消費生活相談スキルアップ講座

消えない請求画面 その8

ウイルスの削除方法
①フリーツールでスタートアップやプロセスを除外する
②フリーツールでウイルスを削除する

前回は、「①フリーツールでスタートアップやプロセスを除外する」方法について解説しました。
今回は、最も核心部分である「②フリーツールでウイルスを削除する」について解説します。

一般的に日々ウイルスが作られており、ウイルス対策ソフトの会社も定義ファイルを頻繁に更新して対策しているところですが、急を要するものや特殊なもの、一般向けに特定のウイルスに対する対策ソフトを提供していることがあります。
それと同じように考えると、「消えない請求画面」を起こすウイルスに対する対策ソフトがあると考えれば自然だと思います。
その方法は至って簡単で、自分でできる場合は無料です。
自分でできない場合は費用を支払ってやってもらうことになりますが、それについては次回に解説します。

消えない請求画面を起こすウイルスを削除するフリーソフトは
「ワンクリックウェア駆除ツール」です。
前回紹介した「スタートアップチェッカー」を提供しているサイトのフリーツールです。
ソフト工房「空の牙」
http://fos.sitemix.jp/blog/
ワンクリックウェア駆除ツール
http://fos.sitemix.jp/blog/studio/oneclick

本ソフトウェアはワンクリックウェア(*1)を駆除するためのツールです。
主にmshtaやvbsを悪用したワンクリックウェアに対応しています。
*1:ワンクリックウェア
ワンクリウェアとも呼ばれます。(ワンクリック詐欺、4クリック詐欺で使用されています。)
にアダルトサイトで感染し、ポップアップで請求画面を延々と出し続ける悪質なソフトウェアの事です。
ウイルスとは異なるため、ウイルス対策ソフトでは駆除出来ない場合が多々あります。
(注意事項)
①XPの場合のみ .NET Framework 3.0 以降 を先にインストールしておく必要があります。
(Vista以降はOSに標準添付されています。)
②駆除ツールの起動時(インストール時含む)にエラーが出る場合、適切なバージョンの.NET Frameworkがインストールされていません。
③一部のセキュリティ対策ソフトが、駆除動作を妨害するようです。駆除出来ない場合は、セキュリティ対策ソフトの除外設定に本ソフトウェアを登録するか、一時的にセキュリティ対策ソフトを停止した上で、再度実行してみてください。
④本ソフトウェアはワンクリックウェアの疑いがあるファイルを検出しますが、最終的な判断は利用者に委ねられます。
(検出されたファイルが必ずしもワンクリックウェアとは限りませんので悪しからず。 )

提供サイトでフリーソフトの使用方法を読めば使い方は分かると思います。
注意事項で使用するときに気づいたことをメモしておきます。
①②このツールはWindowsXP以降のバージョンで有効です。なお、「 .NET Framework 3.0」というマイクロソフトのソフトがインストールされていないと動かないので別途インストールしてください。私の場合もインストールされてませんでしたが、そのときに表示された指示通りに作業したらすぐにインストールできました。
③このソフトをインストールしたり、動かしたりすると、もともとインストールされているウイルス対策ソフトが警告を出すことがあります。その場合は、警告が出てもOKしたり、ネット接続を一旦切ってウイルス対策ソフトを終了させるなどの対応をしてください。
④駆除作業中に単なる実行ファイル(.exe)をウイルスとして検知します。例えば、「スタートアップチェッカー」や「ワンクリックウェア駆除ツール」をインストールするためにダウンロードしたファイルなどを検知しますが、確認のうえ削除するか決めてください(残しておいても削除してもOK)。
※WindowsXPより前のバージョンであるWindows2000やmeだったらどうするのかという点については、古いOSを使用すること自体が問題であり、早く買い替えをすすめます。対策としては初期化するか「①フリーツールでスタートアップやプロセスを除外する」という方法になると思います。

