平素は格別のお引き立てを賜り厚く御礼申し上げます。
先日までリンクを貼っておりましたサイトに悪意のあるプログラムが発見されました。現在はリンクを全て撤廃しておりますが、万が一にも被害に遭われた方のため修正方法を公開いたします。
ご迷惑おかけしてすいません。
プログラムの挙動:動画ダウンロードリンクをクリックするとレジストリ内に広告起動プログラムが組み込まれ、入金の依頼が表示され続ける。
サイト名とURLを表記しようかと思ったのですが、一応そのサイトに目を通してて
・広告が継続して掲載される旨の明記
・会員料金の明記
がしっかりされているので法律的には問題ない。
後で社の損害がうんぬんとか言われると面倒くさいので伏せときます。ご了承下さい。よくおぼえていませんが何とかでこれーしょんとか言ったと思います。
(もちろん今当サイトに掲載しているサイトは優良サイトさまですよ)
レジストリを利用している関係上WINDOWS OS以外は対象外と思います。WINDOWS XPでの例で記載します。
(管理人はXPしか持ってません。)
修正方法を2つ記します。
方法1 ワンクリックウェア駆除ツールの利用
方法2 regedeitでレジストリ手修正+Application Data内手修正
WINDOWSの記憶中枢とも呼べるレジストリ内の手直しを行うため、必ずバックアップを取ってから行っていただく事をおすすめします。(スタート→すべてのプログラム→アクセサリ→システムツール→システムの復元 でチェックポイントを作成など)
一番無難なのは方法1の「ワンクリックウェア駆除ツールの利用」です。
画面はIEバージョンです。
【方法1 ワンクリックウェア駆除ツールの利用】①
|
ツールが置いてあるサイトへ行きます。ダウンロードリンクをクリックします。 VECTOR「http://www.vector.co.jp/soft/dl/winnt/util/se485314.html」 |
②
|
サイト画面に移り、自動的にダウンロードが開始されます。 ※IEの場合、「セキュリティー保護のため、このサイトによる・・・」と上部に表示されますのでクリックして「ファイルのダウンロード」を選択して下さい。 |
③
|
左の画面が開きますので、実行をクリックして下さい。 ※保存→実行でもどちらでも構いません。 |
④
|
しつこくセキュリティー警告してきますが構わず実行して下さい。 |
⑤
|
左画面が開きます。インストールを開始します。 ※「次へ」をクリック。 |
⑥
|
よく読んで「同意する」をクリック。 |
⑦
次へ⇒次へ⇒次へ⇒兎に角次へ
※何も変更しなくて大丈夫です。
⑧
|
「デスクトップ上にアイコンを設置する」にチェックがついてます。チェックをはずしても「スタート」→「すべてのプログラム」から読み出し可能です。 |
⑨
|
最後に「インストール」をクリックして下さい。 |
⑩
|
インストールが完了します。「完了」をクリックして下さい。 |
⑪
|
すぐに実行しましょう。 |
⑫
|
左の画面が開きます。ワンクリックウェア候補の検出開始をクリックして下さい。 |
⑬
|
ワンクリックウェアが検出されると左のような画面になります。 ※注意 このソフトは「疑いのある」ソフトウェアを読み取るため、利用環境によっては必要かもしれないものも削除対象としてピックアップします。(特にスタートアップメニューの中身とか)必要なものは上部らへんにある駆除対象外に選択して下さい。
確認したら「駆除実行」をクリックして下さい。 |
⑭
|
左の画面に記載ある通り、デスクトップ上に「駆除ツール.txt」ファイルと「駆除ツールが駆除したファイル(確認後に削除して下さい)」フォルダが作成されます。 |
以上で完了です。特定サイトに限らずワンクリックウェア大半は恐らく修正可能なはずです。
【方法2 regedeitでレジストリ修正+システムフォルダ内修正】※上級者向け。フォルダオプションで隠しファイル表示必須。
色々調べてみたら恐らくこんな感じで自動的に広告表示されるのだと。
・HKEY_CURRENT_USER\Software
→この中にID生成
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
→PC起動時毎にhtaファイル読み込み
・htaファイル→C:\WINDOWS\system32内のexeファイル読み込み
→Application Dataに作成されたフォルダ内の画像などを表示。繰り返す。
全ファイルを削除すれば綺麗になる、と言うわけです。
ローカルファイル名は該当サイト特定には至らないためまま表記しますよ、と。特許でも取得してれば話は別ですが。
①「スタート」→「ファイル名を指定して実行」→名前に「regedit」と入力し、レジストリエディターを起動。
②HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
内の下記ファイル削除。
・値:webtecrl
・データ:mshta "C:\Documents and Settings\All Users\Application Data\tecrl\○○○○(この部分が生成されたID).hta"
③HKEY_CURRENT_USER\Software
内の「Webtecrl」フォルダ削除。
④C:\Documents and Settings\All Users\Application Data
内の「tecrl」フォルダ削除。
⑤C:\WINDOWS\system32
内の「mshta.exe」ファイル削除。
方法1の場合②だけは消しますがその他のファイルは消しません。もちろん放っておいても問題ないですが、綺麗に消したい方はこちらの方法をご利用下さい。
順番は上記の通りでなくても大丈夫ですが、C:\WINDOWS\system32内のファイルは常時起動中のため最後でないと消せません。多分。
ただ、レジストリの手修正はかなり危険を伴う作業となるため自己責任でお願いします。
お困りの方がご参考になれば幸いです。