mshta.exe によるワンクリック詐欺対策

アダルトサイト請求画面削除 の依頼をうけました。

ネットで検索し色々調べてみたのですが、思いのほか解決までに時間を要しました。
以下は忘備録です。

1) 駆除作業の妨害になるので、代金請求画面を停止
   タスクマネージャー → プロセスタブ → 「mshta.exe」 をとりあえず停止

2) システム構成 → スタートアップタブを表示する
   あやしいフォルダ C:\ProgramData\mycon がみつかる
d0252835_2044747.jpg

3) 以下のフォルダ内のファイル (mycon内のファイル) をすべて削除しなければならないが
   レジストリを先に削除しなければならないらしい
   (ProgramDataは、隠しフォルダ)
d0252835_20444414.jpg

d0252835_2045234.jpg
   
4) レジストリエディタを起動する
   [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
   の中にある
   "webmycon"="\"C:\\ProgramData\\mycon\\C46IM6F\""
   (ただし、「\483M8M6J\」の数字は、業者がアトランダムに変化させているようなので
   異なる数字+アルファベットの組合せになっているかもしれないが
   「webmycon」が同じなので、これを目安に削除へ)

5) もう1つレジストリを削除する
   [HKEY_CURRENT_USER\Software\Webmycon]
   "userid"="C46IM6F"
d0252835_20452227.jpg
  

6) レジストリの削除が終了したら、C:\ProgramData\mycon ← フォルダ丸ごと削除する

7) 再起動する

今回のケースは、以上の操作でめでたしとなりました。
ネット上に掲載されている方法は ケース by ケース です。
相手をよく調べ、どの方法が有効なのか見極める必要があると痛感しました。
駆除ツールも、時には便利で有効ですが、今回は手作業でじっくり時間をかけて
良かったと思います。
[PR]
by rk2490 | 2015-08-01 21:03 | パソコン | Comments(0)

人生の転機でPC関係の仕事をすることになりましたが、まだまだヒヨッコです。そのほか色んなことを綴っています。


by rk2490