ここから本文です

解決済みの質問

知恵コレに追加する

エロ栗研究会 集合です。 感染を解決する方法を教えてください それが質問です。 m...

hakushon_daimao1さん

エロ栗研究会
集合です。
感染を解決する方法を教えてください
それが質問です。
moon-a.com

「moon-a.com」にアクセスしたところ、なんと以下
sun-adult.com/?xxxxxxxxx#
sun-adult.com/?xxxxxxxxx# リンクに飛び、さらに
big-ada.com/confirm.php?xxxxxxx というリンクに飛
正体は、多分「big-ada.com」ですね。
****************************
なんとavast4,8反応!(65会長、すみません。僕、円弧~で忙しくて、新avastに変更できません「泣」)
料金請求画面は、動かすことが可能。良心的か?

*****************************
hijack this ログ
O4 - HKCU\..\Run: [webbigad] rundll32.exe "C:\ProgramData\bigad\readme.txt",_goMES@16 C:\ProgramData\bigad\AH5YX73X.hta

Cドライブ
Program Data
「bigad」というフォルダが作成されている。
以下ファイル
AH5YX73X.hta
bg.jpg
readme.txt
second.dat


レジストリ
HKEY¥Users¥Software¥Microsoft¥Windows¥
Current Version¥Run

web bigad rundll32exe. C¥Program Data¥bigad¥readme.txt,,,,,

解決策を模索してください。
なんでも良いです。
法的な意見も可。
各ウイルス対策ソフトベンダーへの「働きかけ」も大歓迎。

女性会員「大募集」
65会長から「kiss」の贈呈あり。
***********************
virustotal結果
http://www.virustotal.com/jp/analisis/342ea5450cacfbac39758369cac1e...
***********************

http://virusscan.jotti.org/en/scanresult/7be7e4d765ab491cad07342c40...
Jotti's malware scan

補足
ジャスミン65会長!足軽の「くさや」です。詳細な分析に感謝します。BAですが、今回も「抱腹絶倒」だけど、「含蓄」ある裏話を紹介してくださった、委員会の「恵比寿様」のプルン先生に差し上げようと思います。65会長もプルン先生にBAを出しまくりしてください。必ずや「もっと凄い、楽しい」裏話を披露してくださるはずです。ワクワクしますね。エロ栗打倒

違反報告

ベストアンサーに選ばれた回答

pllun48さん

レジストリRunは削除してくれませんけど、使えますよ。
htaさえ駆除してくれれば、msconfigでもOKでは?
≫Dr.Web CureIt!
http://drweb.jp/support/cureit.html

より使い勝手が良くなるように。
unzip password : virus
メールアドレス : VMS@DRWEB.JP

下手な有名どころのベンダーより、対応がうれしいです。
返信も日本語で返って来ます。

本体のアンチウイルスの検出力は、いまいちですけどね。


ついでに、
McAfee
unzip password : infected
メアド : VIRUS_RESEARCH_JAPAN@MCAFEE.COM

=======================================

> ここで、言えない話をよく知ってそうです・・
Webに公開してもいい話。
Webで公開しても差し支えない話。
…で、面白そうな話。

こんな話はどうかな?

フジTVの「ついていったらこうなった」って、ご存知ですか?
3回放送されましたけど。
初回の前に『夢なら』のbacさんが取材されました。
TVサイドとしては『架空請求』の被害者さんを探していたようです。
ほかのアドバイザーさんからの要望で、
出演者の中でも担当の決まっていなかった、
「カンニング竹山に、PerfectAV!のワンクリウェアを踏ませる。」
が、あったので、ノートPC持参で出かけられたそうです。
駆除手法は、確立していましたから。
実際に見せたら、
「TV画面をモザイクだらけにしなきゃ放送できません。」
との事で、その案はボツになってしまいました。

結局、竹山は、イマイよろしくTELでの対決になりました。

その方がTV的なのでしょうね。

放送されていたら、今のワンクリウェアの発展は、あったのだろうか?
非常に、残念です。

  • 違反報告
  • 編集日時:2010/5/10 20:08:15
  • 回答日時:2010/5/5 16:50:00

質問した人からのコメント

  • 降参pllun48先生。委員会の目的は多岐に渡ります。その一つは「お天道様のもとに、エロ栗を晒す」というものです。犯罪者は「明るいところ」を嫌いますからね。暴露です
  • コメント日時:2010/5/10 20:25:12

アップロード写真

この質問・回答は役に立ちましたか?
役に立った!

