ワンクリ詐欺画面を対処：

世はシルバーウィーク
弊社もカレンダーどおりに５連休。
今日はその二日目の日曜日。
朝、弊社を懇意にしてくださっているお客さんから緊急相談の電話が。

　

仕方ないので行ってみると、Vistaパソコンの画面にはこんな表示が。
　 　 　
あああーーーー

　

　お客さん「閉じてもまた出るし
　　　　　　ＰＣ再起動してもまた出るんだよ」

　

表示の右下には0.01秒単位で急激に減っていくカウントダウンが。
　 　

　

私にしてみりゃ馬鹿らしいが、お客さんはコレに完全に怖がっていた。
ワンクリ詐欺会社の手にまんまとはまっている。

　

タスクバーを見る。
　 　
実行プログラムのタイトルは　www . adult-juice . net

　

Googleで検索してみたら「アダルトジューシーズ」というワンクリックウェアをダウンロードさせる悪質サイトだった。

　
　

ウイルスバスター2009の動作ログを確認してみる。
特に検出情報はない。

　

うん。
事前に感染したトロイの木馬・ウィルス類がワンクリウェアをインストールした可能性は低いな。

　

一応状況を聞いてみる。

　

　お客さん「朝５時、嫁息子が寝ているのを見計らって
　　　　　　エロサイト見てたら、年齢確認が開いた。
　　　　　　そこで１８歳以上を選んだ」
　

　

あー、それがインストール実行ボタンだったんだな。

　

[CTRL]+[ALT]+[DEL]でタスクマネージャを呼び出す。
アプリケーションには何にもない。
プロセスを見る。

　

なんとなく眺める。
　 　
ふと目についたのは「E2IKA8oH.exe」というプロセス
なんとなく、コイツが犯人のような気がする。

　

ＰＣ再起動で料金請求画面が勝手にでるということは、何らか方法でスタートアップに登録されているはずだ。
スタートメニューのスタートアップグループをみるが、それらしいものはない。

　

Regeditでレジストリを確認。
まずスタートアップ登録の定番のレジストリを確認。
￥HKEY_LOCAL_MACHINE￥SOFTWARE￥Microsoft￥Windows￥CurrentVersion￥Run
うーん、怪しそうなものはないな。

　

「E2IKA8oH.exe」でキーワード検索をしてみた。
見つかった。
　 　
場所は
￥HKEY_CLASSES_ROOT￥Local Settings￥SOFTWARE￥Microsoft￥Windows￥Shell￥MuiCache
項目は、
Ｃ:￥ProgramData￥System Database￥E2IKA8oH.exe

　

なんとなく過去の経験が違和感を感じさせる。
なぜ自動起動するような実行プログラムが通常非表示のシステムフォルダ「ProgramData」に？
しかもなぜSystem Databaseなんていうサブフォルダ名の配下に、自動起動するような実行プログラムがあるんだ？

　

System Databaseなどというフォルダ名はあっても不思議はなさそうな名前だが、しかしおかしい！
あくまでも私の経験だが、Databaseなどと名のつくフォルダには文字通りデータベースファイルを格納するのが普通。ましてやWindows起動時に自動実行するようなプログラムを格納するとは思えないのだ。

　

まずフォルダの表示オプションを設定変更。
　全てのファイルとフォルダを表示する　：　選択
　登録されている拡張子は表示しない　：　Ｏｆｆ

　

フォルダＣ:￥ProgramData￥System Databaseを確認。
　 　
フォルダの作成日時は、今日の 05:11
中身のファイルは２つだけ。
　E2IKA8oH.bat
　E2IKA8oH.exe

E2IKA8oH.batをうっかり実行しないように注意しつつメモ帳で開く。
　 　
ファイルの作成日時といい、BATファイルの中身といいとことん怪しい。

　

もうコイツがワンクリウェアであることは間違いないであろう。

　

まずは、タスクマネージャのプロセスでE2IKA8oH.exeを停止させる。

　

