Hatena::ブログ(Diary)

Palm84 某所の日記 RSSフィード Twitter

2006.10.8-(日) 絹の靴下はもういやだ

ウイルスバスター2007 と Spybot Search & Destroy / SpywareBlaster の併用トラブルについて

| 08:52 |  ウイルスバスター2007 と Spybot Search & Destroy / SpywareBlaster の併用トラブルについてを含むブックマーク

【追記】ウイルスバスター2008 と Spybot-S&D 1.5 についての追加情報(by 脳脂肪さん)

Spybot-S&D 1.5.1.15 の 免疫のInternet Explorer(32 bit) \SOFTWARE(Domains) は、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains

にキーを書き込み、かつ Undo でもかなりの数の値のないキーのみのゴミを残します。 またVB2008の不正変更の監視はこの部分も監視します。

Internet Explorer(32 bit) \SOFTWARE(IPs)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Ranges
にキーを書き込みますが、これはUndoできれいに消えます。

【追記】うわぁぁ、とんでもない間違いしてました。すみませんすみません。【userwl.dat】ではなく【usrwl.dat】です。

2chの皆様ありがとうございます。

Special fantastic thanks to 脳脂肪さん。(何

【07.6.9追記】最新のプログラムでは、ウイルスバスター2007のインストール時にSpybot - Search & Destroy のアンインストールが実行されますが、これをそのまま実行しても、免疫機能で登録されたレジストリの解除がされない場合もあったので、ウイルスバスターのインストール前に Spybot - Search & Destroy の免疫解除をしておいた方がいいかと。SpywareBlaster についてはチェックされないようですが、これも事前に Protection を解除しておいた方がいいと思います。

尚、Windows Defender については、一時的に無効にするだけで併用は可能なようです(でも、ちょっと不安かな?)。

とりあえず確認してみました。まず、ウイルスバスター2007 をインストールする前に表題ソフトの防御機能無効化及びアンインストールを厚く推奨申し上げます。(トレンドさん曰く、併用むりっぽいです。)

また「不審ソフトウェア警戒システム」を無効にしちゃうってのもありかと。楽になるかも?

【10/22追記】基本的にはどちらかの機能を無効にすれば、アンインストールはせずに併用は可能な筈です(※正確には「併用」とは言えないかも)。

  • Spybot の免疫機能(ホストファイル なども)を無効にする
  • SpywareBlaster の防御機能を無効にする
    • Disable All Protection
    • または、「Restricted Sites」をオフにするだけでもいいのかも?

または、ウイルスバスターの一部の機能を無効にする。

  • 不審ソフトウェア警戒システム(ウイルスバスター2008では「不正変更の監視」)の「Webブラウザのセキュリティチェック」(Spybotホストファイルを設定している場合は「ホストファイル」も)を外す

この設定をしても、エラーが出る場合はレジストリが正常に削除されていない、あるいはウイルスバスターのファイルが壊れている、と考えてよさそうです。

私は Spybot Search & Destroy が入っている状態で普通にウイルスバスターをインストールしてしまいまして下記のような「なんじゃこりゃぁ」(by Y作w)状態となりました。このサービスの機能を重視しない、つまり「不審ソフトウェア警戒システム」がまともに動いていなくても構わない、のであればそのうち修正されるやろうと無視しといていいのかもしれませんが、私は猛烈に憤慨してたりするので(短気は損気でっせ)色々と確認してみました。

PcScnSrv.exe(Trend Micro Protection Against Spyware サービス)のエラー
  • 「不審ソフトウェア警戒システム」の設定操作中にエラーが発生して落ちる
  • 「見つかった変更」画面に何も表示されない
  • イベント ビューアにサービスのエラーが記録される
  • PcScnSrv.exe のタスク マネージャで確認できるモリ使用量が増大する。50〜100MB程(通常は20〜30MB程?)
  • PcScnSrv.exe が暴走(?)している時がある

一旦エラーが発生すると、まともに動かなくなるみたいですねぇ。また、C:\Program Files\Trend Micro\Virus Buster 2007\userwl.datusrwl.dat のサイズが肥大化している場合(20〜30MB)、PcScnSrv.exe がトラブルを起こしているとみていいようですね。サイズオーバーでパンクしてエラー。ファイルがおかしくなったままなので正常に読み込めない・・というかんじでしょうか。一旦この状態になるとuserwl.datusrwl.datを削除しないと回復できなくなるのかも(憶測ですけど)。

【10/9追記】
すみません。userwl.datusrwl.dat は設定・操作時などに初期化(再作成)されるようなので、設定変更すれば削除する必要はないかもしれません。


以下は私がやってみたことのめもです。レジストリの修正など推奨なんかとてもとてもできません(※保証できないので)。ということで参考程度で


設定確認及び変更

やるべきこと
  • C:\Program Files\Trend Micro\Virus Buster 2007\userwl.datusrwl.dat のサイズを確認。100KB程なら多分ですが問題なしと思われます。

