スパイウェアCnsMinの削除手順


CnsMinとは?

CnsMinは、いわゆる「Browser hijacker」でIEの検索バーの機能を乗っ取るものです。機能としては、中国語で検索が行われたときにそれをスパイウェアの作成元に送信します。中国語以外の場合は、IEの検索バーの機能を不可解な中国語のものに置き換える以外は特に害はなさない様に見えます。

また、このCnsMinは極めて除去しにくい巧妙な方法でインストールされてしまいます。

CnsMinの配布方法

CnsMinは、3721.comのサイトを訪問したときにActiveXによってインストールされます。また、ジャンクメールにも多く含まれており、これによって感染してしまうこともあります。

(注:最近の感染は、Jwordやフリーソフトや壁紙などからのものが多いと思われます、また、3721.comへセキュリティ「低」で行ってみましたが、現在は大丈夫みたいです)

ちなみにJwordと提携しているサイトはこちらの一覧です。これらのサイトに行くと、Jwordを薦めるポップアップが開く可能性があります。(同意しない限りインストールはされません)

CnsMinの除去方法

まずCnsMin.dllを削除します。

削除するためにはファイル名を変更(リネーム)する必要がありますが、OSのレベルだと既にプログラムが起動されてしまっていますので色々工夫が必要です。

Win95/98/Meの場合

MS-DOSモードで起動して、下記のコマンドを打ち込んで、該当ファイルを削除します。

cd DOWNLO~1
del cns*.*
del 3721\*.*
rmdir 3721
exit

そして再起動します。

WinMeの場合、 MS-DOSモードが使えないのでファイルが削除できません。どこかでブートディスクを手に入れてWin95/98の手順でCnsMin.dllを削除して下さい

Windows NT/2000/XPの場合

問題のファイル群をOSからリネームすることが可能です。コマンドプロンプトを開いて、

cd "%WinDir%\Downloaded Program Files"
ren CnsMin.dll CnsDel.dll

と打ち込み、CnsMin.dllをCnsDel.dllという名前に変更します。再起動してもう一度コマンドプロンプトを開いて、

cd "%WinDir%\Downloaded Program Files"
del cns*.*

とタイプして下さい。これでリネームされたCnsDel.dllが削除されます。


CnsMin.dllファイル削除後の処理

CnsMinを削除した後再起動すると、それらのファイルが見つからないというエラーが出ますが、これらは無視して立ち上げて下さい。
その後、Regedit(レジストリエディタ)を使って、レジストリから下記のキーを削除します。
(必ずしも全部見つからなくても、あるものだけ削除すればいいです。Spybotなどで削除されているものもあるでしょうから。)

HKEY_CLASSES_ROOT\CLSID\{B83FC273-3522-4CC6-92EC-75CC86678DA4}
HKEY_CLASSES_ROOT\CLSID\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}
HKEY_CLASSES_ROOT\CnsHelper.CH
HKEY_CLASSES_ROOT\CnsHelper.CH.1
HKEY_CLASSES_ROOT\CnsMinHK.CnsHook
HKEY_CLASSES_ROOT\CnsMinHK.CnsHook.1
HKEY_CURRENT_USER\Software\3721
HKEY_LOCAL_MACHINE\Software\3721
HKEY_LOCAL_MACHINE\Software\InterChina
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AdvancedOptions\!CNS
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{5D73EE86-05F1-49ed-B850-E423120EC338}
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{FD00D911-7529-4084-9946-A29F1BDF4FE5}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\CnsMin
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\CnsMin

くれぐれも実行前にレジストリのバックアップを忘れずに!

CnsMinの変種出現?

「CnsMin.dll」の代わりに、「CnsMinSV.dll」と「CnsMinIO.dll」の二つのファイルがSpybotのスキャンで発見されるケースがあるそうです。
その場合は、Win95/98での対処法はそのままで一石二鳥ですが、2000/XPだと上の手順そのままだとエラーが出るので、

cd "%WinDir%\Downloaded Program Files"
ren CnsMin.dll CnsDel.dll

の代わりに、

cd "%WinDir%\Downloaded Program Files"

ren CnsMinSV.dll CnsDel.dll  
ren CnsMinIO.dll CnsDel2.dll

とでもやればOKです。これでもエラーが出る場合は、

dir cns*

で一覧を見て、見つかったファイルを上記と同様にリネーム(名前の変更)してやれば良いです。