回答受付中の質問
ワンクリック不正請求のプログラム?
ワンクリック不正請求のプログラム?
恐れ入ります。
昨日、サブで使用しているノートパソコンを起動したら、デスクトップにワンクリック不正請求の画面が出ていました。動かしたり、消す事もできず、タスクマネージャにも表示されないものでした。
msconfig.exe→スタートアップの項目で、“mshta~”のチェックを外したところ画面は表示されなくなりました。
次に削除を試みましたが、regedit.exe→マイコンピュータ→HKEY_LOCAL_MACHINE→SOFTWARE→Microsoft→Windows→CurrentVersion→Run のデータ項目にそれらしいもの(“~hta”?)が見当たりません。
ちなみにノートン・AD-AWARE・Spybotでスキャンしてもヒットしませんでした。
画面を表示させない事はできましたが、埋め込まれた(取り込んでしまった?)プログラムを見つける&削除する事はできないでしょうか? お願いします。
- 補足
- 素早い回答ありがとうございます。やはり現状は停止しているだけなんですね。
currentversion7070さん の回答にあった “HKEY_CURRENT_USER” は何処を調べればよいのでしょうか?
あと、ご紹介頂いたサイトを拝見したところ、私と同じ広告を発見しました!
617のアダルト動画特集のです(ケバいおばさんの^^;)
日時もほぼ一緒なので、同じく引っ掛かった方がいたのでしょうか?
-
- 質問日時:
- 2010/8/6 18:46:17
-
- 残り時間:
- 7日間
-
- 補足日時:
- 2010/8/6 21:04:58
-
- 回答数:
- 5
-
- お礼:
- 知恵コイン
- 100枚
-
- 閲覧数:
- 47
-
- ソーシャルブックマークへ投稿:
- Yahoo!ブックマークへ投稿
- はてなブックマークへ投稿
- (ソーシャルブックマークとは)
回答
(5件中1〜5件)
- 並べ替え:回答日時の
- 新しい順
- |
- 古い順
>>>素早い回答ありがとうございます。やはり現状は停止しているだけなんですね。
停止していれば、htaワンクリックウェアは他に悪さをしませんので、レジストリのゴミをいちいち気にする必要もないです。
レジストリの勉強をしたいのであれば、スタートアップから復活させてレジストリエディタ(windows標準搭載)で、覗くだけなら問題ないでしょう。
レジストリを良く知らない人であれば、右クリックは封印してください。
変にレジストリを編集や削除をすると、Windowsが立ち上がらなくなります。
まぁ、コンピュータは壊しながら覚えるものという考え方もありますがw
私も何度もシステムを壊しましたw
元来分解や破壊が大好きという、性癖もあるのですが・・・
MacもエミュレーションのWindowsも数えきれないくらい壊しまくりました。
>>>あと、ご紹介頂いたサイトを拝見したところ、私と同じ広告を発見しました!
>>>617のアダルト動画特集のです(ケバいおばさんの^^;)
>>>日時もほぼ一緒なので、同じく引っ掛かった方がいたのでしょうか?
htaワンクリックウェア検証委員会会長(勝手に命名)のいぬさんです。
ヴァーチャルPC(WindowsVista)で、わざと感染させて検証し情報を提供してくださっています。
私の師匠で、夢なら助け合い掲示板エロ(色)付き大文字の信頼できるアドバイザーでもあります。
もう1人のhtaワンクリウェア専門家、イカさんの掲示板でも活躍されています。
こぐまねこ帝国の掲示板でも活躍されています。
いぬさんの掲示板では質問は受け付けていませんので、詳しい事を知りたかったら、イカさんの掲示板に質問してください。
イカさん、いぬさん、Salaさん、私が可能な限りお答えできると思います。
私はお茶汲み係なので、連絡調整くらいにしか役に立てないです。
何しろ画像を見れば分かると思いますが、6色林檎を齧っているのでw
同じお茶汲み係のハクション大魔王1号さんへ
馬鹿の対応に疲れてしまいました。
暫くセキュカテより撤退いたします。
これからも誘導を宜しくお願いいたします。
イカ産地の誘導後は、私がお茶汲みをさせていただきます。
ご負担をおかけして申し訳ないですが、これからも宜しくお願いいたします。
なにか連絡があればこちらまで。
dokmai@yumenara.com
- 違反報告
- 編集日時:2010/8/7 06:43:31
- 回答日時:2010/8/7 06:27:43
流石
エロくり委員会の会長と専務理事。
僕の知らないことばかりカキコしておられる。
お茶くみ会員にとっても大変に勉強になります。
本来であれば、お二人がカテマスとなるべき。
でも「元カテゴリのカス」というYとかいう変な人もいましたからね。
「カテマス」それ自体に価値はない。
エロ栗ぼくめつ委員会に栄光あれ!
