JWordが削除できない

システムリソースを確保するためスタートアップ項目を見ていると、以前も削除したことがあるCnsMinというスパイウェアが項目にありました。チェックボックスを外しても新たに同じ項目ができ意味がないので削除することにしました。おそらくJWord経由で入ったのでJWordのアンインストーラを使えばCnsminもきれいに削除できると定番のサイトに書かれてあったので、下手にスパイボットなどで削除せずJWordのホームページのアンインストールの項で削除したのですが、コントロールパネルのアプリケーションの追加と削除を見るとJWordがまだ残ってました。もう一度同じ事をしてみましたが駄目でした。しょうがないのでアプリケーションの追加と削除からもやってみましたが、それも駄目でした。すべて再起動はしています。

それとJWordもインターネットのセキュリティレベルを「中」にしていたにもかかわらずまた勝手にインストールされていました。何故でしょうか？

No.12 回答者： heto2 回答日時： 2004/08/01 20:33

中国語のページを拾い読みしているとうっすら輪郭が浮かび上がってきました。

概略、次の手順でいけるんじゃないかと思います。
実際には作業の進行に合わせ調整が必要でしょう。

「CNSMINKP.VXD」と「cnsminkp.sys」をとめ、DPF（Downloaded program files）のActiveXを削除するのがポイントかと思います。

１．ダウンロードサイト
　　http://www.3721.com/down/CNSMINKP.VXD
　　現在は、クローズされています。
　　いやな話ですが、矢張り、「3721.com」が配布元としか思えません。

２．CNSMINKP.VXD
　AAA.プログラムの起動
　　レジストリの「Run」設定で起動される。
　BBB.プログラムの停止
　　「HijackThis」で下記項目を調べて「Fix checked」
　　O4 - HKLM\..\Run:
　　O4 - HKCU\..\Run:
　CCC.ファイルの削除
　　c:windows\downloaded program files\3721\cnsminkp.vxd

３．「cnsminkp.sys」
　AAA.「サービス」の開始
　　「INI」ファイルの「Run」または「Load」設定で「サービス」が開始される
　BBB.「サービス」の停止
　　DOSプロンプトで下記入力して「サービス」を停止。
　　net stop cnsminkp
　CCC.「管理ツール」を使う方法
　　「コントロールパネル」＞「管理ツール」＞「サービス」を開く
　　右側のリストに「cnsminkp」を選択
　　右クリックして「停止」をクリック
　DDD.「INI」ファイルの調査
　　下記ファイルを開き、CnsMinKP関連の「Run」または「Load」設定を削除
　　C:\boot.ini
　　C:\WINDOWS\SYSTEM.INI
　　C:\WINDOWS\WIN.INI
　EEE.「RunService」も調査
　　「INI」に設定がなければレジストリの「RunService」も調査
　　「HijackThis」で下記項目を調べて「Fix checked」
　　O4 - HKLM\..\RunServices:
　　O4 - HKCU\..\RunServices:
　FFF.レジストリ設定の削除
　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\CnsMinKP
　GGG.ファイルの削除
　　c:\windows\system32\drivers\cnsminkp.sys

４．DPF（Downloaded program files）
　「HijackThis」で下記項目を調べて「Fix checked」
　OO16 - DPF:
　下記バッチで、CnsMin関連の設定、残骸がないか調べる
　
:～～～～～～DirDPFCns.batはじめ～～～～～～～
echo.>c:\DirDPFCns.txt
echo １０）DPFフォルダ(CnsMin関連) >>c:\DirDPFCns.txt
dir "C:\WINDOWS\Downloaded Program Files"\*.* /s |find cns*.*>>c:\DirDPFCns.txt
notepad c:\DirDPFCns.txt
:～～～～～～DirDPFCns.bat終わり～～～～～～～

５．ごみ掃除
　PestPtrolのサイトを参照して、該当するものがあれば削除
　http://www.pestpatrol.com/PestInfo/C/CnsMin.asp

この回答への補足

すみませんが手違いで補足の方が後での書き込みです。
バックアップしておいたレジストリに戻してからHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\CnsMinKP　のレジストリを削除すると変な文字が出なくなりました。削除する前はやはり出ました。文字の原因はこれだったようです。今のところ症状はないのですが、それでもHijackThisなどでよく調べて不審なレジストリも削除した方がよいでしょうか？

補足日時：2004/08/01 23:22

この回答へのお礼

お世話になります。

すみません・・・知識がないもので「HijackThisで下記項目を調べてFix checked」のところの下記項目というのを全てチェックして「Fix checked」を押してしまいました。多分CnsMin関係か3721関係の奴を見つけてそれだけ処置するという意味だったのですかね？バックアップは取ってあるので大丈夫だとは思いますが・・・。

それとHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\CnsMinKPのレジストリを削除したのが効いたのか変な文字は出てこなくなりました。

