藤小二電腦修配坊 電腦排毒問題-桌面一直有色情網站的視窗跳出來，顯示"收費會員確認版面(此提示不會在三天內取消)"，有解！免重灌！(103/12/23)

2016/4/6補充：

藤目前還沒遇到win7、win8、win10的案例，

所以不知道處理方式是否相同，

別來問藤！

網友也可以參考另一位維修人員的圖文說明：

http://blog.xuite.net/webqos/blog/66440639

*********************************************

今天一位客戶的XP系統電腦，

出現一個另人害羞的問題，

萬華老師，請自首吧...

桌面一直有色情網站的視窗跳出來，

顯示"收費會員確認版面(此提示不會在三天內取消)"

圖片如下：

建議改用漂亮一點的背景啦！

有用了藤專用的金山+急救箱去掃，竟然找不到病毒檔，

看來此種問題就無法用防毒軟體去處理了。

GOOGLE了一下，

找到處理方式，用遠端進去弄一弄就搞定。

重點：

1.執行msconfig 將啟動裡面的mshta開頭的那個項目打勾取消掉。

2.刪除XXXXX.hta，這檔案通常存下你下戴檔案位置的資料夾，

若找不到的話，可以用搜尋".hta.的方式去找，藤大都是這樣弄..

網路上有效的處理方式：

1.開始->執行>msconfig
2.在啟動頁面裡找 ，將命令的欄位拉大一點，往下找；
   如果有發現一個mshta:開頭的東西，就八九不離十了。
3.大概都是長這樣 mshta:c:\programdata\XXXX\XXXXX.hta  
   XXXXX代表隨機的英文字母組合。(要抄起來)

解決方式

1.叫出工作管理員，ctrl+alt+del  ， 處理程序裡面有一個mshta.exe，
   點選按右鍵，>結束處理程序樹狀目錄，確定。
2.到 c:\programdata\XXXX   XXXXX代表隨機的英文字母組合。
   (programdata為隱藏的資料夾，需先顯示隱藏的資料夾。)
3.裡面會有一個bg.jpg，你看一看應該就是那個噴血的美女圖。
4.將整個資料夾刪除(shift+del)。
5.執行msconfig 將啟動裡面的mshta開頭的那個項目打勾取消掉。
6.重新開機。

2015/4/17補充：

藤有遇到一台，這個bg.jpg的路徑會變了，

請用開始->執行>msconfig去找XXXXX.hta的路徑，要把那個資料夾刪除才行！

像這種問題，需要重灌處理嗎?

就看店家維修人員有沒有缺錢囉！

藤也可以跟客戶說，防毒軟體掃不到的，只能重灌了。

相關文章：

黑客新手法月賺 4000 萬港元！一鍵點擊強迫註冊咸網進軍中、港、台

一鍵點擊式攻擊如何運作?

這類欺詐活動首先欺騙使用者下載並運行看似無害的 HTML 應用(HTA)檔。當使用者訪問一個看似合法但其中如果包含網路頻道播放器或年齡驗證檢查程式視窗的成人網站時，就可能遇到該攻擊。

成人網站上看似合法的網路頻道播放器

當使用者點擊偽造的網路頻道播放器時，一個 HTA 檔會被下載到電腦中，接著電腦將會顯示一個對話方塊，要求使用者批準其運行。

下載的 HTA 檔將會顯示一個對話方塊，要求使用者批準其運行

一旦使用者批準 HTA 檔運行, 網路頻道播放器將會在後臺播放。與此同時 HTA 檔內的惡意腳本會開始運行，該檔將會創建以下登錄機碼，使使用者的電腦桌面不停地彈出視窗

•    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”webutcry” = “mshta “%AllUsersProfile%\Application Data\utcry\2VMM509W.hta""

視窗會要求使用者付費註冊一個成人網站，如果使用者支付，系統會通知使用者視窗已被刪除。此外，視窗還具有一個計時器，當又再需要付費時，視窗會再次重啟。