FC2ブログ

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

mshta.exeを利用した架空請求の対処法

某店長よりの依頼。
※記事の順番を少し変えています。

依頼は完了したのですが
備忘録としてその時の処置内容を残しておきます。
※今回は画像を保存していないので文字だけです。


数日前のことです。
自宅のノートPCがウィルスにやられたので駆除して欲しいとの依頼。
幸いこの方の自宅と私の自宅は近いので
私の自宅にPCをもってきて預かることにしました。

問題があるのは一つのアカウントだけなのですが
開くと猥褻画像を表示するウィンドウが出てきて
(この時点でネットに繋いでないので画像は映りません)
下のほうカウントがありカウントアップしています。
お金を振り込んでください的な言葉も書いてあったと思います。

典型的な架空請求のウィンドウです。

これはウィルスでは無いのですが悪質です。
でも焦る必要はありません。
表示されても支払う義務はありません。
無視するのが基本です。

IPアドレス等を表示されるケースもありますが
そこから個人情報が解ることは絶対にありません。
こちらから接触しない限り向こうでは連絡手段は無いのです。

しかしこのウィンドウは普通に閉じることができません。
固定されていて移動させることもできません。
だから焦ってしまい連絡する人がいるようです。

この手のウィンドウの場合は「Alt+F4」で消えます。
覚えておくといろいろと便利です。

今回は表示させたまま実行ファイルを探します。
これはタスクマネージャを起動して
※タスクマネージャはタスクバーを
 右クリックすると表示するメニューから起動できます。
 「Ctrl+Alt+Del」からでも起動できます。
プロセスタブを開いてチェック。
いろんな実行ファイルが動いているのですが
怪しいプロセスを順番に止めていきます。
そして「mshta.exe」というプロセスを止めたときにウィンドウが消えました。

この「mshta.exe」が今回の原因なんですが
これが結構な曲者だったのです。

ちなみにこの方のPCには
ウィルス対策ソフトがインストールされていて
定義ファイルも常に最新になっていました。
マイクロソフトアップデートも自動更新されていました。

この状態でウィルスチェックをしても問題なし
「mshta.exe」でネット検索すると
トレンドマイクロのサイトでいろいろと情報を得たので
トレンドマイクロのオンラインスキャンをかけたけど問題なし。

↓参考にしたサイト
HTAを利用したワンクリックウエアの新たな手口
HTAファイル悪用するワンクリ詐欺、巧妙な仕組み明らかに

ちなみにこのPCでは自宅のネットワークに繋いでいません。
今回は私が持っているイーモバイルのデータカード経由で繋いでいます。
ウィルスがいるかも?というPCを既存のネットワークに繋ぐのは危険です。
ウィルスによってはネットワーク上に広がるものも多く
不用意に繋ぐと全滅する可能性があります。ご注意を。

駆除する方法をネット検索するも見つからない。
この「mshta.exe」とは何者なの?
調べると拡張子.htaを実行するためのプログラムのようでした。
ウィンドウズのシステム上のプログラムなので
ウィルススキャン等では引っかからないのでしょうね。

要はこのプログラムを悪用しているhtaファイルがどこかにあって
それを起動時に動かしているようです。

どこで動かしているのか探します。
スタートアップ等に何か無いか見るが異常は無し
「msconfig」でチェックしてみても特に何も異常は無し。
でもどこかで起動時に動かすようにしているはずなんです。

最終手段でレジストリのチェックをしました。
「mshta」をキーワードにレジストリ内を検索した結果
問題のあるアカウントの起動処理にて発見。
さらにそこに実際動いているhtaファイルのアドレスも発見。

レジストリとhtaファイルを削除して再起動。
無事に架空請求の画面は出なくなりました。
一応半日以上経過してから起動しても再現しなかったので
時限装置で復活するものでは無さそうなので終了としました。


ネットでこの件に関していろいろな情報がある割に
駆除方法を書いてあるページが見つからなかったので
この件に関して困っている方の参考になれば幸いです。

コメント

非公開コメント

No title

参考になりました
ありがとうございます

No title

ありがとうございました。助かりました。

No title

実際はどこなんですか?

