• 2016年10月23日

怪しげなソフトが入ったとのことで訪問しました。

Simple Driver Update

Simple Driver Update

 

いかにもって感じの詐欺ソフト、もちろんアンインストール。
今回はこれ一つのみでした。
このお客様はとても慎重です。にも関わらず入られてしまいました。
その元は、仕事で案内されたクラウドのストレージサイト。
メールに添付できない大きなサイズのファイルの受け渡しに使います。

Simple Driver Update

上下左右にある「ダウンロード」の文字は全部広告で、クリックすると「Simple Driver Update」がインストールされます。
サイト自体は問題無くても、広告が危険です。
こういうのに不慣れな人が開いたら、どこをクリックしたら良いかわからず間違えてしまいます。
これはお客様から関係者の方に報告していただきました。

  • 2016年6月16日

詐欺ソフトはどこから来る?

お友達から送られた音楽ファイルを開こうとしていたら、何か入ってきたそうです。
デスクトップ上にアイコンが2つ。
アンインストールしました。

DriverUpdate DriverUpdate SlimCleaner Plus

お友達から送られたファイルは、大容量ファイル送信・ファイル転送サービスで、サイズの大きなファイルをやりとりする無料のWEBサービスです。
数年前に問題のあった「filepost.com」とは無関係とのこと。
ですが、広告収入を目的としたサイトと思われ、広告の中に、広告と気づかずクリックさせようとするものがあるので、使用には注意が必要です。

file-post.net

↑ファイル名をクリックしてもダウンロードできなかった為、その下の「ダウンロード」の文字をクリックしてしまった。
これは広告内に表示されたダウンロードボタンである。

どんなに高額なセキュリティソフトをインストールしていても、WindowsUpdateを完璧にやっていたとしても、Microsoftに従ってWindows10にアップグレードしても、こうやってクリックしていれば防げません。
また、広告は変わるので、このように写真やキャプチャを撮っておかないとわからない。

File-post.net

無料のサービスは危険である。でも、有料だから安心かと言うとそうとも言い切れない。
まったく、Windowsが一番危険。
お客様はiPadをお持ちなので、よくわからない状況になったら、iPadでやってみるのがお薦めです。

  • 2016年1月5日

F-Secureアンインストールできない

PC:富士通 FMV LIFEBOOK SH54/D
OS:Windows7 Home Premium 64bit
Memory:4GB

何かエラーが出ているので一度メンテナンスをお願いしますとのことで、訪問しました。
まず、「Search APP by ask」、「Hao123」「fst_jp_69」アンインストール。
IEのトップページがHaoになっているので修復。

Hao123

セキュリティソフトはぱよぱよち〜んの「エフセキュア」が入っているはずなのになぜか常駐していない。
アンインストールもできません。
強制アンインストールツールを使ってアンインストールして、「Microsoft Security Essencials」をインストール。
定義の更新がなかなか進まず、かなり時間がかかった末に失敗。
再起動すれば自動更新で進むでしょう。

エフセキュア

  • 2015年10月20日

文字化けしてメールが送れないのでできるだけ早く来て欲しいとのご依頼、急いで伺いました。
実際は文字化けではなく、文字入力がかな入力になっていたのでした。
せっかくですからパソコンのメンテナンス。
まず、ホームページの設定がASKになっています。これはアンインストール及び修復。

ask

WinZip Malware Protector、Navinow WebToolなんてのも・・・。

WinZip Malware Protector

 

Navinow WebTool
こちらのパソコンは、Windows10にアップグレードしています。
しつこく出るのでやってしまったそうです。
起動時に「Microsoft Visual C++Runtime Library」のタイトルで「Runtime Error!」が出ます。

Microsoft Visual C++Runtime Library
Runtime Error!
Program:C¥WINDOWS¥system32¥DllHost.exe
R6034
An application has made an attempt to load the C runtime library incorrectly.
Please contact the application’s support team for more infomation.