お役立ち度:お役立ち度 1点(5点満点中)1人が役に立つと評価しています。

ベストアンサー以外の回答

4件中14件)
並べ替え:回答日時の
新しい順
古い順

 

ktkari5idさん

よくわかりませんが退会してお金を払いましょう。

accuphase65さん

大魔王会長こんばんは~。
Adult Linkですよね
a-squared,avastが対応していますよね。
htaを落とすためにウェブシールドをOFFって、ファイルシールドもOFF。
それでは、htaを落としますか。
あれ、McAfee SitAdvisorが反応。ダウンロードを阻止しに来たぞ。
(McAfee SitAdvisorは数日前に使用開始したばかり)
「危険な可能性のあるダウンロードを検出しました」だって!
SitAdvisorの警告を無視してダウンする。
Wクリック。1名様、感染御案内~。

どこまで、駆除できるか確認すると、どちらも、「bigad」内のhtaファイルだけでしたね。

ところで、会長も導入しているRVS、このツールで使われているアンチウイルス
ソフトってF-PROTなんですよ。
私も会長同様、VirusGuardはリアルタイム保護は☑を外して使用していまして、普通スキャンする事すらも無いのだけど、
Jotti's malware scanでの検知結果にF-PROTが対応している事を見て、
試しに、avastの常駐をOFFって、RVSのリアルタイムを有効にしてhtaをWクリックすると、見事に反応。隔離してくれました。
また、感染させた状態でクイックスキャンすると、わずか17秒でスキャンを終了させ、「bigad」内のhtaファイルを検知しました。
しかも、スタートアップエントリも消えていました。(間違いかと思い3回試しました)
これは、超~以外!!今までこんな経験なし。これなら、カスファイルが残るけど、私的にはほぼ完治、と言っていいのでは?と思っています。
まったく期待していなかったのですけど。

F-PROT Antivirus(参考にチラ見程度に)
http://www.kisu.co.jp/products/f-prot/index.html

再テストするとき、2回目は反応が起きないタイプだったので、新たにhtaを落とそうとすると、今度はhtaでなく動画(WMV)が落ちるようになっていました。今までにないパターンですよね
なぜかと調べてみると、”ログインページ”というのが有るでしょ、ユーザーIDが
シッカリと記載されていました。
(「ログインする」はクリックしていませんけど)
会員様は画像御案内~と言った所ですかね。
クッキーをお掃除すると、ユーザーIDも消えてhtaを再び落とせるようになりました

*********************
Dr.Web CureIt!ですか、大魔王会長も紹介していましたね。
私も、いろいろなツール総動員させる時に使用する事が有ります。
ずっと前から Dr.Web LiveCDも作っているんですけど、まだテストもしていません。
(以前はDr.Web リンクチェッカーも使用していました)
pllun48さん、良くなるように、バックグランドでいろいろ活動しているんですね
ここで、言えない話をよく知ってそうです・

(余談)
>女性会員「大募集」65会長から「kiss」の贈呈あり。

これは、吹きました~(^○^)私も親父ギャグは大好きですから

  • 違反報告
  • 編集日時:2010/5/5 23:13:53
  • 回答日時:2010/5/4 23:48:51

daimao_loves_young_girls69さん

virustotal結果
http://www.virustotal.com/jp/analisis/342ea5450cacfbac39758369cac1e...