Re: No title

> 実際はどこなんですか?
このコメントだと・・・何をお答えしたらいいか悩みます^^
レジストリのことかな?
レジストリに関して全く知識が無いのであれば
下手に手を出すとPCが動かなくなることもあります。
解る人がいるのであれば上の文章だけでも解ると思うので
具体的に書くのを控えているのです。ご了承ください。

下にレジストリ操作法のページを貼っておきます。
ちょっと古いけど基本的には同じだと思います。
http://www.higaitaisaku.com/regedit.html
これを読んでも解らない場合は・・・止めた方がいいです。

レジストリ操作に関しては自己責任でお願いします。

No title

私も同様の症状なのですが、レジストリにも問題のファイルがありません

どうすれば発見できるのでしょうか?

Re: No title

> 私も同様の症状なのですが、レジストリにも問題のファイルがありません
>
> どうすれば発見できるのでしょうか?
まず確認なのですが・・・
そのウィンドウはタスクマネージャで「mshta.exe」というプロセスを
消すことで消えるのでしょうか?
消えなければ・・・ちょっと違う症状かもしれません。
消えた場合は同様の症状と思われます。

管理者権限のあるアカウントで作業は行っているでしょうか?
権限が無い場合レジストリ値の操作は、できなかった気がします。
その辺りも確認ください。

レジストリ操作は書いてしまうと簡単です。(※XPの場合)

スタート→ファイル名を指定して実行→
「regedit」と入力してok→レジストリエディタが開く
→上の編集から検索を選ぶ
→検索する値に「mshta」と入力(下の検索対象は全部onでいいです)して次を検索

大抵どこかのアカウントのスタートアップにmshtaが見つかると思います。
そこのデータ欄にhtaファイルのアドレスも載っていると思われます。
見つからない場合は次を検索を繰り返してください。

見つけたら上記で見つけたhtaファイル自体を削除するのと
レジストリ値を削除してしまえば表示されなくなるはずです。
※レジストリ値の削除には細心の注意をはらってください。



No title

XPの場合がかかれているのですが、Windows7のをおしえていただけませんか?

Re: No title

> XPの場合がかかれているのですが、Windows7のをおしえていただけませんか?
今回はこちらにWindows7の環境が無いので
Windows7での検証はできません。
ですが・・・基本的に同じだと思います。

架空請求のウィンドウが出ている状態
 ↓
タスクマネージャを開いて「mahta.exe」を止める
 ↓
架空請求のウィンドウが消えたら同症状です。
 ↓
レジストリマネージャを開く
 ↓
「mshta」で検索。見つからなければ次を検索。
 ↓
どこかのアカウントのスタートアップに発見したら
そこに乗っているアドレスにあるhtaファイルを削除と
スタートアップのレジストリを削除
※レジストリの削除は自己責任でお願いします。
 間違って削除するとPC自体が動かなくなる場合もあります。


あと・・・同様ケースを見つけたので貼っておきます。
ttp://fine.cocolog-wbs.com/blog/2010/01/post-ac31.html

Thanks!

ぼくも同じのに引っかかって、タスクマネージャのプロセスでひとつずつ落として、このmshta.exeで例のwindowが落ちるのを見つけました。
localを検索すると、幾つか出てきたので、ひとつだけ消してもNGなのかもしれません。
タスクマネージャのアプリケーションには出てこないので厄介でした。

No title

助かりました。
本当にありがとうございました。

No title

ありがとう、助かりました。

No title

解決できました。
ありがとうございます

No title

職場で魔がさし、やらかしてしまいました。
こちらでご指導いただき、問題解決することができました。
本当に、本当にありがとうございました。

No title

レジストリ内
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
7ではここが多いですね

ありがとうございます。

ありがとうございます。大変参考になりました。
WIN7ですが、スタートだけでなく、消してもまた
表示されるという厄介なものでしたが、
regeditでmshtaを検索して削除し、
例の画面が表示されているときに
タスクマネージャ>アプリケーションの「タスク」に
表示される、"{"から始まる文字列で再度regeditで検索しこれもすべて削除>再起動で解決しました。
ほんっと、この手の詐欺ってなくなりませんね。

大変参考になりました

ちょうど、困っていたところでした。
助かりました。

No title

すいません
間違えてレジストリの値を消さないで
レジストリの左側の項目だけを消してしまったのですが、
どうすればいいのでしょうか?