下記バッチ云々の部分は知識が全くないのでよく分かりません。すみませんがご指導お願いします。

お礼日時：2004/08/01 23:01

No.11 回答者： heto2 回答日時： 2004/08/01 13:26

１．実験失敗

　試しにJWordをインストールしようとしましたが、私の環境では中途半端にしかインストールできません。
　レジストリの「BHO」（BrowseHelperObject）と「Run」設定があるにもかかわらず、ツールバーが表示されないんです。
　アンインストールしてもCnsMinKPは現れません。
　
２．中国系のスパイウエア
　kermanさんご指摘のように中国系のスパイウエアが絡んでいるような気がしてきました。
　その場合、「CnsMinKP」は「CnsMin」や「3721.com」とは関係がないことも考えられます。
　あちこち情報さがしましたが、殆ど中国語で歯が立ちません。
　
３．「HijackThis」ログ
　下記の表示のある行で不審なものを貼り付けてみてください。
　判断できない場合は全部張ってください。
　「O2 - BHO:」で始まる行
　「O3 - Toolbar:」で始まる行
　「O4 - HKLM\..\Run:」で始まる行
　「O4 - HKCU\..\Run:」で始まる行

　特に次のような語句を含むものに注意してください。
　「RunDLL32」
　「3721」
　「CnsMinkp.vxd」
　「CnsMin」
　
>windows起動時に変な文字が
　「CnsMinkp.vxd」を削除したが、レジストリ設定を削除しなかった場合、エラーメッセージが表示されると思います。
　しかし、通常英語または日本語です。
　「変な文字」というのが、文字化け状態なのか、中国語らしきものなのか
　不要なレジストリの削除で解決できればいいんですが。

手がかりがなければ別の方法考えます。

この回答への補足

お世話になります。

O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL (file missing)

O4 - HKLM\..\Run: [pijfigzkwxzru] C:\WINDOWS\SYSTEM\eierism.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

こんなもんでしょうか。「変な文字」というのは中国語でも何でもない文字化けでよく見る字でもないです。ゼロや目玉のようなのが所々にあってカギカッコの出来損ないみたいなのも連続していて草のツルが絡まってるように見えます。

「HijackThis」ログの中に(file missing)とある他のも参考になるのではないでしょうか？

補足日時：2004/08/01 17:11

No.10 回答者： Waxa 回答日時： 2004/08/01 09:29

JWORD、CnsMinについてはとても良い回答が出揃っているので、以下についてのみお答えします。

> それとJWordもインターネットのセキュリティレベルを「中」にしていたにもかかわらずまた勝手にインストールされていました。何故でしょうか？

セキュリティレベルの「中」はＩＥの標準設定ですから、スパイウェアを作る側は当然それをすり抜けるように作り込んでいるはずです。以後同じような状況にならないためには、ＩＥ自体を使わないか、使うのであればセキュリティの「レベルのカスタマイズ」をしましょう。

[ActiveXコントロールとプラグイン]、[JAVAアプレット]、[JAVAスクリプト]などの項目を「ダイアログを表示」に設定し、危ないと思われるホームページ閲覧時にダイアログが開いたら［いいえ］を選択してプログラムが実行できないようにします。ただし、FLASHや動画再生などもブロックされるので正常にページ表示でない場合もありますので、アクセスするページによって使い分けてください。また、ページによっては何度もダイアログが開くので煩わしいと思いますが、それだけ危険が潜んでいるのだと思って我慢してくださいね。

その他、［JAVAの許可］［ソフトウェアチャンネルの許可］を［高］に、［デスクトップ項目のインストール］を［無効］にしてみましょう。その他、安全性を高めるように設定をいろいろ試してみてください。もしもそれでページ表示に不具合が出たら、思い当たる項目だけを元に戻せばよいでしょう。

この回答へのお礼

ご回答ありがとうございます。
ちょっとインターネットオプションを見てみたのですが、なんと！何故かセキュリティのレベルが低くなっていました。やはりスパイウェアのせいでしょうか。一応「高」にしておき、ご指示の所もいじくってみます。

お礼日時：2004/08/01 17:09

No.9 回答者： kerman 回答日時： 2004/07/31 21:47

#4は駄目でした？

#8でheto2さんご紹介の方法で済むかもしれませんし、もうやっておられるかもしれませんが蛇足します。

―――――――――――――――

素人の想像ですし(違ってるかもしれない)厄介なこと言うようでなんですが……

それJWord(だけ)じゃなくて、どこか中国系(東アジア系)のサイトとかで"本家かそれに近いもの"拾っちゃったのが混ざっちゃって悪さしたりしてないでしょうか？

―――――――

JWord(日本語キーワード) - ヘルプ - 技術情報： CnsMinについて
http://www.jword.jp/help/help_faq_install_cnsmin …

