年に数回私のお客さんであることなんですが、アダルトサイトをよく見ている方のパソコンで突然利用料金を請求されるウィンドウが出てくるようになることがあります。
ワンクリック架空請求・不正請求って言われてるやつです。
お客さんは法人さんが多いので、会社のパソコンでそれが出るとめっちゃ恥ずかしいのですぐに直してくれと電話がかかってきます。そして必ず、「何も変なことやってないねんけどなぁ・・・」と言い訳されます^^
今回は、会社で作業されるのも困ると言うことで弊社までわざわざ持ってこられました。
起動してみると、女性の裸の画像付きで請求画面が出てきます。
タスクマネージャーのプロセスで、怪しそうなのが動いていなか見てみると「mshta.exe」というのを発見。とりあえずそれを終了してみるとあっさりと請求画面が消えました。一発で撃破。「さすが俺」と思いました。
システムのスタートアップとかに登録されてると思って、msconfigでスタートアップを見たけど登録されていません。ちょっとメンドクサイなと思いつつ、Nortonで検索。出てきません。仕方がないので、Spybot S&Dをダウンロードしてインストールして検索。出てきません。「アカンやん俺」
そんなんしてる間にも何度も何度も請求画面が出てきます。
ちょっとわからんようになってきたので、ググってみました。すると「mshta.exe」はマイクロソフトの広告を自動的に表示させるためのプログラムで、その仕組みを使ってxxxxx.htaというファイルの広告を表示させていることがわかりました。マイクロソフトの正式なプログラムなので、NortonにもSpybotにも引っかからないわけです。
対処方法は、レジストリでmshta.exeを検索して怪しそうな記述を発見し削除するしかないようです。
レジストリを検索するとmshta.exeで色々と出てくるんですが、何個目かで架空請求の会員IDと同じ文字列の記述を発見!htaファイルの保存場所を確認すると、怪しそうなフォルダ名だったのでそこを見てみると裸の女性のjpg画像があったので確定です。
レジストリのその記述と該当フォルダを削除しました。請求画面も出てこなくなりました。
ちなみに今回のフォルダは
c:\Documents and settings\all users\Application Data\webpuchi でした。
もしこの画面が出てきても、絶対に個人を特定することはできないので振込まないようにしましょう。
パソコンとネットワーク
アッシュリンク
大阪でデータ復旧なら
データ復旧サポート