ノートパソコン dynabook が 
8万円から♪アダルド動画登録完了料金請求ポップアップウィンドウの消し方 ワンクリック詐欺被害
この記事は
【1】 アダルト動画映像の再生に見せかけた不正なHTAファイルをユーザーが起動する
【2】 会員登録完了料金請求ポップアップウィンドウがパソコン画面に貼り付いて消せない
【2】 会員登録完了料金請求ポップアップウィンドウがパソコン画面に貼り付いて消せない
という困った状態を手動で対処して解決するメモ書きです。 
<パソコン中級者さん・上級者さん向け!
<パソコン中級者さん・上級者さん向け!■ ワンクリック料金請求にご用心 慌てて支払わない 相手業者に連絡をしない (警視庁の注意喚起ページ)
http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku35.htm
ワンクリック詐欺に関連する用語解説
◆ ワンクリック詐欺とは?
大人向けのアダルト動画配信サイトに偽装し、ユーザーにワンクリック(実際にはツークリック、スリークリックぐらいあるw)させて名目的に同意を取った上で、不当な会員登録や架空の料金請求を促してくるインターネット上の脅威。
・ 動画ファイルと称するHTAワンクリックウェアの配布 → Windows
・ 動画閲覧アプリと称する不正アプリの配布 → Android
・ 架空の料金請求ページをブラウザで表示 → Windows、Mac、スマホ(iPhone、Android)などインターネット接続可能なコンピュータすべて
◆ ワンクリックウェア (ワンクリウェア)
動画ファイルと称してダウンロードや起動を促されるHTAファイルのこと。
最終的にWindowsのデスクトップ画面にウィンドウが貼り付き、右上の×ボタンを押しても実際にはダミーで、数分内にポップアップの表示が復活するパターン多し。
◆ 注意すべきファイルの拡張子 *.HTA
「HTML Application」に由来するファイルで、HTML言語でアプリケーション的な振る舞いを持つプログラムを作成できる特徴がある。ワンクリックウェアとして悪用されてる。
◆ 実行ファイル mshta.exe
HTMLアプリケーションを処理するための正規プログラムで、Windowsのシステムフォルダに最初から用意されてる実行ファイル。
あくまで悪用されるだけでウイルス本体ではないけど、この影響でユーザーがHTAファイルを起動してしまったら、もはやセキュリティソフトで対処できないことが多い。
あくまで悪用されるだけでウイルス本体ではないけど、この影響でユーザーがHTAファイルを起動してしまったら、もはやセキュリティソフトで対処できないことが多い。
MSHTA.exe ファイルを強制的に終了させる
まず、Windowsのタスクマネージャーを開き、プロセスから mshta.exe を強制的に終了させましょう。
邪魔なポップアップウィンドウは一発で消えます。 
…んがっ、それで万事解決してしまっては仕掛ける攻撃者側も意味が無いワケで、料金を振り込ませるまで逃れられないよう対処が施されてます。
◇ 数分経つとウィンドウが復活した!? (;´Д`)
⇒ Windowsのタスクスケジューラに不正なタスクが作成されてる可能性あり
◇ パソコンを再起動したらウィンドウが復活した!? (;ω;)
⇒ WindowsのレジストリにあるRunキーに不正なパラメータがある?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
⇒ WindowsのレジストリにあるRunOnceキーに不正なパラメータがある?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
⇒ Windowsのスタートアップフォルダに不正なファイルが作成されてる?
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\
タスクスケジューラの使い方
【1】Windowsのスタートメニューを開き、入力ボックス [プログラムとファイルの検索] に「タスク」と打ち込んで起動する
【2】左側ツリーで [タスク スケジューラ (ローカル)] → [タスク スケジューラ ライブラリ] をクリックする
【3】 右側にタスクの一覧リストが表示されるので、タスクの項目を選択して、削除や無効ができます。その真下にある[操作]タブをクリックし、そのタスクが行う挙動を確認すると分かりやすい。
2014年8月時点で確認してるワンクリウェア感染する定番パターンの対処方法です。
《ケース1》 料金請求ポップアップウィンドウ削除
【タスクスケジューラ】 怪しい項目なし
【レジストリ Runキー・RunOnceキー】 怪しい項目が見つかる
名前 → [任意の文字列]
値のデータ → C:\ProgramData\[任意の文字列]\*****
【ファイル・フォルダ】 該当のフォルダやファイルが確認できる
C:\ProgramData\[任意の文字列]\*****.bat
C:\ProgramData\[任意の文字列]\*****.jpg ← 請求ポップの背景画像
C:\ProgramData\[任意の文字列]\*****.dat
【1】 タスクスケジューラに不正な項目がないか確認する
【2】 タスクマネージャーで mshta.exe を強制終了させる
【3】 レジストリエディタを起動し、該当レジストリのファイルパスを手元に控えてから、不正なキーを削除する
・ 項目が1つだけの場合もあれば複数ある場合もある
【4】 エクスプローラを起動し、控えたファイルパスのフォルダを削除する
・ 判断に困るなら、フォルダの名前を変更するだけでもOK
・ フォルダやファイルの作成日が感染した日付と一致してるはず
・ フォルダやファイルの作成日が感染した日付と一致してるはず
【5】 パソコンを再起動する
《ケース2》 登録確認ポップアップウィンドウ駆除
【タスクスケジューラ】 怪しい項目が見つかる
名前 → [任意の文字列]
操作 → C:\Windows\System32\mshta.exe http://[アダルトサイトURL]~
【レジストリ Runキー・RunOnceキー】 怪しい項目が見つかる
名前 → [任意の文字列]
値のデータ → mshta.exe http://[アダルトサイトURL]~
または
名前 → [任意の文字列]
値のデータ → mshta http://[アダルトサイトURL]~【ファイル・フォルダ】 作成されない
【1】 タスクスケジューラを起動し、不正なタスクを削除する
・ 判断に困るなら無効にするだけでもOK
・ この名前は SystemBoot、RegWrite、MicroSoftWindowsBoot、MicroSoftWindowsRegWrite という如何にもなもの、意味を成さないランダム英数字になってる
・ この名前は SystemBoot、RegWrite、MicroSoftWindowsBoot、MicroSoftWindowsRegWrite という如何にもなもの、意味を成さないランダム英数字になってる
【2】 レジストリエディタを起動し、該当レジストリの不正なキーを削除する
【3】 パソコンを再起動する
