パソコンを確認してみると・・・「Win7 Security2012」という画面が開いて、ウィルスが検出されたので云々と書いてあります。これはセキュリティソフトを騙った詐欺ソフトです。ウィルスを削除するためには、カード番号を入れて正式版を購入してくださいと案内して、代金とカード情報を盗んでしまいます。決して支払ってはいけません。
まず、msconfigコマンドでスタートアップ項目を確認します。
ありました!スタートアップ項目が「3566268812」となっていて、C:¥Users¥ユーザ名¥AppData¥Local¥tan.exe を起動しているあやしいファイルが・・・
念のため該当のtan.exeを調べてみると日付が現象が発生した日時と一致していました。
また同じ場所にscu.exe、tpq.exe、dla.exeも同じ日時で登録されていました。これらの実行ファイルも怪しいです。
あとタスクマネージャーで確認してみると、アプリケーションのタスクに「Win7 Security 2012 scu.exe」の状態が「実行中」で表示されていました。
では作業開始です。まずタスクマネージャーの「Win7 Security 2012 scu.exe」のタスクを終了させます。
レジストリエディターを開いて、まず現状のレジストリ情報をエクスポートして保存しておきます。
「3566268812」「scu.exe」「tan.exe」「tpq.exe」「dla.exe」で検索を行い、ヒットしたデータは削除していきます。
レジストリの掃除が完了したら、今度は実行ファイルの削除です。
いきなり削除は危険ですので、先ほどの4つの実行ファイル名をscu.exe⇒scu1.exeなどに変更しておきます。
スタートアップ項目から「3566268812」は無くなっていました。
これで再起動を行います。
Win7 Security 2012は起動しなくなり、インターネットの閲覧も正常に行うことができるようになりました。いろいろ操作していただいて問題ないことを確認いただきました。
あとは、先ほどファイル名を変更した実行ファイルの削除、IEの一次ファイルを削除、復元ポイントの削除を行って完了です。