肥大化している場合は次の作業。

  1. 不審ソフトウェア警戒システムの「Webブラウザのセキュリティチェック」(Spybotホストファイルを設定している場合は「ホストファイル」も)を外す
  2. Spybot / SpywareBlaster の防御機能(Spybotホストファイル なども)を無効にした後、アンインストールする
  3. レジストリキー(制限付きサイトの登録)が削除されているか確認する。削除されていない場合は手動で削除する
  4. Windows をセーフモードで起動して、C:\Program Files\Trend Micro\Virus Buster 2007\userwl.datusrwl.datを削除する

Spybot / SpywareBlaster を使わないのであれば、Windows 再起動後、不審ソフトウェア警戒システムの「Webブラウザのセキュリティチェック」(「ホストファイル」)を戻す。

Spybot/SpywareBlaster を使いたい場合

あんまり、お奨めできませんが・・・私は一応併用してます。

  • 不審ソフトウェア警戒システムの「Webブラウザのセキュリティチェック」(「ホストファイル」)を外した状態で Spybot / SpywareBlaster をインストール。防御機能を有効にする
  • userwl.datusrwl.dat のサイズを確認

レジストリの確認

レジストリキーが正常に削除されているか確認

※ここから先は「行きはよいよい(何」なので、参考情報として書いておきます。お奨めは致しませんですわ。

※私の環境では、Spybot / SpywareBlaster の防御機能を無効にしてアンインストールしても削除されてませんでした。killbits([HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility])については今回関係なかったよう(?)なので無視しました。すみません。

もし、以下のレジストリキーの下ににドメイン(IPアドレス)ごとのサブツリー(キー)が作成されている場合はすべて削除する。これ以外にもあるかもなので、HKEY_USERSについてはID毎に確認した方がいいかも。

これらは、(※主に)Internet Explorer の「制限付きサイト」の登録です。まとめて消す場合は「信頼済みサイト」の登録も消えますのでご注意(※値(エントリ)のデータが(4)なら制限付き、(2)なら信頼済みサイトです)。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_USERS\S-1-5-21-**********-**********-********-****\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_USERS\S-1-5-21-**********-**********-********-****\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges

エクスポートしたレジストリファイルを編集して実行するか、Domains(Ranges)キーを再作成するとかでしょうか。私は両方試しましたけど、間違うと大変なことになるかもなので、実施する場合はバックアップ(エクスポート)をとった上で自己責任にてお願いします。不安な場合は、(死ぬ程?)時間はかかりますが1つずつ削除した方がいいかもしれません。



ちかれたびちかれたび(こればっかw)。「不審ソフトウェア警戒システム」(ウイルスバスター2008では「不正変更の監視」)を無効にしちゃう方が楽かもしれませんね。以前にはなかった機能なのですから。。

あっと、これだけしても イベント ビューアを見ると Windows 起動時にエラー出してるみたいです。

Trend Micro Protection Against Spyware  サービスは起動時に停止しました。

そのうち治るのかな?なんだかなぁ。

【10/9追記】

Trend Micro Protection Against Spyware サービス」のスタートアップの種類を「手動」にしたらエラーはなくなりました。また、Windows 起動時デスクトップ表示後、アイドル状態になるまでの時間が若干短縮されました。(※もしかした、デフォルト「手動」だったのかも・・・すみません。。っていうか「手動」でいいんでしょうか?)

脳脂肪脳脂肪 2006/10/08 11:15 お疲れ様です。m(_ _)m
手元のPCでSpybot-S&Dの免疫は解除したままで、SpywareBlasterのみEnable All Protectionで
userwl.datは10,839KB。 「見つかった変更」で何とか変更項目を表示しますが、
閉じるときにエラー表示して落ちゃいました。

不審ソフトウェア警戒システムは動かなくてもいいですが、PcScnSrv.exeがまともに動いていないと
手動検索まで影響を受けるので、早いとこサービスパックを出してくれないかな?っと >トレンドさん
「見つかった変更」に元に戻すじゃなくて無視にする設定ボタンをつけてくれればいいように思います。
# 「見つかった変更」が正常に表示できることが大前提ですけど。(大汗

PC起動時にPcScnSrvサービスがこけるのは何が原因なんだろう?
他のサービスと競合してるのかしらん?

userwl.dat削除ですが、荒っぽいことをするのならセーフモードでなくても大丈夫そうです。
削除後そのまま放置すると、大きなサイズのままで復活したりしますので、
「見つかった変更」を表示させて、PcScnSrv.exeに現在の状態を認識させる必要がありますけど。

palm84palm84 2006/10/08 13:04 っていうかあれですよね
なんで市販ソフトでごにょごにょせなならんのかと
(まぁ、メーカーさんは併用非推奨と言われてますけど)

