さてそんなほろ酔い気分もさておき、新年一発目から、偽セキュリティソフトの話題です。
色々こういった類のソフトはありますが、今回のものの場合、トロイの木馬を吐き出すようで、しっかりウィルス対策ソフトが入っていないと感染の可能性も高いので注意が必要です。
<プログラムの場所>
Program Dataフォルダ内に、ランダムな数字のフォルダが作成され、その中に実行ファイルがあります。
プログラムのアンインストールなどといった形で簡単に駆除できません。駆除作業は、手作業になります。
* Program Dataフォルダは隠しフォルダなので、表示するには隠しフォルダを表示する設定に切り替えていただく必要があります
手順としては以下の通りです。
1) プログラム本体の場所を確認する
今回検証した例では、デスクトップ上にショートカットがあったので、ショートカットのプロパティを開いて、プログラムの場所を特定できました。
こういったあたりは、ちょっと間抜け... もっと悪意のあるものならショートカットなんて作らないでしょうから...
2) レジストリのチェック
今回は、Autoruns for Windows を利用して、レジストリおよびタスクスケジューラーなどをチェック。特に該当項目は見つかりませんでした。
今回の症例では、一度だけPC起動直後に表示されていたので、レジストリもやられているのかな?と思ってましたが、駆除前に何度かPCを再起動してみたものの、以降は一切起動してきませんでした。(もちろん、プログラムはちゃんと存在してましたので、実行するとトロイの木馬をはきながら、色々チェックを始めます...)
ただし通常は、レジストリの以下の部分にキーが追加されるようです。
・HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\RunOnce
・HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\Uninstall
今回の検証例では、レジストリを直接確認もしてみましたが、ここには該当キーはありませんでした。
複合感染などの症状でない限りこれで完了...
年末年始、こうした偽セキュリティソフトにも十分注意が必要ですね...
今年もよろしくお願いします。
<参照>
・新たな偽ウイルス対策ソフト「System Progressive Protection」が出現……マカフィーが解説
・「System Progressive Protection」の簡単削除手順
・新たな形式の偽ウイルス対策ソフトウェア「System Progressive Protection」が登場
【関連する記事】
- これまでの対処法では解決できない新手のサポート詐欺 Part 2
- これまでの対処法では解決できない新手のサポート詐欺
- Microsoft アカウントの乗っ取りにご注意ください
- "http://〜" が "https://〜" に自動的に書き換わってWebサ..
- "http://〜" が "https://〜" に自動的に書き換わってWebサ..
- PC Manager が Microsoft Store 版に
- サポート詐欺の画面は、画面が消えれば終わり... ではないので注意が必要です
- 無線LANルーターとセキュリティ
- セキュリティソフトのアンインストール
- ESET の影響で、Microsoft Edge がクラッシュする
