本日の持ち込み修理品
◆ NEC LaVie LS550/HS
先月中旬に新品で販売したノートパソコンが早くも戻ってきた・・・
どうしたのかと聞くと
変なソフトが入ったみたいで動作が重いとの事
とりあえず起動してみる
・
・
・
・
・
・
・
・
・
・
・
お・・・ 重い
![ガーン](https://stat.ameba.jp/blog/ucs/img/char/char2/141.gif)
起動直後になんかソフトが起動した
あちゃー
この画面
![ショック!](https://stat.ameba.jp/blog/ucs/img/char/char2/143.gif)
![$Ma-Bo-'s PC Life Diary](https://stat.ameba.jp/user_images/20130115/15/mabochan555/f7/5a/j/o0500035412378134613.jpg?caw=800)
最近は少なかったけど
これOS毎に名前を変えて、あたかもWindowsの正規ソフトを装う詐欺ソフト。
(種類はトロイの木馬)
ウィルスに感染してるかの様に煽って、購入すると駆除出来るみたいな表示をして
カード番号入力させて外部サーバーにカード番号引っこ抜かせるってやつ。
知らずにカード番号入れちゃったら
後から身に覚えのない請求がドサーーーって 怖い怖い。
侵入経路はもっぱら海外サイトみたいだけど
ホームページの表示と同時に裏で入っちゃうんで
気が付いたら入ってたみたいな感じ。
こいつ系(XP/Vista/Win7 Internet Security 2011/2012/2013 )は
対処法は基本全部一緒です。
このタイプに感染するとインターネットが繋がらなくなります。
(この時点でなんか変だな?と気が付くパターンが多い)
![$Ma-Bo-'s PC Life Diary](https://stat.ameba.jp/user_images/20130115/15/mabochan555/ef/84/j/o0450020512378134612.jpg?caw=800)
ネット開こうとすると上のような画面が出て開きません。
それと、システムの復元も使えなくなります。(最悪)
セーフモードで立ち上げても偽ソフトが自動起動しやがります。(もう極悪非道w)
なので、まず自動起動を停止させるおまじないをぶち込みます。
では、駆除して行きましょう。
まず、メモ帳でおまじないファイルを作ります。
-------------------ここから-------------------
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\Software\Classes\.exe]
[-HKEY_CURRENT_USER\Software\Classes\pezfile]
[-HKEY_CLASSES_ROOT\.exe\shell\open\command]
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"
-------------------ここまで-------------------
点線部分の行を含まずにメモ帳にコピーして
ファイル名を「fix.reg」として保存します。
保存後にファイル名が「fix.reg.txt」となってしまった場合は
リネームで".txt"を削除します。
![$Ma-Bo-'s PC Life Diary](https://stat.ameba.jp/user_images/20130115/16/mabochan555/68/aa/p/o0054005812378190995.png?caw=800)
次に、作った「fix.reg」をクリックして実行します。
警告が出ても「はい」でOK。
実行が終わったら再起動します。
再起動が終わると、偽りソフトの自動起動が止まりました。
これでゆっくり作業が出来ます。
![にひひ](https://stat.ameba.jp/blog/ucs/img/char/char2/193.gif)
最後の仕上げに、Malwarebytes Anti-Malwareを使ってフルスキャンします。
![$Ma-Bo-'s PC Life Diary](https://stat.ameba.jp/user_images/20130115/16/mabochan555/d3/ce/j/o0600045712378205190.jpg?caw=800)
自動起動用のスタートアップ改変部分とプログラム本体の2個が見つかりました。
そのまま隔離・削除し、再起動。
その後 Wireshark を使って変な外部通信が出ていないか半日パケット監視テスト。
うん、問題無いね。
お客様に作業終了の連絡をして完了。
本日もお疲れ様でした
![音譜](https://stat.ameba.jp/blog/ucs/img/char/char2/038.gif)
最後までお読みいただきありがとうございます
ついでに本日もポチっとお願いします
![ニコニコ](https://stat.ameba.jp/blog/ucs/img/char/char2/139.gif)
![にほんブログ村 PC家電ブログ 自作PCへ](https://img-proxy.blog-video.jp/images?url=http%3A%2F%2Fpckaden.blogmura.com%2Fpcdiy%2Fimg%2Foriginalimg%2F0000316601.jpg)