Logicool製品にマルウェア?PowerRegisterの正体

皆さんのPCにPowerReg.datという身に覚えのないファイルが作成されていないでしょうか?Windows XPであれば次の場所にあると思います。

C:\Documents and Settings\<ユーザ名>\Application Data\Leadertech\PowerRegister\PowerReg.dat

Windows VistaやWindows 7なら、こちらの場所を確認してみて下さい。

C:\Users\<ユーザ名>\AppData\Roaming\Leadertech\PowerRegister\PowerReg.dat

これは、LeaderTech社のPowerREGISTERという業務用アプリケーションの一部です。ソフトウェアのセットアップ時に製品登録を促し、顧客データ収集率を高めるというもの。要するにユーザ登録代行システムです。マルウェアでは無い(はず)なのでご安心を。

LeaderTech PowerREGISTER (LeaderTech)

しかし、ユーザの気付かないうちにファイルを書き込み、レジストリにデータを登録することから、世界中のフォーラムで不審物扱いを受けています。インストールされたソフトの動作に不要な存在ですから尚更です。ファイルを丸ごと削除しても問題ありません。また、レジストリの操作に自信がある人は次のエントリーも消してしまうのがいいでしょう。

HKEY_CURRENT_USER\Software\LeaderTech

更に、[スタートボタン]-[スタートアップ]を確認して下さい。"Logicool-製品の登録"と言う項目が追加されていれば、それはPCの再起動毎にユーザ登録を促そうと、Logicoolが仕掛けたPowerRegisterの実行コードです(再登録画面自体は未確認)。

スタートアップに追加されたLogicool-製品の登録

これがスタートアップに登録されている限り、何度でもPowerReg,datとレジストリ項目は蘇って来ます。スタートアップから削除しておくといいでしょう。

このスタートアップショートカットのコマンドを見ると次のように書かれていました。

"C:\Program Files (x86)\Common Files\LogiShrd\eReg\SetPoint\eReg.exe" /remind /language=JPN /_WFM="."

つまり、PowerRegister本体はeRegフォルダ以下に存在します。前述のようにスタートアップから登録解除しておけば、今後起動することはないと思いますが、心配なら本体も削除してしまいましょう。但し、ドライバの実行に悪影響があるかもしれないので、慎重に判断して下さい。

さて、混入経路ですが、私が確認したのは唯1つ。LogicoolのマウスドライバSetPointからでした。LeaderTech社とLogicoolの本社Logitech、両社は紛らわしいほど名前が似ているため、気づかない人が多いかもしれません。残念なことに、2009年8月現在、日本公式サイトからダウンロードしたドライバにもPowerRegisterが採用されてしまいました。ドライバの新規インストール、自動アップデート双方で強制インストールされます。しかも、ドライバをアンインストールしてもスタートアップに登録されたままでした。

LeaderTech社が信用できない。不要ファイルを勝手に作られるのは気持ち悪い。そんな想いを抱いてる方は、この記事を参考にPowerRegisterの削除を実践してみて下さい。

Share