アダルトサイト請求画面削除
HOME
アダルトサイトを閲覧したために料金請求画面が現れて消えないパソコンの修理を依頼されました。 パソコンを起動するとすぐに下のような画面が表示され、×で消しても2,3秒後にまた現れます。 一般的なものは簡単に削除できる場合が多いのですが、今回紹介する事例はどこのサイトにも紹介されていない特殊なケースで、実に巧妙な方法を使用しています。
そして、ウィルス対策ソフトでは全く検出されません。 以下はこの不正プログラム(広い意味でのウィルス)と私との戦いの過程と独り言です。

この手の画面は ALT+F4 で消えるはずです。 とりあえずこれで消えました。
しかしこれはとりあえずの処置で再起動するとまた現れるはずです。 根本原因を見つけなくてななりません。
いろいろ調べていると、 あれ! 数分後またこの画面が現れました。 どうなっているのだろう。 こうなったらタスクマネージャーで消すしかない。

あった! mshta.exeは Windowsの機能の一つで 広告の表示に使われるものだが、こんなものがあるから悪用されるのだ! このファイルを削除してしまえば不正請求画面はあらわれないのだが、このファイルはシステムファイルなので削除しても再起動するとまた復活する。
とりあえずこのプロセスを終了してみる。 消えた! と思っていると数分後にまた復活。 タスクマネージャーを見てみると消したはずの mshta.exe
がまた復活している。 この問題の解決方法があるかどうか、ネットで調べてみたが見つからない。
どうやら新種の不正プログラムらしい。
闘志がわいてきた。何としてもこいつを駆除してやるぞ。 技術屋のサガで、難問に出会うと夜も寝られない。
食事もそこそこに戦いに挑むことにした。
システムの復元を使えば問題はすぐに解決できるのだが、 このシステムの復元ではいろいろな副作用が現れることがある。
それに、根本的な解決にならないし、何としても技術者としてのプライドが許さない。 、
じっくり考えてみる。 消してもすぐに復活するということは、どこかに復活する仕組みが仕掛けられているはずだ。 そうだ、タスクスケジューラだ! 早速タスクスケジューラを開いてみると、 あった!

この二つがあやしい。 それぞれ、起動時と10分毎、3分毎に実行されるようになっている。
削除してみる。 今度は何分待っても現れない。 やった! 成功!
問題はすべて解決したわけではない。 パソコンを再起動したときに再度現れる仕掛けが残っている。 msconfig を開いてみる。

この2つが怪しい。 削除して再起動してみる。 アレー! また現れた! そんなばかな・・・・???○×△!
タスクスケジューラと msconfig を開いてみると削除したはずの記述が復活している! まいった!
しかし、ここで諦めるわけにはゆかない。 じっくり考えてみよう。 どこかに再起動時に記述を復活させる仕組みが隠されているはずだ。 今夜は寝られそうにない。
翌朝寝ぼけまなこで再度挑戦。 念のためにインターネットを切断してパソコンを起動すると、こんどはどこかのサイトに接続しょうとした形跡はあるものの例の画面は現れず、 削除した記述も復活していない。 わかった、起動時にインターネットに接続して不正プログラムを取り込んでいるのだ。 この本体はどこなのだ。
今度はインターネットに接続して再起動してみる。 あれ! 何も表示されない。 削除した記述も復活していない。 治っている・・・・????? わけがわからない?
何度再起動しても同じだ。 とりあえず修理は完了したことになるが、これではますます寝られなくなる。
これでは納得できないので、バックアップを取っておいたレジストリーで再度不正プログラムを復活させることにした。 レジストリーを復元。 再起動。 しめしめ、例の不正請求画面が復活した。 ところで、不正プログラムの根源はどこだ? レジストリーエディターを開き、まさかと思いながら RUN
の隣にある RunOnce を開いてみたら・・・あった! 信じられない!
RunOnce 内の記述はパソコンの起動時に一回だけ実行され、そのあと自己消滅するので通常は空っぽのはずだが、自己消滅していない。 どういうことだ? しばらく考え込む。 そうだ! RunOnce
がタスクスケジューラを書き換えて、そのタスクスケジューラが自己消滅したRunOnceを再び復活させているのだ。 実に巧妙な方法を使っている。 この方法だとウィルス対策ソフトが起動する前にウィルスを取り込むので、ウィルス対策ソフトでも手が出せない。 詐欺師ながらあっぱれなものだ。

上が RunOnce 内の記述だが、左側の RegWrite はレジストリーを自動的に書き換える時に使うコマンドだ。 右側はこのサイトに接続して何かのプログラムをダウンロードすることを表している。 こいつが起動時にレジストリーを書き換えていたのだ。 ここでも mshta.exe
が悪用されている。 これを使えば容易にパソコンを乗っ取れる。 マイクロソフトはなぜこんな危険なものを放置しているのか。 理解できない。
RunOnce内の記述を削除。 他の不正記述もすべて削除して再起動してみる。 何も現れない。 やったー! 成功だ! ざまーみろ、 詐欺師集団め! それにしても、手こずらせられたものだ。 でも、いいか。 俺のスキル向上に役立ったのだから。 今夜はぐっすり眠れるぞ!
ちなみに、この不正請求画面はアダルト動画を閲覧したときにパソコンのレジストリー(設定の保存ファイル)が不正に書き換えられるために現れるものです。 最初は無料視聴と書いておきながら動画を開く前に一応契約書なるものが表示されますが小さな見えにくい文字です。 このような表示による契約は電子商取引法で無効とされています。
これは不正プログラムですが、正確な意味でのウィルスではないのでウィルス対策ソフトでは検出されません。 しかしながら、動画を開く前に Windows や ウィルス対策ソフトが警告画面を表示します。 これを無視して動画を再生すると、この不正プログラムが取り込まれます。 くれぐれもご注意を!
なお、運悪くこの不正プログラムに引っかかった場合でも、絶対に電話したり、お金を振り込んだりしてはいけません。 プロバイダーが協力しない限り相手にこちらの住所や電話番号を知られることはありません。 プロバイダーが協力することは自殺行為ですのでそれもないと思います。
参考 債権回収業者が本当に来るか
★msconfig 、 タスクマネージャー、 タスクスケジューラ、 レジストリーエディターの詳細な操作方法はいろいろなサイトで紹介されておりますので、検索で探してみてください。
★不正請求画面を消すプログラムを売りつけるサイトもありますが、2次被害に会う可能性もありますのでご注意ください。
|