検出駆除が可能みたいです。2006年6月20日(米国時間)更新の定義ファイルにて対応済みのようです。
シマンテックのSystemDoctor2006に関するサイト
レジストリを直接編集して削除する方法も出ていますが、くれぐれもご注意の上対処してみてください。
またこういったソフトの類は、Web閲覧中に突然警告メッセージが出たりして、何かをダウンロードするように促したりすることが多いようですから、そうしたものはくれぐれも安易にダウンロードしたり、インストールしないという基本的な姿勢も必要です。
ラベル:SystemDoctor2006
【関連する記事】
- これまでの対処法では解決できない新手のサポート詐欺 Part 2
- これまでの対処法では解決できない新手のサポート詐欺
- Microsoft アカウントの乗っ取りにご注意ください
- "http://〜" が "https://〜" に自動的に書き換わってWebサ..
- "http://〜" が "https://〜" に自動的に書き換わってWebサ..
- PC Manager が Microsoft Store 版に
- サポート詐欺の画面は、画面が消えれば終わり... ではないので注意が必要です
- 無線LANルーターとセキュリティ
- セキュリティソフトのアンインストール
- ESET の影響で、Microsoft Edge がクラッシュする
Logfile of HijackThis v1.99.1
Scan saved at 21:56:57, on 2006/10/09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\sdpasvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Canon\MultiPASS4\monitr32.exe
C:\WINDOWS\system32\fxredir.exe
C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
C:\Program Files\TechnoCraft\メモ箋人1.0\CMOEPlgn.exe
C:\Documents and Settings\asahara\Application Data\Japan-Wave\jwadeas\SAMP\adhsa.exe
C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Program Files\FOMA PC設定ソフト\FomaTaskTray.exe
C:\Program Files\Xelo\XeloPDF\XeloPDFDriver.exe
C:\Program Files\DrePos\DrePos.exe
C:\Program Files\iMichecker\imichecker.exe
C:\Program Files\OTODOKEKUN\お届けくん\OTODOKE.exe
C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Documents and Settings\asahara\デスクトップ\HijackThis\HijackThis.exe
このログを見る限りでは、特にSystemDoctorの残骸もないようですね...
アダ被対策の部屋へのリンクにもありますが、SystemDoctorがあると、
C:\Program Files\SystemDoctor 2006 Free\sd2006.exe
O4 - HKLM\..\Run: [SystemDoctor 2006 Free] C:\Program Files\SystemDoctor 2006 Free\sd2006.exe -scan
の2つのログが検出されるようですので...
ただし、Nortonご利用のようですから、NortonAntiVirusでもチェックできるようですし、また上にもありますが一部のサイトの情報に寄ればトロイの木馬がくっついてくることもあるようですから、Nortonを最新の状態でもう一度スキャンして、何も検出されなければOKじゃないでしょうか?
System doctorについて調べていくうちにこちらのブログにたどり着きました。
先日、net中に警告ウィンドウが開いたのでそのままクリックしてしまいSystem doctorをインストールしてしまいました。指示のままスキャンを開始してしまったのですが、途中で怪しく思いキャンセルしました。
その後PCを再起動させてなんとかSystem doctorを終了しましたがWindows defender
で警告が出たのでアンインストールしました。
そこで、質問なのですが、主にSystem doctorではどんな被害が出るのでしょうか。PCのハードディスクになにか具体的な害が出るのでしょうか、またPC内の情報の流出などの被害などあるのでしょうか。
いろんなところで調べてみたのですがそういったことについての具体的な内容がなく不安に思っています。ご回答いただけると幸いです。
また、HijackThisでログも取得しています。必要であれば送りますのでよろしくお願い致します。
> net中に警告ウィンドウが開いたので
これがこうした偽装セキュリティソフトの手口なんですね... WinAntiVirusPro2006何てのも同じ手口です。
> 主にSystem doctorではどんな被害が出るのでしょうか
以下のサイトで実際にインストールして検証しているサイトがありましたが、インストールしてスキャンするとアリもしないエラーを表示して、お金を払ってユーザー登録などすれば修復できると言ったような画面がでてくるようです。これでお金を払わすんですね...
