GoogleChromeのブラウザハイジャッカーに悩まされた話。

IEが終焉を迎えてBHO(ブラウザヘルパーオブジェクト)やActiveXという存在も見なくなり、ブラウザハイジャッカーの存在も見かける事が無かったのですが現代のブラウザで再び見かけると思いませんでした。

・突如現れた「trovi.com」と「systemredirecting.com」

普段通りに検索をする為に入力を行ないEnterを押した途端にGoogleから「systemredirecting.com」という得体の知れないURLにリダイレクトがされました。その後に「trovi.comの検索結果またはbingの検索結果にリダイレクトされる」症状が起こったのでした。それと同時に設定内の拡張機能の項目を選択しても設定のトップに飛ぶという症状も出ているのでした。(特にこいつが厄介だった)
とりあえずtroviはブラウザハイジャッカーという話が出てきたのでそれの原因となる物探ってみました。

・全く見つからない原因とゾンビの存在

リダイレクトをされるのでFirefox上で原因を探ってみた結果、Search Protectと言うソフトウェアが元凶らしいとあったので入っているかチェックをしてみました。ですが、それらしき物がなく別の手段を余儀なくされました。
ここでスパイウェアやマルウェアの削除で有能なMalwarebytesをインストールしていたのでそれに頼る事にしました。スキャンの結果、Chromeのプロファイル内に存在するファイルを検出しました。隔離を行なってこれで解決したと思われました。しばらく経過後に再びこの2つが出てくる症状が起きました…まさにゾンビでした。

・ゾンビの存在を探った結果

その存在のスキャンログに「pbdpajcdgknpendpmecafmopknefafha」という名のファイルがありました。一応検索をした結果、予想外な物が出てきたのでした。それはChromeの拡張でインストールしていた「Tab Hibernation」でした。それがインストールされていた事でゾンビの如く復活するのでした。というわけでこの拡張をアンインストールをしました。Chromeウェブストアでも不正な存在と判定されたのか現在は削除されています。別のTab Hibernationが存在していますが、それは悪意のあるコードを取り除いた物だと思われます。因みに悪意のある奴はChromeのスキャン機能を使っても全く検出をしませんでした。

・ゾンビ恐るべし

元凶となる拡張を消したので今度こそ大丈夫だろうと思ったのですが、再び奴らが現れました。「マジで何なんだこいつら」と思ったのでWindowsセキュリティとMalwarebytesでスキャンを行なったのですが、検出がされない謎な状態となりました。

・最終手段

これはChromeをアンインストールするしかねぇなと言う結論に至ったので一端アンインストールをする事にしました。念の為にレジストリ周りに改ざんをされているかもしれないという事でRevo Uninstallerでアンインストールを行なって残ったレジストリの残骸をそれで削除し、再インストールを行ないました。
念の為にSpywareBlasterでアクセスの保護もやっておきました。これで出ないと思いたい…

ブラウザに不都合を起こすブラウザハイジャッカーを見かける事もうはないと思っていましたが、「正直甘かったなぁ」と思っています。Chromeの拡張を使ったブラウザが一般化した現在なので今後は悪意のある拡張の存在に注意をしないといけないと学んだのでした。