こうなるとこれもどこまで信じるかですが、#1で紹介したページの下の方「JWordプラグイン主な技術仕様について」の『ファイルの構成』にはCnsMinkp.vxdはないですし、あえて使用中の私のマシンにもありません(CnsMin関連には違いないようですが)。

―――――――

上のページ、下の方に『問い合わせ』のリンクがあります。アクセスポート(運営会社)もスパイウェア扱いされることはデメリットですし、Googleツールバーにアドレスバーからの日本語検索機能がついて安閑としていられないでしょうから、比較的早くかつ親切に応対してくれると思います(ただもしJWordプラグインモジュールに関係なければ？ですが)。

JWordはそもそも単体で、あるいはExciteやMapion、Biglobe等のツールバーに組み込まれてました？
もしツールバー組み込みでアクセスポート(JWordの運営会社)だけで不安があれば、他にも問い合わせてみてもいいかもしれません(但しアクセスポートに回されて終わりかもしれませんが)。

平日にならないと役に立たない手ですが、最後の保険のつもりでどうぞ。OKWebの過去ログ検索もお試し下さい(もうやってますね、ごめんなさい)。

参考URL：http://www.jword.jp/help/help_faq_install_cnsmin …

この回答へのお礼

ご回答ありがとうございます。
私もJWordを拾っただけでこうなったとは考えにくいと思っています。しかし、CnsMinが何かの経緯でCnsMinkp.vxdをインストールしたのかもしれないし、あるいは中国系のサイトで拾ったのかも知れないのでその辺はよく分かりません。

#4のやり方で一通りは良くなったものの、ドライブCを検索するとCnsMinkp.vxdというものがでてきましたので削除すると、JWordは復活しなくなったものの、windows起動時に変な文字が出てくるようになってしまいました。今のところ症状はそれだけです。

お礼日時：2004/07/31 22:27

No.8 回答者： heto2 回答日時： 2004/07/31 19:55

取り敢えずこんなことからはじめてください。

あとはまた明日のことになります。

作業1.「HijackThis」ログの作成
下記でダウンロードし、適当なフォルダに保存してください。
http://www.spywareinfo.com/~merijn/downloads.html

１．起動直後は殆ど白紙の状態です。
２．「HijackThis」以外のウィンドウを全て閉じます。
３．左下の「Scan」をクリック
４．スタートアップ設定の一覧が表示され、「Scan」ボタンが「SaveLog」に変わります。
５．「SaveLog」をクリックするとメモ帳が開きます。

かなり、長い文章になると思います。
取り敢えず手元に保存して置いてください。
このサイトでは文字数制限があり作業が大変です。
また、CnsMinに詳しい人が沢山おられる「被害者対策の部屋」へ提出いただくかもしれません。

もし、そんな作業はいやだとお考えの場合は、私としても強制できません。
多分、クリーンインストールしたほうが楽だと思います。

参考URL：http://www.spywareinfo.com/~merijn/downloads.html

この回答へのお礼

ご回答ありがとうございます。
どういう作業なのかはよく分かりませんがご指示の通りやりました。ログも保存しました。後日連絡お願いします。

お礼日時：2004/07/31 22:42

No.7 回答者： heto2 回答日時： 2004/07/31 19:51

☆話せば長い・・・

CnsMinは、元々、駆除の難しい反社会的スパイウエアとして欧米でも嫌われていました。
配布もとの、3721.comというのもひどいサイトで、このサイトを訪れただけでいつの間にかCnsMinをインストールされていました。
外見、ビジネスサイトに見せかけて実はスパイウエアを撒き散らす悪質なサイトだったんです。

CnsMinが何故力をつけてきたかというと、中国語で直接検索できるツールバーを開発したからです。
中国人にとってインターネット上で中国国内の企業を探すとき英語でないと検索できないというのは不便でもあり不愉快でもあります。
そんな時登場した「CnsMin」が圧倒的支持を受けたのは当然のことです。
3721.comは「CnsMin」へ無料で提供すると同時に、データベースを作って各企業から中国語で企業名や企業広告を有料で登録させるサービスを始めました。
ネット上でイエローページのようなビジネスを始めたのです。
中国の企業、中国へ進出した外国企業、が競ってこのサービスに参加しました。
ユーザーに対し無料でツールを提供し、企業から報酬を得るという、一見スマートなビジネスを展開しているように見えるこのサービスに、ユーザーのデータを収集しているのではないかという疑問が発生しました。
切っ掛けは欧米のAnti-Spywareフォーラムに「CnsMin」がいつの間にかインストールされ削除できないという相談が寄せられたことです。
フォーラムの専門家によって、「CnsMin」が解析され、削除方法が提示されるとともに、ユーザーデータを外部へ送信している可能性があると推定されました。
しかし、「CnsMin」は漢字系（2バイト文字）のwindowsを使っているのに対し、フォーラムの専門家は英語系（１バイト文字）のWindowsしか使っていません。
充分な解析が出来ず、最終的には、駆除の難しい反社会的スパイウエアと断定されるにとどまっています。

