Web Companion なるスパイウェア疑惑のあるソフトの進入を許してしまったため削除しました

本記事
概要
想定される被害
セキュリティソフトについて
詳細
参考

関連記事
補足
進入経路の検証
あとがき

---

概要

1. 通知領域の隠れたインジケーター [1] を表示した際に、知らないアイコン Web Companion を発見
2. Webで検索して「自称アンチスパイウェアのスパイウェア」らしいと分かる [2] [3] [4]
3. 普通の方法ではアンインストールできないため、専用ソフト [5] を使用してアンインストール
4. 進入経路は K-Lite Codec Pack の可能性が高い [6]
5. Web通信速度に影響するとの情報 [4] もあったため測定 [7] してみたが、該当ソフトが活動停止中のタイミングだったためか、明確な影響は確認できず
6. 念のため、該当ソフトがインストールされた以降にログインしたサイトのパスワードを変更
7. 念のためにレジストリでキーワード検索すると大量にヒットしたため、手動で削除（追記）

---

想定される被害（公開後、当日中追記）

ブラウザのSSL通信内容を盗聴するようなスパイウェアらしいので、まず利用しているWebサイトのログインパスワードが、さらに通販を利用していると本名・住所などの個人情報、最悪の場合はクレジットカードの情報までモレている可能性があります。

---

セキュリティソフトについて（翌日追記）

セイキュリティソフトは AVG AntiVirus Free版を使用していますが、これによる該当ソフトの活動ブロックなどはなかったように思います。
反応していれば半月以上もそのまま放置なんてことにはならなかったはずです。

無料版でもスパイウェアに対応しているようですが、定義ファイルの更新タイミングやセキュリティソフトのグレードによって違いがあるかもしれません。

---

詳細

とある作業中に、通知領域のアイコンから終了するソフトを使用していたことがきっかけで、通知領域に知らないアイコンがあることに気付くことができました。
ありがとう、からあげ。

K-Lite Codec Pack に追加ソフトとして含まれていたものをインストールしてしまった可能性が高いです。K-Lite Codec Pack を使っていなくても Web Companion がインストールされていた例もあるようですが、コントロールパネル内「プログラムと機能」で確認するとインストール日が同じだったので、今回はこの経路だと思います。
ちなみに、インストール日から発覚まで半月以上経過しています。

コントロールパネル内「プログラムと機能」から行う普通のアンインストールでは削除できないため、完全に削除するには専用ソフトが必要です。
レジストリを含めて手動で削除する方法が掲載されているサイトもありますが、専用ソフトを使用して削除してみたところ、ソフト名からはたどり着けないレジストリキーもあったため、手動削除は避けるべきです。

ここにあるレジストリキーにはソフト名が含まれていません。
(このブログの仕様により、ここでは全角￥を使用していますが本来は半角です)
HKEY_LOCAL_MACHINE￥SOFTWARE￥Microsoft￥Windows￥CurrentVersion￥Uninstall{省略}

（翌日追記）
専用ソフトを使用してアンインストールしても、削除できないレジストリがあることが判明。これらのレジストリは手動で削除するしかなさそうです。
Internet Explorer の最初に表示されるページや検索エンジンを勝手に書き換えるものも含まれています。
レジストリの変更は、最悪 Windows が起動しなくなる可能性もある行為のため、知識を持った上で自己責任で行ってください。

「lavasoft」「companion」それぞれで検索した結果。

HKEY_CURRENT_USER\Software\Lavasoft HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Lavasoft HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\WebCompanion_RASAPI32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\WebCompanion_RASMANCS HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\WebCompanionInstaller_RASAPI32 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\WebCompanionInstaller_RASMANCS HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WCAssistantService HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\WCAssistantService HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com

テキストボックスを使用すれば半角￥も表示できるため、書き換える手間を省くために、この追記部分ではテキストボックスを使用しています。ただし、環境によってバックスラッシュで表示される場合もあります。
（追記ここまで）

Web通信速度に影響すると記載しているサイトもあったため、アンインストールの前後、および再起動後の３つのタイミングで通信速度を測定してみましたが、明確な差は見られませんでした。
今回は測定時のタスクマネージャ上での該当ソフトCPU使用率が０％だったことと、他のソフト起動状態・他のWebページ閲覧状態などが異なる条件での測定だったこと、参考サイトは他のソフトも同時に削除した条件での測定だったことから、Web Companion 単体での通信速度への影響は不明です。

BNRスピードテスト (ダウンロード速度)

測定タイミング	測定値
アンインストール前	29.44Mbps (3.68MB/sec)
アンインストール後	29.35Mbps (3.67MB/sec)
再起動直後	28.85Mbps (3.61MB/sec)
レジストリ手動削除後（翌日追記）	29.60Mbps (3.70MB/sec)

---

参考

[1] : 情報処理教材
インジケーター（通知領域）

[2] : 町のWeb屋さん
【ウイルス】Web Companionというソフトが知らない間にパソコンに侵入していましたｗｗｗというわけで削除します。

[3] : 初心者のためのワードプレス スクール
Web Companionに侵入されたので駆除しました

[4] : まずは三年続けるべき
【Web Companion】不要ファイル消去したらパソコン速くなった！【JWord】

[5] : 窓の杜
GeekUninstaller

[6] : ｋ本的に無料ソフト・フリーソフト
K-Lite Codec Pack スクリーンショット

[7] : BNRスピードテスト
Download Speed (下り)