Re: No title

対応遅くなりましてすいません。

> すいません
> 間違えてレジストリの値を消さないで
> レジストリの左側の項目だけを消してしまったのですが、
> どうすればいいのでしょうか?
左側の項目と言うのはレジストリを消したのでしょうか?
htaファイルを消す前にレジストリだけ消したのかな?
htaファイル自体が残っていてもスタートアップで起動されなければ
表示されなくなるので大丈夫だと思います。

htaファイルを探すのであれば
ファイル検索で拡張しhtaのファイルを探してみては?
「*.hta」等で検索すれば見つかるかもしれません。
見つけたファイルを手動で起動させて
例の架空請求の画面が出てきたらそれを「ALT+F4」で閉じた後に
ファイルごと削除してしまってもいいと思います。

No title

遅くなりましたが、あれからhtaファイルを探すと、
まだありましたので削除したら無事、
広告がなくなりました。
本当にありがとうございました。

No title

ありがとう!!

No title

*.hta でローカルディスク:Cを検索したらよくわからないアプリケーションが出てきて消去したらワンクリック画面無くなりました。
ちなみにwin7です。
このブログで解決できました、ありがとう!

No title

レジストリは削除できましたが、htaファイルが検索しても見つかりません。
他に方法はありますか?

Re: No title

> レジストリは削除できましたが、htaファイルが検索しても見つかりません。
> 他に方法はありますか?
スタートアップのレジストリを削除したのであれば
起動時に架空請求のウィンドウは表示されなくなると思うのですが
現状でも表示されるのでしょうか?

表示されるのであれば、複数設定されてしまっていたか
違うレジストリ値を削除してしまった可能性があります。
もう一度最初からチェックし直した方がいいと思います。

No title

ご返答ありがとうございます。
レジストリの削除が間違っていたのだと思います。
再確認しましたが、分からなかったのでシステムの復元をして解決をさせました。

ご丁寧にご対応いただきありがとうございます。

No title

Windows7で、レジストリやサービスでなく、
タスクスケジューラーに登録されていました。

.htaファイルがない場合、
タスクスケジューラーをご確認することをお薦めします。


Re: No title

> タスクスケジューラーをご確認することをお薦めします。
スケジューラで定期的に
架空請求のウィンドウを表示するのでしょうね。

情報ありがとうございます。
そのうち整理してまとめようかと思います。

あと他の方からも情報提供があったのですが
私自身が検証できない情報だったのと
お名前が実名っぽかったので公開しませんでした。
 ※当ブログでは実名禁止です。
ご了承ください。

感謝!

本当にありがとうございます。
レジストリはよくわからなかったんですが、コメントに助けられました。

「*.hta でローカルディスク:Cを検索したらよくわからないアプリケーションが出てきて消去したらワンクリック画面無くなりました。」というコメです。

ぼくもWIN7なのでできました。

shpbというフォルダにmovie.htaと画像があり、それがポップアップの画像と一致していたので迷わず消せました。

ただ画像は出てこなくなったんですが、何も書いていない真っ白なウィンドウが表示されます。一番上に消した時のアドレスが書いてあるだけのウィンドウです。これはどしたら消えるんでしょうか?

迷いに迷いここにたどり着けるまで時間がかかったので、こんな時間になってしまいました。これを機に反省し、もう馬鹿なことはやめようと決意しました!!逆にいい教訓になったかも(笑)

ちょいと追加情報。

架空請求対処法・・・その2
http://tbk001.blog3.fc2.com/blog-entry-24.html
こちらにも載せたのでチェックしてみてください。

m(_ _)m

とても参考になり、助かりました。
やはり、地元の方は頼りになります。
m(_ _)m

削除できませーん

すみません、私も妙な好奇心をだしたせいでえらい目に遭い困っています。(TДT)
私の場合もタスクマネージャーのプロセスから「mshta.exe」で窓が閉じましたので、同様のものだと思います。VISTAです。

レジストリ内を「mshta」と「.hta」で検索してみると、
窓の右側に「mshta.exe」「mshta.exe,1」など、いくつか出てくるのですが、削除する度にまた同様の物が現れる、または削除しても
「指定された値をすべて削除することはできません」というメッセージが出て削除しきれないようです。

