まず状況確認で、パソコンを立ち上げてみます。
すると、暫くすると・・・登録完了画面が表示されました。
とりあえず右上の「×」で閉じると、また違った画面が表示されました。それをまた閉じると・・・数分するとまた同じ画面が表示されます。
タスクマネージャーでアプリケーションを確認してみると、「ご入会ありがとうございます」という名前のアプリが2つ起動しています。
プロセスを確認すると、mshta実行ファイルが2つ動いています。これを終了させるともう表示されなくなりました。
以前のようにタスクマネージャーに登録されているようではありませんでした。
msconfigコマンドでスタートアップ項目を確認しましたが見当たりませんでした。
念のためタスクマネージャーも確認しましたが、怪しいタスクはありませんでした。
次に、それぞれの画面のユーザーIDで、パソコン内を検索してみました。
すると・・・ありました。
C:¥ProgramData¥eromd とC:¥ProgramData¥puchi というフォルダーが見つかりました。フォルダーの作成時間を確認するとお客様のおっしゃっていたおかしくなった時間とほぼ一致しているので間違いなさそうです。
regeditコマンドで、まず現状のレジストリをエクスポートしておいて、「eromd」と「puchi」で検索をかけました。
何箇所かレジストリ登録されていたのでそれらを削除しました。
そして先ほどのC:¥ProgramData¥eromd とC:¥ProgramData¥puchi のフォルダー名を念のため名前を変えておきました。
これで、再起動をかけて確認しました。mshta実行ファイルも起動していません。30分ほどネットを操作してみましたが問題ありませんでした。
先ほど名前を変えたフォルダーの削除、一次フォルダーや復元ポイントの削除を行い完了です。
P.S.お客様は、officeディスクやソフトディスク一式を持ってきていらっしゃいました。最初の修理屋さんへ連絡したところ、リカバリーが必要なのでお客様のほうで必要なデータを保存しておいて、持ってきてくださいと言われたそうです。
確かにリカバリーとなる可能性がゼロではありませんが、今回のようなアダルトサイト登録完了画面を表示させる仕組みは、どうにも対応できずリカバリーをするほど複雑ではありません。もちろんいろいろ方法を変えて新しい仕組みも出てきているのは事実です。
リカバリーは、ハードディスクが機械的に壊れてしまった場合など最終的な対処方法だとどらともは、考えています。
今回のお客様もリカバリーせずに、戻ったので喜んでいらっしゃいました。