今のところ何か困っていることはもう無いですし、Windows10がらみであれば、そのうちWindowsUpdateで修復されるかもしれませんから、このまま様子を見ることにします。
アイコンが妙に小さくなっているので修正。

  • 2015年9月1日

詐欺サイトに引っかかったかも

PC:富士通 LIFEBOOK AH77/K
OS:Windows8.1 64bit
LAN:WebCaster X400V
インターネット接続:FTTH
キャリア:Bフレッツ
ISP:T-COM

IEでインターネットを開いて、Yahooメールにログインしたら詐欺ソフトみたいなものが表れて、危険だのと出たそうです。
私が訪問して確認しても、それは出ません。
もしかしたら、広告の一部だったかもしれません。

セキュリティは「ウイルスクリア」のはずが、設定ツールはインストールされていますが、肝心な本体がインストールされていません。
申し込みはしてあって、インストールをした形跡はあり、ニックネームもこのパソコンです。
ともかくインストール。
IEのアドインなどを確認。

パソコンの初期設定は今まで全部業者がやっています。
GoogleChromeをインストールしてGmailを取得設定。
こちらを使って問題無いなら、Yahooの広告だったという事になりますか・・・。

  • 2015年7月28日

YONTOO、SHOP TO WEB、DEFAULT TAB駆除

InternetExploreやGoogleChromeで、広告がずっと出ているそうで、遠隔でメンテナンスすることにしました。

ブラウザにこんなのが出る(写真を撮っておいてくださいました)。

==========================================
「WINDOWS HEALTH IS CRITICAL -Please Visit Your Nearest Windows・・・」
「Windows Detected Potential ・・・On Your Computer.」
「Windows Security Essential wasn’t able to block virus.Windows detected potential threats that might compromise your privacy damage your computer.」
「Error Code:0x8024402c,windows couldn’t install the definition updates.」
「More information & Support Please Contact Help Desk +1-855-924-9510(toll free)」
「Windows Firewall Infected !!! Rookit.Sirefef.Spy and Trojan Virus Found in System32 NT(Network Threat Protection)Kernel.
Virus Source:Free Games,Porn Website & Third Party Internet Search.
Please Visit Your Nearest Windows Service Center, OR Call: +1-855-924-9510(TOLL-FREE)
□このページでこれ以上ダイアログボックスを生成しない
==========================================

1438077141214 詐欺サイト
7/25にMSEがウイルス検出して隔離しています。「BrowserModifier:Win32/DefaultTab」これはもちろん削除。

「プログラムと機能」には「Yontoo 1.10.02」、これは米国の怪しい会社「Yontoo LLC」。2013年8月に撤退したという話なのですが、アドウェアは亜種が出続けてるとか・・・。詳しくはここ↓
アドウェア(Yontoo)のアンインストール方法まとめ

「Smart PC Cleaner V3.0」とデスクトップ上に「SPCReminder」のアイコン。もちろん削除。

spcreminder spccreaner
「IE」のアドオンには「Shop to Win」が利用不可で無効になっている。
「Firefox」のアドオンにも「Shop ToWin17 1.0.40」これは削除。

shop to Win
「msconfig」でスタートアップに残る「Shop To Win」へのコマンド。
でも、実際にはその実行するファイルもフォルダも無い。これはチェックを外す。

shop to win
ブラウザに出ていたIPアドレスはパナマで、パソコンサポート会社のようなドメインのURLが複数あり、いずれも最近IPアドレスを変更している。

詐欺サイト
詐欺サイト
詐欺サイト
詐欺サイト それらのサイトを開こうとすると、Google先生がフィッシングサイトと注意してくれました。

フィッシングサイト
これで様子を見ましょう。
でも、どこで拾ったかわからないので、また同じサイトの同じ広告やフリーソフトで拾う可能性もあります。
つまり、いくらセキュリティソフトを入れても、使う本人が自覚しないと再発は免れないでしょう。

