2011年04月25日

有料アダルトサイトにご登録ありがとうございました。

ワンクリック不正請求画面が出てしまうとの事。

同様の内容は「ご入会ありがとうございます」でも掲載してあり、この時の記事はWindowsXPだったが、今回はWindowsVistaである。これらのシツコイ画像に悩まされている方は多いらしく、私のblog「ご入会ありがとうございます」も頻繁に参照されている。

前回に習いregeditで「\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」を確認したが、これといって怪しい項目を起動していない。msconfig(システム構成ユーザーズガイド)を確認したら、mshta.exeを起動時に動かしており、それに対してパラメータとしてファイル名を渡している。

ファイル名は「C:\Documents and Settings\PC Users\ApplicationData\Kers\Kers.hta」となっている。しかし、この「C:\Documents and Settings」は実態ではない。これがXPとVistaの違いで、Explorer操作でファイルをさがそうとすると見つからない結果になってしまう。XPとVistaの違いを吸収するために「ジャンクション」と呼ばれる機能で整合性を保っているらしい。ここにそれらの対比表が掲載されている。

それで、実際にファイルがある場所は「C:\PC Users\AppData\Roaming\Kers\kers.hta」となっていた。そこに上の画像の「bg.jpg」があることが分かった。このbg.jpgを見ると実際に表示される「ユーザID」、「登録日」「お支払い期限」を除いた画像になっている。

タスクマネージャを起動して「mshta.exe」を終了させると、このシツコイ終了させられない画像は消えてしまう。msconfigを起動して「スタートアップ」タブの「C:\Windows\System32\mshta.exe]の起動項目から「$2714」をはずす。これで「再起動」して、このシツコイ画像が表示されないことを確認する。

「C:\PC Users\AppData\Roaming\Kers\kers.hta」は「\Kers」のフォルダごと取り去る(削除する)。スタートアップ項目を変更したので「スタートアッププログラムの一部がWindowsにブロックされています」とバルーンが出るので、「ブロックされたプログラムの表示」→「システム構成ユーティリティ」を選択し、「Windowsの開始時にこのメッセージを表示しない」に$2714を入れて「OK」を押下する。

今回はレジストリやタスクスケジューラに変更は加えられていなかったので、対応はこれまで。アンチウイルスソフトも「*.hta」ファイルをダウンロードしようとしたら注意を出すくらいの対応をしてくれても良さそうだが。


https://www.ktservices3.com/

投稿者 owner : 2011年04月25日