Internet Explorerをはじめとする主要なウェブブラウザのホームを勝手に http://www.yeadesktop.com/ に書き換えるブラウザハイジャッカーの駆除方法です。
Yeadesktop.comが確認されるようになったのは2017年5月頃ですが、およそ1年前から出回っているYeabests.ccと名称が似ていて、URL以外全く同じ仕組みであるため、Yeabests.ccのリンク先を変更しただけのものと言えます。
仕組みを簡単に説明しますと、インストール後にサービスが常駐し、定期的にブラウザのホームやショートカットの起動オプションを書き換えます。
UefGdstor.sysというシステムドライバがその正体なのですが、\windows\system32\driversの代わりにSysNativeディレクトリを使用するため、エクスプローラー上では見えません。
さらに自らを修復するアクティブスクリプトをWindowsOS自体に追加します。
このため、タスクマネージャからサービスを停止させたりPC上から関係するファイルを削除したつもりでもいつの間にか復活します。
「プログラムをアンインストールしてレジストリを削除」 といった初歩的な方法では削除できないように作られています。
かなり詳しい人でないと自力で問題箇所を見つけるのは難しいかと思います。
それでは、ウイルス対策ソフトで駆除すればよいのでしょうか。
SpyHunterというアンチスパイウェアツールはYeabests.ccを駆除できるらしいのでYeadesktop.comにも有効かもしれません。
もしかしたらあっさり解決してくれる可能性もありますが、
SpyHunter自体が過去色々と問題を起こしてきたかなり怪しいツールであるため、使用は全くお勧めできません。
参考記事
https://blogs.yahoo.co.jp/fireflyframer/32663945.html
http://blog.livedoor.jp/blackwingcat/archives/1851656.html
当記事ではSpyHunterはないものとして別の方法を探ります。
Malwarebytesの有償機能であるリアルタイム保護を使用していればYeadesktop.comのインストールを防いでくれますが、
Yeadesktop.comをインストールしてしまってからMalwarebytesを入れた場合は駆除できません。
ウイルスバスターも検出はしますがインストール後の駆除ができません。
ESETやAVAST、Avira、F-Secure、カスペルスキーなど、
上記以外のアンチウイルスソフトに至っては、完全無視で検出もしませんでした。
オンラインスキャンサービスVirusTotalによると、使用されている62のアンチウイルスソフト中、検出するのはMalwarebytesとウイルスバスターだけだそうです。シャレになってませんね。
皆さんご存知のノートンセキュリティもご多分に漏れず検出しないのですが、実はノートンにはパワーイレーサーというマルウェア駆除ツールがあり、サポートサイトでこっそり配布されています。通常のノートンでは検出できないマルウェアでも検出するというシロモノで、こちらなら部分的に検出、駆除できるものの、前述したようにYeadesktop.comは自己修復してしまうので意味がありません。
他にも、ネットで検索すると、除去方法を謳ってセキュリティソフトのインストールを促すサイトがたくさんヒットしますが、
ほとんどは偽情報なのでご注意ください。
それらを入れてしまうと「駆除するには金がかかる」と言われ、他のアンチウイルスソフトがロックされて起動できなくなるなど、余計に面倒なことになります。
得体の知れないソフトを入れないでください。
最終的な手段としてPCを初期化してしまえば解決しますが、そう簡単に初期化出来ない人もいるかと思います。
この記事を書いている現在、アンチウイルスソフトでは駆除できないYeadesktop.comですが、以下の手順を行うことにより完全に削除できます。
当記事でもソフトは使いますがこちらは無料で使用でき、
実際に駆除できることを確認済みです。
とは言え、もちろん手放しで信用してはいけません。
安全だと判断した上で紹介していますが、その判断が間違っていることも十分あり得ます。
皆さんは皆さんでリンク先の記事内容なども参考によく吟味し、ご自身で安全性をご確認ください。
最終的な使用の判断はご自身でお願い致します。
分からない人は、やはりPCを初期化されるのが一番良いかと思います。
前置きが長くなりましたが、ここから削除方法の説明です。
1.Malwarebytes AdwCleanerをインストールします。
前述のMalwarebytesからリリースされている無料のアドウェア駆除ツールです。
http://www.vector.co.jp/soft/winnt/util/se506143.html
http://freesoft-100.com/review/adwcleaner.html
これを
管理者権限で実行してスキャンを行い、まず一通り削除してみます。
以降の手順も、権限の関係で躓く場合は管理者権限で実行してみてください。
削除後はPC再起動となります。
ただしこのソフト、検出はするのですが全ては駆除できません。
(削除したと表示されますが実際には残っていて、再スキャンするとまた検出します)
今回は駆除状況の確認に使用することとし、他の方法で1つずつ消していきます。
2.Windowsスタートメニューの「ファイル名を指定して実行...」から wbemtest.exe を実行します。
"特権をすべて有効にする"をチェックしてから"接続"ボタンを押し、名前空間に root\subscription と入れて再度"接続"ボタンを押します。
"インスタンスの列挙(I)..."ボタンを押して、スーパークラス名の入力に ActiveScriptEventConsumer と入れて"OK"を押します。
ActiveScriptEventConsumer.Name="ASEC"という項目が出てくると思うので、それをクリックして選択し、"削除"ボタンを押します。
以上で一つ完了です。
3.FreeFixerをインストールします。
こちらはあまり有名ではないかもしれませんが、昔から定評のあるシステム関連ファイルの除去ツールです。
http://www.oshiete-kun.net/archives/2008/02/freefixer.html
http://www.freefixer.com/
実行して"Start scan"を押します。
スキャンが終わるまでに数十分から数時間かかると思うので気長に待ちましょう。
スキャンが終わったらScan finishedと表示されますので、そのウインドウを下の方にスクロールして、Driversの一覧から c:\windows\system32\drivers\uefgdstor.sys という項目を探します。
その項目にチェックを入れて"Fix"ボタンを押し、"Delete/Repair"を押してから、PCを再起動します。
4.再起動後、AdwCleanerで一度スキャンしてみます。
もし c:\windows\system32\drivers\uefgdstor.sys が消えていなかったらもう一度3と4を繰り返します。(1回目は消せないことがありますが2回目では消えるはずです)
5. AdwCleanerで c:\windows\system32\drivers\uefgdstor.sys が消えていて、かつサービスUefGdstorだけが検知された場合は、そのまま削除してPC再起動します。
6.PC再起動後にAdwCleanerでもう一度スキャンします。
脅威が検出されなくなっていれば削除完了ですが、お使いのブラウザの設定が書き換えられたまま残っている可能性があります。
ホームURLやスタートメニューのショートカットの実行オプションなどを確認して、Yeadesktop.comがあれば修正し、ブラウザの設定をリセットします。
