[TOP] [SJOGで中ボタン] [adware削除のすすめ]

adware削除のすすめ

[n-CASE/nCase/nCASE編] [NewDotNet編]

ファイル共有を少し経験したかったので、ファイル共有ソフトウエアのeDonkeyを入れてみたのですが、それと一緒に見たことのないソフトウエアがインストールされているのをみつけました。

それは、n-CASEという名前で(バージョン等により、ランダムにnCaseやnCASEの場合もあり)、[アプリケーションの追加と削除]で選択しても削除できません。さらには、勝手にカジノサイトのショートカットがデスクトップやInternet Explorerのお気に入り、スタートメニューに追加されるというありさまです。

このadwareと呼ばれるソフトウエアは、フリーソフトウエア(特にファイル共有や、音楽CDのリッパー等)に付属しており、予期せず勝手にインストールされます。 また、特定のホームページを閲覧しても勝手にインストールされることもあるようです(情報ありがとうございます > らんじろうさん)

このプログラムは、私が経験したような、広告のランダムなポップアップ、Internet Explorerのお気に入りの編集をはじめ、Internet Explorerで訪れたWEBサイトの履歴やWEBページでのフォーム入力情報の送信、Outlook内のメールアカウント情報やアドレス帳も参照して送信と、何でもやり放題です。また、配布元である180solutionsは、一応アンインストール方法を提供しているようですが、完全に削除できないこともあるようです。

ここでは、このようなadwareの手動での削除方法を提供しようと思っています。同じような経験をされている人の 助けになればと思います。

なお、以下に記載されている内容で、レジストリを手動で編集する記述がありますが、レジストリの編集に失敗すると、 最悪の場合はPCが起動しなくなります。慎重に作業を行うようにしましょう。 なお、以下の情報は、私や他の似た経験を人たちの報告から成り立っており、必ずしもこの方法が全ての場合に適用されるのを保証するものではなく、 また、この方法を試したことから発生するかもしれない不利益については一切保証できません。あらかじめ重要なファイルはバックアップを取るなどの処置を行い、 最悪の場合に備えてから作業をすることをお勧めします。

n-CASE/nCase/nCASE編

  1. 自動起動エントリの削除
    c:\Program Files以下にあるn-Caseフォルダは、msbb.exeが動作しているとファイルロックにより消去できないため、 起動時にmsbb.exeを起動しないようにする。[スタート]→[ファイル名を指定して実行]からregedit.exeを起動して、 
    	       HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    というレジストリ内にmsbb.exeというエントリがあるはずなので、これを削除して、PCを再起動する。 なお、このレジストリエントリはスタートアップへの登録なしでPC起動時に実行されるプログラムが登録されているので、 これを機に見覚えのないファイルが登録されていないかをチェックすることを薦めます。

  2. プログラムの削除
    Program Files\n-CASEフォルダをばっさり削除する。

  3. アプリケーションのアンインストール情報を削除
    [アプリケーションの追加と削除]にエントリが残るのが気持ち悪いので、regedit.exeを起動して、 以下に示す全てのレジストリエントリを削除する。 
            HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb
        HKEY_CURRENT_USER\Software\180solutions
  4. 念には念を
    念のために、ドライブすべてをmsbb.exeで検索して、ファイルを消しましょう。バージョンに よるようですが、c:\windows\systemやc:\windows\system32などにコピーのあることがあるよう です。

NewDotNet編

awhさんから、eDonkeyネットワークに対応したファイルシェアクライアントである eMuleでも同様の被害にあったという メールをもらいました(ありがとうございます > awhさん)。 このAdwareのまずいところは、Winsock内に勝手にエントリを作成してしまうところです。 また、真紅さんからのメールで、NewDotNetのバージョンによっては、手動で削除できない場合のあることがわかりました。 まず、「簡単な方法」を最初にためし、それでだめなら「難しい方法」を試してください。

<簡単な方法>
  1. 当該DLLの検索
    [スタート]->[検索]から、”newdot*.*”という条件でHDD内全てを対象にしてファイルを検索する。 たとえば、newdotnet5_48.dllといった具合に、バージョン名が入ったファイルが見つかると思います。

  2. rundll32の実行による削除
    上に書いた、[スタート]->[ファイル名を指定して実行]から、rundll32をオプションつきで実行する。 もし、c:\winntにnewdotnet5_48.dllとうファイルが見つかったならば以下のとおり。 
         "rundll32 c:\winnt\newdotnet5_48.dll,NewDotNetUninstall"
  3. アンインストールしてもよいかという確認のためのダイアログが表示されるので、[Yes]をクリックし、PCを再起動する。
<難しい方法>
  1. Winsock操作ツールをダウンロード
    LSP-FixのページからLSPFix.exeをダウンロードして実行する。

  2. Winsockの修復
    画面左側の"Keep"内にある"NewDotNet"というエントリを選択して右側のRemoveエリアに移動し、 "Finish"ボタンを押す。この操作を間違えて、他の必要なエントリを消してしまうと、 OSの再インストールが必要となるため、慎重に行う。

    LSPFixの画面
    LSP-Fixの起動時の画面


  3. レジストリの修復その1
    [スタート]→[ファイル名を指定して実行]からregedit.exeを起動して、"HKEY_CLASSES_ROOT\CLSID"を選択する。 そして、その中にある以下のキーを削除する。 
    		4A2AACF3-ADF6-11D5-98A9-00E018981B9E
		DD521A1D-1F98-11D4-9676-00E018981B9E
		DD770A75-CE18-11D5-98D8-00E018981B9E
    バージョンによっては、レジストリ項目の組み合わせが異なる可能性があるので、 上記すべてのエントリを探して、あった項目を削除する。

  4. レジストリの修復その2
    regedit.exe上で、"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"を選択する。 その中に、"new.net"という値があれば、それを削除する。

  5. レジストリの修復その3
    regedit.exe上で、"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" を選択し、その中に以下のキーがあれば、それを削除する。 
    		4A2AACF3-ADF6-11D5-98A9-00E018981B9E
  6. ファイルの削除
    PCを再起動して、Program Files内にあるであろうNewDotNetフォルダおよびWindowsインストール フォルダ(c:\windowsとかc:\WINNTとか)にあるnewdotnet.dllを削除する。
これでは、アンインストールが完全ではないとか、eDonkey以外の他のフリーソフトウエアでもこのソフトウエアがインストールされたなど、いろいろ情報を待っています。わたしまでメールをください。いただいた情報を元に、このページを充実させていこうと思っています。

変更履歴

2003/10/18 らんじろうさんからのアドバイスに基づき、regedit.exeの起動方法やレジストリ編集の危険性を追記
2003/11/06 NewDotNet編に、rundll32を使用した削除方法を追加。これにより、NewDotNet編が2通りになった。
本ページに記載されている社名および商品名は、各社の商標または登録商標です.
また作者は,本ページをご利用の際に起きるかもしれない不利益に対し, 一切責任を負いません.
メールはここまで

Last modified: Sat Oct 18 21:55 GMT 2003