【詐欺】お使いのコンピュータ危険? 警告03-5050-1410削除方法 SysMon Monitor

イメージ 6

ナゾの警告ウィンドウがニュ~っと!?

Windows パソコン画面の右下隅に、次のような 偽警告ウィンドウ がいきなり突然ポップアップ表示されまた? <邪魔すぎる上に紛らわしい名前

  1. Event Monitor … イベントモニター

  2. SysMon … シスモン (マイクロソフト提供の Sysinternals とは無関係)

  3. System Monitor … システムモニター

イメージ 2
右下にニュッ~と表示 不審な警告ウィンドウ

WARNING!
YOUR COMPUTER MAY BE AT RISK: CALL: (844) 763-5838 For Emergency Tech Support call immediately fireflyframer.exe Version: 無題な濃いログ just crashed on your system. Call us now for instant premium support
http://fireflyframer.blog.jp/19064233.html


イメージ 3
クラッシュ? 日本語の警告ウィンドウ

警告!
お使いのコンピュータが危険にさらされる可能性があります: コール: 03-5050-1410 緊急技術サポートコールのためすぐにお電話ください。fireflyframer.exe、バージョン: 無題な濃いログ ちょうどお使いのシステム上にクラッシュしました。インスタントプレミアムサポートについて今すぐお電話ください。
http://fireflyframer.blog.jp/19064233.html


接続エラーのダイアログ?

なお、「Event Monitor」「SysMon」「System Monitor」 が外部ネットワーク fullpccare[.]com に接続できないとして、Windows のエラーダイアログが表示されるトラブル症状が出ます。

【エラーダイアログ表示例】
Error opening http:// cloudfront.fullpccare[.]com/sm/ ~. The server returned status code 404.
Error opening http:// cloudfront1.fullpccare[.]com/em/ ~. The server returned status code 403.

Yahoo!知恵袋にそう訴えるてる投稿が3件あって、まさに原因は 「Event Monitor」「SysMon」「System Monitor」 のはずです。

> https://chiebukuro.yahoo.co.jp/search?p=fullpccare

偽警告ウィンドウは迷惑ソフト由来

これは 迷惑ソフト一覧 の中で、次の不審な海外製 Windows 向けプログラムがインストールされるのとほぼ同時のタイミングで導入されてる可能性があります。

Jawego Partners
(インド)


これら 迷惑ソフト そのものは Windows のコントロールパネル → [プログラムと機能] からアンインストールが可能です。

ところが、この偽警告 『お使いのコンピュータが危険にさらされる可能性があります』 を表示する不審なプログラム 「Event Monitor」「SysMon」「System Monitor」 は削除されることなく PC に残存します。

偽警告ウィンドウ03-5050-1410 削除方法

【1】

Windows の タスクマネージャー を起動して、プロセス上で動いてる実行ファイルを強制的に終了させます。

偽警告ウィンドウ右上の×ボタンはプログラムが常駐するだけで意味なしです。

イメージ 7
プロセスから実行ファイルを終了させる

将来的に異なるファイル名のものが投入される可能性もあるけど、手元で確認してる実行ファイル名は3パターンです。

  • em.exe FireflyFramer
  • sysmon.exe
  • sm.exe FireflyFramer

【2】

”隠しフォルダー” が表示されるよう Windows の設定を切り替えておきます。

Windows の隠しファイルや隠しフォルダーを表示する方法 - マイクロソフト
https://support.microsoft.com/ja-jp/kb/2453311

そして、エクスプローラー から実行ファイルの置かれたフォルダーへ移動して、そのフォルダーごと手動で削除します。

イメージ 1
フォルダーの中にあるファイル一覧

● プロセス上の実行ファイル em.exe
 └ プログラム名 Event Monitor
フォルダー位置 → C:\Users\[ユーザー名]\AppData\Roaming\Event Monitor
起動用タスクスケジューラ → C:\Windows\Tasks\RunAtStartup.job

● プロセス上の実行ファイル sysmon.exe
 └ プログラム名 SysMon
フォルダー位置 → C:\Users\[ユーザー名]\AppData\Roaming\SysMon
起動用タスクスケジューラ → C:\Windows\Tasks\RunAtStartup.job

● プロセス上の実行ファイル sm.exe
 └ プログラム名 System Monitor
フォルダー位置 → C:\Users\[ユーザー名]\AppData\Roaming\System Monitor
起動用タスクスケジューラ → C:\Windows\Tasks\RunAtStartup.job


【3】

Windows の タスクスケジューラ を起動します。

左側のツリー 「タスク スケジューラ ライブラリ」 を選択 → 中央の一覧リスト 「RunAtStartup」 を選択 → 右クリックメニューで [削除] を行います。

イメージ 5
偽警告を表示するプログラムを起動するタスクの削除

偽警告は電話サポート詐欺

この偽警告ウィンドウの目的は、ユーザーを驚かせて電話番号 03-5050-1410 に問い合わせるよう誘う悪質なダマしの手口になります。

イメージ 4
迷惑ソフトの右上にも同じ電話番号が見える

【偽警告ウィンドウに提示される電話番号】
TELNO=(844) 763-5838
TELNOFR=01.76.54.05.61
TELNODE=(800) 180-6512
TELNOJP=03-5050-1410

問い合わせると電話には日本人ではない変な日本語を操る怪しい外国人が登場し、遠隔操作ソフト(AnyDesk、TeamViewer など) を導入するよう提案します。

結果として、PC遠隔操作でPCサポート契約を結ばせてクレジットカードで決済させる電話サポート詐欺 の被害に巻き込まれるのでゼッタイに応じてはダメッ!

ウイルスを検出したと音声で警告してくるウェブサイトにご注意! ウイルス検出の偽警告に騙されないで - IPA 情報処理推進機構
https://www.ipa.go.jp/security/txt/2015/08outline.html


関連するブログ記事