その後、なぜか、NECがJWordというツールバーとして採用してしまったんです。
流石に、スパイウエアと決め付けられるのを避けようとして、アンインストーラーを装備して簡単にアンインストール出来るようにしていました。
欧米のフォーラムに投稿してスパイウエアから除外するように求めました。
絶対に怪しげなプログラムをインストールしないといい続けていました。

それが何故、ここに来て、化けの皮を脱ぎ捨てて、アンインストールしようとするユーザーに噛み付いてきたのか私にはわかりません。
すでに、皆さん、お気づきのように、今のIEでは（１バイト）でも（2バイト）でも自由に検索できるようになっています。
「CnsMin」でないと（2バイト）検索ができないという時代は終わっているのです。
「JWord」はメモリーの無駄食いをする無用のツールになっているのです。
ひょっとして、NECはもうこのツールを採用しなくなったのかもしれません。
そのおかげでNECユーザー他が迷惑を蒙るとすればNECはどう責任を取るのでしょう。
少なくとも「CnsMin」と「CnsMinkp」のアンインストーラをていきょうすべきではないでしょうか。

この回答へのお礼

ご回答ありがとうございます。
JWordやCnsMinの異常さについては大体理解しています。そもそも本当に必要なツールだったら自分でインストールするだろうから勝手にインストールしてくれなくても構わないのですから。ユーザーのデータを送信しているというのもどこかで聞いたことがあります。

お礼日時：2004/07/31 22:20

No.6 回答者： heto2 回答日時： 2004/07/31 18:44

これはちょっとした事件です。

NECにインストールされたツールバーにスパイウエアの可能性が出てきました。

英語ですが、下記のページが参考になると思います。
http://www.pestpatrol.com/PestInfo/C/CnsMin.asp

通信関係の設定が破壊される恐れがありそうですので、取り敢えずレジストリのバックアップを取ってください。

レジストリエディターのメニューで「ファイル」「エクスポート」で適当な場所に適当な名前で保存してください。
結構時間がかかると思います。

後、また連絡します。

No.5 回答者： heto2 回答日時： 2004/07/31 15:26

Mypopをアンインストールしないと生き返ると思いますよ。

この回答への補足

アンインストールしてもなりました。
ただ、検索でCnsMinkpというのが出たのでそれを削除したのが良かったのかそれからは復活しなくなりました。そのかわりWindows起動画面の後にやたらと文字化けした辺ナジの羅列が出てCnsMinkp.vxdというのが出てくるようになってしまいました。まあ、Enterを押せば後は普通に起動できるのですが解決法が分かりません。ネットで検索しても出てくるのは中国のサイトばかりですし・・・。

補足日時：2004/07/31 16:05

No.4 回答者： kerman 回答日時： 2004/07/31 13:54

困りモンですね。

後は……
まだでしたら、こちらを参照してみて下さい。

CnsMinの除去方法（doxdesk.comの翻訳）
http://higaitaisaku.web.infoseek.co.jp/removecns …

参考URL：http://higaitaisaku.web.infoseek.co.jp/removecns …

No.3 回答者： kerman 回答日時： 2004/07/31 12:08

#1補足になるかなぁ？

msconfigスタートアップタブにチェックの入ったCnsMinが残存している場合は、もう一回インストール→アンインストールした方がいいかもしれません。

チェックの外れたCnsMinのみが残存している場合もインストールして、両方チェックを入れて一つになったことを確認してから(←ここがネックかな)アンインストールする。

―――――――――――――――

あるいは
以下XPの例ですのでどこまで該当するかどうか責任持てません(悪しからず)。

あくまでmsconfigのスタートアップタブに項目が残っている『だけ』、が前提として

レジストリエディタで以下のキー(近辺も)のエントリ(アイコン)にCnsMinがないか確認

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

↓
あればアイコンを右クリックして削除、なければmsconfigの方でチェックを入れてWindowsを再起動
↓
もう一度上のレジストリキーを確認して、CnsMinが復活していたらアイコンを右クリックして削除

でどうでしょうか？

この回答への補足

以前のに上書きした後、確かにJWordはアンインストールされたのですが、その後またインストールされて？いました。とにかくアプリケーションの追加と削除の項に存在するのです。また前の状態と同じで普通にはアンインストールできません。もしかしたらCnsMin（ほかにもスタートアップにhelper.dllという怪しいファイルがあり、これがあるフォルダにはCnsMinというファイルもあります。そのフォルダ名は3721で、検索してみるとCnsMinの開発元のようでした。）がまたインストールしているのかも知れません。

補足日時：2004/07/31 13:30