ワンクリックウェアを削除する(mshta.exe編)

この記事は2014年1月に作成されました。
対象OSがWindows7ですが、基本的にはWindows10でも同じだと思います。
ですが、レジストリに手を加えるので、作業前に必ずバックアップを取るようにしてください。


社内で今月2台のWindows7がワンクリックウェアに感染した。まぁ小さな会社でネット環境は性善説に基づいた運用なので、簡単にウィルス感染してしまう。

ましてや今回は、2台ともYahoo!Japanのコンテンツにある広告をクリックした先で感染しているようで、防ぎようがないのかもしれない。

2台は、それぞれ違ったウィルスに感染していて、誘導されるURLも違うものだった。1回目は記録を残さずに駆除してしまったが、2回目は下記の通り記録しておくことにした。

症状

今回、感染したのは「mshta.exe」を利用したワンクリックウェアだった。パソコンを起動させると、下のような画面が勝手に立ち上がる。

oneclick

×で閉じても、すぐに再表示されるので、仕事にならない。昨日は、私が風邪で会社を休んでいたので、感染させた社員は一日焦っていたようだ。

駆除方法

このワンクリックウェアは、ウィルス対策ソフトを使っても駆除できない。そもそもウィルスとして検知できない。従って、作業は全て手動で行う必要がある。

mshta.exeそのものは、Windowsにはじめからあるexeファイルなので、これを削除することはできない。

「HTA」とは、HTML Applicationの略であり、Internet Explorer 5以降利用可能となった技術で、HTML言語などを利用してPEアプリケーションとほぼ同程度のプログラムファイルを作成する事が可能になっています。

出典:TrendLabs SECURITY BLOG

このmshtaを利用して、パソコン起動時にスタートアップして、×されても定期的に表示するように仕組まれているため、削除しなければいけないのは以下の項目となる。

  1. タスクスケジューラーのエントリー
  2. レジストリのエントリー
  3. システム構成のスタートアップのエントリー

タスクスケジューラーのエントリー削除

まずは、タスクバー(一般的には画面下の帯の部分)を右クリックして、「タスクマネージャーの起動」からタスクマネージャーを起動して、ポップアップを止める。

選択して、終了をクリック

「プログラムとファイルの検索」で「タスク」と入れて検索すると「タスクスケジューラー」が見つかるのでクリックして起動。するとタスクスケジューラーに以下のようなエントリーがある。

RegWriteとSystemBootが削除対象となる。両方とも下の操作タブを確認すると、
「プログラムの開始 C:¥Windows¥system32¥mshta.exe http:// 0123douga.net/pc2/・・・・・」とある。ご丁寧にレジストリへの書き込みは10分ごと。ポップアップは3分ごとに設定してある。

この2つを両方とも右クリックで削除。

レジストリのエントリー削除

注意:レジストリを変更するときは、必ずバックアップをとっておきましょう。失敗すると最悪の場合、システムの再インストールが必要になります。この場合、ウィルスに感染したままバックアップを取ることになりますが・・・。

「プログラムとファイルの検索」で「regedit」と入れて検索すると「regedit.exe」が見つかるのでクリックして起動。

「編集」-「検索」で「mshta.exe http」と入れて検索すると次のエントリーが見つかる。

「RegWrite5745・・・」と「SystemBoot5745・・・」(数字の部分はランダム)。データの部分が、「mshta http://0123douga・・・」になっているのを確認して、ふたつとも右クリックで削除。

今回、レジストリへの書き込みはこのふたつだけだったが、もうひとつRunOnceに「RegWrite」が書き込まれる場合があるようなので、一応「RegWrite」でも検索したほうがいいかもしれない。

スタートアップのエントリー削除

私が面倒をみたPCにはこのエントリーはなかったのだが、ググってみると出てきていたので一応掲載。

「コントロールパネル」-「管理ツール」-「システム構成」を開く。

「スタートアップ」というタブを開けるとコマンドの部分に先ほどの「mshta.exe http://0123douga.net・・・」という文字の入ったエントリーがあれば、削除。

以上で対応は完了。PCを再起動して、ポップアップが出ないことを確認しよう。もし、まだ表示されるようなら、どこかにゴミが残っていて、復活しているので、もう一度上記作業をした上で、「mshta.exe http」という値をもったものがないか調べて見よう。

おすすめの記事