※2013年3月9日加筆
こんなポップアップが出てきて出てきて止まらない!(泣
と、相談がありました。<相談がありました<ここ大事!<オレじゃないってば!!ww
所謂ワンクリック詐欺ですね。
世界的に見て、日本固有の症状らしいです。
なので一般的なウイルス対策ソフトでも検出されず
実際、海外製有名ソフトでさえ・・・とのこと。
なんで対応がされていないかと言うと
これウザイんだけど、PCに直接不具合起こすわけでもなく
また、他に感染させるとかの動作もないのがキモ。
気にさえしなけりゃ、放置でもOKなわけでwww
後ろめたい事をポチッちゃった人が、ビビッてお金払ったり
相手先に連絡して、自分からカミングアウトとかしちゃうダケ。
カモネギだわね。
絶対お金払ったり、連絡取っちゃだめです!これはれっきとした詐欺です!
んで、退治してみたんで下に書いときます。
(内容はレジストリの削除などしますので、試される方はくれぐれも自己責任でお願いします。)
残念な事になる前に、ちょっとだけ注意すれば回避できたかもね~!
ということもあります。
これってエロ動画とかのダウンロードで感染?します。
その場合動画のファイル名が”ほにゃらら.wmv”とかなってます。
そして、なぜか動画のダウンロードなのにインストールを促します。
実はこのファイル、”ほにゃらら.wmv"のあとに".exe"もついてるんです。
wmvファイルに偽装してるんですわ。
もぉエロエロモード全開で、早く見たくて、細かい事気にしないで
インストールのダイアログで『はい』って押しちゃってるんですね。
自爆です。
もぉひとつ。
ファイルサイズも動画にしてはありえないくらい小さいはずです。
そこもエロエロモード全開なんで見えませんでしたね。タブン
まぁ、やられてしまったものは仕方ない。退治しましょう!
*********************************************
ここから検証と退治です。
(OSはWindows Vistaです、他のOSでは同じになるかわかりません)
PCを起動すると、デスクトップにアイツが登場します。
まずはタスクマネージャを見てみましょう。
こいつのようです。
次に「プロセスの表示」で何者か見てみました。
ここで出ました「mshta.exe」。
これ自体はWindows標準の機能です。
まぁ、これを停止させるとポップアップは消えます。
が!しばらくするとまた登場します!
ウザッ!
PC起動時に自動で登場するので、スタートアップを見てみましょう。
いた、mshta.exeから始まり以降にURLが続くニクイやつです。2個も。。。。。
チェックボックスのチェックを外して、適用を押してもまたチェックが勝手につきます。はて
チェックを外してOKで再起動をかけてみても、当然アイツが出てきます。
次にレジストリを覗いてみました。
「HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run」に2個と
「HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥RunOnce」に1個
こいつらを削除しました。
(ほかの場所にもいることがあるので、「mshta.exe http://」などで検索をかけるのも手です。)
これで退治終了~♪
再起動しました。
こいつも再起動しました・・・。え~ToT
もう少し調査しましょう。
どうも時限爆弾が仕込んであるようです。
タスクスケジューラの中にもいました。
こいつが時限装置です。
レジストリで消しても、「10分間ごとに 無期限にくりかえします。」だ、そうです。
一応こいつと関連のある「.hta」ファイルも見つけておきましょう。
ゴミ箱にいました。
持ち主が、慌ててその時の身に覚えのある動画と一緒にゴミ箱に削除したようです。
(エロ動画も5個ほどありました。アハハハハ)
これも削除です。
これで、ゾンビのように消しても消しても出てくる
ポップアップは2度と姿を現すことはなくなりました。メデタシメデタシ
****************************
2013年3月9日
mshta.exe削除に関する記事を追加しました。
以下にリンクです。
mshtaの削除(架空請求詐欺のポップアップ)その後
がんばってやっつけよー!
あったらものすごくウレシイ!
でも無料ってゆーのは悲しいと思いますが・・・
Web上でPCクリニックか・・・。
やり過ぎると商売あがったりだねwww
りえさんなら、もちろん無料で相談受け付けるからおk、メールでもチャットでもw
てか、まずINしろって?
いや、その前に店オープンさせるわ!
Rededit、TaskSchedulerの削除、参考になりました。
でも、まだ出ます。
う~ん、
探すと、TaskSchedulerに、SystemBootという名前で出てます。
これは、見逃すし削除にちょっと躊躇する名前。
敵もさる者・・・
いやいや、検索語句No.1をひた走るmshtaです。
まんまさんだけではないですよっ!
「・・・SystemBoot.lnk」とかなら消しちゃっても問題ないかと。
あと、確認なんですが、隠しフォルダなんかは全て表示してますよね?
結構根深いヤツです、どっかにまだ隠れてるんですよきっと。
もう一度、総点検してみて下さい。同じところに2つ3つと居ることもありますヨ。
まだ未解決なら頑張って下さい!
XPだったからかタスクマネージャにはありませんでしたが、レジストリにはきっちりありました(場所は違いましたが…)。
こちらに書いてあることを一通り試せば何とかなりそうですね。
ためになる情報ありがとうございました。
訪問ありがとうございます。
何かのお役に立てれば幸いです。
更新をさぼってもアクセスが増えてます。
このキーワード最強ですw
駆除、頑張ってください!
この時はレジストリだけでOKでした。
今回はお客さんがWin7で引っ掛かり
このサイトがないと厳しかった。
なんでタイマータスクがレジストリにないの?
レジストリ2か所に2+1(本文の通り)
タイマーに2つ しつこい!!!
ありがとさんでした!!!
感染前に
お役にたててなによりです^-^v
最近やっとメジャーどころも
”MSHTA”に関連付けるものは
監視して削除の対象になってきましたね。
まぁウィルスとかじゃないんでアレですけど。
ウザイですからねぇ~w
これからも手口が巧妙化しそうで困ります^^;
ではではノシシ