SKYSEAとかいうスパイウェアの削除方法①

社内PCに勝手にインストールされて操作ログを軒並み取得するやっかいなスパイウェア。
そのスパイウェア根絶して、QOLを高めましょう。

１．RegistryFinder（https://registry-finder.com/bin/2.51.0.0/RegistryFinder64.zip）
　　を使ってレジストリでskyseaと書かれたレジストリを削除する
　　※regeditを使っても良いですが、めんどいので・・・。

key列、Value列にSKYSEAと書かれた値があるレコードを削除
（右クリック→Delete from Registry）

2.エクスプローラーよりPC右クリック→管理→左側ツリーのサービスとアプリケーション
→サービスの中の「Swd」を右クリック→プロパティ
→サービスの状態を停止、スタートアップの種類を無効に変更

C:\WINDOWSにある「wds」のフォルダを削除

3.エクスプローラーよりPC右クリック→管理→左側ツリーのサービスとアプリケーション
→サービスの中の「awssm」を右クリック→プロパティ
→サービスの状態を停止、スタートアップの種類を無効に変更

C:\WINDOWSにある「awssm」のフォルダを削除

4.下記のテキストをbatにして起動する。
　※batにしなくても手動で止めて無効にしても良いです
------------------------------------
@echo off

rem サービスを無効にする
sc config "Swd" start= disabled
sc config "awssm" start= disabled
sc config "SCVCabProxySvr" start= disabled
sc config "CompactSvc" start= disabled
sc config "ScvUpdSvc" start= disabled
sc config "CompactSvc" start= disabled
sc config "ScvUpdSvc" start= disabled
sc config "AstExAgt" start= disabled
sc config "ScvSvc" start= disabled
sc config "SCV LogAgentService" start= disabled
sc config "LogSvr" start= disabled
sc config "IceSvc" start= disabled

rem サービス名を設定
set SERVICENAME=Swd
set SERVICENAME2=awssm
set SERVICENAME3=SCVCabProxySvr
set SERVICENAME4=CompactSvc
set SERVICENAME5=ScvUpdSvc
set SERVICENAME6=CompactSvc
set SERVICENAME7=ScvUpdSvc
set SERVICENAME8=AstExAgt
set SERVICENAME9=ScvSvc
set SERVICENAME10=SCV LogAgentService
set SERVICENAME11=LogSvr
set SERVICENAME12=IceSvc

rem サービス停止
net stop "%SERVICENAME%"
net stop "%SERVICENAME2%"
net stop "%SERVICENAME3%"
net stop "%SERVICENAME4%"
net stop "%SERVICENAME5%"
net stop "%SERVICENAME6%"
net stop "%SERVICENAME7%"
net stop "%SERVICENAME8%"
net stop "%SERVICENAME9%"
net stop "%SERVICENAME10%"
net stop "%SERVICENAME11%"
net stop "%SERVICENAME12%"
------------------------------------

それぞれのサービスが死活監視をしているようで、何回かbatをたたいて落としきる。
落ちなければサービスの画面より手動で落とす

５．タスクマネージャを起動しSKYSEA Client View Version 16.1を右クリック
→タスクの終了C:\Program Files (x86)の中にある「Sky Product」を削除
　※この時削除出来なければ、4のサービスが落ちていないもしくは
　　タスクマネージャ上にSKYSEA Client View Version 16.1が残っている可能性がある

６．再起動をして、タスクマネージャのプロセスにSKYSEAと書かれているプロセスが
　　いなくなれば削除完了。

監視社会に終止符。この会社のおかげで、藤原竜也も嫌いになりました。

---

2023年10月15日追記
サービス止めてから何度か、天才システム課から「ログ取れないんですけど！」→「俺：リモートで入れてください～」→「完了しました」→「俺：削除」を繰り返してたが、新バージョンになったので改めてインストールするように依頼があった。
全くインストールする気が無かったが、入れてない最後の社員になったタイミングでインストールw
※てか、みんなどんだけ従順なんだよ

インストール後、結局「ログ取れないんですけど！」って連絡来たけど知らんがな…。

その後、キモいスパイウェアは削除！と試みたが"C:\Program Files (x86)\Sky Product\SKYSEA Client View"のフォルダが何かに掴まれてて削除できなかった。どのサービスかとか調べるの面倒なので下記で対応。

「Windowsマーク」を右クリックして、「ファイル名を指定して実行」を選択します。

1. 「resmon.exe」と入力して「OK」をクリックします。

2. リソースモニターが起動したら、ウィンドウ上部にある「CPU」タブを開きます。

3. 「関連付けられたハンドル」をクリックして展開します。

4. 「関連付けられたハンドル」の「ハンドルの検索」に、「SKYSEA Client View」を入力します。

1. フォルダ/ファイルが検索されます。検索結果が表示されるまでしばらく待ちます。

2. 検索結果の一覧の「イメージ」列に、ファイルを使用しているプロセスが表示されます。

3. 表示されたプロセスを右クリックして「プロセスの終了」を選択します。
   

chromeやoutlookにまで及んでるんだね。キモすぎる。オッサンシステム課がニヤニヤしながら、女子社員の検索履歴とか見てたら地獄だな。

また、フォルダ削除できなくなったので、下記のURLを参考にadministratrsの権限を剥奪してeveryoneにフルコントロール与えて、華麗に削除。
https://path-finder.jp/review/resolve-cannot-delete-folder-problem/