懸賞からインターネットのオトク情報まで、オトクをためすサイトためした。　｜　▲トップ　 

確かハセキョーがあーだら、こーしたとかいう掲示板の書き込みをクリックしてたどり着いたサイトがブログ風になっていて、写真をクリックしてみたら、Update.exeをダウンロードしようとしてますが、どーしますか？的なアラートが出現。なんとためしたは実行を選んでみた。そうするとページがバシっと切り替わり、ありがとうございました、お客様の請求は２９８００円になりますって、スゴイ唐突なんですね、１クリック詐欺って。せめて写真くらい見せりゃいいのに、いくらなんでもコリャないですな。

Update.exe

さて問題のupdate.exeですが、こいつが何をするかというと、多分コンピュータの情報を相手に送信しているんだと思われ、自分のケースではメールアドレス、ＩＰなどが抜かれた模様。次の日にはお客さ〜んお金払ってよ的なメールを受け取り、さらに数分毎にスクリーンにデカデカとおっぱいを出したおねーさんの写真と払いなさいのメッセージ。こりゃ仕事になりません。今思えばキャプチャ画面とっておけばよかったですね。

駆除

これは立派なトロイの木馬系のウイルスに分類されるわけで、今ではウイルス駆除ソフトが対応しはじめているらしい。ためしたが感染したときは残念ながらいずれの駆除ソフトも未対応で、手動で該当ファイルを削除する必要があった。削除以下サイトのフォーラムを参考にさせていただいた。

ネット詐欺相談所

まず自分が当てはまるフォーラムを見つけることができた。

ネット詐欺相談所の参考にしたフォーラムスレッド

どうやら自分はダウンロード時に保存ではなく実行を選択したので、update.exe自体は存在せず、実行した後姿を変えたctfoj7a4ew.exeと、それに関連するレジストリを消去をすればよいらしい。レジストリはWindows起動時に自動でctfoj7a4ew.exeが起動してしまう設定がされているからのようだ。こいつがおっぱい画像と請求画面を表示しているわけですな。

もちろんファイル自体はWindowsのファイル検索で簡単に見つけることができた。自分はところが常駐で起動するプリケーションになっているため、ファイルをつかんでゴミ箱に入れても削除することはできない。一応マジメにフォーラムに書き込まれていた手順に従うことにした。

１）まずHiJackThisをダウンロード
こいつはそもそも、レジストリの内容や常駐型のアプリなどをモニターして、ログを取ったり特定の実行部分を停止したりすることができるアプリケーションのようだ。
２）HiJackThisを起動すると、ctfoj7a4ew.exeの文字列を発見することができた。ところがコイツにチェックを入れて、FIXを押しても、完全に消去することができなかった。まぁ、いいや、とりあえず次の手順
３）Windowsをセーフモードで再起動
４）ファイル検索でctfoj7a4ew.exeを検索。ためしたはＸＰなんだけど、Administratorでログインした場合、問題のファイルを見つけることができず、普段のユーザー名でログインしたら、ファイルを見つけることができた。当たり前かもしれないけど、ためしたはこの事実を知らなかった。
５）普通に見つけたctfoj7a4ew.exeを消去。ためしたのＰＣでは２つ発見。それとなんかctfoj7a4ewという名前が含まれた怪しげなPrefファイルみたいのもあったので、それも削除。
６）ワンクリックしてしまったときに保存を選んでしまった場合はupdate.exeも検索して、それも削除する必要があるらしい。ただし、update.exeというファイル名はMicrosoftも使用しているファイル名なのでアイコンで判別するしかないらしい。アイコンはなぜかメディアプレーヤーになっているらしい。
７）Windowsを通常起動
８）起動したらすぐさまHiJackThisを起動して、ctfoj7a4ew.exeの文字列のあるところを削除、今度はうまく消すことができた。

要はctfoj7a4ew.exeのタスクを停止して、ctfoj7a4ew.exeを削除できればいいわけだ。

総論

んー、ちょっと初めてな経験だっただけに学ぶことも多かった。やっぱりインターネット上の実行ファイルなんて実行するもんじゃないですね。もしくはエロネットサーフィンはマックでやれってことかな。まぁマックも時間の問題でしょうね。ＯｓＸだとWindowsより駆除作業がややこしそうだし。

と、言うことでネット詐欺相談所さま、HiJackThisさまありがとうございました。

HiJackThisでの詳しい削除方法はコチラ