ワンクリックウェアを削除する(mshta.exe編)

社内で今月2台のWindows7がワンクリックウェアに感染した。まぁ小さな会社でネット環境は性善説に基づいた運用なので、簡単にウィルス感染してしまう。

ましてや今回は、2台ともYahoo!Japanのコンテンツにある広告をクリックした先で感染しているようで、防ぎようがないのかもしれない。

2台は、それぞれ違ったウィルスに感染していて、誘導されるURLも違うものだった。1回目は記録を残さずに駆除してしまったが、2回目は下記の通り記録しておくことにした。

症状

今回、感染したのは「mshta.exe」を利用したワンクリックウェアだった。パソコンを起動させると、下のような画面が勝手に立ち上がる。

oneclick

×で閉じても、すぐに再表示されるので、仕事にならない。昨日は、私が風邪で会社を休んでいたので、感染させた社員は一日焦っていたようだ。

駆除方法

このワンクリックウェアは、ウィルス対策ソフトを使っても駆除できない。そもそもウィルスとして検知できない。従って、作業は全て手動で行う必要がある。

mshta.exeそのものは、Windowsにはじめからあるexeファイルなので、これを削除することはできない。

「HTA」とは、HTML Applicationの略であり、Internet Explorer 5以降利用可能となった技術で、HTML言語などを利用してPEアプリケーションとほぼ同程度のプログラムファイルを作成する事が可能になっています。

出典:TrendLabs SECURITY BLOG

このmshtaを利用して、パソコン起動時にスタートアップして、×されても定期的に表示するように仕組まれているため、削除しなければいけないのは以下の項目となる。

  1. タスクスケジューラーのエントリー
  2. レジストリのエントリー
  3. システム構成のスタートアップのエントリー

タスクスケジューラーのエントリー削除

まずは、タスクバー(一般的には画面下の帯の部分)を右クリックして、「タスクマネージャーの起動」からタスクマネージャーを起動して、ポップアップを止める。

タスクマネージャー

選択して、終了をクリック

「プログラムとファイルの検索」で「タスク」と入れて検索すると「タスクスケジューラー」が見つかるのでクリックして起動。するとタスクスケジューラーに以下のようなエントリーがある。

タスクスケジューラー

RegWriteとSystemBootが削除対象となる。両方とも下の操作タブを確認すると、
「プログラムの開始 C:¥Windows¥system32¥mshta.exe http:// 0123douga.net/pc2/・・・・・」とある。ご丁寧にレジストリへの書き込みは10分ごと。ポップアップは3分ごとに設定してある。

この2つを両方とも右クリックで削除。

レジストリのエントリー削除

注意:レジストリを変更するときは、必ずバックアップをとっておきましょう。失敗すると最悪の場合、システムの再インストールが必要になります。この場合、ウィルスに感染したままバックアップを取ることになりますが・・・。

「プログラムとファイルの検索」で「regedit」と入れて検索すると「regedit.exe」が見つかるのでクリックして起動。

「編集」-「検索」で「mshta.exe http」と入れて検索すると次のエントリーが見つかる。

レジストリエントリー

「RegWrite5745・・・」と「SystemBoot5745・・・」(数字の部分はランダム)。データの部分が、「mshta http://0123douga・・・」になっているのを確認して、ふたつとも右クリックで削除。

今回、レジストリへの書き込みはこのふたつだけだったが、もうひとつRunOnceに「RegWrite」が書き込まれる場合があるようなので、一応「RegWrite」でも検索したほうがいいかもしれない。

スタートアップのエントリー削除

私が面倒をみたPCにはこのエントリーはなかったのだが、ググってみると出てきていたので一応掲載。

「コントロールパネル」-「管理ツール」-「システム構成」を開く。

「スタートアップ」というタブを開けるとコマンドの部分に先ほどの「mshta.exe http://0123douga.net・・・」という文字の入ったエントリーがあれば、削除。

以上で対応は完了。PCを再起動して、ポップアップが出ないことを確認しよう。もし、まだ表示されるようなら、どこかにゴミが残っていて、復活しているので、もう一度上記作業をした上で、「mshta.exe http」という値をもったものがないか調べて見よう。

あとがき

今回は、社員2人ともYahoo!が感染経路になっていた。ひとりは、Gyaoに表示されていた広告をクリックしたあと。もうひとりは旅行に表示されていた広告をクリックしたあとにリンク先で感染しているようだ。広告を掲載しているということは、Yahoo側も審査はしているはず。サイト管理者が悪意をもっているのか、知らないうちに埋め込まれているのか。

ルーターのLogを探すのも面倒だし、お年寄り社員なので、アダルトサイトではないと信じよう。もし、見に行ってたらクソエロじじぃなわけで。。。しかし、Yahoo経由というのはいただけない。

PR

無料ブログで不自由を感じている方。広告が表示されるのがうっとおしいと思っている方。Wordpressでブログを始めませんか?