お次はE2IKA8oH.exeの起動時実行を妨害してやることにする。
フォルダＣ:￥ProgramData￥System Databaseを、Ｃ：￥ProgramData￥aaaaaSystem Databaseとリネーム。
更にレジストリ￥HKEY_CLASSES_ROOT￥Local Settings￥SOFTWARE￥Microsoft￥Windows￥Shell￥MuiCache 内の、
Ｃ:￥ProgramData￥System Database￥E2IKA8oH.exeを削除

　

ＰＣを再起動してみる。
よし、ワンクリ詐欺画面は表示されなくなったぞ。

　

リネームしていたフォルダ￥aaaaaSystem Database を安心して削除。

　

お次は今後の対策だ。
ウイルスバスター2009を2010にバージョンアップする。
手順はメーカーの注意を守って2009をアンインストールしてから2010のインストールだ。
ウィルスバスター2010のインストールは無事成功。

　

次にエロサイトブロックだ。
ウィルスバスターは有害サイト規制の機能があるが、デフォルトではOffになっている。
これをOnにすれば、更に規制するサイトをカテゴリで指定できる。
以前はお客さんに頼まれて「アダルト」の規制はＯｆｆにしていた。

　

お客さんに規制するカテゴリを相談したところ、もう懲りたのでアダルトも規制Ｏｎとすることに。

　

とりあえずパソコンの対処は終わった。

　

あとは運用の注意だ。

　

・この手の罠はアダルトサイトだけではない。
　ゲームの攻略法サイトやアイドルサイトに見せかけた罠もある。
　ブログのコメントなど一見無難なものにも仕込まれている。
　その場合アダルトサイトを見なくても仕込まれることがある。
・事前の注意も必要だが、感染しても慌てないこと。
・隠ぺいしようとせず相談すること。
・携帯ワンギリ詐欺と同じくお金を支払うと余計犯罪者に付け込まれる。
・これらを、家族全員に注意を促すこと。
　（子供が親に知られたくなくてお金を振り込む例もある）

　

　

　

　

１時間ほどで全ては完了した。

　

お客さんにもいい勉強になったことだろう。
私もいい経験になった。

　

－－－－

　

ワンクリックウェアは頻繁にファイル名や実行常駐方法を変更してきます。
最低でも、総合セキュリティ対策ソフトは導入しましょう。

　

※ウイルス対策ソフトだけでは防げません！

　

また、君子危うきに近寄らず の心がけも大事です。

　 　

---

　 　＜本ブログ内関連記事一覧へのリンク＞ 　 　

ウイルスバスター2010 バージョンアップ失敗例 追記

過去記事「ウイルスバスター2010バージョンアップインストール失敗、こりゃまずい」が関係すると思われる失敗事例がかなり揃ってきたようです。

 

まず、トレンドマイクロ社のウィルスバスター2010無料バージョンアップのページ（ http://virusbuster.jp/vb2010/freeversionup/ ）が色々と更新されたようです。

　
ウイルスバスター2010 手動インストール手順のページの文頭には、
　「ウイルスバスター2009を必ずアンインストール!してください。」

の記述が以前よりも目につきやすくなっていました。

　

また、Trendmicro 最新版ダウンロードのページ（http://www.trendmicro.co.jp/download/）からは、ウイルスバスター2010のセットアッププログラムのダウンロードができなくなっていますね。
これは、「必ずアンインストール」の注意書きを真っ先に読ませたいという意図からだと思われます。

　

過去記事：ウイルスバスター2010バージョンアップ失敗対処その２で記載したトレンドマイクロサポート担当から聞いた手順ですがWebにも公開されていました。
　Trendmicro Q&A　ウイルスバスター2010 のインストールが途中で停止してしまう

　

同業者の方々の事例ブログも増えているようですね。
ウイルスバスター2010をバージョンアップされる方は注意ください。

ウイルスバスター2010バージョンアップ失敗の原因と教訓

過去記事
　＜＜ウイルスバスター2010バージョンアップインストール失敗、こりゃまずい＞＞
　＜＜ウイルスバスター2010バージョンアップ失敗対処その１＞＞
　＜＜ウイルスバスター2010バージョンアップ失敗対処その２＞＞
　
追記記事
　＜＜ウイルスバスター2010 バージョンアップ失敗例 追記＞＞

