2011年04月25日
Search Settings その7 (ニュータイプ)
最新の「Search Settings」について、2011年4月25日に貴重な情報を頂きましたので紹介させて頂きます。
現在の「Search Settings」は、バージョンも1.2.4から4.3.0.2へと随分進化し、どうやらステルス機能を搭載し、身を隠して密かにどこぞへせっせと情報を送っているようです。
「Search Settings」で困っている方は、ヒントになるかと思いますので、一読して頂ければと思います。
コメント書き込みをして頂いた「矢野芳典さん」、貴重な情報有難うございました。
では、以下にコメントを原文ママコピペさせて頂きます。
111. Posted by 矢野芳典 2011年04月25日 16:11
私のほうでのまとめ
2010年までの情報とまったく様相が変わっているようなので私のPC2台でおきていることをまとめてみました
・環境:Windows7 SP1(64bit)+IE9とWindowsXP SP3+IE8
・searchsettings.exeのバージョン:本体ファイルが見つからないために確認できず
・発現時期:このコメントから4日前
・目に見える症状(確認できたもののみ):
1.スタートアップでいきなりエラー起こしたり起こさなかったりして気持ち悪い
2.FireFox4.0の全設定およびアドオンの設定、configまでの設定をOS起動ごとに無効にする(UIが日本語の言語であることまで無効になって英語になる>独自ビルド版に日本語設定ファイルを入れてabout:configで設定した場合)
3.IE8の検索サイトに入れていないYahooがセットされる、規定の検索サイトにはされずgoogle,bingに続き3位の再開設定に慎ましやかに入れている
・プロセス内での存在:タスクマネージャで確認できず
・IE/その他のブラウザでのアドオンとしての存在:確認できず
・スタートアップ、自動実行、インストール/アンインストール情報など:CCleanerでも確認できず
インストールされているフォルダ:
C:¥Program Files¥Search Settingsが存在せずSearch SettingsフォルダもPC内の検索では隠しファイル属性含めても確認できず
・searchsettings.exe本体の所在:
1.PC内の検索では隠しファイル含めても確認できず。
つづく
---------------------------------------------------------------------
112. Posted by 矢野芳典 2011年04月25日 16:14
つづき
・RegEditでの「Searchsettings.exe」の検索結果一覧:
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604
(Search AssistantはMS Officeの検索アシスタント機能のようでここにあるのは怪しい、HKEY_USERSにも同様のキーが存在)
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
(C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exeという本来ならばインストール先らしき値が見つかるが、Spigotというフォルダが隠しファイルでもシステム保護属性でも存在しない、HKEY_USERSにも同様のキーが存在)
・疑義のあるアプリ:インストール時期と出現時期がかぶるソフトは現時点で最新バージョンのComodo FireWallもしくは、日本語サポートサイトが始まって以降のIOBit社のツール。(以前のバージョンでは現れていない)
こんなところでしょうか。
要は私のところではまったく陰も形も見えずに毎回起動してくる割には、RegEditでやっと痕跡が出て、その値の指し示すフォルダやファイルが存在しない、というオカルトじみた状態になっています。
考えられるのは、私のPCに入ったバージョンでは(マルウェア的に言えば亜種?)通知領域に現れるプログラム名と、実際に起動するプログラム名が違うのでは? という疑惑。
一応、数少ないレジストリ中の記述であるMuiCacheのキーのみ削除して、SearchSettings.exe起動しなかったら御の字、起動したら数分後に「だめだった」報告をします。
---------------------------------------------------------------------
113. Posted by 矢野芳典 2011年04月25日 16:39
無事起動はしなくなりました。しかし、ファイルやフォルダ本体などの痕跡はまったくは見つかっていないため、謎は深まるばかりです。
削除方法
1.何をしてもSearch Settingsに関するものが見当たらないため、とりあえずTEPMフォルダ内だけは削除。
2.regeditでHKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache内のC:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exeの値を削除、同様にHKEY_USERS内のMUICacheにある同じ値を削除。
3.再起動
ある意味、起動させないだけなら手間は減りましたが、フォルダやプログラム本体のファイルやインストールや自動起動に関するものがまったく見つからず、そのため削除も出来ず、どこかに起動させていたものがまだ潜んでいるはずという事実には驚愕です。
---------------------------------------------------------------------
114. Posted by 矢野芳典 2011年04月25日 17:43
WindowsXPではインストールされているフォルダもファイルすら見つからず謎が深まるばかりでしたが、Windows7 SP1(64bit)ではx86版のProgram Filles/commn files配下にSpigotフォルダがあり存在を確認できました。
Searchsettings.exeのプロファイル情報を下記に記します。
流れからして1.2.4あたりかと思いきや、今年に入ってからの新バージョンでした。
ファイルバージョン 4.3.0.2
製品名 Widgi toolbar
著作権 2005-2011 Spigot,inc.