初心者の方でも簡単に始められて、テンプレートだっておしゃれなものを無料で利用できます。詳しくは。

★☆★☆★☆ ナウでヤングなレンタルサーバー!ロリポップ! ☆★☆★☆★

月額105円~容量最大120GB!大人気のWordpressも簡単インストール★

このサイトもロリポです。


16 Responses to “ワンクリックウェアを削除する(mshta.exe編)”

  1. サトウヒデオ より:

    ありがとうございます、
    助かりました。

    • admin@tamajiro より:

      お役に立てて光栄です。
      あまり管理画面を見ていなかったので、今頃気がつきました。すみません。

    • admin@tamajiro より:

      いえいえ。コメントありがとうございました。お役にたててよかった。

  2. 困り果てた人 より:

    友人が、その、、ア○ルトサイトで感染しまして…。
    (しかもYa○oo!)

    「架空請求だっけ?詐欺だっけ?
    どうせワンクリで個人情報とか特定されないし、無視、無視!」と友人が言うのですが、
    画像が酷いからどうにかしてくれと泣きながらに頼まれまして。

    ついには依頼を受けたものの、
    どうしよう、レジストリ消したのにまた出てくる…。
    タスクか?そんなはずはない…はず。とかいう状態で…。
    あと少しで、心が折れるところでした。

    本当に助かりました。

    エロ野郎ですね(笑)

    • admin@tamajiro より:

      お役に立てたようで何よりです。
      メモ帳程度のブログでも、こういう風に役に立てるのだと思うと書いてた甲斐があります。
      コメントありがとうございました。

  3. 一太郎 より:

    助かりました。
    ありがとうございます!

  4. wataken より:

    助かりました。
    とりあえずこれで安心ってことでいいんでしょうか?

    知り合いに助けを求められたのですが、なかなかうまくいかなくて困っていました。
    悪さをするものは分かったのですが、消し方がわかりませんでした。以前はmsconfigだけで解決したのですが、最近のは手が込んでますね。

    • admin@tamajiro より:

      こんにちは。わたしのところでは、この処理後、再発はしていませんし、特におかしな通信をしたりもしていませんので、問題ないと思います。

  5. おっさん より:

    ありがとうございます
    久しぶりに踏んでしまいました(汗
    ここのおかげで
    ポップアップが止まりました 感謝です

  6. 飛ちゃん より:

    他のどの書き込みよりもわかりやすく、やりやすかったです。
    おっさん社員のPCメンテ役をおおせつかっていて、エロサイトでは
    気をつけるよういっておいたのですが・・・
    本当に助かりました、ありがとうございましたm(__)m

    • admin@tamajiro より:

      コメントありがとうございます。
      メモ書きながら、お役に立てて幸いです。
      おじさん社員のPCメンテは大変ですよね。「わしは何もしていない」の一点張りが多いですし。。。
      それも仕事と割り切って、やっていくしかないですよね。。。

  7. 稲崎憲三 より:

    最適なご指導ありがとうございます。
    様々なサイトを見て、レジストリの削除だけはできていたのですが、10分経つとアダルトサイトに勝手にアクセスして再度画面が表示され、レジストリがまた書き込まれていました。
    ご指摘の1の作業:タスクマネージャーでタスクを終了し、タスクスケジューラーでタスクを削除したら、完全に止まったようです。
    しかし、mshta.exeなんて何のためにあるのでしょうか。勝手に広告なんか表示してほしくないのです。これを無効にする方法はあるのでしょうか。

    • admin@tamajiro より:

      久しぶりに自分のブログを見てみたら、コメントがありました。約3ヶ月前です。。。すみません。
      今頃ですが、お返事を。
      mshtaはIEに必要な機能みたいですね。ポップアップ関係みたいですね。IEのポップアップを止めることはできますが、mshtaそのものを削除するとおそらくIEがおかしくなるのではないでしょうか?やったことないので、わかりませんが。

  8. ろこ より:

    本当に助かりました!!
    パソコンは、まっったく分からない初心者ですが、無事かいけつできました!
    わたしみたいな物には本当に親切で分かりやすくて、ありがたかったです!!

一太郎 にコメントする

CAPTCHA


このページの先頭へ