とにかく、「ワンクリックウェア駆除ツール」がうまくインストールできたのなら後は簡単です。
駆除ソフトを起動させればいいのです。

それでは私のパソコンでの作業画面をお見せします。

↓↓ 「タスクスケジューラー」から、ファイル名に英数字が羅列された「.vbs]ファイルが検出されました → ウイルスなので削除します

↓↓ 「スタートアップレジストリー」から、ファイル名に英数字が羅列された「.vbs]ファイルが検出されました → ウイルスなので削除します

↓↓ 「データフォルダ」から、ファイル名に英数字が羅列された「.vbs]ファイルが検出されました → ウイルスなので削除します

↓↓ 「データフォルダ」から、「candydolls_1326679406.hta」という「.hta」ファイルが検出されました → ウイルスなので削除します

以上のように、「.vbs」「.hta」ファイルを検出し、削除しました。
結局、検出されたソフト名が具体的な名前になっているのは「candydolls_1326679406.hta」の「candydolls」ぐらいですので、初期の頃と比べようがないぐらい見つかりにくいですし、ソフトが存在する場所も深いところで分かりにくくなっています(初期の場合はWindows32というフォルダに「.exe」「.bat」の2つだけだったのですぐに分かりました)。

この駆除ソフトを使用したときに作成される「駆除ログ」も紹介します(実験のため駆除はせずにログをとりました。したがって、本来は「駆除しませんでした」という部分が「駆除しました」になります)。

全ユーザー用のスタートアップフォルダを調査
→検出されませんでした。
————————————————————
カレントユーザー用のスタートアップレジストリを調査
→[jumphiphop_e6a8f21d0ad2e8727f1159397bd5f0bcc4c32da33cbe7e5f] C:\Documents and Settings\Administrator\Application Data\Mozilla\jumphiphop_e6a8f21d0ad2e8727f1159397bd5f0bcc4c32da33cbe7e5f.vbs
→駆除しませんでした。
全ユーザー用のスタートアップレジストリを調査
→検出されませんでした。
————————————————————
データフォルダを調査
C:\Documents and Settings\All Users\Application Data
→検出されませんでした。
C:\Documents and Settings\Administrator\Application Data
→[jumphiphop_805682771909878d5fd9d83043ecba27eb1ca889a587bd93] C:\Documents and Settings\Administrator\Application Data\Microsoft\jumphiphop_805682771909878d5fd9d83043ecba27eb1ca889a587bd93.vbs
→駆除しませんでした。
→[jumphiphop_e6a8f21d0ad2e8727f1159397bd5f0bcc4c32da33cbe7e5f] C:\Documents and Settings\Administrator\Application Data\Mozilla\jumphiphop_e6a8f21d0ad2e8727f1159397bd5f0bcc4c32da33cbe7e5f.vbs
→駆除しませんでした。
C:\Documents and Settings\Administrator\My Documents
→[candydolls_1326679406] C:\Documents and Settings\Administrator\My Documents\ダウンロード\candydolls_1326679406.hta
→駆除しませんでした。
————————————————————
調査が完了しました。

前回、「今回感染させたウイルスはスタートアップフォルダには登録されませんでしたが、実はスタートアップレジストリーというところに登録されています。」と解説しましたが、上のログのとおり、単純なスタートアップフォルダからは検出されず、深いレジストリーに登録されていますので表面的には分かりません。
今回のウイルスは、「.vbs」ファイルが3つと「.hta」ファイルが1つの合計4つのファイルを削除することで駆除できました。
要するに、ウイルスが「.vbs」「.hta」で動いていることが、以前に比べようもないぐらいに悪質に「進化」したのです。
ちなみに、この「.vbs」「.hta」はWindowsのシステムを利用して悪さをしますので、Macや携帯電話、iphone、Androidなどでは感染しません。

※追記(3/21)※Androidでは、これとは別のタイプの消えない請求画面が確認されています。
「スマホを狙ったワンクリックウェアを確認。執拗に請求画面を表示し、電話番号の流出も(2012年1月11日)」
トレンドマイクロのセキュリティブログより
http://blog.trendmicro.co.jp/archives/4714

駆除作業自体は、ほんの2-3分の作業です。「フリーソフトのインストールを含めたこの作業」と「リスクのあるWindowsの復元や初期化の作業」と比べて、どちらが安全で確実で簡単かは一目瞭然だと思います。
こんな簡単な方法があるのに、堂々と紹介できないのが、消費者センターなどの公共機関のつらいところですね。
相談員として、こういう事実を知った上で、IPAを紹介してほしいと思います。また、相談者に少々パソコンの知識があるのであれば、『自己責任だけれども「ワンクリックウェア駆除ツール」というものを使う方法もあるので、ご自身で調べてください』と誘導することも、ぎりぎりセーフなのではないかと思います。

