ワンクリック不正請求サイトの表示が出る場合(mshtaを利用するタイプ)
ワンクリック不正請求サイトの表示が出る場合の対処
「mshta.exe」と連動するタイプについて、自分なりにまとめてみました。。。
すべての場合に対処できる訳ではないことをご承知おきを。。。
参照サイト:
IPA(情報処理推進機構):コンピュータウィルス110番の窓口有り↓
【注意喚起】ワンクリック請求に関する相談急増!
パソコン利用者にとっての対策は、まずは手口を知ることから!
トレンドマイクロ社↓
HTAを利用したワンクリックウエアの新たな手口
インプレス社「INTERNET Watch」↓
ワンクリ詐欺に新たな手口、PC設定改ざんで請求画面が消えず
画像で見るワンクリック詐欺サイトの新たな手口
他多数のブログサイトの方々_(_ _)_
回避方法1:セキュリティソフトについているツールを利用する
セキュリティソフトには、起動を制御できるツールがついていることがある。
そのツールを使って、該当プログラムを検出し無効化することで、後述する「回避方法3」ができるようだ。
(レジストリからも削除されている模様)
備考:私個人で、確認しているのは、ウィルスバスター2011/Norton N360 4.0。
参照サイトでも挙げているが、ウィルスバスター2009にも付いているようだ。
操作方法の詳細は、セキュリティメーカーへ。
ツールを利用しても、改善されない場合は、「回避方法4」へ。
回避方法2:システムの復元をする
(システムの復元を使うと、戻した日付までにインストールされたソフトが削除されます)
1.重要なデータのバックアップを取る(システムの復元によってデータが消えることがあるため)
2.「スタート」-「すべてのプログラム」-「アクセサリ」-「システムツール」-「システムの復元」
3.「以前の復元ポイントを利用する」もしくは「別の復元ポイントを選択する」にチェックを入れ、「次へ」をクリック
(上記表示がないときは、「次へ」ボタンをクリック)
4.日付の一覧で、現象が起きる前の日付をクリックし、「次へ」をクリック
5.「完了」ボタンをクリック。(Vista/7では最終確認のダイヤログが表示されるので「はい」をクリックする)
回避方法3:システム構成画面の確認
(レジストリの変更を伴うので、自己責任でお願いします)
1.「Windows」キー+「R」キーで、「ファイル名を指定して実行」画面を起動。
2.名前の欄に「msconfig」と入力し、「OK」ボタンをクリック。
3.「スタートアップ」タブをクリック
4.「スタートアップ項目」に「Windows Internet Explorer」または「mshta http://~」の項目を探す。
画像の表示(Windows7)
5.項目が見つかったら、左側のチェックを外す。
(項目がない場合は、「キャンセル」で「システム構成」画面を閉じ「7」番へ)
また、この時に「場所」に書かれている内容を控えておく。
(例:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run や
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 等)
6.システム構成画面を「OK」で閉じる
再起動を促されるので、PCを再起動する。
7.再起動後、「Windows」キー+「R」キーで、「ファイル名を指定して実行」画面を起動。
8.名前の欄に「regedit」と入力し、「OK」ボタンをクリック。
9.レジストリエディタが起動したら、「5」で控えておいた場所を左ペインで辿る。
(「5」で項目がなかった場合には、以下の部分で探す。)
・HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの場合
コンピュータ
+HKEY_LOCAL_MACHINE
+SOFTWARE
+Microsoft
+Windows
+CurrentVersion
+Run
・HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの場合
コンピュータ
+HKEY_CURRENT_USER
+SOFTWARE
+Microsoft
+Windows
+CurrentVersion
+Run
レジストリのサンプル
10.右ペインに表示された内容で、「データ」項目で最後が「~.hta」や、途中に「~.php?~」と表示される項目を削除する
11.レジストリエディタを「×」で閉じ、PCを再起動する。
12.現象が改善しない場合は、「回避方法4」へ。
回避方法4:タスクスケジューラの確認
1.「スタート」-「コンピュータ」を右クリック
2.メニューが表示されたら「管理(G)」をクリック
3.「コンピュータの管理」画面が表示されたら、左ペインで「タスクスケジューラ」をクリック
画像の表示
4.中央の「アクティブなタスク」項目で「タスク名」に表示された名前を確認する。
怪しいものがあれば、その名称をダブルクリックする。
画像の表示
5.中央部上に一覧が表示されたら、怪しい名称の「トリガー」の内容を確認し、数分間で繰り返すような設定であれば、「無効」にする
(名称を右クリックすると、メニューが表示されるので「無効」をクリックします。また、複数表示されることがあるので、同時に「無効」にします)
画像の表示
6.ウィンドウを閉じ、PCを再起動する。
7.不正請求の画面が表示されなければ、「タスクスケジューラ」で「無効」にした項目が原因だったことになる。
「スタート」-「コンピュータ」を右クリック→「管理(G)」をクリックし、「コンピュータの管理」画面を表示します
8.中央の「アクティブなタスク」項目で「タスク名」に表示された名前を確認する。
「無効」に設定した名称をダブルクリックする。
9.中央部上にプログラムの名称が表示されたら、「無効」にしたプログラムを右クリックし、「削除」をクリック
(複数設定した場合には、その項目も削除する)
10.「コンピュータの管理」画面を「×」で閉じ、PCを再起動する。
最後に:
InternetExplorerの「Cookie」「一時ファイル」の削除を行う。
オートコンプリート機能で保存された、サイトアクセス用のID/パスワードが消えることがあります。
その際には、ID/パスワードを利用するサイトにアクセスしたときに、ID/パスワードを再入力する必要があります。
改善されない方へ:
データのバックアップ後に、システムの復元/再セットアップを検討してください。
もしくは、IPA「コンピュータウイルス 110番」へ相談することを検討してください。
ワンクリック不正請求サイトの表示が出る場合の対処
「mshta.exe」と連動するタイプについて、自分なりにまとめてみました。。。
すべての場合に対処できる訳ではないことをご承知おきを。。。
参照サイト:
IPA(情報処理推進機構):コンピュータウィルス110番の窓口有り↓
【注意喚起】ワンクリック請求に関する相談急増!
