mshta.exe によるワンクリック詐欺対策
アダルトサイト請求画面削除 の依頼をうけました。
ネットで検索し色々調べてみたのですが、思いのほか解決までに時間を要しました。
以下は忘備録です。
1) 駆除作業の妨害になるので、代金請求画面を停止
タスクマネージャー → プロセスタブ → 「mshta.exe」 をとりあえず停止
2) システム構成 → スタートアップタブを表示する
あやしいフォルダ C:\ProgramData\mycon がみつかる
3) 以下のフォルダ内のファイル (mycon内のファイル) をすべて削除しなければならないが
レジストリを先に削除しなければならないらしい
(ProgramDataは、隠しフォルダ)
4) レジストリエディタを起動する
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
の中にある
"webmycon"="\"C:\\ProgramData\\mycon\\C46IM6F\""
(ただし、「\483M8M6J\」の数字は、業者がアトランダムに変化させているようなので
異なる数字+アルファベットの組合せになっているかもしれないが
「webmycon」が同じなので、これを目安に削除へ)
5) もう1つレジストリを削除する
[HKEY_CURRENT_USER\Software\Webmycon]
"userid"="C46IM6F"
6) レジストリの削除が終了したら、C:\ProgramData\mycon ← フォルダ丸ごと削除する
7) 再起動する
今回のケースは、以上の操作でめでたしとなりました。
ネット上に掲載されている方法は ケース by ケース です。
相手をよく調べ、どの方法が有効なのか見極める必要があると痛感しました。
駆除ツールも、時には便利で有効ですが、今回は手作業でじっくり時間をかけて
良かったと思います。
ネットで検索し色々調べてみたのですが、思いのほか解決までに時間を要しました。
以下は忘備録です。
1) 駆除作業の妨害になるので、代金請求画面を停止
タスクマネージャー → プロセスタブ → 「mshta.exe」 をとりあえず停止
2) システム構成 → スタートアップタブを表示する
あやしいフォルダ C:\ProgramData\mycon がみつかる
3) 以下のフォルダ内のファイル (mycon内のファイル) をすべて削除しなければならないが
レジストリを先に削除しなければならないらしい
(ProgramDataは、隠しフォルダ)
4) レジストリエディタを起動する
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
の中にある
"webmycon"="\"C:\\ProgramData\\mycon\\C46IM6F\""
(ただし、「\483M8M6J\」の数字は、業者がアトランダムに変化させているようなので
異なる数字+アルファベットの組合せになっているかもしれないが
「webmycon」が同じなので、これを目安に削除へ)
5) もう1つレジストリを削除する
[HKEY_CURRENT_USER\Software\Webmycon]
"userid"="C46IM6F"
6) レジストリの削除が終了したら、C:\ProgramData\mycon ← フォルダ丸ごと削除する
7) 再起動する
今回のケースは、以上の操作でめでたしとなりました。
ネット上に掲載されている方法は ケース by ケース です。
相手をよく調べ、どの方法が有効なのか見極める必要があると痛感しました。
駆除ツールも、時には便利で有効ですが、今回は手作業でじっくり時間をかけて
良かったと思います。
by rk2490
| 2015-08-01 21:03
| パソコン