更新日時 2011/01/28 17:36
同フォルダ内にYahoo_ff.xmlとYahoo_IE.xmlがあり、名前からしてFirefoxにも対応したように見受けられます。
ただし、CCleanerのTOOLを使っても「インストール情報」の項目でSeaqrchSetingが見つからないのはXP同様でした。が、なぜかCClearnerのスタートアップ項目では発見できました。
また、ファイルの実体もWindows 7ではSearchSettingd.exeがタスクマネージャー上で32bitモードで動作しているのが見つかりました。
XPとWindows7とでは、ひょっとすると隠れようとするステルス性能や挙動が違うのかもしれません。
見つかった症状としては、XPのときにもありましたが、IE9の32bit版、64bit版の両方の検索に使うサイトに、自分では設定していないはずのYahoo!が検索用のサイトとして紛れ込んでいる、ただし、google , bing の次、最下位の優先順位としてYahooを設定しているという慎ましやかなものでした、それでも、きっちり最新版のIEや64bit版、さらにはFireFoxに対応と機能面(笑)も進化させているようで、まだまだこのツールは滅びそうな気がしません。
---------------------------------------------------------------------
115. Posted by 矢野芳典 2011年04月25日 17:44
ちなみにうちでは。
・Free Video Converter
・Free Mp3 Wma Converter
などはまったくインストールしていないため、誰が犯人かますますわからなくなっています。
近日、今と同じような感じのアプリ環境でOS再インストールからする予定ですので、怪しいと思わないで入れるアプリやツールでもしもSearch Settingdが再度現れたら報告します。
トラックバックURL
コメント一覧
Windows7の中のSearch Settingsはまだ無傷のまま遺してあります。
ちなみにこのバージョンでは、初回起動時にIEなどの検索サイトや設定ファイルがマルウェアなどによって書き換えられるのを保護をするかのような旨の2つの機能をイネーブルに出来るチェックボックスつきのバルーンが英語で現れたのを覚えていますが、ほぼ同時にFirewallやセキュリティ系のツールを入れていますので、それらの機能のひとつと思っていました。
そのせいで私にはSearch Settingsを意識的に「害のあるプログラム」と思わない刷り込みがされていた気がします。
ので問題の切り分けをしてこれが怪しいと気づくのに「起動時に2回に1回くらいの割合でエラーを吐いて止まってくれなければ絶対気づきませんでした(アイコンはそのまま起動すると通知領域からもすぐ消えますので)。
その7で「最近検索で飛んできていない」というのは、あからさまに怪しい動作が減ったり(Yahooは検索サイトに登録しても、規定にまではしない、など)や、初回起動時にマルウェア対策のツールであるかのように振舞っているから気づかれていない人が増えたのではないかと思いました。
XPはエラーを時々吐いてくれて虫眼鏡アイコンが消えずしばらく残っていたことがあるからいいものの、7は今日気になって調べるまでインストールされていたことに気づいていませんでした。
'(未確認の発行元)Spigot,inc.' からの 'IOBit Toolbar' アドオンが使用可能になりました。 [有効にする][有効にしない]
というわけで、私のこの4.3.0.2というバージョンのSearch Settingsは、IOBit社のAdvanced SystemCare かSecurity360の最新バージョン(日本語サポートページができて以降あたり)から混入したのでは?
と思われます。
今ついでに有効化してみたのですが、ツールバーのOptionsに、その名もずばりのSearch Settingsというタブ項目があり、初回起動に出てきたバルーンの中の文章とチェックボックスがそのまま出てきました。
Search Setting protects your browser search settings to keep program from changing them without knowredge.
□ Protect my browser default search settings and notfy me of any attempts to change it
□ Enable browser network error assistant page
とあります、確かに、善玉っぽいイメージです。
とにかく、IOBit toolberの中の部品としてsearch settingsが入っているようです、インストール時にこのツールバーを入れない設定も出来た気がするので、チェックボックスはずしてインストールすればsearch settingsも入らないのかもしれません。
IObit toolbar Version4.3 Copyright C 2005-2011 Spigot,inc. All right reserved.
とありました、Search Settingsのバージョンナンバーが4.3.0.2 そして著作権表示も同じ、ということで、IObit ToolberはまんまSearch Settingsの会社と同じところの作ったもののようです。ただ単にこのツールバーだけ外注なのか、IObit社となんらかの関係があるのかはわかりませんが。
信頼していたツールでしかもセキュリティなどを扱っているツールだけにショック大きいですね。
とりあえず私の環境や常用ツールで何が問題かハッキリしただけで、私なりには解決しました。
こちらのサイトには今日一日ずっとお世話になりました。
さらに詳しい情報ありがとうございます。
IObit toolbar は何らかのソフトのアップデートで混入したり、削除についても、あちこちで困っている方が多数いらっしゃるようです。
今まで問題なく使えていたソフトのアップデート時も、英文ならなおさら目をこらして確認する必要がありそうです。
やはり、無料ソフトはよーく吟味してからインストールしなければならないのでしょうね。
■概要
いろいろと動作に関して疑義のあるSerch Settingsは2011年に入ってかなり進化。
特にVer 4.3.0.2 はIObit Toolbarに含まれたため。
ごく最近のIObit社製品、Advaned SystemCare 3(3.8.0で特に日本語サポートサイトが出来て以降か?)のインストール時にインストールされる模様。
以前はIObit Toolbarのインストールに関してはチェックボックスなどを入れれば入れる仕様だったが、私は毎回「要らない」としてチェックボックスをはずしていたのに2台のマシンに入っていたので、今は強制インストールされるように変更が加わっているのかもしれない。
ファイルバージョン 4.3.0.2
製品名 Widgi toolbar
著作権 2005-2011 Spigot,inc.
更新日時 2011/01/28 17:36
以前はYahooのIPに向けて情報発信しているとの報告もあり。(現バージョンでは不明)
マルウェア認定しているソフトなどもあるそうだが、現状AVAST! などでは無反応。
なお、このバージョンは64bit の7にも対応しており、以下のような挙動をする。
IE8〜9(64bit):検索サイトに「Yahoo」を登録するが、規定などにせず慎ましやか。
IE8〜9(32bit):検索サイトに「Yahoo」を登録するが、規定などにせず、IObit Toolbarを有効にしようとする。
なお、このバージョンはIEのみならずFireFoxとGoogle Chromeにも対応していた
Google Chromeがインストールされている環境では、Google Chromeに対応するためのファイルもC:\program files/common files/spygot/配下にインストールされる、Operaはインストールされていても特に影響を与えないようだ。Safariは未検証。
某所に「まったくどこにも現れないので、身を潜めるのが巧妙になったか、別の名前のファイル名やプロセス名で起動しているステルス性があるのでは?」と私が記述したが、再インストール実験の結果、
「IObit Toolbar」の名前でインストール情報やスタートアップ、IEのアドオンには現れ、また、プロセス名は依然として「Search Settings」であることが判明した。
私がまったくファイルの痕跡やプロセスをつけられなかったのは、「IObit Toolbar」を「Search Settings」とは無関係と思いながら削除した直後に調べたため。
「よって、Search SettingsはIObit Toolbarという別の名前でインストールされている」が正解でした。
ステルス性があるなどということで、怖がらせてしまったかもしれませんが、割とあからさまにインストールされているようで、私自身も安心しました。
■削除方法
コントロールパネルのプログラムの追加と削除でIObit Toolbarを削除すれば、レジストリにMUIcacheのような瑣末な痕跡6箇所のみを残して、「Seach Settings」本体や関連ファイルも含め、すべてをきれいに消す「行儀の良い」仕様に変更されていた。
・一度インストールされても、(その存在にさえ気づけば)削除はかなり簡単になったのでそれほど恐れるものではなくなった
・うちの環境では起動時に何か時間のかかるエラーを吐いたり(そのせいでタスクバー右側の通知領域の表示されるアイコン数が妙に少なくなったり)FireFoxの設定を毎回完全に初期化してしまうという弊害が現れたので、「安定したツール」とは言いがたい。
・「ブラウザの設定や環境を勝手に他のツールに知られないうちに改変したりするのを防ぐ」という名目のツールようだが、行き過ぎて「FireFoxの全設定をプラグインの設定まで毎度まっさらに初期化する」などのことがあったり、そもそもこのツール自体がブラウザの設定を書き換えているので、信用するか否か。
・過去のバージョンでYahooに何らかの情報を送信しているらしい(私のほうでは未確認)という話があり、現バージョンも信用できるのか? だが、Search SettingsのプロセスがOS起動時に外部に接続する仕様はFireWallの挙動にで確認。
・主張するとおりの機能が正常動作をし、なおかつ外部への接続やプロセスへの常駐が「やましいもの」でなければ有用なツールかもしれない。
以上、この2日間ほど、こちらのblog様をお騒がせしましたが、何かの参考になれば幸いです。ここまでSearch Settingsについて記述され、3年も追加情報があるたびに更新されているなどの熱意に感じ入り、ひとところに情報がまとまっている方が良いと思いこちらのblogのコメント欄をお借りしてまとめさせていただきました。
この場を借りて御礼申し上げます。
新たな調査結果、有難うございます。
いつのまにか「Search Settings」は、お行儀が良くなったようですね。
でも削除できればいいっていう問題でもないような。
コメントにしておくのはもったいないので、後ほど表に出させて頂きます。