削除の対象はこれらのものでいいのでしょうか、また、削除できない場合はどうすればいいでしょう。

自分のうかつさが恥ずかしいです。orz

Re: 削除できませーん

> レジストリ内を「mshta」と「.hta」で検索してみると、
> 窓の右側に「mshta.exe」「mshta.exe,1」など、いくつか出てくるのですが、削除する度にまた同様の物が現れる、または削除しても
> 「指定された値をすべて削除することはできません」というメッセージが出て削除しきれないようです。
>
> 削除の対象はこれらのものでいいのでしょうか、また、削除できない場合はどうすればいいでしょう。
「mshta.exe」自体はWindowsOSで必要なファイルなので
むやみやたらにレジストリを削除してしまっては
パソコン自体が起動しなくなったりすることもあるので注意が必要です。
消しても復活するものはシステムで必要なものなので触らない方が無難です。

※レジストリは全てを削除してはいけません。危険です。

起動時にウィンドウが立ち上がるケースであれば
上の方のコメントにあるように
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
この場所にあることが多いようです。
ただしVISTAマシンが手元に無いので違うかもしれません。ご了承ください。

これでも解らないようでしたら・・・
解る人(知人or友人など)に頼むか、
OSの再セットアップ(初期化)をオススメいたします。

※システムの復元は個人的にはオススメいたしません。
理由は下記にリンクを貼っておくので興味のある方はどうぞ。

システムの復元の危険性
http://pasofaq.jp/windows/admintools/rstrui.htm

ありがとうございました!!

mshta.exeには触れないようにしながら、
それ以外で検索にひっかかるものをしらみつぶしに探したら、
ありました!!
該当サイトのアドレスが載っているものが3個!!
それを削除したら、窓が出なくなりました。
よかったああああああ。(TДT)

管理人様もお忙しいでしょうに、
私のような要領を得ない質問にも答えてくださり、
心から感謝致します。
本当にありがとうございました。以後、気をつけます。

ワンクリウェア駆除ツール

> 駆除方法を書いてあるページが見つからなかった
4年ほど前からある、超有名な駆除ツールを紹介させていただきます。
≫ワンクリウェア駆除ツール(test版)更新停止中
http://sasi40dx.cs.land.to/

OSにより、実行するファイルが違うので、注意する事。
スキャン終了時、バックボーンでファイルの削除を行っているので、10秒以上待ってからEnterキーです。


最近出たばかりの、Vecterの『ワンクリックウェア駆除ツール』は、rundll32.exeには対応していませんので、消せる確立は20%ぐらいかな?

元祖の方は、90%以上の確率で消えます。

No title

当方、vistaですが、説明の通りregeditで検索をかけたところ、url記載のが2つあったのでそれを消して解決しました。

ありがとうございます。


申し訳ないのですが

今回は、上記の説明にて助かりました。
本当にありがとうございます。
レジストリはよくわからなかったんですが
コメントに助けられました。 あと、参照サイトにも。

上にもあった「ななし」さんと自分も一緒で


>「*.hta でローカルディスク:Cを検索したらよくわからないアプリケーションが出てきて消去したらワンクリック画面無くなりました。」というコメです。

>ぼくもWIN7なのでできました。

>shpbというフォルダにmovie.htaと画像があり、それがポップアップの画像と一致していたので迷わず消せました。

>ただ画像は出てこなくなったんですが、何も書いていない真っ白なウィンドウが表示されます。一番上に消した時のアドレスが書いてあるだけのウィンドウです。これはどしたら消えるんでしょうか?

との質問と全く同じで。
自分もWIN7で
「*.hta」 でローカルディスク:Cを
検索したら、入会時のIDとやらの名前がついたアプリケーションが出てきて
消去したらワンクリック画面が少し大きくなり
ウィンドウ自体真っ白になって表示されるようになりました。

この画面自体は削除できるのでしょうか。
不躾な質問で、申し訳ないのですがお応えいただけますでしょうか。

消えません・・・

すいませんこのブログを発見し、色々と試みているのですが・・・
いくらやっても再起動すると「mshta.exe」がタスクマネージャーに現れてしまいます・・・

*,htaで検索しても出てこず、mshtaで検索すると色んな物が出てきて解らなくなってしまいました・・・

なにか方法はあるでしょうか?