http://www.sleepingbird.net/laboratory/phishing/
上記のサイトほかの偽装セキュリティソフトなども検証しているので参考になると思いますよ。
> 具体的な害が出るのでしょうか
これもすべてがそうではないみたいですが、一部のものにはトロイの木馬系のものがもれなくついてくるものもあったりするようです。上記の記事中に"一部サイトの情報"というところにリンクを貼ってあります
HijackThisで検出されたログの中に、
http://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=493
こちらにあるようなログがなければ大丈夫みたいです。
基本的にはインストールしてしまってもアプリケーションの追加と削除で削除できるようですが、ただそれでOKでもないようですので、その後スパイウェアのチェックや、ウィルスのチェックは行うことをお勧めいたします。またNortonなど一部のセキュリティソフトでも対応しているようなので、残ったものがなにかあっても駆除は可能みたいですね。Nortonでチェックする場合には、当然ですが最新の定義ファイルの状態でチェックしてください。Nortonが対応したのも今年の6月20日の定義ファイルのようですからね。
突然の質問に関わらず丁寧なコメントをありがとうございます。Nortonで完全スキャンをしたところ、こっそり一つ残っていましたが、駆除出来ました。
また、ログの中にも表示されているようなものはあいりませんでした。その後Nortonでも安心マークになっているので大丈夫かと思います。
教えて頂いた検証サイトを見るとかなり多いんですね、同じような手口が。以後は引っ掛からないように気を付けます。
本当にありがとうございました。
> Nortonで完全スキャンをしたところ、
> こっそり一つ残っていましたが、
> 駆除出来ました
そうですか、よかったですね。結構同じような手口のものってたくさんあるので、十分ご注意の上、楽しいネットライフを満喫してください <m(__)m>
そのあとファイル検索をすると、systemdoctorと言う名前のファイルが3件見つかりました。パソコン初心者でよくわからなかったため、普通に削除してしまったのですが、それだけでは心配なので、色々調べたところこのサイトに行き着きました。
書いてあったように、コントロールパネルでsystemdoctorを探したのですがそのようなものは無く、現在使用しているMacAfeeでスキャンしても何も出てきませんでした。これは、もう安全と考えてもよいのでしょうか?
Logfile of HijackThis v1.99.1
Scan saved at 19:34:18, on 2006/10/14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Justsystem\JSLIB32\JSQSF32.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\NEC-PCuser\デスクトップ\hijack tihs\HijackThis.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Program Files\Xi\NetXfer\NXIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1041,ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Program Files\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: NetXferでダウンロード - C:\Program Files\Xi\NetXfer\NXAddLink.html
O8 - Extra context menu item: NetXferで全てをダウンロード - C:\Program Files\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Save Flash - res://C:\Program Files\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Program Files\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)
O16 - DPF: {A16C2BF4-501E-45FA-8A14-F26E022D5E16} (MidRadioCtrl Class) - http://adweb.music-eclub.com/php/adweb.php3?aid=143&arg=win%2Fmrinst.cab&ptx=mratdl
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - C:\Program Files\YAMAHA\MidRadio Player\MidRadio.ocx
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
大変申しわけありません。こちらのブログでは特に皆様からのご質問を受け付ける場としてではなく、あくまでも情報提供の場、或いは自分のメモ書きと言った形で利用しているものですので、コメント欄にご質問いただいても、必ずしもお応えできるものではございませんので、予めご了承ください。HijackThisなど、或いはこうしたスパイウェアに関しては、このページでも紹介している下記のサイトに掲示板などがございますので、そちらをご利用・ご相談になってみてください。
http://www.higaitaisaku.com/
何度も書いていますが、HijackThisでチェックしたときに、以下のページにあるログが残っているかいないかが一つの目安です。
http://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=493
また以下のシマンテックのサイトには、レジストリなど詳細な情報が出ていますので、こちらの方を参考にしてみてください。
http://www.symantec.com/region/jp/avcenter/venc/data/pf/jp-systemdoctor.html
naritaさん:
そもそもMcAfeeで、SystemDoctorが駆除できるのか?そのあたりはよくわかりません。Nortonの場合は、今年の6月20日に定義ファイルが対応しているようです... インストールを途中で止めてもレジストリに何かしら残っている可能性はあるかと思いますので、調べるのであれば、HijackThisを利用して、エントリーがまだ残っているのかどうか確認してみた方がいいと思います。また、シマンテックのサイトにレジストリのどの部分に書き込みがされるのか詳細な情報が出ていますので、十分ご注意の上ご確認になってみてください。Nortonであれば、このあたりも自動的に駆除してくれるんでしょうけどね...
popeさん:
HijackThisのログを見る限りでは、SystemDoctorのエントリーはないようですね。でもやはりHijackThisのエントリーのみを見ただけで本当に大丈夫か?と言われると何とも言えません。Nortonなど対応しているソフトできちんと対処するのであれば別かもしれませんが。シマンテックのサイトにレジストリのどの部分が書き換わるかなど詳細な情報が提供されていますので、最終的には一つ一つそうした情報を頼りに確認せざるを得ないのかもしれません。また一部の情報でもあるようにトロイの木馬がついてくるケースもあるようですから、ウィルス対策ソフトをご利用になってチェックすることは忘れずに...
