2013年3月28日木曜日

ワンクリックウェアに感染した際の対処法


自宅のPCがワンクリックウェアに感染したようで、ちょっと苦戦したのでメモ書き。。。

ワンクリックウェアとは
いわゆるあれですよ。変なサイトにアクセスしたかなにかでデスクトップに広告がずーっとでてくるやつ。。。それが自宅のPCに入ったしまったようなんです。どういう操作をすればそんなのが入るのか?アンチウィルスソフトは動作しなかったのかな?とかは不明な
んですが、とにかくかかってしまったのはしょうがない。

その正体は
で、この実体は、
  • mshta.exeを利用したHTMLアプリ(ページ)
なんです。WindowsはIEというブラウザと密結合されてますから、 この実行ファイルを消すわけにはいかない。タスクマネージャーでプロセスをみてみると
  • HTML アプリケーション ホスト
というのが実行されているはずです。このプロセスを消せば広告画面は消えるでしょう。しかし、、、また復活するんですよ。復活するというのも、
  • しばらくするとまた出てくる
  • PCを再起動した時にまた出てくる
といった2重の罠があったります。巧妙です。これらはレジストリが書き換えられていたりするらしく厄介です。

解決策
スタートアップ系のところに書き換えられているはずだ、、、と、
  • regeditを使ってmshtaと記述されている箇所で怪しいところを削除
という策をとってみたんですが、やはり出てくるんですね〜。うーむ、手強い。で、ちょっとぐぐってみたらあるんですね。駆除ツールってやつが!!
ボクはこのアプリを利用してみました。インストールしたあと起動一発で原因を特定して、かつ削除をしてくれます(削除ボタンをおして削除)。このソフトが親切なのは、どこのデータを消すのか?というのを教えてくれるところです。上記画面をみてわかるように、ボクが相手をしていたワンクリックウェアは「タスクスケジューラー」もいじってたんですね。そりゃregeditでレジストリ触るだけじゃだめですわ。

ちなみに、トレンドマイクロのサイトにも手動での解決方法が載ってます。
まあとりあえず解決したわけですが、とりあえずいろいろ心配なのでウィルススキャンをしときました。めでたしめでたし。。。っと。

0 件のコメント: