ウイルスバスター2007 と Spybot Search & Destroy / SpywareBlaster の併用トラブルについて

【追記】ウイルスバスター2008 と Spybot-S&D 1.5 についての追加情報(by 脳脂肪さん)

Spybot-S&D 1.5.1.15 の 免疫のInternet Explorer(32 bit) \SOFTWARE(Domains) は、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains

にキーを書き込み、かつ Undo でもかなりの数の値のないキーのみのゴミを残します。 またVB2008の不正変更の監視はこの部分も監視します。

Internet Explorer(32 bit) \SOFTWARE(IPs)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Ranges
にキーを書き込みますが、これはUndoできれいに消えます。

【追記】うわぁぁ、とんでもない間違いしてました。すみませんすみません。【userwl.dat】ではなく【usrwl.dat】です。

2chの皆様ありがとうございます。

Special fantastic thanks to 脳脂肪さん。(何

【07.6.9追記】最新のプログラムでは、ウイルスバスター2007のインストール時にSpybot - Search & Destroy のアンインストールが実行されますが、これをそのまま実行しても、免疫機能で登録されたレジストリの解除がされない場合もあったので、ウイルスバスターのインストール前に Spybot - Search & Destroy の免疫解除をしておいた方がいいかと。SpywareBlaster についてはチェックされないようですが、これも事前に Protection を解除しておいた方がいいと思います。

尚、Windows Defender については、一時的に無効にするだけで併用は可能なようです(でも、ちょっと不安かな?)。

とりあえず確認してみました。まず、ウイルスバスター2007 をインストールする前に表題ソフトの防御機能無効化及びアンインストールを厚く推奨申し上げます。(トレンドさん曰く、併用むりっぽいです。)

また「不審ソフトウェア警戒システム」を無効にしちゃうってのもありかと。楽になるかも?

【10/22追記】基本的にはどちらかの機能を無効にすれば、アンインストールはせずに併用は可能な筈です(※正確には「併用」とは言えないかも)。

  • Spybot の免疫機能(ホストファイル なども)を無効にする
  • SpywareBlaster の防御機能を無効にする
    • Disable All Protection
    • または、「Restricted Sites」をオフにするだけでもいいのかも?

または、ウイルスバスターの一部の機能を無効にする。

  • 不審ソフトウェア警戒システム(ウイルスバスター2008では「不正変更の監視」)の「Webブラウザのセキュリティチェック」(Spybotホストファイルを設定している場合は「ホストファイル」も)を外す

この設定をしても、エラーが出る場合はレジストリが正常に削除されていない、あるいはウイルスバスターのファイルが壊れている、と考えてよさそうです。

私は Spybot Search & Destroy が入っている状態で普通にウイルスバスターをインストールしてしまいまして下記のような「なんじゃこりゃぁ」(by Y作w)状態となりました。このサービスの機能を重視しない、つまり「不審ソフトウェア警戒システム」がまともに動いていなくても構わない、のであればそのうち修正されるやろうと無視しといていいのかもしれませんが、私は猛烈に憤慨してたりするので(短気は損気でっせ)色々と確認してみました。

PcScnSrv.exe(Trend Micro Protection Against Spyware サービス)のエラー
  • 「不審ソフトウェア警戒システム」の設定操作中にエラーが発生して落ちる
  • 「見つかった変更」画面に何も表示されない
  • イベント ビューアにサービスのエラーが記録される
  • PcScnSrv.exe のタスク マネージャで確認できるモリ使用量が増大する。50〜100MB程(通常は20〜30MB程?)
  • PcScnSrv.exe が暴走(?)している時がある

一旦エラーが発生すると、まともに動かなくなるみたいですねぇ。また、C:\Program Files\Trend Micro\Virus Buster 2007\userwl.datusrwl.dat のサイズが肥大化している場合(20〜30MB)、PcScnSrv.exe がトラブルを起こしているとみていいようですね。サイズオーバーでパンクしてエラー。ファイルがおかしくなったままなので正常に読み込めない・・というかんじでしょうか。一旦この状態になるとuserwl.datusrwl.datを削除しないと回復できなくなるのかも(憶測ですけど)。

