本日(2013/1/27)、リアルの友人よりウィルス(正確にはアドウェアだった)にやられたと連絡あり。
電話で話を聞いてもいまひとつピンと来なかったので、実際にお宅訪問。
で、見せて貰うと↓のようなポップアップ画面が常時表示されている状態。
ウィンドウ隅のバッテンで消してもすぐ再表示。
再起動させてもスターアップ時に表示されます。
で、スターアップ時に表示されるというのでピンときて・・・・・・
ちなみに友人のPCのOSはWindows 7 home premium
(1)まずは基本。システムの復元を無効にします。
スタートボタンをクリック → コンピュータを選択して右クリック。メニューからプロパティを選択 → システムの画面が開いたら画面右側のメニューから「システムの保護」を選択する
(2)システムのプロパティ画面が表示され、上部のタブが「システムの保護」になっていることを確認。
(3)システム(OS)がインストールされているドライブを選択し、「構成ボタン」を押す。
(4)「設定の復元」の項目、「システムの保護を無効にする」にチェックを入れた後、適用ボタンを押して「OK」で画面を閉じる。
(5)次に「Ctr」+「Alt」+「delete」キーでタスクマネージャーを呼び出す。「サービス」と「プロセス」の中から不審なファイルを探す。
(6)スタートボタンをクリックし、「プログラムとファイルの検索」窓に「msconfig」と入力。システム構成が起動したら「スタートアップ」をチェック。(5)と同様に不審なプログラムを探す。今回の場合は、「webnx.spm」という項目にあたりをつけ、スタートアップ項目のチェックを外した後、再起動。再起動の前に、「webnx.spm」の実行ファイルへのパスをメモに控えておく。
(7)再起動後、当初の請求画面は表示されず。ここで、(6)で控えていたパスをエクスプローラーで表示し(C:\ProgramData\nxspm\07968793)、nxspmフォルダ内に請求画面に使用されていた画像データを発見。フォルダごと完全削除(SHIFTキーを押しながらDleteボタン)
(8)スタートボタン→全てのプログラム→アクセサリ→システムツール→ディスククリーンアップ。ゴミ箱、一時ファイルなど全てを削除する。
(9)「プログラムとファイルの検索」窓に「%temp%」と入力。一時フォルダを呼び出し、中のファイルを全て完全削除(削除できないファイルもあるので可能な限り)
(10)「プログラムとファイルの検索」窓に「regedit」と入力。レジストリエディタを起動し、「nxspm」と「07968793」を検索し、関連づけられているキーと値を削除。
(11)「Microsoft Essential Security」をインストールし、スキャン+システムクリーンアップ。ちなみにスキャンすると、下記の検索結果。
####ここから検索結果###
file:C:\Program Files (x86)\DealPly\DealPlyUpdateRun.exe
file:C:\Program Files (x86)\DealPly\icon.ico
file:C:\Program Files (x86)\DealPly\uninst.exe
file:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly Help.lnk
file:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly.lnk
file:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\Uninstall DealPly.lnk
file:C:\windows\System32\Tasks\DealPlyUpdate
folder:C:\Program Files (x86)\DealPly\
folder:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\
ieaddon:HKCU@S-1-5-21-2831175382-929049839-1813289130-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}
regkey:HKCU@S-1-5-21-2831175382-929049839-1813289130-1003\software\DealPly
regkey:HKCU@S-1-5-21-2831175382-929049839-1813289130-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}
regkey:HKLM\software\classes\Wow6432Node\clsid\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}
regkey:HKLM\SOFTWARE\Wow6432Node\CLASSES\CLSID\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}
regkey:HKLM\software\Wow6432Node\microsoft\windows\currentversion\explorer\Browser Helper Objects\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}
regkey:HKLM\software\Wow6432Node\microsoft\windows\currentversion\uninstall\DealPly
taskscheduler:C:\windows\System32\Tasks\DealPlyUpdate
uninstall:HKLM\SOFTWARE\Wow6432Node\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\DealPly
####検索結果、ここまで###
(12)システムの復元設定を元に戻し、復元ポイントを作成しておく。
以上!!
ワンクリック詐欺およびそれを促すアドウェアには要注意です!!