知人からワンクリック詐欺の何かに感染してしまったので診て欲しいとのこと。
症状:「○日以内に」云々のダイアログが一定時間ごとに表示される。
OS:Windows10
あらー、やられてしまいましたか。家人から「いかがわしいサイトでも見たんでしょう」と白い目で見られているとのこと、お察しいたします。昨今のweb業界は物騒でありどこからでも危険なインターネッツでありまして、こういうの、どこからでも入り込むから……。
最初、遠隔操作ツールでなんとかしようと思ったんだけれども、UACの暗転画面で途切れたりして、なんかうまくできないので、実際に訪問して対応することに。おかしいな、前はできた気がするんだけど。Windows10になって変わったのかしら。
私が到着してみるまでにいろいろサポートに電話をかけて質問なさったようで。
「メーカーのサポートには『データを別に移して全部再インストール(リストアのことだね)してください』と言われた」とのこと。それは死亡宣告ですね?
もう家人はすっかり「再インストールしかないらしい」とデータバックアップ用のUSBメモリまで持ってくる始末。
まぁメーカーは利用後にインストールされたソフトウェアの個別のトラブルには踏み込まないんだよね、キリがないし。ハードウェアとか、プレインストールのソフトについてなら多少なんとかしてくれるけども。
この程度のヤツに入り込まれたくらいで再インストールとあっては、風邪を治すのに無菌室に入れるみたいなもんで、そりゃ治るだろうけれどもいくらなんでも大げさすぎる。とはいえ、私が駆除できなければ、他に手がないわけで、さてうまくいくかどうか……。
ツールじゃなくても(夢はあふれている)
これについての対応をwebで調べてみると、「ワンクリックウェア削除」みたいなフリーソフトを入れるように指示しているサイトを発見したので入れてみたけれど、結果「異常を発見できませんでした」。えー不満。
これだから「知恵袋」だのカスみたいな情報しかなくて役に立たねぇ。衆合知ならぬ衆合愚だな。もう検索結果からブロックしようかと思うくらいだ。「誰かがものすごい勢いで答える」スレの方がクオリティ高い。
しょうがないのでさらにwebで検索をかける。あれこれ検索してもう無理か……と諦めかけた時に見つけたのがこちらのサイト。
mshta.exe によるワンクリック詐欺対策 : abinのスローITライフ
mshta.exe によるワンクリック詐欺対策 : abinのスローITライフ
ホントに助かりました。文字列の細かい違いはあれども。
タスクマネージャー(Ctrl+Alt+Delete)でとりあえず「プロセス」を眺める
プロセス画面を眺めていると、「MicrosoftWeb」なんとかいうプロセスの下位に無名のプロセスがあるのを発見。こいつだ。止めてやると一時的に画面が消える……ものの、しばらくすると復活してきやがる。だめだ。大元を絶つしかない。
タスクマネージャー(Ctrl+Alt+Delete)の「スタートアップ」を確認する
眺めていくと怪しいフォルダを発見。右クリックでフォルダを開いてみる。先ほどのサイトで書いてあるのと同じ、ProgramDataフォルダにある。
レジストリエディタ(regedit.exe)を起動
レジストリは必ずバックアップを。そして自己責任で!
Windowsメニューを開いてそのまま「regedit」と打つと自動で検索窓に入力されて、regedit.exeが起動する。
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_CURRENT_USERSoftware]
それぞれの中にある、あやしいキーを削除する。
翻って、さきほどProgramDataフォルダの中にあった怪しいデータも削除。
この段階ではまだワンクリック詐欺が起動してくる。データフォルダを削除したのにしつこい奴だ……と思いながら再起動。
再起動するとめでたく削除され、待てど暮らせどあのダイアログは出てこない。
やれやれ安心。
関連URL
mshta.exe によるワンクリック詐欺対策 : abinのスローITライフ
mshta.exe によるワンクリック詐欺対策 : abinのスローITライフ
mshta.exeによるワンクリック不正請求詐欺サイト 月桂樹葉
[EOF]