最近、2台のパソコンの不具合を修復した。ネットサーフィンしていて、変なところをクリックしてしまったら、ウイルスみたいなプログラムを送り込まれて、何度再起動しても請求画面が消えない、みたいな。スパイウエアと呼ばれているやつだ。
1つは、ウイルス対策ソフトのふりをする外国製のやつ。ハードディスク内を検索して(本当にきちんと検索しているのかは分からない)「問題がある。修復する場合は90何ドル払え」みたいなやつ。勝手に入り込んで画面が消えない時点で、こいつがウイルスチックなのに、ウイルス対策ソフトを装うところが何ともおかしい。こいつがやっかいなのは、画面が出ている限り、ほかの操作ができないということ。
もう1つは、古典的なアダルトサイトのやつ。なにか、芸能人の動画を探していたら、感染してしまい「ようこそ!」みたいな画面とともに、入会料を請求してくる。無視していれば、害はないのだけれども、お姉さんの写真がばーんと出てアダルティーな雰囲気を醸し出す画面がいつも出ているのはばつが悪い。
IPAという天下り機関があって、ここではウィンドウズの復元を勧めている。直ることは直るのだろうけれども、何となくめんどくさいし、いろいろ先祖返りして不具合が出ても困る。
IPA天下り
どうせ、たいしたプログラムじゃないだろうと予測したらその通りだった。
まず、ウイルス対策ソフトのふりをするやつ。起動した画面には、タスクバーも表示されておらず、「スキャンしてくれ!」みたなウインドーしか出ていない。「Ctrl」キーと「Alt」キーと「Delete」キーを同時押しして、Windowsタスクマネージャを呼び出す。「プロセス」を開くと、現在Windowsが実行しているプログラムの一覧が表示される。怪しげなプログラムが実行されていたので、「プロセスの終了」を選んだら、請求画面が消えた。
でも、これだけでは再起動したら同じ現象が出るので、タスクマネージャの「ファイル」から「新しいプロセスを実行」を選び、「explorer」と入力する。これで、タスクバーやデスクトップのアイコンが表示され、いつものWindowsの画面になる。
さっき殺したプロセスのプログラム名でハードディスクを検索すると、「C:\Documents and Settings\All Users\Application
Data」の中に格納されていたので、こいつを消す。さらに、スタートボタンから「ファイル名を指定して実行」を選び、「regedit」と入力してレジストリエディタを開き、このプログラムを実行している場所を探す。「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon」のshellという値が追加されていて、このプログラム名が記載してあった。本当は「explorer.exe」を実行しなければいけないところ、別のプログラムを実行させて、コンピューターを乗っ取るイメージ。この値を消したら、元通りになった。
もう一つのアダルトサイトのやつは、また別な感じ。純正プログラムの「mshta.exe」を利用して、htaファイルを実行させる形式みたい。レジストリエディタでhtaという文字列を探して怪しげな記載を消したら出てこなくなった。
レジストリの改変や実行ファイルの消去は思わぬ副作用が出る可能性があるので自己責任で。