　

　
＝＝＝　トラブルの原因　＝＝＝
　
ウイルスバスター2009から2010へのバージョンアップが不幸にも同時に２台のＰＣで失敗した理由ですが、どうも旧バージョン（今回は2009）の自動アンインストール失敗にあるそうです。
　
ウイルスバスター2009がある程度最新のアップデートが状態であったなら、2010のバージョンアップ時の自動アンインストールも問題ないそうです。
（古くてもある時期の2009であれば問題はない模様）
　
しかし今回のＰＣは数日ぶりに起動したもので、たまたまウイルスバスター2009のアップデートが数日間行われていませんでした。
　
それと不幸な何らかの要因が重なり、2010のバージョンアップ時の自動アンインストールで失敗し、中途半端に処理の常駐が残ってしまったそうです。
　
　
やはり、ウイルスバスターも大抵のソフトと同じく、旧バージョンはアンインストールしてから最新版インストールが無難なんですね。
たまたま作業時間に余裕なく、また過去成功した実績があったので甘く見ていて失敗してしまいました。
　
　
　
－－私がお勧めするウイルスバスター2010バージョンアップ手順まとめ－－
　
１．ウイルスバスター2010のセットアッププログラムを事前に入手
Trendmicro 最新版ダウンロードのページ（http://www.trendmicro.co.jp/download/）からセットアッププログラムをダウンロードしておく。
とりあえずデスクトップ上でかまいません。
　
もし可能であれば、ウイルスバスター2010のインストールが成功した他のパソコンで残った作業用フォルダ「TISPro_Download_32bit」を丸ごとＣＤ－Ｒにて保存したものを用意しておくと良いでしょう。
　
この時点では2010のセットアップは起動しません。
　
　
２．一応ＬＡＮケーブルを抜いておく
この後、一時的にウイルスバスターが存在しなくなりますので念のため。
　
　
３．普通に旧バージョンのウイルスバスターをアンインストール
コントロールパネル－アプリケーションの追加と削除からでも、スタートメニューのウイルスバスターの中からアンインストールでもお好きな方で。
　
　
４．事前に用意しておいたウイルスバスター2010のセットアッププログラムを実行
ＣＤ－Ｒに保存した作業用フォルダ「TISPro_Download_32bit」があるならば、その中Setupフォルダ内にある「SETUP.EXE」を実行します。
もしくは、デスクトップにダウンロードした「TISPro_Download_32bit.exe」を実行するのでも良いでしょう。
　
　
５．ＬＡＮケーブル挿しなおし
ウイルスバスター2010が常駐を開始したなら、抜いてあったLANケーブルを挿しなおします。
　
　
６．インストール完了後の動作確認
ウイルスバスター2010管理画面を開き、アップデートを実行してみましょう。
処理が行われれば完了です。
　
　
＝＝＝　オマケ　＝＝＝

作業用フォルダ「TISPro_Download_32bit」は、CD-Rで保存しておくと良いでしょう。
トラブル時の対処、最悪ウイルスバスターの強制アンインストールの際にCD-Rから実行できると便利です。
ＵＳＢメモリでは、セーフモードで起動した状態では認識できない可能性がありますので。

ただし、最新版のウイルスバスター更新パックをご購入された場合や、別途ウイルスバスター2010のパッケージがあるなら話は別です。
その場合は付属CD-ROMにウイルスバスター2010の関連ファイルがありますから。

