朝から、
①ウィルス感染(ワンクリウェアの駆除方法) - パソコン修理日誌 ...
- 5:46②偽セキュリティソフトとワンクリウェアのウイルス駆除方法
を確認。その評価は、
①で、
○ステップ1【Windowsタスクマネージャー】でプロセスを終了させる
△ステップ2【システム構成ユーティリティmsconfig】でスタートアッププログラム
より該当プログラムを外すことは出来なかった。
ファイル名が認識できていない。
×ステップ3【プログラム本体の削除】 ②が出来ていないため、実行不可能
②で
窓の手 で 自動実行を外し、、と、以下の記述を発見!
マジプラ豆知識ブログ mshta.exeを利用した架空請求の対処法
以下抜粋
この手のウィンドウの場合は「Alt+F4」で消えます。
覚えておくといろいろと便利です。
今回は表示させたまま実行ファイルを探します。
これはタスクマネージャを起動して
※タスクマネージャはタスクバーを
右クリックすると表示するメニューから起動できます。
「Ctrl+Alt+Del」からでも起動できます。
プロセスタブを開いてチェック。
いろんな実行ファイルが動いているのですが
怪しいプロセスを順番に止めていきます。
そして「mshta.exe」というプロセスを止めたときにウィンドウが消えました。
この「mshta.exe」が今回の原因なんですが
これが結構な曲者だったのです。
ちなみにこの方のPCには
ウィルス対策ソフトがインストールされていて
定義ファイルも常に最新になっていました。
マイクロソフトアップデートも自動更新されていました。
この状態でウィルスチェックをしても問題なし
「mshta.exe」でネット検索すると
トレンドマイクロのサイトでいろいろと情報を得たので
トレンドマイクロのオンラインスキャンをかけたけど問題なし。
↓参考にしたサイト
HTAを利用したワンクリックウエアの新たな手口
HTAファイル悪用するワンクリ詐欺、巧妙な仕組み明らかに
ちなみにこのPCでは自宅のネットワークに繋いでいません。
今回は私が持っているイーモバイルのデータカード経由で繋いでいます。
ウィルスがいるかも?というPCを既存のネットワークに繋ぐのは危険です。
ウィルスによってはネットワーク上に広がるものも多く
不用意に繋ぐと全滅する可能性があります。ご注意を。
駆除する方法をネット検索するも見つからない。
この「mshta.exe」とは何者なの?
調べると拡張子.htaを実行するためのプログラムのようでした。
ウィンドウズのシステム上のプログラムなので
ウィルススキャン等では引っかからないのでしょうね。
要はこのプログラムを悪用しているhtaファイルがどこかにあって
それを起動時に動かしているようです。
どこで動かしているのか探します。
スタートアップ等に何か無いか見るが異常は無し
「msconfig」でチェックしてみても特に何も異常は無し。
でもどこかで起動時に動かすようにしているはずなんです。
最終手段でレジストリのチェックをしました。
「mshta」をキーワードにレジストリ内を検索した結果
問題のあるアカウントの起動処理にて発見。
さらにそこに実際動いているhtaファイルのアドレスも発見。
レジストリとhtaファイルを削除して再起動。
0 件のコメント:
コメントを投稿