No title

参考になりました。
私もうっかりクリックしてしまいました。
で、調査したところ、とあるサイトから発行されたパスワードと同名の*.HTAファイルが見つかりましたのでそのファイルを削除したところ、表示しなくなりました。
私のPCに強制ダウンロードされたフォルダは次のとおりです。

 C:\Documents and Settings\All Users\Application Data\adhhh

参考になれば幸甚です。

Re: 申し訳ないのですが

白い画面が残ってしまう現象は私は出ていないので検証できないのですが
レジストリのスタートアップに残ったままhtaファイルのみを削除すると
もしかしたらhtaファイルが見つからずに
代わりに白い画面が表示されるのかもしれません。

> レジストリはよくわからなかったんですが
とあるので単にhtaファイルや画像のみを消したように思えます。

> この画面自体は削除できるのでしょうか。
> 不躾な質問で、申し訳ないのですがお応えいただけますでしょうか。
レジストリをチェックして削除できれば消えるかもですが
上に書いてあるレジストリ操作が解らない場合は
解る人に頼むのが無難です。

あとレジストリを操作する場合は
管理者権限のあるユーザーで行いましょう。
制限ユーザーだとレジストリ操作はできないと思います。

※今回のケースだと大丈夫だと思いますが
 基本的にウィルスなどの恐れがある場合は
 ネットワークから切り離してPC単体で
 セーフモード&管理者権限で立ち上げて処理した方がいいです。

あと単純なファイル検索の場合、
隠しファイルやシステムファイルと言う形になっている場合(偽装されているケースもあるかも)
ファイルが見つからない場合があるので注意が必要です。

Re: 消えません・・・

> *,htaで検索しても出てこず、mshtaで検索すると色んな物が出てきて解らなくなってしまいました・・・
これはレジストリを探しているのでしょうか?
mshta.exeがタスクマネージャにあるのであれば
どこかにhtaファイルがあって
それをどこかで実行させているはずなのです。

※mshta.exeはhtaファイルを実行すると起動する
windowsの基本アプリケーションです。
他の拡張子のファイルはmshta.exeに関連付けされていないはずです。

前のコメントにも書きましたが
ファイル検索の場合はファイルが見つからない場合があります。
管理者権限が無い場合やファイル属性が隠しやシステムだと見つからないかもです。

少しまとめます。(WindowsXPにて検証)
確実にレジストリをチェックする場合は、
セーフモードで立ち上げて管理者ユーザーでログイン。
レジストリエディタ(regedit)を立ち上げて「*.hta」を検索。
データ欄にローカルアドレス(c:\からはじまるアドレス)があれば
そのレジストリ値を削除

そのレジストリのデータ欄は下記になっている場合が多いです。
C:\Documents and Settings\All Users\Application Data\~
C:\Documents and Settings\(ローカルユーザー名)\Application Data\~

このレジストリ値を削除するのと
このローカルアドレスをエクスプローラなどで開いて
該当フォルダやhtaファイルを削除する。
※ただし上のフォルダ直下には他のアプリケーションで使用している情報もあるので
 むやみやたらな削除は危険です。ご注意ください。

セーフモードに関しては下記を参照してください。
http://esupport.trendmicro.co.jp/Pages/JP-22227.aspx

No title

10/19 に投稿しました続きです。
前回は
C:\Documents and Settings\All Users\Application Data\adhhh
の中に *.hta,*.jpg,*.dat ファイルを削除したことしか書きませんでしたが、レジストリも削除しなければ再発します。
で、レジストリの中も消します。次のファイルです。

・mshta.exe 
・webadhhh の中身をけします。

上記の「webadhhh」の中身を消さないと「白画面」が表示されます。
以上で完璧です!?
プロセス「mshta.exe」を停止してもなんの効果はありません。

サイトによっては少し違いがあるかもしれませんが...。
まぁ~アダルトサイトにアクセスしないことですかね。
以上です!!