それよりも、今回の記事を読むと、IPAを本当に紹介してもいいのかという自己問答になるかもしれません。
真実があるのに紹介できないジレンマ。
しかし、本当の真実は、相談員のコミュニケーションテクニックでクリアできるのです。
私が相談を受けたとすれば、IPAだけでなく、今回の方法や有料の方法も含めて、消費者にいくつかの選択肢を情報提供して、消費者のレベルに応じて、消費者自身で選んでもらうように説明します。
それが、消費者基本法にもうたわれている「情報を知る権利」であり、「選択する権利」だと思います。

そのためにも、相談員は日々勉強し、日々努力することが求められるのです。
このサイトの読者であれば、そのことに気づいていると思います。
だからこそ、多くの相談員にこのサイトを知ってもらいたいという思いもあり、継続しています。
そして、このサイトを見ているだけでも、格段にスキルは向上しているのではないかと確信しています。

次回は、検索サイトの広告に注意、有料での駆除について解説します(おそらく、このシリーズの最終回です)。

消えない請求画面 その7

ウイルスの削除方法
①フリーツールでスタートアップやプロセスを除外する
②フリーツールでウイルスを削除する

前回、「Windowsの復元」はリスクがあるという話をしました。
ここからは、「Windowsの復元」を使わずに、消えない請求画面を消す方法を解説したいと思います。
ただし、この方法の多くはツールとしてフリーソフトを使用します。
中立機関である消費者センターが相談者にフリーソフトを紹介することは、「特定のメーカーや個人を紹介する」「信頼性が不明である」という点で扱えないという現実があります。一番簡単な削除方法の紹介ができずに、リスクのある「Windowsの復元」を紹介しているということを知ってもらいたいのと、この方法を遠まわしに上手く紹介できる話し方を選択することもありかなとも思ったりもします。まずは、ネットの世界での本当の正解を知った上で、IPAを紹介する選択をしていることを知ってほしいと思います。

今回は「①フリーツールでスタートアップやプロセスを除外する」です。
この方法が可能であれば一番簡単であり、ある程度パソコンの操作をできる消費者であれば、電話で10分程度で説明できます。その方法は、「消えない請求画面 その5」(https://soudanskill.com/20120116/357.html)で説明している方法が基本となります。ただし、そのときにも書きましたが、初期の頃と違って進化しており、悪さをしているファイルを特定するのが難しいということです。逆に考えれば、悪さをしているファイルさえ特定できれば対策が簡単であるとも言えます。

その記事を一部抜粋します

まず、ファイルの名称が文字の羅列になり、保存場所も深いところに入っていて判別しにくく、また、「hta」という複雑な仕組みを使って裏で動くようにしている、ことです。したがって、削除すべきファイルを発見して削除するのが困難になっています。
裏で動いているので、「システム構成ユーティリティ」の「スタートアップ」に表示されていない場合が多いです。
削除すべきファイルは、「***.vbs」「***.hta」がメインとなります。
それでも、表に出ている部分もあり、Windowsのタスクマネージャーのプロセスの中に、もろに、「mshta.exe」と表示されていることもあります。そのプロセスを終了すれば、画面は消えて、さらに二度と表示されない場合もあります。

それでは実験でウイルス感染させたパソコンのタスクマネージャーをお見せします。

色を反転させている箇所に「mshta.exe」というプロセスが存在します。消えない請求画面を実行させているウイルスプログラムです。
「mshta.exe」を選択して「プロセスの終了」をクリックすると、請求画面は消えました。
しかも、たまたま今回は、この操作だけで二度と出現することはなくなりました。
とりあえずは対処できたわけですね。
ただし、プログラムが動かないようになっただけで本体は削除されたわけではありませんが、そのまま何もしなくても実害はありません。

では、スタートアップ(パソコンを起動させたときに自動的に起動するソフト)はどうなったかというと、システム構成ユーティティを確認したところ、それらしいものは見つかりませんでした。進化して、単純なスタートアップフォルダには常駐しないようになった可能性があります。

ここまでは、フリーのツールを使わなくても対応できました。

それでは、ここでフリーソフトを1つ紹介します。
「スタートアップチェッカー」です。
ソフト工房「空の牙」というサイトがフリーソフトを公開しています。
管理人は個人でしょうか、よく分かりません。
このフリーソフトはネットでも絶大な人気と信頼があります。
とはいっても、マイクロソフトやモジラ(FIREFOXやサンダーバード)のような大会社ではないので、行政が紹介することには躊躇してしまうと思います。
(次回、②で紹介する予定の「ワンクリックウェア駆除ツール」も同じところが公開しています)