avast反応している。
結果を印刷
アンチウイルスバージョン更新日結果
a-squared4.5.0.502010.05.03 Trojan-Dropper.HTA.Small!IK
AhnLab-V32010.05.03.002010.05.03-
AntiVir8.2.1.2242010.05.03 HTML/ADODB.Exploit.Gen
Antiy-AVL2.0.3.72010.04.30-
Authentium5.2.0.52010.05.03 JS/ShellCode.U
Avast4.8.1351.02010.05.03 JS:Downloader-SC
Avast55.0.332.02010.05.03 JS:Downloader-SC
AVG9.0.0.7872010.05.03 JS/Dropper.B
BitDefender7.22010.05.03-
CAT-QuickHeal10.002010.05.03-
ClamAV0.96.0.3-git2010.05.03-
Comodo47502010.05.03-
DrWeb5.0.2.033002010.05.03 SCRIPT.Virus
eSafe7.0.17.02010.05.03-
eTrust-Vet35.2.74652010.05.03-
F-Prot4.5.1.852010.05.03 JS/ShellCode.U
F-Secure9.0.15370.02010.05.03-
Fortinet4.0.14.02010.05.03-
GData212010.05.03 JS:Downloader-SC
IkarusT3.1.1.80.02010.05.03 Trojan-Dropper.HTA.Small
Jiangmin13.0.9002010.05.03-
Kaspersky7.0.0.1252010.05.03 Trojan-Dropper.HTA.Small.k
McAfee5.400.0.11582010.05.03-
McAfee-GW-Edition6.8.52010.05.03 Heuristic.BehavesLike.JS.Exploit.V
Microsoft1.57032010.05.03-
NOD3250822010.05.03-
Norman6.04.122010.05.03-
nProtect2010-05-03.012010.05.03-
Panda10.0.2.72010.05.02-
PCTools7.0.3.52010.05.03-
Prevx3.02010.05.03-
Rising22.45.04.032010.04.30-
Sophos4.53.02010.05.03 Troj/Small-ENS
Sunbelt62502010.05.02-
Symantec20091.2.0.412010.05.03-
TheHacker6.5.2.0.2752010.05.03-
TrendMicro9.120.0.10042010.05.03-
VBA323.12.12.42010.05.03-
ViRobot2010.5.3.23012010.05.03-
VirusBuster5.0.27.02010.05.03-
追加情報
File size: 98076 bytes
MD5 : 1856658895f91018b8eaaec1fb7ec73a
SHA1 : 6aebd28218d3c0b88533edb88ccba2422859fa92
SHA256: 342ea5450cacfbac39758369cac1ee97b1c663c5603b0ed324d3b792533f3a68
TrID : File type identification
HyperText Markup Language with DOCTYPE (80.6%)
HyperText Markup Language (19.3%)
ssdeep: 1536:S9q0cTXPSlTPWVzmSJ0Z/JAQccdAoD+HlqHFOA:S9RkALWpQJAQp+HOOA
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEiD : -
RDS : NSRL Reference Data Set
-

daimao_hentai_ski_iku_ikuさん

補足説明です。

http://virusscan.jotti.org/en/scanresult/7be7e4d765ab491cad07342c40...
Jotti's malware scan
Filename: bigad8182810411.hta
Status: Scan finished. 11 out of 20 scanners reported malware.
Scan taken on: Mon 3 May 2010 17:59:10 (CET) Permalink




Additional info
File size: 98076 bytes
Filetype: HTML document text
MD5: 1856658895f91018b8eaaec1fb7ec73a
SHA1: 6aebd28218d3c0b88533edb88ccba2422859fa92


a-squared 2010-05-03 Trojan-Dropper.HTA.Small!IK

avast! 2010-05-03 JS:Downloader-SC


AVG 2010-05-03 JS/Dropper.B


Avira 2010-05-03 HTML/ADODB.Exploit.Gen


Dr.Web 2010-05-03 SCRIPT.Virus


F.prot 2010-05-03 JS/ShellCode.U


F.secure 2010-05-03 Trojan-Dropper.HTA.Small.k


G Data 2010-05-03 JS:Downloader-SC


Ikarus 2010-05-03 Trojan-Dropper.HTA.Small


カスペルスキー 2010-05-03 Trojan-Dropper.HTA.Small.k


Sophos 2010-05-03 Troj/Small-ENS

PR

Yahoo! JAPANは、回答に記載された内容の信ぴょう性、正確性を保証しておりません。

お客様自身の責任と判断で、ご利用ください。

ただいまの回答者

00時20分現在

3408
人が回答!!

1時間以内に6,683件の回答が寄せられています。