2009年06月30日

【Malware】「RelevantKnowledge(rlvknlg.exe)」駆除(最終)

 前投稿で解決と思ったのだが、実際には「RelevantKnowledge」は消去されなかった。もうお付合いする気はないので「RelevantKnowledge」を手動で消去することにした。
 しかし、想定に反し「C:\Program Files\RelevantKnowledge\rlls.dll」だけは削除出来なかった。
 クグるとdllのwindows登録が関係の可能性もある様なので「RegSvr32 /u <フルパス>\rlls.dll」の実行をしてみたが、その後も削除出来ない。

 ただ、気になるレジストリの記載として 「HKEY_LOCAL_MACHINE \System \CurrentControlSet \Control \Session Manager\PendingFileRenameOperations」に当方が今回行なったrenameが記録されていることが判った。これ自体は「PendingFileRenameOperations」とは無縁の仕組みの様であり、恐らく、所在の隠蔽を追跡できる様に処理を保留にしているとの記録ではないかと思ったので、取敢えずシャットダウンすることにした。

 結論として、再起動後、「C:\Program Files\RelevantKnowledge\rlls.dll」は消えていた。

 消えた原因が、オンラインスキャンによる処理だったのかどうかは今になっては判らないが、この中に消去のヒントだけは入っているものとは思う。

 尚、レジストリ内の記述はそのままでは消えないので、場合により「RelevantKnowledge」で検索し一つ一つ消すしかないことを申し添えておく。ただ必須はサービスとFirewall。これらは、scコマンドとコントロールパネルのファイヤーウォールで削除出来るのでそちらで対処した。参考迄scコマンドの使い方と処理を以下に付けておく。

Microsoft Windows [Version 6.0.6001]
Copyright (c) 2006 Microsoft Corporation.  All rights reserved.

C:\Windows\system32>sc /?

エラー: 認識されないコマンドです

説明:
        SC はサービス コントロール マネージャやサービスと通信するために使用
        するコマンド ライン プログラムです。
使用法:
        sc  [コマンド] [サービス名] <オプション1> <オプション2>...


        オプションの  は "\\ServerName" の形式です。
        「sc [コマンド]」と入力すると詳細なヘルプが表示されます。
        コマンド一覧:
          query-----------サービスの状態を照会したりサービスの種類ごと
                          に状態を列挙したりします。
          queryex---------拡張されたサービスの状態を照会したりサービス
                          の種類ごとに状態を列挙したりします。
          start-----------サービスを開始します。
          pause-----------サービスに PAUSE 制御要求を送信します。
          interrogate-----サービスに INTERROGATE 制御要求を送信します。
          continue--------サービスに CONTINUE 制御要求を送信します。
          stop------------サービスに STOP 制御要求を送信します。
          config----------サービスの構成を変更します (固定)。
          description-----サービスの説明を変更します。
          failure---------エラー発生時のサービスの動作を変更します。
          failureflag-----サービスの障害動作フラグを変更します。
          sidtype---------サービスのサービス SID の種類を変更します。
          privs-----------サービスの必要な特権を変更します。
          qc--------------サービスの構成情報を照会します。
          qdescription----サービスの説明を照会します。
          qfailure--------エラー発生時のサービスの動作を照会します。
          qfailureflag----サービスの障害動作フラグを照会します。
          qsidtype--------サービスのサービス SID の種類を照会します。
          qprivs----------サービスの必要な特権を照会します。
          delete----------レジストリからサービスを削除します。
          create----------サービスを作成します (レジストリに追加します)。
          control---------サービスに CONTROL コードを送信します。
          sdshow----------サービスのセキュリティ記述子を表示します。
          sdset-----------サービスのセキュリティ記述子を設定します。
          showsid---------任意の名前に対応するサービス SID 文字列を表示します。
          GetDisplayName--サービスの表示名を取得します。
          GetKeyName------サービスのキー名を取得します。
          EnumDepend------サービスの依存関係を列挙します。

