毎年のことながら、長期休暇明けにはウイルス感染の依頼が多いです。
今回多いのは、「架空請求画面」の削除ができないという内容の依頼ばかり。
過去記事にも書きましたね。
こちらを参考に→http://ameblo.jp/pc-beatwave/entry-10434537975.html
これらは「C:\Documents and Settings\All Users\Application Data」のフォルダー内にファイルを置き、起動時にmshta.exeにて起動させる仕組みでした。
もちろん、種類によってはオフラインでも表示させることができ、ファイルを削除することにより表示を不可にすることができました。(ファイルを削除してレジストリが残るのでスタートアップ時にエラーを表示します)
しかしながら、vistaや7などは「C:\Documents and Settings」フォルダーがないことからエラーが発生しやすく、一種の感染の率がすくないため、違う方式が取られるようになってしまいました。
今回はその例をご紹介です。
上記画面は前回と同じです。
違うのは、スタートアップ項目(msconfig)
項目名: Windows
InternetExplorer
コマンド: mshta : http://www .~~~.com/~
になっています。
要するに、ファイルの存在場所の記載がないのです。
これは、起動時に直接アクセスしてファイルをmshtaを用いて表示させる仕組みになっています。
スタートアップの項目を解除しても、レジストリに再アップの記載がある限り再発の可能性があります。
削除方法として、
①msconfigから該当のスタートアップの項目を解除する
②regeditからこのファイルの記載のレジストリを削除する。
例ですが、コマンド記載のアドレスの一部を入力して検索かけるとヒットしますので、その部分を削除します。
今回は、「go-to-movie」で検索しました。
それだけでokです。
とにかく、「無料」には注意してくださいね。
ただし、一部は再発する種類もありますが、後日記載するとします。
※注意※
レジストリは知識のある方のみ操作してください。誤るとパソコンが起動しなくなる恐れがあります。
初心者の方はおやめください。ウイルスソフトでも反応しない、これらのスクリプトファイルの削除は弊社にご依頼ください。