昨日仕事終わったあとに温泉に行ってきました。
そしたら脱衣所でお客さんとばったり。
なんか照れました。
ありますよねーこういうのありますよねー(客商売あるある)
※今回ちょっと難易度高めです
以前も書きましたが、最近 mshta というWindowsの機能を使って
スパイウェアや架空請求のウィンドウを表示する手口が非常に多いんです。
大抵の場合、
「何らかの方法でパソコンにスパイウェア本体をインストールさせた後、
パソコンが起動する度に mshtaコマンドで架空請求ページを表示させる」
という手法なのですが、これが最近は、
「架空請求ページを表示するコマンドをタスクスケジューラに登録する」
手法も出てきました。
ちょっと詳しい人なら
「msconfig や regeditで mshtaと書いた項目を外せばいいし」と
思われるかもしれませんが、タスクスケジューラに登録されている場合は、
msconfigで中を見ても出てきません。
私たちもそうですけど、普段あまりタスクスケジューラを見る事ってあまり無いですよね?
出し方わからない方多いと思うので書いておきます。
--------------------------------
(Windows7の場合)
[スタート]→[コンピュータ]を右クリック→[管理]
→「コンピュータの管理」ウィンドウの左側、[タスクスケジューラ]
--------------------------------
ここから不要なタスクの削除等できます。でも間違ったタスク削除しないようにしてください。
さらに・・ここからなのですが、たちが悪い事にここでスケジュールの名前に
[Quicktime]とか人の目を誤魔化す名前で登録されている事が多いです。
--------------------------------
(一例)
タスク名:Quicktime
実行コマンド:c:\Windows\system32\mshta http://www~省略~/
--------------------------------
パッと見で「ああ、これQuicktimeのタスクだから消しちゃダメなんだ」と思っちゃうんですね。
ちゃんとコマンド内容見れば一発でわかるんですけど。
最近はこのようなスパイウェアや架空請求のページを表示させる手口多くなってきました。
最悪リカバリーしちゃえばどうにでもなりますけど、自分でなんとか対処したいという方、参考にしてください。
ダメならデポで作業もできるんで持ってきてください、って事でひとつ。