Re: No title

情報ありがとうございます。
で、少しだけ補足として書きますね。

> C:\Documents and Settings\All Users\Application Data\adhhh
> ・webadhhh の中身をけします。
> 上記の「webadhhh」の中身を消さないと「白画面」が表示されます。
ここで書かれている「adhhh」「webadhhh」は
架空請求業者によって違います。いろいろあります。
他の名前になっている場合があるので注意です。

> プロセス「mshta.exe」を停止してもなんの効果はありません。
これは現象を確認する為に止めているだけですからね^^
これを止めることで架空請求のウィンドウが消えるとなれば
大抵は同じ症状なので、同じ対処ができるからです。

No title

色々調べてここにたどり着き、解決しました。
ありがとうございました。

No title

mshta.exeでたどり着き、無事に解決することができました。
助かりました。
本当にありがとうございました!

No title

いろいろ情報を教えて頂いて本当にありがとうございます。とっても助かっています。

ところで、データ欄に
[htaファイルのアドレス]が

IRatingsSystemCollection

となっているのですが、これを探すことができないのですが、、、

ぜひとも教えて頂けないでしょうか?

No title

参考になりました。ありがとうございました。
ちなみに、以下のサイトで問題のような場合の駆除ソフトが紹介されています。
http://sasi40dx.cs.land.to/
私はこのソフトで駆除できました。

No title

とても参考になりました。今さっきかかってしまってすごいあせりました。ありがとうございました。

No title

助かりました。
いやー最初は焦った・・
けど病弱社員さんのおかげでなんとかなりました(^w^)

No title

俺まだわからない><

家族共有だから右下が邪魔・・・

助けて~(´・ω・`)

助かりました

友人がこの詐欺に引っ掛かり、相談を受け本ページを見つけました。
皆様のコメントを参考にしながら、根源と思われる。
「adhhh」のファイルとレジストリ内の「adhhh」に関するものを削除し、
表示はなくなりましたたこれで大丈夫なのでしょうか?

この友人には、以前も同相談を受けてましたが、
全然反省していないようで・・・(汗)

ですが、なんとか現象は収まったみたいですので、
大変助かりました。

格闘中

別のサイトで、タスクスケジューラに入れられている怪しいタスクを消せばいい、とあったので消した所、一時架空請求の画面が出なくなったのですが、1日経ってまた出ました。
このサイトで得た情報を元にレジストリの分かる友人に相談しながら、もう1回取り組んで来ます。ありがとうございます。

ありがとうございました

突然起動時にアダルトサイトが3面も呼び出されるようになり、あわててスキャンしてもそれと思しきものが見つからない。タスクマネージャをみると見慣れないmshta.exeが3つ。・・・
こちらの情報で即解決しました。大変助かりました。ありがとうございました。

追加をすれば

アダルト画面削除方法、参考になりました。1点だけ追加すれば、レジストリの削除をする前に、「システムの復元」を無効にしておかないと、ゾンビのように請求画面が表示されます。これを行ったら、我が家のPCは元の状態に戻りました。ともあれ、ありがとうございました。

No title

ありがとうございました。

No title

子供にパソコンを貸したら、変な画像が表示されて困っていたので、とても参考になりました。ありがとうございました。

No title

昨日、間違ってこの型式のやつになってしまって、
復元で戻しましたけど、正直怖いですね・・・。

復元でもどせば何とかなるかも・・・。

No title

知り合いから頼まれたのですが、どうにもよく分からなくて、このサイトのおかげでなんとか解決することが出来ました。本当にありがとうございました。

No title

参考になりました。
私の場合は、プロセスでチェックは同じで、「mshta.exe」で画面が消えたんで、ファイル検索で「windows」と「system32」に絡んでいました。OSには、システムファイル復元機能がありますので、すべて削除。再起動後ふたたび検索後、再度発生。やはり、レジストリに仕込みがあるようです。同じ方法で削除しました。ですが、一般は意味不明につき、市販されている「superwin utirities」「レジストリブースタ」等使用すれば可能だと思います。
サイトが海外にあるため(ほとんどが)摘発は無理でしょう。
一般の方の、対応策は、「システムの復元」で直りますよ。

No title

助かりましたーー!! ぼくも架空請求のウインドが消えなくて困ってましたので改めてありがとうございます!!

