it's no game

無職で怠け者の日常 ... だったが
記録するのが苦痛になったので更新停止
再開するかどうかは知らん

うっとおしいポップアップの調査

2014-08-04 23:06:26 | Weblog
昨日に引き続いて今日もかな~り(精神的に)消耗した。



昼過ぎ、従兄から(5ヶ月ぶり?)着信があったので何事かと電話してみると ...

エロサイト見てたら知らない内に変なボタンを押してしまったらしく、閉じても閉じても定期的にポップアップ窓が表示され金を払えと催促されているとのこと。



とりあえずポップアップ内のどのボタンも決して押してはならんときつく言い聞かせ、まずはシステムの復元が使えないか聞いてみたものの、有効な復元ポイントが無いとのことで早くも断念。

電話だけでは埒があかないのでリモートアシスタンスを使用して遠隔サポート開始。
実はリモートアシスタンス使うの初めてなんよね(笑)。
最初はググッてはみたもののなんか小難しい説明ばかりで困惑していたところ、単純明快に手順を説明してくれているサイト(ASCIIね)を発見!
で、スムーズに手順を実行 ... となるはずが、従兄の方がまあイロイロとありまして簡単には進まず。
それでもなんとか従兄側のパスワードを聞くところまで到達。 ところが電話で聞いたパスワードを入力しても従兄のPCに接続出来ない。 何度やってみても同じ。 そこでパスワードを表示している画面をカメラで撮影してもらい、そのデータをメールで送ってもらうことにしました。 届いた画像データを見てみると ... 電話で聞いたのと違うじゃんよー。 フォネティックコードを従兄が知ってれば良かったんだけどね。 やっぱり電話で(フォネティックコード抜きで)アルファベットを伝えるのは無理があるよね。

ま、そんなこんなで接続完了。
早速調査開始。

ポップアップが表示されている状態でタスクマネージャを起動。 当該ポップアップを表示しているプロセスを特定してみると「mshta」であることが判明。 タスクマネージャでこのプロセスを強制終了させると確かにポップアップも消えました。
悪さをしているのはこいつかと思ってよくよく調べてみると、どうもこのmshta.exeは元々Windowsのプログラムで、このプログラム自体は問題なさそうな。
というわけでmsconfigでスタートアップを確認。 ところが一覧には「mshta」の姿は無く。 んん?
じゃ、次はレジストリ。 調べてみましたが「mshta」のワードにはいくつかヒットするものの、自動起動されるような設定は見つからず(← と思っていたという ...)。
次はタスクスケジューラー。 ここでも「mshta」は見つからず。


随分簡単に書きましたけど、ここまで約4時間を費やしました(笑)。
一時間ほど犬の散歩と食事の時間を兼ねて休憩。


気を取り直して調査再開。


もう一度「システム情報」からスタートアッププログラムを確認。
すると見るからに怪しいコマンドを発見。
「c:¥programdata¥」の下にフォルダを作成しており、ランダム?な文字列で構成されたコマンドを実行している模様。
msconfigでスタートアップを確認すると ... 同じものがあったあった。
試しにチェックを外し、従兄にPCの再起動を依頼。 ここで一旦遠隔操作が切れるので、従兄にはPCの再起動後、それまで3分毎に表示されていたポップアップが出なくなるかどうか確認してくれとお願い。
しばらく待っていると「ポップアップが出なくなった」と従兄。
犯人はコイツに決定。

これで嫌なポップアップを見ることは無くなったんですが、根本解決はまだ。
書き換えられたレジストリの場所も確認出来ましたが、今日はここまで。


ここまでやったんなら最後までキッチリ掃除しろや! と言うご意見は至極尤もですが、こちらにも色々と言いたいことがありましてね。
気が向けば明日、あらためて従兄に電話して削除までしてもいいかな~、みたいな?



実はこの後、ウィルス対策ソフトについても一悶着あったんですが、もう書くのも嫌な気分なので今日はおしまい。

疲れた、さっさと寝よ。