パソコン利用者にとっての対策は、まずは手口を知ることから!
トレンドマイクロ社↓
HTAを利用したワンクリックウエアの新たな手口
インプレス社「INTERNET Watch」↓
ワンクリ詐欺に新たな手口、PC設定改ざんで請求画面が消えず
画像で見るワンクリック詐欺サイトの新たな手口
他多数のブログサイトの方々_(_ _)_
回避方法1:セキュリティソフトについているツールを利用する
セキュリティソフトには、起動を制御できるツールがついていることがある。
そのツールを使って、該当プログラムを検出し無効化することで、後述する「回避方法3」ができるようだ。
(レジストリからも削除されている模様)
備考:私個人で、確認しているのは、ウィルスバスター2011/Norton N360 4.0。
参照サイトでも挙げているが、ウィルスバスター2009にも付いているようだ。
操作方法の詳細は、セキュリティメーカーへ。
ツールを利用しても、改善されない場合は、「回避方法4」へ。
回避方法2:システムの復元をする
(システムの復元を使うと、戻した日付までにインストールされたソフトが削除されます)
1.重要なデータのバックアップを取る(システムの復元によってデータが消えることがあるため)
2.「スタート」-「すべてのプログラム」-「アクセサリ」-「システムツール」-「システムの復元」
3.「以前の復元ポイントを利用する」もしくは「別の復元ポイントを選択する」にチェックを入れ、「次へ」をクリック
(上記表示がないときは、「次へ」ボタンをクリック)
4.日付の一覧で、現象が起きる前の日付をクリックし、「次へ」をクリック
5.「完了」ボタンをクリック。(Vista/7では最終確認のダイヤログが表示されるので「はい」をクリックする)
回避方法3:システム構成画面の確認
(レジストリの変更を伴うので、自己責任でお願いします)
1.「Windows」キー+「R」キーで、「ファイル名を指定して実行」画面を起動。
2.名前の欄に「msconfig」と入力し、「OK」ボタンをクリック。
3.「スタートアップ」タブをクリック
4.「スタートアップ項目」に「Windows Internet Explorer」または「mshta http://~」の項目を探す。
画像の表示(Windows7)5.項目が見つかったら、左側のチェックを外す。
(項目がない場合は、「キャンセル」で「システム構成」画面を閉じ「7」番へ)
また、この時に「場所」に書かれている内容を控えておく。
(例:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run や
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 等)
6.システム構成画面を「OK」で閉じる
再起動を促されるので、PCを再起動する。
7.再起動後、「Windows」キー+「R」キーで、「ファイル名を指定して実行」画面を起動。
8.名前の欄に「regedit」と入力し、「OK」ボタンをクリック。
9.レジストリエディタが起動したら、「5」で控えておいた場所を左ペインで辿る。
(「5」で項目がなかった場合には、以下の部分で探す。)
・HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの場合
コンピュータ
+HKEY_LOCAL_MACHINE
+SOFTWARE
+Microsoft
+Windows
+CurrentVersion
+Run
・HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの場合
コンピュータ
+HKEY_CURRENT_USER
+SOFTWARE
+Microsoft
+Windows
+CurrentVersion
+Run
レジストリのサンプル10.右ペインに表示された内容で、「データ」項目で最後が「~.hta」や、途中に「~.php?~」と表示される項目を削除する
11.レジストリエディタを「×」で閉じ、PCを再起動する。
12.現象が改善しない場合は、「回避方法4」へ。
回避方法4:タスクスケジューラの確認
1.「スタート」-「コンピュータ」を右クリック
2.メニューが表示されたら「管理(G)」をクリック
3.「コンピュータの管理」画面が表示されたら、左ペインで「タスクスケジューラ」をクリック
画像の表示4.中央の「アクティブなタスク」項目で「タスク名」に表示された名前を確認する。
怪しいものがあれば、その名称をダブルクリックする。
画像の表示5.中央部上に一覧が表示されたら、怪しい名称の「トリガー」の内容を確認し、数分間で繰り返すような設定であれば、「無効」にする
(名称を右クリックすると、メニューが表示されるので「無効」をクリックします。また、複数表示されることがあるので、同時に「無効」にします)
画像の表示6.ウィンドウを閉じ、PCを再起動する。
7.不正請求の画面が表示されなければ、「タスクスケジューラ」で「無効」にした項目が原因だったことになる。
「スタート」-「コンピュータ」を右クリック→「管理(G)」をクリックし、「コンピュータの管理」画面を表示します
8.中央の「アクティブなタスク」項目で「タスク名」に表示された名前を確認する。
「無効」に設定した名称をダブルクリックする。
9.中央部上にプログラムの名称が表示されたら、「無効」にしたプログラムを右クリックし、「削除」をクリック
(複数設定した場合には、その項目も削除する)
10.「コンピュータの管理」画面を「×」で閉じ、PCを再起動する。
最後に:
InternetExplorerの「Cookie」「一時ファイル」の削除を行う。
オートコンプリート機能で保存された、サイトアクセス用のID/パスワードが消えることがあります。
その際には、ID/パスワードを利用するサイトにアクセスしたときに、ID/パスワードを再入力する必要があります。
改善されない方へ:
データのバックアップ後に、システムの復元/再セットアップを検討してください。
もしくは、IPA「コンピュータウイルス 110番」へ相談することを検討してください。