- 違反報告
- 回答日時:2010/8/7 01:32:40
>レジストリエディタ調べてもレジストリデータが見つからなかった。
システム構成ユーティリティを使ってのスタートアップの管理では、当該スタートアップの☑を外して“OK”をクリックした時点で
レジストリの項目は削除されます。よって、見つからなくて当然です。
この場合☑を入れ直すと復活させることもできます。
勉強がてらに、チェックを入れ直して”OK”をクリック。その後、レジストリエディタで調べて観察するのもイイと思います。
こんな状態がどうにも我慢できないという人は、CCleanerでも導入してツール→スタートアップと進み、
該当スタートアップエントリを選択して”エントリの削除”で”スタートアップ項目”からも削除できます。
(HKCU)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ここで定義されたスタートアップは、そのユーザーだけに適用され、その他のユーザーには適用されないのが特徴。
ファイル作成タイプのワンクリウェアです。
(ファイル作成場所)
C:\Users\***\AppData\Roaming\********.hta(他1つ)
CCleaner
http://www.piriform.com/ccleaner
*************
currentversion7070さん、お久しぶりぶりです。
えっ。私ですか?65です。
毎日熱いですね~。ふぅ~。
今回は感染テストはしていません。m(__)m
- 違反報告
- 回答日時:2010/8/6 21:27:53
HKEY_CURRENT_USER も探しましたか?
引っかかったサイトの名前とURL(直リンしないよう*ttpと加工)を補足するとよい回答がつくと思いますよ。
ワンクリ情報なら、
http://bbsee.info/nekoou/
こちらのサイトが参考になります。
いぬさんに感謝。
追記:
krell_ksa_80さん(65さん)お久しぶりです。
書き込もうとしていると先を越されましたね。
でも、一応繰り返します。
http://bbsee.info/nekoou/id/617.html
ですね?
ならそのページにレジストリの情報があります。
O4 - HKCU\..\Run: [za] mshta "C:\Users\***\AppData\Roaming\U36CPSWX.hta"
正確に書けば、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
です。
ファイルもあります。
"C:\Users\***\AppData\Roaming\U36CPSWX.hta"
Vista か 7 なので XP の場合は読み替えて削除してください。
http://bbsee.info/_bbs/nekoou/upload/cdc0d6e63aa8e41c89689f54970bb3...
そうそう、私も感染テストはしてません。
ファイル名は変化するかも?です。
書き忘れてました。
もう一つのファイルは、
U36CPSWX.h64
です。
さらに追記:
krell_ksa_80さんの言われるように、
> 勉強がてらに、チェックを入れ直して”OK”をクリック。その後、レジストリエディタで調べて観察するのもイイと思います。
レジストリに触われるなら、遊んでもよいと思います。
必要以上に遊んで、
「あっ、コンピュータが立ち上がらなくなった。」
と失敗して技術が上がります。
お礼忘れてました。
krell_ksa_80さん補足ありがとうございます。
さらにさらに追記:
先ほど感染テストしてみました。
やはりファイル名は変化します。
http://sasi40dx.cs.land.to/
神様ツールも対応済みでした。
log.txt をみるとさらに対処すべきことが書かれてます。
- 違反報告
- 編集日時:2010/8/6 23:25:54
- 回答日時:2010/8/6 20:39:23
そのプログラムは支払を促すだけでPCに害をなすものではないので放置しても大丈夫ですが、
どうしても削除したいというならもう一度同じサイトを踏んでスタートアップから削除擦る前にどこに保存されているプログラム七日を見ておくといいでしょう。
- 違反報告
- 回答日時:2010/8/6 18:48:41