※2013年3月9日加筆
こんなポップアップが出てきて出てきて止まらない!(泣
と、相談がありました。<相談がありました<ここ大事!<オレじゃないってば!!ww
所謂ワンクリック詐欺ですね。
世界的に見て、日本固有の症状らしいです。
なので一般的なウイルス対策ソフトでも検出されず
実際、海外製有名ソフトでさえ・・・とのこと。
なんで対応がされていないかと言うと
これウザイんだけど、PCに直接不具合起こすわけでもなく
また、他に感染させるとかの動作もないのがキモ。
気にさえしなけりゃ、放置でもOKなわけでwww
後ろめたい事をポチッちゃった人が、ビビッてお金払ったり
相手先に連絡して、自分からカミングアウトとかしちゃうダケ。
カモネギだわね。
絶対お金払ったり、連絡取っちゃだめです!これはれっきとした詐欺です!
んで、退治してみたんで下に書いときます。
(内容はレジストリの削除などしますので、試される方はくれぐれも自己責任でお願いします。)
残念な事になる前に、ちょっとだけ注意すれば回避できたかもね~!
ということもあります。
これってエロ動画とかのダウンロードで感染?します。
その場合動画のファイル名が”ほにゃらら.wmv”とかなってます。
そして、なぜか動画のダウンロードなのにインストールを促します。
実はこのファイル、”ほにゃらら.wmv"のあとに".exe"もついてるんです。
wmvファイルに偽装してるんですわ。
もぉエロエロモード全開で、早く見たくて、細かい事気にしないで
インストールのダイアログで『はい』って押しちゃってるんですね。
自爆です。
もぉひとつ。
ファイルサイズも動画にしてはありえないくらい小さいはずです。
そこもエロエロモード全開なんで見えませんでしたね。タブン
まぁ、やられてしまったものは仕方ない。退治しましょう!
*********************************************
ここから検証と退治です。
(OSはWindows Vistaです、他のOSでは同じになるかわかりません)
PCを起動すると、デスクトップにアイツが登場します。
まずはタスクマネージャを見てみましょう。
こいつのようです。
次に「プロセスの表示」で何者か見てみました。
ここで出ました「mshta.exe」。
これ自体はWindows標準の機能です。
まぁ、これを停止させるとポップアップは消えます。
が!しばらくするとまた登場します!
ウザッ!
PC起動時に自動で登場するので、スタートアップを見てみましょう。
いた、mshta.exeから始まり以降にURLが続くニクイやつです。2個も。。。。。
チェックボックスのチェックを外して、適用を押してもまたチェックが勝手につきます。はて
チェックを外してOKで再起動をかけてみても、当然アイツが出てきます。
次にレジストリを覗いてみました。
「HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run」に2個と
「HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥RunOnce」に1個
こいつらを削除しました。
(ほかの場所にもいることがあるので、「mshta.exe http://」などで検索をかけるのも手です。)
これで退治終了~♪
再起動しました。
こいつも再起動しました・・・。え~ToT
もう少し調査しましょう。
どうも時限爆弾が仕込んであるようです。
タスクスケジューラの中にもいました。
こいつが時限装置です。
レジストリで消しても、「10分間ごとに 無期限にくりかえします。」だ、そうです。
一応こいつと関連のある「.hta」ファイルも見つけておきましょう。
ゴミ箱にいました。
持ち主が、慌ててその時の身に覚えのある動画と一緒にゴミ箱に削除したようです。
(エロ動画も5個ほどありました。アハハハハ)
これも削除です。
これで、ゾンビのように消しても消しても出てくる
ポップアップは2度と姿を現すことはなくなりました。メデタシメデタシ
****************************
2013年3月9日
mshta.exe削除に関する記事を追加しました。
以下にリンクです。
mshtaの削除(架空請求詐欺のポップアップ)その後
がんばってやっつけよー!