> userwl.datは10,839KB
大きすぎますね。現在うちのは免疫オンでも73KBです。

一旦エラーを起こすと免疫解除など妨害されてそう。
レジストリを確認した方がいいかも。

「Webブラウザのセキュリティチェック」オンにすると 27MBになります。
この際、PcScnSrv.exe は落ちたまま再起動しません。
(設定画面を操作すると起動する)

userwl.dat は「見つかった変更」を操作する際に
毎回初期化されると思います。

> 「見つかった変更」に元に戻すじゃなくて無視にする設定ボタンをつけてくれればいいように思います。

熱烈希望w
除外設定が欲しいですね。そもそもリアルタイムでの警告は
危険度を通知してるだけで、マルウェア判定してるわけではないのですから。
永久に記録されたままになるというのはどうかと。

> PC起動時にPcScnSrvサービスがこけるのは何が原因なんだろう?
サービスの起動が早すぎるんではと思いますけど。

palm84palm84 2006/10/08 14:09 あーと?
> userwl.dat削除ですが、荒っぽいことをするのならセーフモードでなくても大丈夫そうです。
不審ソフトウェア警戒システムを無効化した場合も
初期化されるようですねぇ。
これでもいいのかな?
ただ今腹一杯&エキゾーストノート中(何)なので
試せませんが(謎

脳脂肪脳脂肪 2006/10/08 14:16 ここだけ。
> (まぁ、メーカーさんは併用非推奨と言われてますけど)
VB2007リリース時に、その情報がユーザに伝わっていなかったというのが今回の騒ぎの原因なわけで。
検出できるんだから、VB2007インストール時に免疫解除機能をインストーラに組み込みこんでほしかったなと。

ちぇ、○ってやがる。早すぎたんだ。 >クロトワ風味に毒吐

palm84palm84 2006/10/08 15:12 > クロトワ風味
ナウシカ? すんませんよく知りません。。

「認めたくないものだな、見通しのの『甘さ』故の過ちと言うものを!」
「マロングラッセをほおばりながら、あんみつをすするようなもんだ!」

甘いもんが欲しくなりました。
「ばあさんや、茶菓子はあったかの」
お茶をずず〜
・・お粗末

脳脂肪脳脂肪 2006/10/08 19:45 遊んでみますた。
> エクスポートしたレジストリファイルを編集して実行するか
Mech.Mozillaさん作のregchk.batを利用させていただいて
http://bbs.higaitaisaku.com/cbbs.cgi?mode=all&number=85282&type=0&space=0&no=0#85286
list.txtの内容を変更すれば該当レジストリキーの書き出しは出来ますが、数が多いときっと編集で死にますね。
手元のPCで免疫解除後に残っていたcoolwebsearch. coolwwwsearch. musicmatch.com 
の14キーをこれで削除してみましたが、100もあったら多分挫折します。(^_^;)

palm84palm84 2006/10/09 06:48 ありがとうございます。
> regchk.bat
これむちゃ便利ですねぇ。

> 数が多いときっと編集で死にますね
あくまで私のやり方ですが・・・
(メモ帳では苦しいです)テキストエディタ or Excel で編集したら割と簡単(多分、1万件ぐらいでもOK)
# 念のため元のregファイルもバックアップした上で
1.親キーなど修正しない項目は消去
※『[』『*』など正規表現に使われる場合があるので、正規表現はオフにしておく
2.値エントリを削除(『”*”=dword:00000004』を空白に置換とか)してキーのみにする
3.『[』を『[-』に修正

# Excel で並べ替えして編集する方が簡単かも。

というか、キーの再作成でもいいように思うんですが、
素人なので(何)確信が持てません。
(私が試した限り - リネーム→新規作成→元キー削除 - ではOKでした)
なんしか、レジストリ弄る場合は自己責任ということで。

palm84palm84 2006/10/09 06:59 すんません。

× 3.『[』を『[-』に修正
○ 3.『[』を『[-』に置換

palm84palm84 2006/10/09 07:37 スパイウェア検索結果から Spybot ホストファイル分を除外したら、
以下が除外設定されちゃいました。なんだかなぁ。
・TSPY_SMALL
・Adware_MemWatcher

脳脂肪脳脂肪 2006/10/09 11:52 なるほど。
result.txtの内容をExcelで取り込んだら、
即刻list.txtの親キーで検索、親キーさえ削除してしまえば、
あとは楽ですね。
# と言いつつ、親キーの削除漏れがあったら死ぬなぁと冷汗ものですた。(^^ゞ

Spybot-S&DとSpywareBlasterで免疫化したまま試して出来た削除キーが17,405項目。
実際に削除すると、Spybot-S&Dで11,028の免疫解除(残り1,640はActiveXのkillbit?)
SpywareBlasterのRestricted Sites 2,652すべて解除されますた。

脳脂肪脳脂肪 2006/10/09 18:49 > Trend Micro Protection Against Spyware サービス
手元の2台のPCとも「手動」になっています。
デフォルトが手動だと思います。

palm84palm84 2006/10/09 19:46 ああ、あうち。そうでしたか、すみません。
当分立ち直れません。(ぉ、更新をサボる言い訳ができたw)
ありがとうございます。

palm84palm84 2006/10/09 19:49 というか
私も最初は「そんな大したトラブルかなぁ」でした。
こんな苦労するとは予想してませんでした。
ここは2ch風に(何
本当にどうもありがとうございました(>VB2007)