【10/9追記】
すみません。userwl.datusrwl.dat は設定・操作時などに初期化(再作成)されるようなので、設定変更すれば削除する必要はないかもしれません。

以下は私がやってみたことのめもです。レジストリの修正など推奨なんかとてもとてもできません(※保証できないので)。ということで参考程度で

設定確認及び変更

やるべきこと
  • C:\Program Files\Trend Micro\Virus Buster 2007\userwl.datusrwl.dat のサイズを確認。100KB程なら多分ですが問題なしと思われます。

肥大化している場合は次の作業。

  1. 不審ソフトウェア警戒システムの「Webブラウザのセキュリティチェック」(Spybotホストファイルを設定している場合は「ホストファイル」も)を外す
  2. Spybot / SpywareBlaster の防御機能(Spybotホストファイル なども)を無効にした後、アンインストールする
  3. レジストリキー(制限付きサイトの登録)が削除されているか確認する。削除されていない場合は手動で削除する
  4. Windows をセーフモードで起動して、C:\Program Files\Trend Micro\Virus Buster 2007\userwl.datusrwl.datを削除する

Spybot / SpywareBlaster を使わないのであれば、Windows 再起動後、不審ソフトウェア警戒システムの「Webブラウザのセキュリティチェック」(「ホストファイル」)を戻す。

Spybot/SpywareBlaster を使いたい場合

あんまり、お奨めできませんが・・・私は一応併用してます。

  • 不審ソフトウェア警戒システムの「Webブラウザのセキュリティチェック」(「ホストファイル」)を外した状態で Spybot / SpywareBlaster をインストール。防御機能を有効にする
  • userwl.datusrwl.dat のサイズを確認

レジストリの確認

レジストリキーが正常に削除されているか確認

※ここから先は「行きはよいよい(何」なので、参考情報として書いておきます。お奨めは致しませんですわ。

※私の環境では、Spybot / SpywareBlaster の防御機能を無効にしてアンインストールしても削除されてませんでした。killbits([HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility])については今回関係なかったよう(?)なので無視しました。すみません。

もし、以下のレジストリキーの下ににドメイン(IPアドレス)ごとのサブツリー(キー)が作成されている場合はすべて削除する。これ以外にもあるかもなので、HKEY_USERSについてはID毎に確認した方がいいかも。

これらは、(※主に)Internet Explorer の「制限付きサイト」の登録です。まとめて消す場合は「信頼済みサイト」の登録も消えますのでご注意(※値(エントリ)のデータが(4)なら制限付き、(2)なら信頼済みサイトです)。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_USERS\S-1-5-21-**********-**********-********-****\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_USERS\S-1-5-21-**********-**********-********-****\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges

エクスポートしたレジストリファイルを編集して実行するか、Domains(Ranges)キーを再作成するとかでしょうか。私は両方試しましたけど、間違うと大変なことになるかもなので、実施する場合はバックアップ(エクスポート)をとった上で自己責任にてお願いします。不安な場合は、(死ぬ程?)時間はかかりますが1つずつ削除した方がいいかもしれません。

ちかれたびちかれたび(こればっかw)。「不審ソフトウェア警戒システム」(ウイルスバスター2008では「不正変更の監視」)を無効にしちゃう方が楽かもしれませんね。以前にはなかった機能なのですから。。

あっと、これだけしても イベント ビューアを見ると Windows 起動時にエラー出してるみたいです。

Trend Micro Protection Against Spyware  サービスは起動時に停止しました。

そのうち治るのかな?なんだかなぁ。

【10/9追記】

Trend Micro Protection Against Spyware サービス」のスタートアップの種類を「手動」にしたらエラーはなくなりました。また、Windows 起動時デスクトップ表示後、アイドル状態になるまでの時間が若干短縮されました。(※もしかした、デフォルト「手動」だったのかも・・・すみません。。っていうか「手動」でいいんでしょうか?)