「息子のパソコンに変な画面が出るから治してください！」と同僚がノートPCを持って泣きついてきた。このノートPC（Windows 7 Home Premium）は過去に数回、PC不調を訴えたり設定が分からないと言う事でみたことがあったが、今回はなんだろうと起動させてみたところ・・・

如何わしいポップアップが出るじゃありませんか！所謂ワンクリック詐欺の誘導ポップアップですね。で、話を聞いたら、毎回PC起動時に表示されるだけでなくポップアップを終了させても数時間経つと再度表示されるとの事。またセキュリティソフトは導入済みで最新定義ファイルによるスキャンも実行済み。どうやってもポップアップを完全に消す事が出来ないので最後の砦（？）でオイラのところに持ってきたそうだ。
まぁ、ウイルスではないし（ワンクリックウェア）、仕組みもWindows標準搭載のプロセスを用いたものなんでセキュリティソフトで検出されないのは仕方がないかなと。ただ、セキュリティソフトによってはブラウザ上で警告を出してくれるものもあるし、なによりも変なサイト（往々にしてエロサイト閲覧がトリガ）を覗いたり怪しいファイルをダウンロードしなければ未然に防げる訳で、少しは危険性を認識してもらいたいものだ。
さて修復だが、ワンクリック詐欺のポップアップが起動している時にタスクマネージャーで確認したところ、Windows標準搭載のプロセスである「mshta.exe」が起動していたことから、「mshta.exe」とHTA形式のファイルを悪用したものであることは間違いない。よって流れとしてはレジストリに登録された悪意ある記述や（数時間毎に再表示される事から）タスク、不要ファイルを削除すればOK。尚、レジストリ操作などは、下手すりゃPCが別の意味で不調となりかねないので注意。

• レジストリエディタを起動し、不要な記述を削除。
  • キー、値、データの3項目全てを検索対象にして、「mshta.exe http://」を検索。
  • ヒットした物を手動で全て削除。
  • 尚、「mshta.exe」そのものを削除するのはNG。
• タスク スケジューラーを起動し、不要なタスクを削除。
  • 「RegWrite」を探す（検索機能がないので、1個ずつ虱潰しでwww）。
  • その中で、操作の詳細という項目の中身に「mshta.exe http://」という記述があるタスクは全て削除。
  • ぶっちゃけ、「RegWrite」に限らず「mshta.exe http://」という記述があるタスクは全て削除した方が幸せになれるかも。
• その他、不要ファイルを根こそぎ削除。
  • 怪しいと思われるダウンロードファイルを削除。特に拡張子が「.hta」となっているファイルは勿論の事、「〜.wmv.hta」などと偽装されているケースもあるので見落とさずに削除。
  • ゴミ箱の完全削除。
  • ブラウザの履歴削除。
  • ディスク クリーンアップの実行。
• PCのリブート。

これで如何わしいポップアップとオサラバできます。ポイントはレジストリだけでなくタスクまで削除範囲を広げる事。タスク スケジューラに例えば「1時間毎にレジストリを書き換えてポップアップを表示させる」という悪意ある設定がされていると、ゾンビの如くポップアップが蘇ってきます。
そんな訳でワンクリック詐欺のポップアップ完全削除と、ついでにPCメンテナンス（こっちの方が時間が掛ったwww）を約2時間掛けて終了。報酬はそのうちに（同僚＝親が）昼食でも奢ってくれるとの事でした。
奢ってくれるのもいいけれど、先ずは息子君！好奇心旺盛なのはいいが来年受験でしょ！学問に専念しなきゃ！どうせなら勉強教えてって言わんきゃ駄目だぜぇ！って、ほぼ間違いなく教えられないと思うけどwww