Spybot - Search & Destroy 1.5.1 で誤動作〜 Smitfraud-C. - 取締役平社員ブログ (ベータ版)

Spybot - Search & Destroy 1.5.1 が、パターンファイル "Updates 31. October 2007" にて、Smitfraud-C. を検出後、誤動作するようです。

検出後、削除しようとすると [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] 以下「全部」が削除されました。

つまり、コントロールパネルの「プログラムの追加と削除」から、全てのプログラムが削除できなくなります。

Spybot - Search & Destroy 1.5.1 の「リカバリ」メニューからは回復できませんでした。orz

「削除前にバックアップ取るように設定」してあって、一見きちんと取れたように見えたんですけどねぇ。

と云うことで、ここで通常ならば Windows の「復元ポイント」から戻すことになります。

( reg ファイルをエクスポートしてバックアップしてあれば、該当のキー以下をインポート、でもＯＫ。)

今回、ConfigSafe 5.0 の「スナップショットをリストア」を使用して回復しました。

Spybot - Search & Destroy 1.5.1 パターンファイルの情報はこちら↓です。

少しばかり自力で探ってみたところ、原因は以下のレジストリキーのようです。

regedit を使ってこれを削除すると、 Spybot - Search & Destroy 1.5.1 で Smitfraud-C. は検出されなくなりました。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"DisplayName"=""
"UninstallString"="\\TMPatch.exe /U:\"\""

レジストリのバックアップとかを遡って調べてみましたが、インストール履歴とキーの存在し始めた時刻から判断するに、モジュール TMPatch.exe は VB2006 に、ウイルス検索エンジン VSAPI 8.550 を当てた時になぜか残ってしまった「ゴミ」エントリのように思えます。

まあ今となっては、はっきりとは分かりませんが。

ファイルの実体のシステムドライブにありませんでした。(patch.exe と TmUpdate.dll は存在しましたが。)

レジストリのゴミが原因でしたが、それにしても、Spybot - Search & Destroy 1.5.1 も

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adobe Flash Player ActiveX]

とか下位階層の他エントリまで消してしまうのはまずいでしょ。

(メモ)

いじょうです。