        次のコマンドはサービス名を指定しません:
        sc <server> <command> <option>
          boot------------(ok | bad) 最後に行われたブートを前回正常起動時
                          の構成として保存するかどうかを示します。
          Lock------------サービス データベースをロックします。
          QueryLock-------SCManager データベースのロック状態を照会します
例:
        sc start MyService

QUERY と QUERYEX コマンドのヘルプを表示しますか? [ y | n ]:
à

C:\Windows\system32>sc query RelevantKnowledge

SERVICE_NAME: RelevantKnowledge
        TYPE               : 10  WIN32_OWN_PROCESS
        STATE              : 1  STOPPED
        WIN32_EXIT_CODE    : 1077  (0x435)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

C:\Windows\system32>sc delete RelevantKnowledge
[SC] DeleteService SUCCESS

C:\Windows\system32>

WindowsFirewall_Reigai.png  チェック外しで一時無効化、右下の削除で完全消去です。(画面は削除後なので、RelevantKnowledgeの「rlvknlg」はありません。)








 その後、この「RelevantKnowledge」については再発していない。レジストリ情報を覗くと、パッケージ管理のuninstall情報が残したままではいる。別に有害な情報ではないので、何かのついでの折に削除することにしている。  尚、「RelevantKnowledge」の駆除についての記述は、それ程難しくはないかと思いますが、この通りに出来ない方は、一般的な市販対策ソフトで対処して下さい。その大半に試用期間がついていますので、取敢えずは何とかなるでしょう。「RelevantKnowledge」「Relevant Knowledge」「RelevantKnowledge 駆除」「RelevantKnowledge 削除」「rlvknlg.exe」等で検索し、ここにたどり着く方が毎日の様にいらっしゃる様なので、追記して置きます。(2009/7/6)
トレンドマイクロ・オンラインショップ
30日無料体験版  毎年更新より2,630円お得なウイルスバスターDL3年版
シマンテックストア
パソコン3台で使えるセキュリティのノートン ノートン無料体験版

「RelevantKnowledge(rlvknlg.exe)」関係の記事

  1. 【Malware】「RelevantKnowledge(rlvknlg.exe)」駆除(最終)
  2. 【Malware】「RelevantKnowledge(rlvknlg.exe)」駆除法2
  3. 【Malware】地球マークアイコン「RelevantKnowledge(rlvknlg.exe)」現る
 その後も「RelevantKnowledge」に遭遇し、当方のこの頁に行きつく方が毎日の様にいらっしゃいます。当方で起きたことは、とてもマイナーなことと思っていましたが、そうでもない様ですね。それで、改めて関連リンクを調べ以下に掲載して置きますので参考になさって下さい。2008-08-01

