オンラインゲームに引っ付いてきたnProtect GameGuardの完全除去

シェアする

Voiced by Amazon Polly

Phantasy Star Online 2(PSO2)を試しに入れてみたが、なんとなく合わないこともあってすぐにアンインストールしました。
しかし、このオンラインゲームはインストールし、実行するとOSの一部を改変し、PSO2をアンインストールしてもシステム内に残留し続けます。

広告



nProtect GameGuardについて

平たく言ってしまえば、オンラインゲームでの不正行為を監視するための韓国製ルートキットです。通称nPro。
管理者権限で動作し、コンピューター上で動作するあらゆるプロセスを監視し、nProtect GameGuard自身は隠蔽した状態で動作します。
コンピューター上で不正なチートツールが動作していないか、通信が改変されていないかどうかを調査し、不正が検知された場合は自動的に情報を送信する機能を持つ模様です。

動作だけ書けばマルウェアのような挙動を示しますので、アンチウイルスソフトに誤検知されるような場合もあります。

nProはオンラインゲームをアンインストールしても完全に消えない

nProtect GameGuardに関し、当該オンラインゲームをアンインストールしてもシステムの一部が改変されたままとなる事象があります。
これに関しては、手動で別途対応するかコンピューターをリカバリする必要があります。

手動での除去

これ以降の操作はシステムに改変を加えるため、操作を間違えるとOSが不安定となったり、起動しなくなったりする恐れがあります。
慎重を期し、自己責任で実施してください。
また、nProtect GameGuardを必要とするオンラインゲームが他にインストールされていないことを確認してください。

nProtect GameGuardを手動で除去するには、次の操作を行います。
おおむね、nProtect GameGuardの削除方法 | Blue Prisonerの詞情に記載されているとおりです。

システムフォルダ内のファイルの削除

システムフォルダ内にある、次の2ファイルを削除します。
32bitOS環境: C:\Windows\System32\nppt9x.vxdおよびC:\Windows\System32\npptNT2.sys
64bitOS環境: C:\Windows\SysWOW64\nppt9x.vxdおよびC:\Windows\SysWOW64\npptNT2.sys

タイムスタンプが改変されていますので、タイムスタンプのソートで見つけることは困難です。ファイル名を指定して削除してください。

レジストリキーの削除

レジストリエディタを起動し、次に示すレジストリとそのサブキーをすべて削除します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\npggsvc
コンピューターを再起動し、正常に起動すれば終了です。

自動での除去

自動でこれらのファイルを除去するためのツールとして、gguninst.exeが存在します。しかし、このファイルは信頼できる場所から取得する必要がありますが大っぴらには配布されていません。
現状、信頼でき得る場所としては、サービス終了しているPhantasy Star Online Blue Burstのサイト(http://psobb.jp/)があります。

「※『PSO BB』を完全にアンインストールするには、こちらをご覧ください。」から「クリーンアップ用のアプリケーション」をダウンロードして実行します。これが、gguninst.exeそのものです。
なお、当方で取得時点のファイルサイズは69,632バイト、SHA-256ハッシュ値は3e50257b4b9d8e00b0d7026a74d3b9193ada7e3f939d2fe84211d073f2704d33でした。

実行すると、nProtect GameGuard Uninstaller v1.3が起動し、Registry keys and kernel drivers of GameGuard will be removed. Would you like to continue?と表示されます。問題がなければ、Yesをクリックしてください。
Uninstallation complete.と表示されれば、除去は終了です。

終わりに

ちゃんと原状回復してね。去り際にゴミ残してくのはやめてね(´・ω・`)
(nProが必要なオンラインゲームが複数あった場合にマズいことになるか…)