消えない請求画面　その8

ウイルスの削除方法
①フリーツールでスタートアップやプロセスを除外する
②フリーツールでウイルスを削除する

前回は、「①フリーツールでスタートアップやプロセスを除外する」方法について解説しました。
今回は、最も核心部分である「②フリーツールでウイルスを削除する」について解説します。

一般的に日々ウイルスが作られており、ウイルス対策ソフトの会社も定義ファイルを頻繁に更新して対策しているところですが、急を要するものや特殊なもの、一般向けに特定のウイルスに対する対策ソフトを提供していることがあります。
それと同じように考えると、「消えない請求画面」を起こすウイルスに対する対策ソフトがあると考えれば自然だと思います。
その方法は至って簡単で、自分でできる場合は無料です。
自分でできない場合は費用を支払ってやってもらうことになりますが、それについては次回に解説します。

消えない請求画面を起こすウイルスを削除するフリーソフトは
「ワンクリックウェア駆除ツール」です。
前回紹介した「スタートアップチェッカー」を提供しているサイトのフリーツールです。
ソフト工房「空の牙」
http://fos.sitemix.jp/blog/
ワンクリックウェア駆除ツール
http://fos.sitemix.jp/blog/studio/oneclick

本ソフトウェアはワンクリックウェア(*1)を駆除するためのツールです。
主にmshtaやvbsを悪用したワンクリックウェアに対応しています。
*1:ワンクリックウェア
ワンクリウェアとも呼ばれます。（ワンクリック詐欺、4クリック詐欺で使用されています。）
にアダルトサイトで感染し、ポップアップで請求画面を延々と出し続ける悪質なソフトウェアの事です。
ウイルスとは異なるため、ウイルス対策ソフトでは駆除出来ない場合が多々あります。

(注意事項)
①XPの場合のみ .NET Framework 3.0 以降 を先にインストールしておく必要があります。
(Vista以降はOSに標準添付されています。)
②駆除ツールの起動時（インストール時含む）にエラーが出る場合、適切なバージョンの.NET Frameworkがインストールされていません。
③一部のセキュリティ対策ソフトが、駆除動作を妨害するようです。駆除出来ない場合は、セキュリティ対策ソフトの除外設定に本ソフトウェアを登録するか、一時的にセキュリティ対策ソフトを停止した上で、再度実行してみてください。
④本ソフトウェアはワンクリックウェアの疑いがあるファイルを検出しますが、最終的な判断は利用者に委ねられます。
（検出されたファイルが必ずしもワンクリックウェアとは限りませんので悪しからず。 ）

提供サイトでフリーソフトの使用方法を読めば使い方は分かると思います。
注意事項で使用するときに気づいたことをメモしておきます。
①②このツールはWindowsXP以降のバージョンで有効です。なお、「 .NET Framework 3.0」というマイクロソフトのソフトがインストールされていないと動かないので別途インストールしてください。私の場合もインストールされてませんでしたが、そのときに表示された指示通りに作業したらすぐにインストールできました。
③このソフトをインストールしたり、動かしたりすると、もともとインストールされているウイルス対策ソフトが警告を出すことがあります。その場合は、警告が出てもOKしたり、ネット接続を一旦切ってウイルス対策ソフトを終了させるなどの対応をしてください。
④駆除作業中に単なる実行ファイル(.exe)をウイルスとして検知します。例えば、「スタートアップチェッカー」や「ワンクリックウェア駆除ツール」をインストールするためにダウンロードしたファイルなどを検知しますが、確認のうえ削除するか決めてください(残しておいても削除してもOK)。
※WindowsXPより前のバージョンであるWindows2000やmeだったらどうするのかという点については、古いOSを使用すること自体が問題であり、早く買い替えをすすめます。対策としては初期化するか「①フリーツールでスタートアップやプロセスを除外する」という方法になると思います。

とにかく、「ワンクリックウェア駆除ツール」がうまくインストールできたのなら後は簡単です。
駆除ソフトを起動させればいいのです。

それでは私のパソコンでの作業画面をお見せします。

↓↓　「タスクスケジューラー」から、ファイル名に英数字が羅列された「.vbs]ファイルが検出されました　→　ウイルスなので削除します

↓↓　「スタートアップレジストリー」から、ファイル名に英数字が羅列された「.vbs]ファイルが検出されました　→　ウイルスなので削除します

↓↓　「データフォルダ」から、ファイル名に英数字が羅列された「.vbs]ファイルが検出されました　→　ウイルスなので削除します

↓↓　「データフォルダ」から、「candydolls_1326679406.hta」という「.hta」ファイルが検出されました　→　ウイルスなので削除します

以上のように、「.vbs」「.hta」ファイルを検出し、削除しました。
結局、検出されたソフト名が具体的な名前になっているのは「candydolls_1326679406.hta」の「candydolls」ぐらいですので、初期の頃と比べようがないぐらい見つかりにくいですし、ソフトが存在する場所も深いところで分かりにくくなっています(初期の場合はWindows32というフォルダに「.exe」「.bat」の2つだけだったのですぐに分かりました)。