htaファイルでなく php指定

こんばんは。
家族が間違ってアダルトサイトに接続してしまい、あわてて
いろいろクリックしてうちに、画面が消せなくなったと電話があり、
PCの電源OFFを指示。
帰宅後、起動すると起動途中に
「有料動画登録ありがとうございました」の表示とともに
画面が出てきて、これ以上先に起動しなくなりました。
で、タスクマネージャで怪しいプロセスを消していくと、mshtaで
ヒット!
検索して、このブログにたどり着きました。

私の場合、レジスタに登録さていたのは、htaファイルではなく
インターネットサイト上にあるphpファイルでした。
具体的には、
 名前 :www.h○-w○-movie.com
 データ:mshta http://www.r○.com/regist2.php
という感じでした。
この項目を削除し、再起動すると表示されなくなりました。

ありがとうございました。

私も大変困っていたので、助かりました。

しかしながら、これを読んでもいまいち自分では理解できなかったのでPCに詳しい友人と一緒にこのページを読みながら削除に成功できました。

この手のものには、今後気をつけたいですね。

No title

ググってる所ぶらりと寄らせて頂きました
私も架空請求の画面に悩まされて
レジストリとタスクマネージャーで削除しても
再度現れるので苦労してましたが
記事とコメ読んで、タスクスケジューラー見てみれば
有りましたよ。 一応今のところ消えたようなので大変感謝しております

当方 win7
駆除した請求:mhstaタイプ

無事削除出来ました

非常に参考になりました。有り難うございました。
どうやら削除出来たみたいです。

一安心してから、考えてみました。
なぜこの様な悪質な事をやるのでしょうか。人を困らせてうれしいのでしょうか。或いは、どの様な行為をやってもお金を稼ぎたいのでしょうか。なぜ自分で汗水を垂らして働こうとしないのでしょうか。何か、将来の日本が心配でたまりません。このメールを読まれている方々は絶対にそのようなことは無いでしょうが。

それから、今ではWebはPCの知識のない人でも誰でも使えます。この様な行為が平気でまかり通るとすると、今後Webを使う人が反対に減ってくる(怖くて)可能性もあります。まさに時代に逆行する事が行われている事実にも唖然とします。自分で自分の首を絞める行為が果たして良いのでしょうか。人に迷惑を掛けても自分だけが満足する行為は、明らかに社会から非難を浴びるべきと思います。

No title

プロセスでmshta.exeを終了することは出来たんですが、
レジストリで、mshta.exeで検して
  「このキーとそのすべてのサブキを完全に削除しますか?」
っていうところで「はい」の方を押したら
「mshta.exeを削除できません。削除中にエラーが発生しました。」
という表示がでて、削除することが出来ません。

でしばらくすると、
またアダルトサイトの表示が出てきます。
どうすればいいんでしょうか。

No title

今、プロセスをとめて画面は消えたのですが、
ファイルが管理者の了承が必要だとかで削除できませんでした。

レジストリもちょっと怖くていじれないなあ・・
と思ってしまうのですが、このまま放置してしまうとまた請求画面が出てきてしまうのでしょうか?

無知ですみませんがお教え頂けると助かります。

No title

コチラの記事大変参考になりました。ありがとうございます。
私がひっかかったものは、レジストリのranを探して出てきたのは~.vbsでした。
書かれていたアドレスはマイドキュメントだったので、その項目と対象ファイルを削除したら無事に停止してくれました。
htaファイルだけじゃないのですね。

No title

参考にさせていただきました。ありがとうございます。
レジストリエディタで全部探し出しました(汗

ありがとうございました

おかげでずっと出ていたウインドが消えました。
感謝しています。

No title

消せずに困っていました。
ありがとうございます

No title

mshta で hit し、参考になりました。以前、TVでもやっていたが、TVだけに駆除法などなし、注意だけ。さすが、ネットです。参考満載。有難う御座います。

承認待ちコメント

このコメントは管理者の承認待ちです
プロフィール

病弱社員

Author:病弱社員
店舗間情報共有用です。
豆知識なので一般公開します。

※実名書かれると嫌なので
コメントは承認制にしました。

FC2カウンター
カレンダー
04 | 2019/05 | 06
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31 -
リンク
検索フォーム
最新記事
最新コメント
カテゴリ
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。