参照情報

 既に書いたことと重複しますが、ファイルが削除出来ない理由としては、@利用中または実行中のファイルである場合、A「c:\Program Files」内の様にセキュリティ上一般ユーザのアクセス制限がされている場合、があります。今回の対処で引っかかったのは@である可能性が高く、それを回避する手法として、B「タスクマネージャー」の「プロセス」タブで、該当する実行ファイル名を探し削除するとこであり、再度復活する場合にはCその「サービス」タブの右下の「サービス」ボタンで開き、関係するサービスを停止してから、削除を実行する必要かあります。また、サービス起動はレジストリに記述されており、それを削除するには多少の危険性を伴ないます。取敢えず、その縁を切る手法としてDファイル名やフォルダ名を変えるて断つ手法がありますが、Vista等では、セキュリティ上、一般ユーザでは実際、ローミング側に変更が記述されるだけで無意味だったりしますので、エクスプローラの起動自体を管理者権限で起動する必要があります。一般にエクスプローラはアクセサリーに分類登録されているんだろうけどない場合や探せない場合には「%SystemRoot%\explorer.exe」がその実態なのでそのショートカットを登録後、そのショートカット上で右クリックし「管理者として実行」で起動する必要があります。で、そこ迄やっても、今回の場合、名前変更履歴がレジストリに記録されていて君が悪い。この辺は深追いしていないが、多分セキュリティ上の理由でOSが残しているもので、この記録を悪用するソフトでない限り安全ではないかとは思っている。
 尚、最後に言って置きますが、以上の作業は全て「管理者権限」で実行可能なことで、会社内であれば、一般社員には「管理者権限」を与えていないことが多いので、あなたには出来ないことがあります。また、個人のPCの場合、一般に「管理者権限」ユーザでIDを起こし使っていると思いますが、余り詳しくない人には、厳密にはセキュリティ上好ましくないとも言えます。ご家族で共用されるPCでIDを分けて利用するのであれば出来れば日頃は一般ユーザ権限のID利用とし、問題があったときのみ別途「管理者権限」のあるIDで直接対処、またはその管理者権限で、一般ユーザ権限ユーザIDを管理者権限ユーザに格上げして、そちらで対応します。
 勿論このことは、そこそこの規模の会社でも、利用アプリの管理やセキュリティアップデートのユーザ責任化の為、安易に一般ユーザにPC上のローカル「管理者権限」を与えていることもあるので、駄目だとは言えません。でも、この辺は、そう決めてそうしていることでセキュリティ危険度と対処範囲が変わっており、後はポリシーの問題と片付けるしかないのが、セキュリティ管理の実態です。あなた自信は、お手元1台のPCオーナー過ぎないかも知れませんが、利用する以上、常に利用形態で発生するセキュリティ危険度に併せてポリシーを持って対応する必要があるのです。

 市販のウィルス対策ソフトや当方で紹介している対策ソフトを入れたところでそれですべてが解決する訳ではありません。PC利用により、その網をくぐるものは必ずあることを念頭に、日頃よりPCの動作には気を配り変化を追跡する姿勢でいることをお勧めします。
 この辺は、ここを訪れた方は「RelevantKnowledge」に気付いた方なので大丈夫と思います。全て経験です。どうか頑張って下さい。


 あぁ、そうそう、今回の当方の対処の考え方について、ちょいと触れておきます。

 今回、当方では、インストールシールドによるアンインストール を選択することも可能ではあったがしなかった。それは、インストールシールドについての技術的把握が不充分だから、実行した結果としてステルスにでもなられたらもっと面倒だと思ったこと、そして過去の経験から、普通にアンインストールが失敗するアプリをいくつか経験していたことからそうしたのである。

 結果論ながら、アンインストールが失敗する場合は前述の通り実行中のファイルにおいて発生するが、今回の「RelevantKnowledge」は、サービスで起動する以外にその本体のプロセスの存在を定期監視し落ちていたら再起動をかける仕組みとなっていた(良くサーバ系サービスでとられる一般的手法)ので、その構造を具体的に把握してからでないとアンインストール後も残る可能性を秘めていたことになる。もし、あなたが、普通にアンインストールする場合には、関係する全てのをサービス停止とプロセス終了を見届けてからということになる。インストールシールドに精通していて自信のある方はやってみて是非手順を公開して下さい。完全確実な対処法が提示出来れば、みんなが幸せになれます。宜しくお願いします。  このAdwareの実体は、rlvknlg.exe, rlls.dll, SHNYK.exeの3つなので、そのサービスの自動起動を外し、プロセスを殺し、フォルダ名をRENAMEし、実行出来ない様にしてしまえば、そんなに怖くないかもですね。ここで、ファイル削除を試みるのもいいでしょう。ただ、もしまだ実行中ならば、これらのファイルを削除しようとしても使用中なのでWindowsの挙動として削除出来ません。無事出来れば、まだレジストリにゴミば残りますがほぼ駆除は終わりでしょう。オンラインスキャンでもいいのでそれで再チェックし、その後で、再発防止の為必ず、PCのセキュリティ対応の見直しをしましょう。(2009-11-23追記)  
posted by Mire at 14:24 | Comment(4) | セキュリティ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
参考になり助かりました。

