クリーンなIEを取り戻せ



普段はIEを使わないのですが、久しぶりにIE9を起動してみるとIncredibar Toolbarとかいう訳の分からないツールバーが勝手に表示され、起動時のページが設定してもいないIncredibar Toolbarと連動した検索画面になる症状が出ました。

Incredibar Toolbarは俗に言うマルウェアなのですが、Incredibar Toolbarの駆除をしようとしたらIEを巻き込んで立ち上がらなるという最悪の事態に・・・。

今回はwindows 7でのIncredibar Toolbarを駆除する方法です。

長らくIncredibar Toolbarに気がつかなかったのはSleipnirをつかっているためで、こちらには被害が及ばなかったため気付きませんでした。

しかし、Incredibar Toolbarに感染するとIEどころかFirefoxからChromeまで汚染されるという迷惑極まりないもので、ツールバーが勝手に表示されるだけではなく、起動時のページを書換えてしまいます。

しかも、起動時のページの設定を変更しても元にも戻す機能までついているという徹底ぶりには怒りを覚えるほどです。

まれにIEを使用しないと正常に動作しないサービスやサイトがあるので、このままにしておくのもいつか問題となるだろうと考え削除をしようとしたのですが、ここからが苦難の始まりでした。

まずは、プログラムファイルから、Incredibar Toolbarだと思われるプログラムをアンインストールをしたのですが、今度はIE9の32bi版が起動しなりました。

クリップボード05



仕方ないので、IE9をアンインストールして再インストールしようとしたら、Windows UpdateでIE9へのアップデートプログラムが適用されずエラーを吐く始末です。

システム更新準備ツール



色々試し、Windows 7のシステム更新準備ツールで何とかアップデートを正常に完了することができたものの、

結局IE9の32bi版は起動しないままです。

症状は、起動するとマウスカーソルが処理中の円に変わり、そのまま消えて何事もなかったのようにIE9が起動しないというもので、IEのウィンドすら表示されません。

不思議なことにIE9の64Bit版は起動するという状態で、セーフモードであればIE9の32bi版が立ち上がりました。

ここで、定番の対処方法であるIEのリセットをかけてみたのですが、やはり起動しないままです。

起動時に立ち上がるサービスに怪しいサービスが



色々調べているとIE10が起動しない原因はサービスにありとの記事を見つけ、もしかしたらと思いシステム構成を立ち上げ(スタートボタン、検索の箇所にmsconfigと入れてEnterで表示される)怪しげなサービスはないかと検索すると出てきました。

IB UpdaterとIBUpdaterServiceというサービスですが、Incredibarの略のだろうと思いサービスのチェックを外して再起動すると、見事に32Bit版のIE9が起動するようになりました。

原因はIncredibar Toolbarが使用していたであろうサービスIB UpdeterとIBUpdaterServiceということが分かりました。

簡単な対処方法としてはこの方法で大丈夫です。しかし、こんなマルウェアは絶対に許さないよと覚悟を決め、PCからIncredibar Toolbarの関連サービスを抹消しにかかりました。

IB Updaterサービスのプログラムはここに



IB UpdaterはプログラムがインストールされていたC:\Program Files\IB Updater(ファイルの場所が仕様変更で変わったようです。C:\Windows\system32\WNLT)を開き、そこからアンインストール用のプログラムであるunins000.exeを実行してアンインストールすることで、プログラムとIB Updateをサービスから消すことができました。

IBUpdaterServiceはまだ残っているので、こちらはコマンドプロンプトからサービスの消去です。

このボックスにCMDと入れてEnter



スタートボタンを押し、検索ボックスの箇所にcmdと入れてEnterキーを押すと立ち上がるのがコマンドプロンプトです。

CMDで消すコマンド



コマンドは「sc.exe delete IBUpdaterService」です。

カッコの中のコマンドをコピーして、コマンドプロンプトの画面で右クリックをして表示される「貼り付け」で貼り付けた後にEnterキーで実行すればIBUpdaterServiceサービスが消去されます。

削除完了



この画面になればサービスの削除完了です。
※管理者モードで起動しないとコマンドが走らないと思われるので、管理者モード(ウィインドのバーに管理者と表示されている)になっていない場合は、スタート>すべてのプログラム>アクセサリ>コマンドプロンプトを右クリック>管理者として実行を選択することで管理者モードとして立ち上がります。

IBUpdaterServiceが実行していた謎のプログラムがこれ



あとはIBUpdaterServiceが実行していたプログラムを手動で消去します。場所はC:\Windows\System32でアプリケーション名はdmwu.exeです。
dmwu.exeはアンインストール時に消去されるようになったようです。

これでPCからIncredibar Toolbar関連のデータが完全に消去されました。

この対処法を見つけるまで3時間は無駄に消費されました、休日というのにもう最悪です。

ともあれIncredibarには要注意です、感染したらすぐに削除しておいた方がいいでしょう。