サイトマップ

マルウェア関連のトピックス

about:blankの対処法

「ホームページがabout:blankに固定されてしまう」という質問は、かなり長期間にわたって質問掲示板で見かける質問です。2004年5月現在でもまだ苦しんでる人がたくさんいます。色々と対処している内に解決した(様に見える)ケースももちろん多いのですが、実はもっとも未解決に終わっているケースが多いのがこの「about:blank」ではないでしょうか。

正常な状態であれば、URL欄に「about:blank」を打ち込むか、あるいはインターネットオプションでホームページを「about:blank」に設定して立ち上げると、空白の画面が表示されてます。これが通常のIEの設定です。この場合はインターネットオプションでホームページの設定を変更すれば治るはずです
image

今回問題になっている現象は、「about:blank」のページであるにもかかわらず、CoolWebSearch系のこんなサイトが表示されるものです
image
(この画像は、「http://searchexe.com/passthrough/index.html/?about:blank」からリダイレクトされた「http://searchexe.com/」のものです)

もう一つ良く見られるパターンがあります。ここでは「about:blank Search for型」と呼びます
image

「about:blank Search for型」については、こちらをやってみて下さい。

とりあえずこの「about:blank」の対処法についてもかなり情報が集まり、対策も固まりつつあります。

about:blank標準対処法

MerijnがCoolWebShredderをアップデートしてくれているので、CoolWebSearch系の「about:blank」はそれだけで問題が解決する場合も多いようです。

(1) CoolWebShredderを実行。必ずInternet Explorerと他のウィンドウをすべて閉じた状態で

(2) IE一時ファイルとクッキーの削除

(3) 信頼済みサイトのチェックと不審なものの削除

(4) RCSのログを取得して保存。「RegCheck.txt」のファイルは他の名前に変更して大事に保存

(5) IE関連レジストリの全リセット

(6) 最後に最近頻繁にアップデートしているAd-Awareを使って最後のゴミ掃除をしておきましょう。

セーフモードでやった方がより効果的でしょう。

HKLMの「AppInit_DLLs」キーの削除

ここまでやっても症状が改善しない場合、HKLMの「AppInit_DLLs」キーを削除することで効果がある場合があります。こちらを参考に作業してみて下さい。


「about:blank Search for型」の対処法

* 注 メモ帳(notepad.exeの実行ファイルの名前を変えられてメモ帳が開けないケースが多発してます。メモ帳が開かない場合は「スタート」→「検索」→「ファイルやフォルダ」で「notepad.exe.bak」を検索し、存在した場合は右クリックから「名前の変更」を選択し、最後の「.bak」を削除して「notepad.exe」に修正してみて下さい。「notepad.exe.bak」が見つかった場合には同様に「Windows Media Player」も名前が変更されている可能性がありますので、「WMPLAYER.EXE.bak」で検索し、「WMPLAYER.EXE」に修正して下さい。

まずHijackThisのログを取ります

ログの中で、O2とO18に注目して下さい。この様なエントリが現れるはずです。

O2 - BHO: (no name) - {C3F362C1-1715-11D9-B47A-0090B6B66E6A} - C:\WINDOWS\SYSTEM\DDID.DLL

O18 - Filter: text/html - {C3F362C0-1715-11D9-B47A-0090D9FACBF1} - C:\WINDOWS\SYSTEM\DDID.DLL
O18 - Filter: text/plain - {C3F362C0-1715-11D9-B47A-0090D9FACBF1} - C:\WINDOWS\SYSTEM\DDID.DLL

この例の場合は「DDID.DLL」というのが問題のファイルになります。「DDID」の部分は場合によって違い、この名前は非常に重要なのでメモしておいて下さい。

セーフモードでDLLファイルを除去

まずあらかじめ初心者ツールをダウンロードして解凍しておきます

次にPCをセーフモードで再起動します。

前の操作で見つかったDLLファイル(上の例であれば「C:\WINDOWS\SYSTEM\DDID.DLL」)を削除します。
見つからない場合はダウンロードしておいた初心者ツールを使って下さい。

削除後、HijackThisをもう一度立ち上げて(二度続けてログは取らないこと)、上記の当該エントリをFixします。

さらに「%Temp%」ディレクトリに「sp.html」があるかどうか確認し、存在した場合はごみ箱に移動します。「%Temp%」ディレクトリを調べるためには、「ファイル名を指定して実行」から「%Temp%」と入力するのが最も簡単です。
image

この操作は、ユーザーアカウントが複数存在する場合は、各ユーザー毎に行った方が良いです。

そしてIE関連レジストリの全リセットを行います

これで症状は解消するはずです。

後はPC再起動後にレジストリの「ゴミ」を掃除します。ゴミ掃除にはレジストリエディタを使います

先ほどのDLLファイル名(DDID.DLLなど)でレジストリを検索し、見つかったものを削除します。
レジストリの操作に自信がない方は、見つかったキーの名前とともに質問掲示板に新しくツリーを作って質問して下さい。

cheshire-catさんの情報によると、これでもまだ嫌なエントリが残る様です。最近頻繁にアップデートしているAd-Awareを使って最後のゴミ掃除をしておきましょう。

セーフモードでやった方がより効果的でしょう。それでも復活する場合は、HKLMの「AppInit_DLLs」キーの削除が有効の様です。


Application Dataの中の「rica.exe」

同じくcheshire-catさんの報告では、Ad-Aware処理後にこの「rica.exe」が残ってしまうみたいです。可能であれば削除しておいた方が良いでしょう。場所は、

C:\Document and Settings\ユーザー名\Application Data\rica.exe
C:\Documents and Settings\Administrator\Application Data\rica.exe

で、どちらにしても「Application Data」の中です。

症状は解消しましたか?

ここまでの操作を行って症状が解消したらそれでめでたしめでたし。解消しない場合は、次の4つのログを取って一つの文書内に貼り付け、質問掲示板に新しいツリーを立てて質問して下さい。

(1) HijackThisのログ

(2) StartupListのログ

(3) アンインストール情報のログ

(4) AboutURLs、AppInit_DLLs調査テキスト(「aboutblanklistup.bat」をダウンロードして実行し、生成する「aboutblanklistup.txt」の内容を貼り付け)

例え同じ症状であっても、他人が立てたツリーには絶対に参加しないで下さい。「一人一つの質問につき一つのツリー」がこのサイトの質問掲示板のルールです。

謝辞

このページの情報のうち、まさに今流行の「about:blank Search for型」については、回答者の面々でさんざん対応に苦しんでいたところに「感染者です。」さんから目から鱗の解決法を提示していただいたものを元にしてます。最初の画像も「感染者です。」さんからいただいたソースを使って表示したものです。とにかくホームページハイジャッカーのソースを確認するというのは盲点でしたし感動しました。

これに併せてMech.Mozillaさんのスクリプト、cheshire-catさんの解析が大きく役立っています。皆様の努力と頭脳に感謝致します。

更新履歴

2004.10.20 改定


【文頭に戻る】