余計な情報だったらすみませんが,IE6ではこのサイトは崩れているようです。

今後もがんばってください。
私も個人的にPythonはやってみたいです。
Posted by tak at 2009年11月24日 13:28
 tak さん、レス有難うございます。「RelevantKnowledge(rlvknlg.exe)」は駆除出来ましたでしょうか。
 当方では、活動開始直後に発見し、プロセスを殺し、サービスを停止し対処したので被害は有りませんでしたが、これって、強制的に【Malware】「RelevantKnowledge」側の外国のProxy経由のNet接続に変更され、Net上のトラフィックの問題でしょうが、PC動作が遅くなるといったことが起きるそうですね。

 また、IEで頁が壊れている件、大変失礼しました。StyleSheetを弄るときにはIEでもチェックしているので大丈夫と思い込んでいて、最近見ていなかったです。

 画像を複数続けると、そのまま横に表示して見えなくなる。
 PREタグの中の空行入力が何故か無視されてしまっている。

 何となく、seesaa側のStyleSheetか何かが原因の様な気になるのだけど、それを吸収出来なきゃ、タダでBlogなんか出来ないので、近日中に直します。ご連絡有難うございました。
IEはシェアは減らしているものの、依然利用者が一番多いのは事実なので絶対ですよね。感謝です。
Posted by mire at 2009年11月26日 11:34
Please be assured that comScore, the parent company of RelevantKnowledge, has invested substantial resources in making our data collection and privacy practices the best they can possibly be. Our company adheres to industry-accepted best practices regarding the collection and secure storage of the data collected by software such as RelevantKnowledge.
comScore is recognized as a leader in the privacy space by organizations such as the OnlineTrust Alliance, where our co-founder Gian Fulgoni was a panelist earlier this year, along with representatives from the FTC and TRUSTe. (link to http://blog.comscore.com/2012/01/comscore_ftc_and_truste_headline_privacy_town_hall.html).
If you have further questions about RelevantKnowledge, please visit our website: http://www.relevantknowledge.com/faq.aspx
Thank you,
RelevantKnowledge Customer Support Team
Posted by zee at 2012年05月02日 22:35
RelevantKnowledge is a market research program. The software is installed with a user's permission and can be uninstalled anytime via the control panel. You can read more about this software at our website http://www.relevantknowledge.com/faq.aspx. The program also offers user rewards for taking part in occasional surveys. In addition, RelevantKnowledge donates a tree for every user's participation. This way the user helps out a good cause. If you have any questions, we encourage you to contact us at https://www.relevantknowledge.com/supportform.aspx

Thank you,

The Relevant Knowledge Support Team
Posted by zee at 2013年03月10日 00:56
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
月額見放題1,000円開始キャンペーンバナー(画像ありver)
紺碧の艦隊 ルパン三世 GREAT CHASE クリックプロモーション
<< 2013年01月 >>
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    
カテゴリ
タグクラウド
ファン
利用中のオープンソース
最近のコメント
最近の記事
過去ログ
QRコード
レガシーなアプリはいかが?
Dell 法人のお客様ページ
  • 【法人様向け】デル、お得なキャンペーン情報
  • 法人のお客様向け ストレージソリューション
  • 法人のお客様向け ネットワークソリューション
  • 【SOHO法人様向け】デル・オンライン広告限定ページ
  • デル-個人のお客様ページ
  • 【個人のお客様向け】デル・オンライン広告限定ページ
  • オンライン広告限定キャンペーンページ
  • ソフトウェア&周辺機器 パソコン工房
    ツートップインターネットショップ(twotop.co.jp) マウスコンピューター/G-Tune
  • ×

    この広告は1年以上新しい記事の投稿がないブログに表示されております。