  • 2015年6月1日

海外の詐欺商法に泣き寝入りしない

今どき流行りの詐欺商法サイトに、弊社のお客様も被害に合いました。
その対応を記録します。

パソコンがこのままでは動かなくなるとか脅して、メンテナンスをしてあげます〜みたいなよくあるやつです。
画面と電話に従って、クレジットカードの番号やメールアドレス等を入力してしまったそうです。
デスクトップ上に[TeamViewer]があり、遠隔で操作されたようです。
パソコンには[eFixPro.exe]がダウンロードされており、レジストリには[ReiGuard.exe]がレジストリに書き込んだ形跡があります。
どちらもこの会社が提供しているらしく、電話番号(下のキャプチャとは違う03-4578-9266)をググると同じような書き込みがありました。
ttp://www.jpnumber.com/numberinfo_03_4578_9266.html#comment

[Baidu]もいました。

Baidu
もちろん、全部がここの仕業とは言い切れません。
どれが最初なのかわかりません。IEの履歴やイベントビューアのログの時間を追うと、Baiduからのようでもあります。
いろいろググっていると、[eFixPro]を削除するには[Systweak]の[システムプロテクター]をダウンロードせよとか、もうめちゃくちゃです。

電話をすると、外国人が日本語を話して対応します。
電話は東京の番号で、転送してスペインで受けているそうです。
本社はヨーロッパの大きい会社と言ってましたが、会社案内にも正式な社名も住所も記載はありません。
ホームページには下の方にフィリピンと書かれており、レンタルサーバーは米国のDreamHost。
Whois情報によると、レジストラの住所はキプロスのレメソス。

一応解約に応じたようなので詐欺とは言い切れないかもしれませんが、明らかに日本人を狙っており、泣き寝入りするカモと思われては困るので公開します。
クレジットカードは念の為番号を変える手続きをしました。
電話でのこのやりとりは録音しています。

会社名:TSPテックサポート
HP:tsptechsupport.com/jindex.html

tsptechsupport.com
tsptechsupport.com Whois情報:

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

Domain Name: TSPTECHSUPPORT.COM
Registrar: DREAMHOST, LLC
Sponsoring Registrar IANA ID: 431
Whois Server: whois.dreamhost.com
Referral URL: http://www.dreamhost.com
Name Server: NS1.DREAMHOST.COM
Name Server: NS2.DREAMHOST.COM
Name Server: NS3.DREAMHOST.COM
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Updated Date: 20-may-2015
Creation Date: 19-may-2014
Expiration Date: 19-may-2016

>>> Last update of whois database: Mon, 01 Jun 2015 11:06:24 GMT <<<

The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.

For more information on Whois status codes, please visit
https://www.icann.org/resources/pages/epp-status-codes-2014-06-16-en.
Domain Name: TSPTECHSUPPORT.COM
Registry Domain ID: 1859290948_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.dreamhost.com
Registrar URL: www.dreamhost.com
Updated Date: 2015-05-21T00:35:42.00Z
Creation Date: 2014-05-19T10:42:00.00Z
Registrar Registration Expiration Date: 2016-05-19T10:42:47.00Z
Registrar: DREAMHOST
Registrar IANA ID: 431
Registrar Abuse Contact Email: domain-abuse@dreamhost.com
Registrar Abuse Contact Phone: +1.2132719359
Domain Status: clientTransferProhibited
Registry Registrant ID:
Registrant Name: MARK STONE
Registrant Organization:
Registrant Street: 4 PIKIONI ST.
Registrant City: LIMASSOL
Registrant State/Province: LIMASSOL
Registrant Postal Code: 3075
Registrant Country: CY
Registrant Phone: +357.97875916
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: SALES@EDESIGN.ASIA
Registry Admin ID:
Admin Name: MARK STONE
Admin Organization:
Admin Street: 4 PIKIONI ST.
Admin City: LIMASSOL
Admin State/Province: LIMASSOL
Admin Postal Code: 3075
Admin Country: CY
Admin Phone: +357.97875916
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: SALES@EDESIGN.ASIA
Registry Tech ID:
Tech Name: MARK STONE
Tech Organization:
Tech Street: 4 PIKIONI ST.
Tech City: LIMASSOL
Tech State/Province: LIMASSOL
Tech Postal Code: 3075
Tech Country: CY
Tech Phone: +357.97875916
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: SALES@EDESIGN.ASIA
Name Server: NS1.DREAMHOST.COM
Name Server: NS2.DREAMHOST.COM
Name Server: NS3.DREAMHOST.COM
DNSSEC: unSigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
Last update of WHOIS database: 2015-05-21T00:35:42.00Z
DreamHost whois server terms of service: http://whois.dreamhost.com/

