以前、以下のエントリで、
http://blog.goo.ne.jp/occult00112233/e/c6cc7623e85914eef8d4dbc09bf2ff4a
セキュリティソフトをすり抜けて、勝手にPCの設定を書き換える、ふざけた広告への対処の仕方を書きました。
そして月日は流れ、いよいよ手口が巧妙化して、タスクスケジューラを見ても、どこにあるのか分からない状態になってきました。
もう駄目だ、根本的に対策しよう、というわけで、以下の手順で mshta.exe を使わないように変更しました。
※万一に備えて、ファイル名を書き換える方法です。削除はちょっと怖いので。
このmshta.exeは、ちょっと問題があって、普通には操作できないのです。
おのれ、糞マイクロソフトめ……
①mshta.exeを操作できるよう設定変更する
mshta.exeに対するアクセス権の設定というものがあります。
なんと、こいつには、Administrator権限でも、readとexecしか権限がなく、writeの権限がないのです。
つまり、実行や参照はできるが、変更(すなわちrenameやdelete)ができないという糞仕様……
これを外します。
■スタートメニュー ー すべてのプログラム ー アクセサリ ー コマンドプロンプト
の上で、右クリックしてメニューを出し、「管理者として実行」を選択
コマンドプロンプトのウィンドウが表示され、ウィンドウタイトル左上に、管理者:コマンドプロンプトと表示されます。
■takeownコマンドを実行
takeown /f C:\Windows\System32\mshta.exe
とすると
成功: ファイル (またはフォルダー): "C:\Windows\System32\mshta.exe" は現在ユーザ…(以下省略)
と表示されます。これで準備OK
■エクスプローラーで権限設定変更
エクスプローラーを起動し、C:\Windows\System32にある、mshta.exe で右クリック
メニューから、プロパティを選択
セキュリティタブをクリック
編集ボタンをクリック
グループ名またはユーザー名の一覧から、Administratorを選択
下にあるアクセス許可設定枠で、フルコントロールにチェックを入れ、OK
警告ダイアログが出ますが、無視して続行
■エクスプローラーまたは、コマンドプロンプトで名前変更
mshta.exe を mshta.exe.delete のように変更します
これで、安心ですわ………
【追記2017/7/3】
mshta.exeは、
C:\Windows\SysWOW64
にも居やがるので、要注意ですね。ここも同じく潰すべき
http://blog.goo.ne.jp/occult00112233/e/c6cc7623e85914eef8d4dbc09bf2ff4a
セキュリティソフトをすり抜けて、勝手にPCの設定を書き換える、ふざけた広告への対処の仕方を書きました。
そして月日は流れ、いよいよ手口が巧妙化して、タスクスケジューラを見ても、どこにあるのか分からない状態になってきました。
もう駄目だ、根本的に対策しよう、というわけで、以下の手順で mshta.exe を使わないように変更しました。
※万一に備えて、ファイル名を書き換える方法です。削除はちょっと怖いので。
このmshta.exeは、ちょっと問題があって、普通には操作できないのです。
おのれ、糞マイクロソフトめ……
①mshta.exeを操作できるよう設定変更する
mshta.exeに対するアクセス権の設定というものがあります。
なんと、こいつには、Administrator権限でも、readとexecしか権限がなく、writeの権限がないのです。
つまり、実行や参照はできるが、変更(すなわちrenameやdelete)ができないという糞仕様……
これを外します。
■スタートメニュー ー すべてのプログラム ー アクセサリ ー コマンドプロンプト
の上で、右クリックしてメニューを出し、「管理者として実行」を選択
コマンドプロンプトのウィンドウが表示され、ウィンドウタイトル左上に、管理者:コマンドプロンプトと表示されます。
■takeownコマンドを実行
takeown /f C:\Windows\System32\mshta.exe
とすると
成功: ファイル (またはフォルダー): "C:\Windows\System32\mshta.exe" は現在ユーザ…(以下省略)
と表示されます。これで準備OK
■エクスプローラーで権限設定変更
エクスプローラーを起動し、C:\Windows\System32にある、mshta.exe で右クリック
メニューから、プロパティを選択
セキュリティタブをクリック
編集ボタンをクリック
グループ名またはユーザー名の一覧から、Administratorを選択
下にあるアクセス許可設定枠で、フルコントロールにチェックを入れ、OK
警告ダイアログが出ますが、無視して続行
■エクスプローラーまたは、コマンドプロンプトで名前変更
mshta.exe を mshta.exe.delete のように変更します
これで、安心ですわ………
【追記2017/7/3】
mshta.exeは、
C:\Windows\SysWOW64
にも居やがるので、要注意ですね。ここも同じく潰すべき
