<< PREV | PAGE-SELECT | NEXT >>

>> EDIT

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

| スポンサー広告 | --:-- | comments(-) | trackbacks(-) | TOP↑

>> EDIT

アダルトサイトの架空請求を消す方法

ほとんどの男性ならエロサイトを一度くらい見たことがあると思います。

優良なサイトもありますが、中にはアングラなサイトも多数存在しており、ワンクリック詐欺などのトラブルに巻き込まれるケースが後を絶ちません。

最近はWINDOWSの標準機能である"MSHTA.EXE"を悪用したワンクリック詐欺が流行っているみたいです。

具体的な手口としては、無料動画を見せることで誘導し、巧みにHTAファイルをダウンロードおよび実行させます。

HTAファイルの中にはVBAスプリクトが記述されており、レジストリーを改竄します。

仕込まれたPCで以下のような症状がでます。

①パソコンが起動する毎に、"アダルトサイトの架空請求"が表示される。
(スタートアップでMSHTAを起動し、問題のHTAファイルを実行させています。)

②IEを起動するたびに、"アダルトサイトの架空請求"が表示される。
(IEを起動させると同時にMSHTAを起動、問題のHTAファイルを実行させています。)

③上記に限らず表示されるケース
(WINDOWSが実行するTASKとして、問題のHTAファイルを実行させています。)

これで表示された架空請求の画面は動かすことも消すこともできないようになっていると思いますが

「Alt+F4」で消すことができます。

MSHTAはWindows標準のアプリケーションであり、ユーザーがアクションを起こしてインストールされたプログラムとみなされますので、ほとんどのセキュリティーソフトは反応しません。

対処方法

1.MSHTAが起動されて表示されているか確認

「Alt + Ctrl + Delete」でタスクマネージャーを起動します。

"プロセスタブ"のMSHTA.exeを探します。
*MSHTA.exeが実行されていない場合は違う種類の不正プログラムだと考えられます。

2.タスクマネージャーのプロセスタブのMSHTA.exeを選択してプロセスを終了します。
*これで架空請求の画面が消えると思います。

ここからは上記の①、②、③で対処方法が違います。

①パソコン起動時に表示されるケース

3.プログラムの実行(プログラムやファイルの検索)に"MSCONFIG"と入力
"システム構成"を起動→"スタートアップタブ"から問題のHTAを起動させるプロセスのチェックをはずします。

チェックをはずすのはMSHTAやHTAと記述されているプロセスです。
(間違てもチェックをすればもとに戻ります。)

WINDOWS起動時に問題のプログラムを実行しなくなれば成功です。

*ここまでで架空請求はパソコンを起動しても実行されなくなります。
但し、レジストリーの中には不正プログラムの情報が記述されたままの状態になっています。また、不正にインストールされたHTAファイルもパソコンの中に残っている状態かもしれません。

*ここからの対処方法はレジストリーを直接編集する作業です。操作を間違うとパソコンの起動や動作に不具合が生じる可能性があります。内容を十分に理解できる方が自己責任で作業してください。
当方の記事を参考にして操作された場合でも当方では一切の責任は負いかねます。

4.プログラムの実行(プログラムとファイルの検索)に"REGEDIT"と入力
"レジストリーエディター"を起動して,スタートアップの"HTAを起動させるキー"を直接削除します。

具体的なキーの格納場所は
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
または
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_USER\(各ユーザー)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

削除するキーの例としては

○ファイルがPCにダウンロードされている場合は
.htaとなっいるキーを削除
(レジストリーから実際のファイルが格納されているディレクトリーがわかると思います。)

○htaファイル自体はダウンロードされておらず、Web上のPHPにより操作している場合は
mshta http://… php? となっているキーを削除

*上記の動作を終了すると、先ほど"システム構成→スタートアップタブ"でチェックをはずした項目が消えています。

5.HTAファイルがPCに直接ダウンロードされている場合は、上記のキーで確認したディレクトリーにあるHTAファイルを直接手動で削除します。

②IEを起動させると表示されるケース

3."レジストリーエディター"を起動してMSHTAでレジストリー内全体の検索をかけます。

上記同様に問題となるHTAファイルを実行する記述が見つかったらキーを削除します。

4.HTAファイルがPCに直接ダウンロードされている場合は、上記のキーで確認したディレクトリーにあるHTAファイルを直接手動で削除します。

③①②のケースに限らず表示されるケース
C:¥Windows¥System32¥Task 内部に問題のプロセスを実行させる"タスク"を残しています。

1.Taskフォルダー内の問題を発生しているタスクだと推測されるファイルを一旦デスクトップに移動します。

2.問題のプロセスが実行しなくなったことを確認して当該タスクを削除する。
(タスクから実際のファイルが格納されているディレクトリーがわかると思います。)

3.HTAファイルがPCに直接ダウンロードされている場合は、上記で確認したディレクトリーにあるHTAファイルを直接手動で削除します。

参考
http://blog.trendmicro.co.jp/archives/2729

| 架空請求消す方法 | 16:44 | comments:1 | trackbacks:0 | TOP↑

COMMENT

承認待ちコメント

このコメントは管理者の承認待ちです

| | 2011/11/23 23:02 | |















非公開コメント:

TRACKBACK URL

http://rokubaka1.blog.fc2.com/tb.php/31-f6f2d3ca

TRACKBACK

<< PREV | PAGE-SELECT | NEXT >>

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。