 

  • 2014年6月7日

詐欺サイトへのお誘い(static.shinyinnovation)

私のノートパソコン(Windows7)に、珍しく詐欺サイトへのお誘いが来ました。

詐欺ソフト

さすがに「今すぐ直す」をクリックはしたくありません。

最近SSD換装する作業で、いくつかフリーソフトを入れたのでその時に見過ごしたかもしれません。
自分で入れたソフトは
Intelの「Data Migration Software」
「EaseUS Partition Master 10.10」、
それと付属の「EaseUS Todo Backup Free 6.5」
EaseUSの2つは常駐しています。
常駐する必要は無いのですが、設定が見当たりません。
「msconfig」を開いて、スタートアップからチェックを外します。
レジストリを書き換えられてはいないようです。
この状態で、数時間放置。
これらのフリーソフト自体は、詐欺ソフトではありません。
必要なソフトです。

このお誘いの画面はGoogleChromeに開いていて、URLは

詐欺ソフト

 

 

直接開くと真っ白なページです。
ソースを見ると、こんな1行。
詐欺ソフト

IPアドレスは「108.161.189.162」。
上記を直で開いてみると

詐欺ソフト

秀丸モニターで、パソコンがどこに接続しているかモニターしていますが、特に妙な動きは無いようです。
このサイトのドメイン名をぐぐると、下手くそな機械翻訳されたサイトが複数検索されて、これをアンインストールできるというツールを勧めてきます。
こっちの方がむしろ怪しい。
その中の一つがこれ。

maxcdn

Yahoo知恵袋とかでは、これに入られて質問している人の回答に、また機械翻訳の回答がのってて、この手のツールを薦めています。
もしかしたら、質問もツリかも。
海外サイトも同様の質問と回答が山のようにあります。
気持ち悪い。

EaseUSが常駐して、時々勧誘するのなら、常駐を外せば大丈夫なはず。
数時間様子を見ましたが、今のところ出てきません。

  • 2014年5月28日

詐欺ソフト再び(PC Power Speed)

PC Power Speed
昨年にお客様が詐欺ソフト(OnlineVault)に契約してしまって、クレジットカードで引き落としをされてしまったのを解約手続きを取って解約できていたのですが、今月、同じ会社の別詐欺ソフト(PCPowerSpeed)の引き落とし(395円)をされてしまったらしい。
パソコンからはアンインストールしてある。
去年見せていただいた請求とは別の月のものだったか、多分自動更新。
パソコンにインストールされていようがいまいが、自動更新。
ネットでぐぐってもこれはまったくヒットしない。
去年辺りのOnlineVaultについては類似のトラブルが多数ヒットするけど、今年の395円はまったくヒットしない。
これが今年の始まりなんだろうか。
そして、同じパターンで延々と続くのでは・・・。

この「pcpowerspeed.com」、アクセスすると、自動的に「pcpowerspeed.com/ja/」の日本語ページにリダイレクトされる。
そして、それ以降何かあれば「英語で」となる。

これ、絶対日本人は泣き寝入りするって舐められてる。
PC Power Speed日本人は「カモ」だってね。むかつく。
とりあえず、クレジットカード会社に今後一切この会社の引き落としをしないよう交渉してもらうようアドバイスしたけど、簡単にすむかどうかはやってみないとわからない。
去年解約した証拠(ログ)はある。
いい加減クレジットカード会社も何か対策するべきだと思う。
英語圏に解約バイトを雇いましょうか。

  • 2012年5月3日

詐欺ソフト「PC Power Speed」

お客様のパソコンに発見!

rebateinformerタスクバーに
PC Power Speed
Rebateinformer
SiteRanker
AppGraffiti
もちろんアンインストール。
悪質な場合アンインストールできないとか情報があるけど、一応アンインストールできました。

トップページは
inbox
これも修正。ツールバーは無さそうです。

24×7 Help
なんてのも。もちろんアンインストール。

inbox