あと自分でしっかり調べようせず、安易な書き込みをしてしまってすみませんでした。URLを参照して自分でも調べてみようと思います!
これからも情報提供等々頑張ってください
!
本当にすみません。どうも質問されると答えてしまうと言うのは、性のようで...
でもこれやっているときりないんですね。ブログのような限られたスペースだと十分説明しきれないところもあるので、あくまでも詳細情報などが提供されているページへのリンクの程度でどめていこうかと思っています。
申しわけありませんが、ご了承くださいませ。
詳細情報を参考に、早速今からやってみます。これからは、すぐ質問するのではなく、できる限り自力でやってみます!!お忙しい所すいませんでした。ありがとうございます。
さっきSystem Doctorのウインドウが出て、
なんだか怪しかったので閉じる前に検索してみたらやはり危なかったのですね。
アプリケーションの追加と削除で見ても、それらしい物はなかったのですが、
変な名前で隠れてたりするのでしょうかね?
インストールされてない状態でもウインドウは出るのですか?
お願いします。
まだまだこのSystemDoctorいろいろなところで被害を受けていらっしゃる方多いようですね。
> アプリケーションの追加と削除で見ても、それらしい物はなかった
恐らく私が知る限りでは、単にポップアップウィンドウが出てるぐらいであれば、閉じてしまえば何も問題はないはずです。私もまだときどき海外のフリーウェアなどを紹介しているサイトを見てたりするとSystemDoctorの画面がでてくることがありますが、構わず閉じています。ウィルスチャックや、スパイウェアのチェックをしても、何も引っかかってきませんし、またそうした特定のサイト以外では出てきませんので...
一応念のためにスパイウェアのチェックだけは定期的に行っていただいた方がいいかもしれませんが、今回のような場合には恐らく問題ないと思いますよ。
あのポップアップ画面は、特別何かがインストールされているから出るものではなく、インターネットで特定のサイトなどにアクセスした際にポップアップが表示されるだけのようですから。時々そこをクリックして、以前にも見たSystemDoctorのサイトに飛んでいくのか見てますが、仮にSystemDoctorのサイトに行ってもやはり警告の画面は出てくるものの、ウィンドウを閉じてしまえば問題ないです。ただしこの偽装したウィンドウが、いかにも何かをインストールしているかのような表示をすることもあるのでごまかされないようにしてくださいね。
パソコンをよく知らない僕は、インストール
してしまいました…。
今、調べてみたところヤッパリ危ないんですね…。
今ウイルスバスター2007で、検出中なんですが…
どうしたらいいでしょう…。
ちなみに、パソコンはウインドウズvistaです。
アンインストールしようとしても、できないのでccleanerというフリーソフトを持ってるので そのソフトを使って、削除した方がいいんでしょうか?…
よくわかりません。
┏○すいませんでした。
ウィルスバスターでも一応検索削除できるようですよ。トレンドマイクロのページによれば、"ADW_SYSDOC.F"の場合で、"対応検索エンジン : 8.000 対応パターン: 0.459.00 対応日 : 2007/02/07"にて対応しているようです。ただし、"ADW_SYSDOC.A"(対応検索エンジン : 7.500 対応パターン: 388.27
対応日 : 2006/07/05)に始まって、"ADW_SYSDOC.C"(対応検索エンジン : 8.000 対応パターン: 0.419.00 対応日 : 2006/10/11) "ADW_SYSDOC.D"(対応検索エンジン : 8.000 対応パターン: 0.433.00 対応日 : 2006/11/22)と亜種が次々に出ているようですね。
ただし、インストールしてしまったのであれば、一度プログラムの追加と削除から一旦削除してそれからウィルスバスターの定義ファイルも最新にした上でチェックし見てはいかがでしょうか?
CCleanerでどこまでレジストリなど掃除できるかわかりませんが、CCleanerなどもお持ちであれば、Updateした上でお試しになってもいいかもしれませんね。
ウイルスバスター2007で削除できました。
僕の場合、プログラムの追加と削除に
systemdoctorがなかったので、そのまま
ウイルスバスターやってしまいましたが…。
アンインストールしたらやはり一度きちんとNortonを最新の状態にして、チェックした方が間違えありませんね。何か残っていても、Nortonでも、駆除できるはずです。
またフリーのSpybotなどでもチェックはできたと思いますよ。
> お金の方は4500円以上は取られないの
> でしょうか
ってことは、支払をされちゃったんですね。
カードか何かで。4500円以上課金されるかどうかはよくわかりませんが、こうした場合の対処をどうしたらいいのか? 詳細はクレジットカード会社や国民生活センターなどにご相談になってみてはいかがでしょうか?
http://www.kokusen.go.jp/ncac_index.html