ソフト工房「空の牙」
http://fos.sitemix.jp/blog/
「スタートアップチェッカー」は2種類あって、どちらも同じ機能です。
スタートアップチェッカー
http://fos.sitemix.jp/blog/studio/supchk
スタートアップチェッカー Classic
http://fos.sitemix.jp/blog/studio/supckcl

このソフトをパソコンにインストールすると、スタートアップに登録されているソフトやプロセス(現在動いているソフト)が一覧表で示されます。
また、そのソフトが存在する場所や作成したメーカーなども表示されます。
スタートアップのリストの中からソフトを選び「無効化」をすると、パソコン起動時には起動しなくなります。
(ただし、重要なソフトを無効化してしまうとパソコンが動かなくなる可能性もあります。また、パソコンの起動が重い場合はインストールされているソフトがたくさん起動状態になっている可能性もあるので、取捨選択するとパソコンが軽くなります)

それでは、スタートアップとプロセスの画面をお見せします。

↓↓ スタートアップ(特に怪しいソフトは見当たりません・・・今回画面保存を忘れていたので以前に感染させたものでスタートアップチェッカークラシックによる)

↓↓ プロセス(「mshta.exe」が赤字で警告と表示されています→無効化すればよい・・・今回感染させたものでスタートアップチェッカーによる)

以上、最初に紹介したコマンドを入力して自力で作業する方法もありますが、フリーソフトのツールを使用すると作業がわかりやすくなるという特徴があります。
さらに、自分のパソコンの状態を知ることもできます。

また、「スタートアップチェッカー」には「スタートアップウォッチャー」という機能もついており、これを常駐しておくと、スタートアップに登録された瞬間に、画面右下に、「新たに登録されました」というお知らせが表示されます。

今回感染させたウイルスはスタートアップフォルダには登録されませんでしたが、実はスタートアップレジストリーというところに登録されています。
それは次回に解説します。

REPORT JARO 2012年3月号

「REPORT JARO」は公益社団法人 日本広告審査機構が毎月発行している企業向けの情報誌です。
日本広告審査機構
http://www.jaro.or.jp/
企業向け情報>刊行物「REPORT JARO」
http://www.jaro.or.jp/kigyou/report_jaro/index.html

3月号から気になる記事を紹介したいと思います。
詳細は情報誌をご覧ください

①「こんにちの視点 公正マークは安心ショッピングの目印との認知」
JAROと非食品関係の公正取引協議会との会合での出席者の発言要旨から抜粋
【旅行業公正取引協議会】
・テレビ・ラジオのCM表示について、あらためて運用ルールを定めた
・表示規約では10項目を必ず表示することになっているが、15秒や20秒のスポット広告で案内するのは難しい
・そこで、旅行契約の申し込みを受け付けるものでないことが明瞭なものは、「募集広告」ではなく、「告知広告」「予告広告」という定義付けをした。
・「詳しい情報はWEBで」などの表示や口頭での説明は募集広告とはみなさず、告知広告とした。
・告知広告とはいえ、旅行代金の表示をする際には、最低の旅行代金を表示すれば最高の旅行代金も併記し、音声で表示する場合には必ず両方とも音声で表示する。
・海外旅行の燃油サーチャージが含まれているかどうかも表示する。
・以上を1月12日付けで会員各社に通知した。
【自動車公正取引協議会】
・「消費者相談対応マニュアル(中古車編)」を作り、会員だけでなく、消費生活センターにも配布して研修会を行うなどして周知した。
【化粧品公正取引協議会】
・薬事法に定められている化粧品と歯磨きについての55項目の効能の範囲に、12年ぶりに1項目追加された。
・追加されたのは、「乾燥による小じわを目立たせなくする」という表現で、この効能表示をを行うに際しては、日本香粧品学会が定めるガイドラインに基づく試験か、それと同等以上の試験を行う必要がある。
【消費者庁表示対策課】
・景品表示法の措置命令は増加傾向(21年度12件、22年度20件、23年12月末現在21件)
・特徴的な事例として、
「紳士服関連」・・・テレビCMと折り込み広告に不当表示
「中古自動車のオークションサイト」・・・走行距離計を交換して過小表示、「修理歴あり」を「修理歴なし」と不当表示

MENU
PAGE TOP