この駆除ソフトを使用したときに作成される「駆除ログ｣も紹介します（実験のため駆除はせずにログをとりました。したがって、本来は「駆除しませんでした」という部分が「駆除しました｣になります)。

全ユーザー用のスタートアップフォルダを調査
→検出されませんでした。
————————————————————
カレントユーザー用のスタートアップレジストリを調査
→[jumphiphop_e6a8f21d0ad2e8727f1159397bd5f0bcc4c32da33cbe7e5f] C:\Documents and Settings\Administrator\Application Data\Mozilla\jumphiphop_e6a8f21d0ad2e8727f1159397bd5f0bcc4c32da33cbe7e5f.vbs
→駆除しませんでした。
全ユーザー用のスタートアップレジストリを調査
→検出されませんでした。
————————————————————
データフォルダを調査
C:\Documents and Settings\All Users\Application Data
→検出されませんでした。
C:\Documents and Settings\Administrator\Application Data
→[jumphiphop_805682771909878d5fd9d83043ecba27eb1ca889a587bd93] C:\Documents and Settings\Administrator\Application Data\Microsoft\jumphiphop_805682771909878d5fd9d83043ecba27eb1ca889a587bd93.vbs
→駆除しませんでした。
→[jumphiphop_e6a8f21d0ad2e8727f1159397bd5f0bcc4c32da33cbe7e5f] C:\Documents and Settings\Administrator\Application Data\Mozilla\jumphiphop_e6a8f21d0ad2e8727f1159397bd5f0bcc4c32da33cbe7e5f.vbs
→駆除しませんでした。
C:\Documents and Settings\Administrator\My Documents
→[candydolls_1326679406] C:\Documents and Settings\Administrator\My Documents\ダウンロード\candydolls_1326679406.hta
→駆除しませんでした。
————————————————————
調査が完了しました。

前回、「今回感染させたウイルスはスタートアップフォルダには登録されませんでしたが、実はスタートアップレジストリーというところに登録されています。」と解説しましたが、上のログのとおり、単純なスタートアップフォルダからは検出されず、深いレジストリーに登録されていますので表面的には分かりません。
今回のウイルスは、「.vbs」ファイルが3つと「.hta」ファイルが1つの合計4つのファイルを削除することで駆除できました。
要するに、ウイルスが「.vbs」「.hta」で動いていることが、以前に比べようもないぐらいに悪質に「進化｣したのです。
ちなみに、この「.vbs」「.hta」はWindowsのシステムを利用して悪さをしますので、Macや携帯電話、iphone、Androidなどでは感染しません。

※追記(3/21)※Androidでは、これとは別のタイプの消えない請求画面が確認されています。
「スマホを狙ったワンクリックウェアを確認。執拗に請求画面を表示し、電話番号の流出も(2012年1月11日)」
トレンドマイクロのセキュリティブログより
http://blog.trendmicro.co.jp/archives/4714

駆除作業自体は、ほんの2-3分の作業です。「フリーソフトのインストールを含めたこの作業」と「リスクのあるWindowsの復元や初期化の作業」と比べて、どちらが安全で確実で簡単かは一目瞭然だと思います。
こんな簡単な方法があるのに、堂々と紹介できないのが、消費者センターなどの公共機関のつらいところですね。
相談員として、こういう事実を知った上で、IPAを紹介してほしいと思います。また、相談者に少々パソコンの知識があるのであれば、『自己責任だけれども「ワンクリックウェア駆除ツール」というものを使う方法もあるので、ご自身で調べてください』と誘導することも、ぎりぎりセーフなのではないかと思います。

それよりも、今回の記事を読むと、IPAを本当に紹介してもいいのかという自己問答になるかもしれません。
真実があるのに紹介できないジレンマ。
しかし、本当の真実は、相談員のコミュニケーションテクニックでクリアできるのです。
私が相談を受けたとすれば、IPAだけでなく、今回の方法や有料の方法も含めて、消費者にいくつかの選択肢を情報提供して、消費者のレベルに応じて、消費者自身で選んでもらうように説明します。
それが、消費者基本法にもうたわれている「情報を知る権利」であり、「選択する権利」だと思います。

そのためにも、相談員は日々勉強し、日々努力することが求められるのです。
このサイトの読者であれば、そのことに気づいていると思います。
だからこそ、多くの相談員にこのサイトを知ってもらいたいという思いもあり、継続しています。
そして、このサイトを見ているだけでも、格段にスキルは向上しているのではないかと確信しています。

次回は、検索サイトの広告に注意、有料での駆除について解説します（おそらく、このシリーズの最終回です)。

消えない請求画面　その7

ウイルスの削除方法
①フリーツールでスタートアップやプロセスを除外する
②フリーツールでウイルスを削除する

前回、「Windowsの復元」はリスクがあるという話をしました。
ここからは、「Windowsの復元」を使わずに、消えない請求画面を消す方法を解説したいと思います。
ただし、この方法の多くはツールとしてフリーソフトを使用します。
中立機関である消費者センターが相談者にフリーソフトを紹介することは、「特定のメーカーや個人を紹介する」「信頼性が不明である」という点で扱えないという現実があります。一番簡単な削除方法の紹介ができずに、リスクのある「Windowsの復元」を紹介しているということを知ってもらいたいのと、この方法を遠まわしに上手く紹介できる話し方を選択することもありかなとも思ったりもします。まずは、ネットの世界での本当の正解を知った上で、IPAを紹介する選択をしていることを知ってほしいと思います。

