2010-07-03
消えない入会完了画面を完全削除する方法
■消えない入会完了画面を完全削除する方法
アダルト動画サイトに誘導され、「ご入会完了しました。」「ご入会手続き完了しました。」という料金を請求する画像が表示されたまま削除できない。
「HTAを利用したワンクリック詐欺が流行っている?」では、HTAファイルでトロイの木馬を実行してしまい、請求画面が消えなくなる状況まで紹介しました。
多くのサイトでは、システムの復元の方法を紹介していますが、これはマイクロソフトのページで詳しく説明されていますので、こちらではレジストリエディターによる削除の方法を紹介します。
どちらの方法でもウィルスが感染した場合には有効な方法ですので、どの方法で削除するかは任意となります。
「スタート」→「ファイル名を指定して実行」
→すると「ファイル名を指定して実行」のポップアップが出ます。
→ここの「名前(o):」の右横の入力欄に「regedit」と入力します。
→「レジストリエディター」が立ち上がります。
→上のメニューの「編集」をクリック
→一覧が表示され、「検索」をクリック
→http://elpctchair00.netをコピペまたは入力して「次を検索」をクリック*1 *2
→右の欄にに「該当サイトのurlを含んだコマンドがデータの部分に現れます。
これがHTAファイルを実行したことで自動的に書き込まれてしまった箇所です。
commandは、mshtaで書き込んであるurlにアクセスしてプログラムを実行します。
keyでは、レジストリのRUNに追加することによって、パソコンを起動するたびにIEに常駐、毎回、不正請求画像を表示させるようになってます。
itemもそれぞれ実行させるプログラムを指しています。
DAY、HOUR、MONTH、SECOND、YEARはファイルを実行した日時が書き込まれていて、これを基に画像の中の日時を表示させています。
要は、全て架空請求するために仕込まれた架空請求プログラムなので普通のパソコンには必要ないもので、削除してもパソコンに影響ありません。
上の画像のように、レジストリエディターで検索して右の欄の項目に表示された全ての文字を削除します。
→削除したい箇所にカーソルを合わせ、「編集」→「削除」。
複数行の項目で削除できるものを全て削除します。
→再起動後、msconfigで先ほどチェックを外したhttp://trpllaaadsk0721.net〜の項目がなくなっていたら架空請求自動実行プログラム完全削除成功です。
最後に、サイトからダウンロードしたmovies_adult.htaをゴミ箱に入れ空にして削除して終了です。
これを実行しておくと、消えない画像は以降表示されませんし、残したままだと「システム構成」画面で誤ってチェックを入れてしまい、再度画像を表示させるといった間違いを起こさなくて済みます。
プログラムを動作しなくなる方法として「動画サイトで消えなくなった入会完了画面が表示されなくなる方法」も参考にしてください。
※作業は、自己責任のもとお願いします。
※レジストリエディターは、Windows XP、Windows Vista、Windows 7ともに標準で搭載されてますが、必要箇所以外に触れるとos自体に不具合を起こす恐れがありますのでご注意ください。
※実際に削除を試したサイトはww-xxooxx-ch.net、elpctchair00.net、trpllaaadsk0721.net、e-dugmotomgaz.netですが、拡張子.htaによって実行した不当請求アダルト動画サイトで対応できます。
Permalink | コメント(49) | トラックバック(0) | 23:53 
