今回の検体は、ADULT MOVIE FLASH(http://www.av-flash.net)だ。
このワンクリウェアのタイプは今までとは少し違う。
今まで見てきた2つのワンクリウェアは共に起動時に
mshtaを起動させるタイプだったのに対し、今回のは
exeを起動させているところだ。
【症状】
動画を見ようとすると、exeファイルの実行を要求し、実行すると右のような
目障りな画面が常に手前に表示される。
おまけに、画面上部にIDと契約日時、下部に支払期限のカウントダウンと、
心理的に追い詰める設計までされている。
一応良心的な設計なのか、画面右上の「×」ボタンを押すと画面は消える。しかし5分経つと
再表示。
再起動時は、
ブラウザが自動起動され、目障り画面を表示(右図)。同時に右上の画面が
常に手前に表示される念入りな設計。
【補足情報】
キングソフトのアンチウイルスであれば、サイトでexeを実行しようとしたとき
ウイルスと判断され実行が阻止されるぞ。キングソフトさん、グッジョブ!
【所見】
・自動起動は、間違いなくレジストリ改ざんによるもの。
・画面右上の「×」ボタンを押すと画面は消えるがプログラムは裏でしっかり動いている。
【対処】
※結果については自己責任でお願いします。
※失敗したら最悪Windowsの再インストールをしなければならないので、大事なデーターはバックアップしておいて。
※この手順はWindowsXP SP3およびIE7の環境での操作例だ。OS・ブラウザのVersionによってはこの通りにいかない場合もある。注意してくれ。
今回もccクリーナーを使用する。使用後アンインストールしても構わない。
・ccクリーナーはググればすぐ見つかるが、面倒な人以下のURLからダウンロード
http://ccleaner.brothersoft.jp/download-CCleaner/3088
1.ccクリーナーでの作業(必須)
1-1.ccクリーナーを起動
1-2.右の図①、ツールをクリック。
1-3.右の図②のスタートアップをクリック
1-4.ファイル名がランダムな16文字の文字列で、拡張子が「.bat」のもの
を探し、クリックして反転。(右図の③)
例)aRdwavikenEkeDEk.bat
※このファイル名(+格納フォルダ名(パス名))があとの手順で重要
になってくるので必要ならメモしておこう。
※カタギなWindowsプログラムなら意味不明な文字列をファイル名としては使わない。
よって、重要なプログラムを消してしまうことはまずない。
1-5.右の図④、エントリを削除ボタンを押す
1-6.続いてプログラム名が「www.av-flash.net.html」のものを探し、クリックして反転。(図③)
※この行のファイル名欄に書かれているhtmlファイル名(+格納フォルダ名(パス名))が
あとの手順で重要になってくるので必要ならメモしておこう。
1-7.右の図④、エントリを削除ボタンを押す
1-8.パソコンを再起動
2.つづいてファイルの削除(オプション)
自動起動の設定は手順1で削除しているので、もう
悪さはしない。しかし、坊主憎けりゃ
ファイルも憎いという方は、勝手に作られたファイルも削除してしまおう。
2-1.エクスプローラーで手順2-1でメモしたフォルダ(パス)を開く。
2-2.メモした[任意の16文字].batファイルと、同じ名前のexeファイルを削除。(右図参照)
2-3.続いて、エクスプローラーで手順1-6でメモしたフォルダ(パス)を開く。
2-4.メモした[任意の16文字].htmlファイルと、同じ名前のjpgファイルを削除。(右図参照)
これで完了だ。
しかし、この画面の絵、突っ込みどころ満載だ。
縛られて目隠しさせられた女性の写真だが、引っかかった人間に
「お前は逃げられないぞ!」とでも言いたいのだろうか? なんか
ムカつく。
こういった、
人を小馬鹿にした態度のサイトは、そもそも意味のないものにしてしまえばよい。
どんどん対処法を広めてくれ。
宣伝頼むぜ!
←左や下↓の広告クリック。
←左に書かれたアクションを、できる範囲でしてほしいぞ。PR