今回は「①フリーツールでスタートアップやプロセスを除外する」です。
この方法が可能であれば一番簡単であり、ある程度パソコンの操作をできる消費者であれば、電話で10分程度で説明できます。その方法は、「消えない請求画面　その5」（https://soudanskill.com/20120116/357.html）で説明している方法が基本となります。ただし、そのときにも書きましたが、初期の頃と違って進化しており、悪さをしているファイルを特定するのが難しいということです。逆に考えれば、悪さをしているファイルさえ特定できれば対策が簡単であるとも言えます。

その記事を一部抜粋します

まず、ファイルの名称が文字の羅列になり、保存場所も深いところに入っていて判別しにくく、また、「hta」という複雑な仕組みを使って裏で動くようにしている、ことです。したがって、削除すべきファイルを発見して削除するのが困難になっています。
裏で動いているので、「システム構成ユーティリティ」の「スタートアップ」に表示されていない場合が多いです。
削除すべきファイルは、「***.vbs」「***.hta」がメインとなります。
それでも、表に出ている部分もあり、Windowsのタスクマネージャーのプロセスの中に、もろに、「mshta.exe」と表示されていることもあります。そのプロセスを終了すれば、画面は消えて、さらに二度と表示されない場合もあります。

それでは実験でウイルス感染させたパソコンのタスクマネージャーをお見せします。

色を反転させている箇所に「mshta.exe」というプロセスが存在します。消えない請求画面を実行させているウイルスプログラムです。
「mshta.exe」を選択して「プロセスの終了」をクリックすると、請求画面は消えました。
しかも、たまたま今回は、この操作だけで二度と出現することはなくなりました。
とりあえずは対処できたわけですね。
ただし、プログラムが動かないようになっただけで本体は削除されたわけではありませんが、そのまま何もしなくても実害はありません。

では、スタートアップ(パソコンを起動させたときに自動的に起動するソフト)はどうなったかというと、システム構成ユーティティを確認したところ、それらしいものは見つかりませんでした。進化して、単純なスタートアップフォルダには常駐しないようになった可能性があります。

ここまでは、フリーのツールを使わなくても対応できました。

それでは、ここでフリーソフトを1つ紹介します。
「スタートアップチェッカー」です。
ソフト工房「空の牙」というサイトがフリーソフトを公開しています。
管理人は個人でしょうか、よく分かりません。
このフリーソフトはネットでも絶大な人気と信頼があります。
とはいっても、マイクロソフトやモジラ(FIREFOXやサンダーバード)のような大会社ではないので、行政が紹介することには躊躇してしまうと思います。
（次回、②で紹介する予定の「ワンクリックウェア駆除ツール」も同じところが公開しています）

ソフト工房「空の牙」
http://fos.sitemix.jp/blog/
「スタートアップチェッカー」は2種類あって、どちらも同じ機能です。
スタートアップチェッカー
http://fos.sitemix.jp/blog/studio/supchk
スタートアップチェッカー Classic
http://fos.sitemix.jp/blog/studio/supckcl

このソフトをパソコンにインストールすると、スタートアップに登録されているソフトやプロセス(現在動いているソフト)が一覧表で示されます。
また、そのソフトが存在する場所や作成したメーカーなども表示されます。
スタートアップのリストの中からソフトを選び「無効化｣をすると、パソコン起動時には起動しなくなります。
（ただし、重要なソフトを無効化してしまうとパソコンが動かなくなる可能性もあります。また、パソコンの起動が重い場合はインストールされているソフトがたくさん起動状態になっている可能性もあるので、取捨選択するとパソコンが軽くなります)

それでは、スタートアップとプロセスの画面をお見せします。

↓↓　スタートアップ(特に怪しいソフトは見当たりません･･･今回画面保存を忘れていたので以前に感染させたものでスタートアップチェッカークラシックによる)

↓↓　プロセス(「mshta.exe」が赤字で警告と表示されています→無効化すればよい･･･今回感染させたものでスタートアップチェッカーによる)

以上、最初に紹介したコマンドを入力して自力で作業する方法もありますが、フリーソフトのツールを使用すると作業がわかりやすくなるという特徴があります。
さらに、自分のパソコンの状態を知ることもできます。

また、「スタートアップチェッカー」には「スタートアップウォッチャー」という機能もついており、これを常駐しておくと、スタートアップに登録された瞬間に、画面右下に、「新たに登録されました」というお知らせが表示されます。

今回感染させたウイルスはスタートアップフォルダには登録されませんでしたが、実はスタートアップレジストリーというところに登録されています。
それは次回に解説します。