不正請求プロセス『mshta.exe』の駆除ログ

妻の知合いから、不正プログラムの対処の相談がったので、
そのときの対処をメモします。。
※下記はあくまで個人的なメモです、、責任はとれません(汗

症状はPCが起動時に、アダルトサイトへの誘導画面が出て閉じることができないから、
どうしたらいいと相談があったので、画面みないとわからないかったのでTeamViewerを使ってリモートで調べてみました。

 

Windowsのタスクマネージャーを開いて、起動中プロセスを見ると、
よくありがちなプロセスがならんでおり、そこから「mshta.exe」というプログラムが怪しいと絞りこんだ。
とりあえずプロセスを終了すると、その不正プログラムの誘導画面は消えたが、再起動するとまた復活した。
リモート接続だったので、再起動するために電話するのがめんどくさかった。

ということで根本を削除するためにその起動する不正プログラムを探しました。
http://windowcpu.com/bbs/board.php?bo_table=exe_m&wr_id=20
このサイトを参考にさせていただきました。
「スタート」、「ファイル名を指定して実行」から、「regedit.exe」を実行し対象を探し、
それらしいプログラムを削除・・
ただどうしてもプログラム本体がみつからず、参考サイトでは、
C:\Documents and Settings\All Users\Application Data\amixi/xxxxx.hta
とありましたが、今回しらべたプログラムでは
amixiではなく、websouth1とうディレクトリ名でした。
特定するため、websouth1内のxxxxx.htaファイルをテキストエディタなどで開き、
対象のアダルト画像を開いているかを確認し、削除しました。
これで無事再起動後も問題ありませんでした。
何かしら自動で分散するプログラムなどあるかもしれませんので、その場合はまた別の方法をとる必要がありそうですが・・
また、この手の不正プログラムを削除するツールなどあるみたいなので探してみるのもありかと思います、
ただ、最近はウィルス対策ソフトを偽ったウィルスソフトも出回っているようなのでご注意を。
このmshtaはWindowsでも利用されているファイル名らしく、また不正プログラムも
見つけられないようファイル名なども既存のプログラム名とかぶらせているので、
むやみに削除するのは絶対NGです。
ちゃんと根拠を特定しないと大変ですよね、、他人のPCならなおさら。

不正請求プロセス『mshta.exe』の駆除ログ” への2件のコメント

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください