EagleGet 怪しいレジストリ eagleGet.sys、EGMonitor.exe

SC2 2019-02-21

2024-06-13

このサイトを検索 | Search this site

EagleGet 怪しいレジストリ eagleGet.sys、EGMonitor.exe

フリーで利用することができる多機能ダウンローダー EagleGet がインストール時に登録したと思われるあやしいレジストリ情報を見つけました。

eagleGet.sys とEGMonitor.exe です。

私は EagleGet 関連のサービスを削除しているので、Windows サービスを起動しても EagleGet 関連のサービス（eagleGet, egGetSvc）はリストアップされませんが、スタートアップの設定がレジストリキーに残っていました。

なかなかのしつこさですね。

EagleGet をサービスから削除する方法はこちらです。

EagleGet 2.0.4.90 にアップデート後に見つけた怪しいサービスと削除方法（egGetSvc｜Luminati Net Updater） :Scrap 2nd.

レジストリキーの場所

レジストリキーは以下の階層でみつかりました。

\HKEY_LOCAL_MACHINE\SYSTEM\Setup\FirstBoot\Services\

レジストリの値
Key	ServiceName	StartType	Path
eagleGet	eagleGet	3	System32\Drivers\eagleGet.sys
egGetSvc	egGetSvc	4	"C:\Program Files (x86)\EagleGet\EGMonitor.exe" /svc

上記表からわかるように、StartType の値は３（手動）と４（無効）です。

自動:2
手動:3
無効:4

手動または無効になっていたので、プロセスは起動していないと思われますが、２（自動）に値を変更したらサービスから削除していても実行されるのでしょうか？

\Setup\FirstBoot\Services の役割がわからないので、どのような目的で登録されているのか見当がつきません。

Windows サービスに登録されたサービスの初期値を設定するものと仮定すると、このレジストリから実行ファイルを起動することはできないので問題ないように見えます。

悩まず削除

今回は悩むことなく、eagleGet, egGetSvc のキーを削除しました。

EagleGet が使うレジストリなんてどうせロクなものではありません。

あとがき

EagleGet は China 製のダウンローダーです。

China 製の特徴を継承しており、一旦インストールしてしまうとその痕跡がPCのいたるところに残ります。そして、アンインストールしても残ります。

私が検証したバージョンは、EagleGet 関連サービスと一緒に Luminati Net Updater というものがインストールされるようになっていました。

EagleGet は強力なダウンロード機能があります。そして、Chrome 拡張機能も用意されており、ワンクリックで動画をダウンロードできるようになります。

そのトレードオフとしてあやしいサービスを仕込んできます。

危険性を承知で利用するなら EagleGet、ある程度の安全を確保したいなら日本製の TokyoLoader を利用するのがいいのではないかと思います。

EagleGet の記事 (Articles about the EagleGet)