ウイルスバスター2010バージョンアップ失敗対処その２

＜＜前記事：ウイルスバスター2010バージョンアップ失敗対処その１＞＞
　
　
あるお客さんのパソコン２台でウイルスバスター2009→2010無料バージョンアップに失敗しました。
２台目のパソコンで行った対処の方法２を記載します。
　
前記事（対処その１）を行いながら、Trendmicroのウイルスバスタークラブサポートセンターに電話をかけておりました。
２０分ほどで担当の方に繋がり、対処方法を教えていただきました。
　
　
　
１．WindowsXPを普通の手順で起動
やはりＯＳ動作が遅く、更にフォルダへのアクセスができません。
　
　
２．問題プロセスを強制終了
[CTRL]+[ALT]+[DEL]でタスクマネージャ起動。
プロセスの中の「VERCLSID.EXE」を終了させました。
　
　
３．TISTOOL.EXEを使用
タスクマネージャのアプリケーションにて[新しいタスク(N)]をクリック。
作業用フォルダ「TISPro_Download_32bit」内にある障害対処ツール[TISTOOL.EXE]を実行。
強制アンインストールを実行させました。
　
なお、プロセス「VERCLSID.EXE」は一定周期で自動再起動するとのこと。
もしも「３．TISTOOL.EXEを使用」の手順中に「VERCLSID.EXE」が復活していたら、再度終了させるようにとのことでした。
　
　
４．ＰＣ再起動
ＸＰの動作問題なし。
　
　
５．ウイルスバスター2010を再度インストール
作業用フォルダ「TISPro_Download_32bit」のSetupフォルダ内になる「SETUP.EXE」を実行し、ウイルスバスター2010セットアップを起動。
無事セットアップは完了しました。
　
　
６．動作確認
ＸＰを再起動し、ウイルスバスターの正常な常駐を確認。
新種ウイルスへのアップデートも問題ありません。
　
　
－－－
　
ここで記載した方法は、現在Trendmicroでも検証中の方法とのこと。
ですので、他の方が同作業を行って問題が解決しない／更に悪化した！などとなっても弊社では責任を持てませんのでご注意下さい。
　
　
＜＜ウイルスバスター2010バージョンアップ失敗の原因と教訓へ続く＞＞

ウイルスバスター2010バージョンアップ失敗対処その１

＜＜前記事：ウイルスバスター2010バージョンアップインストール失敗、こりゃまずい＞＞
　
あるお客さんのパソコン２台でウイルスバスター2009→2010無料バージョンアップに失敗しました。
　
その対処の方法１を記載します。
　
　
　
２台あるパソコン、その内の１台でまず行った対処方法です。
　
※以下手順はTrendmicroが指定した手順ではありません。
　私と同じことをして悪い結果となっても責任は持てませんのでご注意を！

　
　
１．ＣＤのＯＳをブート
ＸＰをセーフモードで起動してもＯＳ動作が遅く、更にフォルダへのアクセスができません。
　
そこで、作業用に持参していたＣＤブートできるＯＳ（例：Windows PE、もしくは LINUX等）で起動しました。
　
ＸＰの動作が悪いのはウイルスバスターのインストールフォルダ「￥Program Files￥Trendmicro￥　～　」の中のファイルが実行された結果ＯＳ起動に影響を与えていると推測。
レジストリなどの悪影響を覚悟でフォルダ「Trendmicro」を「abcdTrendmicro」にリネームしました。
　
普通にＨＤＤからＸＰを起動させてみましたところ、ＯＳの動作は正常に行えました。
　　
　
２．強制アンインストール
無事ＯＳが動きましたので、ウイルスバスター2010セットアッププログラムの作業用フォルダ「TISPro_Download_32bit」内にある障害対処ツール[TISTOOL.EXE]を実行し、強制アンインストールを実行させました。
再起動。
デスクトップには「リモートファイルロック」のアイコンは残っていましたが、ＸＰは全く問題なく稼動するようになりました。
　
　
３．ウイルスバスター2010を再度インストール
作業用フォルダ「TISPro_Download_32bit」のSetupフォルダ内になる「SETUP.EXE」を実行し、ウイルスバスター2010セットアップを起動。
ドキドキしましたが、無事セットアップは終了しました。
　
　
４．動作確認
ＸＰを再起動し、ウイルスバスターの正常な常駐を確認。
新種ウイルスへのアップデートも問題なし。
　
　
パソコンのリカバリーも覚悟していましたが、無事成功です。
　
　
　
＜＜ウイルスバスター2010バージョンアップ失敗対処その２に続く＞＞