2012年3月16日 / 最終更新日時 : 2014年10月22日 管理人 消えない請求画面

消えない請求画面 その7

ウイルスの削除方法
①フリーツールでスタートアップやプロセスを除外する
②フリーツールでウイルスを削除する

前回、「Windowsの復元」はリスクがあるという話をしました。
ここからは、「Windowsの復元」を使わずに、消えない請求画面を消す方法を解説したいと思います。
ただし、この方法の多くはツールとしてフリーソフトを使用します。
中立機関である消費者センターが相談者にフリーソフトを紹介することは、「特定のメーカーや個人を紹介する」「信頼性が不明である」という点で扱えないという現実があります。一番簡単な削除方法の紹介ができずに、リスクのある「Windowsの復元」を紹介しているということを知ってもらいたいのと、この方法を遠まわしに上手く紹介できる話し方を選択することもありかなとも思ったりもします。まずは、ネットの世界での本当の正解を知った上で、IPAを紹介する選択をしていることを知ってほしいと思います。

今回は「①フリーツールでスタートアップやプロセスを除外する」です。
この方法が可能であれば一番簡単であり、ある程度パソコンの操作をできる消費者であれば、電話で10分程度で説明できます。その方法は、「消えない請求画面 その5」(https://soudanskill.com/20120116/357.html)で説明している方法が基本となります。ただし、そのときにも書きましたが、初期の頃と違って進化しており、悪さをしているファイルを特定するのが難しいということです。逆に考えれば、悪さをしているファイルさえ特定できれば対策が簡単であるとも言えます。

その記事を一部抜粋します

まず、ファイルの名称が文字の羅列になり、保存場所も深いところに入っていて判別しにくく、また、「hta」という複雑な仕組みを使って裏で動くようにしている、ことです。したがって、削除すべきファイルを発見して削除するのが困難になっています。
裏で動いているので、「システム構成ユーティリティ」の「スタートアップ」に表示されていない場合が多いです。
削除すべきファイルは、「***.vbs」「***.hta」がメインとなります。
それでも、表に出ている部分もあり、Windowsのタスクマネージャーのプロセスの中に、もろに、「mshta.exe」と表示されていることもあります。そのプロセスを終了すれば、画面は消えて、さらに二度と表示されない場合もあります。

それでは実験でウイルス感染させたパソコンのタスクマネージャーをお見せします。

色を反転させている箇所に「mshta.exe」というプロセスが存在します。消えない請求画面を実行させているウイルスプログラムです。
「mshta.exe」を選択して「プロセスの終了」をクリックすると、請求画面は消えました。
しかも、たまたま今回は、この操作だけで二度と出現することはなくなりました。
とりあえずは対処できたわけですね。
ただし、プログラムが動かないようになっただけで本体は削除されたわけではありませんが、そのまま何もしなくても実害はありません。

では、スタートアップ(パソコンを起動させたときに自動的に起動するソフト)はどうなったかというと、システム構成ユーティティを確認したところ、それらしいものは見つかりませんでした。進化して、単純なスタートアップフォルダには常駐しないようになった可能性があります。

ここまでは、フリーのツールを使わなくても対応できました。

それでは、ここでフリーソフトを1つ紹介します。
「スタートアップチェッカー」です。
ソフト工房「空の牙」というサイトがフリーソフトを公開しています。
管理人は個人でしょうか、よく分かりません。
このフリーソフトはネットでも絶大な人気と信頼があります。
とはいっても、マイクロソフトやモジラ(FIREFOXやサンダーバード)のような大会社ではないので、行政が紹介することには躊躇してしまうと思います。
(次回、②で紹介する予定の「ワンクリックウェア駆除ツール」も同じところが公開しています)

ソフト工房「空の牙」
http://fos.sitemix.jp/blog/
「スタートアップチェッカー」は2種類あって、どちらも同じ機能です。
スタートアップチェッカー
http://fos.sitemix.jp/blog/studio/supchk
スタートアップチェッカー Classic
http://fos.sitemix.jp/blog/studio/supckcl

このソフトをパソコンにインストールすると、スタートアップに登録されているソフトやプロセス(現在動いているソフト)が一覧表で示されます。
また、そのソフトが存在する場所や作成したメーカーなども表示されます。
スタートアップのリストの中からソフトを選び「無効化」をすると、パソコン起動時には起動しなくなります。
(ただし、重要なソフトを無効化してしまうとパソコンが動かなくなる可能性もあります。また、パソコンの起動が重い場合はインストールされているソフトがたくさん起動状態になっている可能性もあるので、取捨選択するとパソコンが軽くなります)

それでは、スタートアップとプロセスの画面をお見せします。

↓↓ スタートアップ(特に怪しいソフトは見当たりません・・・今回画面保存を忘れていたので以前に感染させたものでスタートアップチェッカークラシックによる)

↓↓ プロセス(「mshta.exe」が赤字で警告と表示されています→無効化すればよい・・・今回感染させたものでスタートアップチェッカーによる)

以上、最初に紹介したコマンドを入力して自力で作業する方法もありますが、フリーソフトのツールを使用すると作業がわかりやすくなるという特徴があります。
さらに、自分のパソコンの状態を知ることもできます。

また、「スタートアップチェッカー」には「スタートアップウォッチャー」という機能もついており、これを常駐しておくと、スタートアップに登録された瞬間に、画面右下に、「新たに登録されました」というお知らせが表示されます。

今回感染させたウイルスはスタートアップフォルダには登録されませんでしたが、実はスタートアップレジストリーというところに登録されています。
それは次回に解説します。

カテゴリー
消えない請求画面