ワンクリサイト・ゴール(Ero tube)

【スポンサーリンク】

皆様、こんばんは。本日の関東は見事に雪でした。

しかし途中から雨に変わって積雪は消えたようでした。

それでは今回の投稿にまいりましょう。

【スポンサーリンク】

ワンクリサイトの検証

さて本日の投稿は、久しぶりのワンクリ詐欺関連の投稿です。先ほど知恵袋を覗いておりましたら、題名のワンクリサイトのご質問がありましたので、実際に検証を行いました。

以下に検証結果を載せて起きます。

サイト名 ゴール(Ero tube)

URL www.goalx3.net/

virustotal

hijackthis

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:21:17, on 2013/02/06
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v9.00 (9.00.8112.16457)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\IObit\Advanced SystemCare 6\Monitor.exe
C:\Windows\Explorer.EXE
C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\IObit\Advanced SystemCare 6\ASCTray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
c:\PROGRA~1\mcafee\SITEAD~1\saui.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe
C:\Windows\system32\conime.exe
C:\Windows\System32\cmd.exe
C:\Windows\system32\PING.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\Users\akakage\Downloads\HiJackThis.exe

O1 – Hosts: ::1 localhost
O2 – BHO: McAfee SiteAdvisor BHO – {B164E929-A1B6-4A06-B104-2CD0E90A88FF} – c:\progra~1\mcafee\sitead~1\mcieplg.dll
O2 – BHO: Advanced SystemCare Browser Protection – {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} – C:\PROGRA~1\IObit\ADVANC~1\BROWER~1\ASCPLU~1.DLL
O3 – Toolbar: McAfee SiteAdvisor Toolbar – {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} – c:\progra~1\mcafee\sitead~1\mcieplg.dll
O4 – HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 – HKLM\..\Run: [VMware User Process] “C:\Program Files\VMware\VMware Tools\vmtoolsd.exe” -n vmusr
O4 – HKLM\..\Run: [avgnt] “C:\Program Files\Avira\AntiVir Desktop\avgnt.exe” /min
O4 – HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 – HKCU\..\Run: [Advanced SystemCare 6] “C:\Program Files\IObit\Advanced SystemCare 6\ASCTray.exe” /AutoStart
O4 – HKCU\..\Run: [weblkgol] “C:\ProgramData\lkgol\95V26X1Y”
O4 – HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘LOCAL SERVICE’)
O4 – HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User ‘LOCAL SERVICE’)
O4 – HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘NETWORK SERVICE’)
O10 – Unknown file in Winsock LSP: c:\windows\system32\vsocklib.dll
O10 – Unknown file in Winsock LSP: c:\windows\system32\vsocklib.dll
O11 – Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 – ESC Trusted Zone: http://*.update.microsoft.com
O18 – Protocol: dssrequest – {5513F07E-936B-4E52-9B00-067394E91CC5} – c:\progra~1\mcafee\sitead~1\mcieplg.dll
O18 – Protocol: sacore – {5513F07E-936B-4E52-9B00-067394E91CC5} – c:\progra~1\mcafee\sitead~1\mcieplg.dll
O22 – SharedTaskScheduler: Component Categories cache daemon – {8C7461EF-2B13-11d2-BE35-3078302C2030} – C:\Windows\system32\browseui.dll
O23 – Service: McAfee Application Installer Cleanup (0270661359363128) (0270661359363128mcinstcleanup) – – (no file)
O23 – Service: Advanced SystemCare Service 6 (AdvancedSystemCareService6) – IObit – C:\Program Files\IObit\Advanced SystemCare 6\ASCService.exe
O23 – Service: Avira FireWall (AntiVirFirewallService) – Avira Operations GmbH & Co. KG – C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe
O23 – Service: Avira Mail Protection (AntiVirMailService) – Avira Operations GmbH & Co. KG – C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 – Service: Avira スケジューラ (AntiVirSchedulerService) – Avira Operations GmbH & Co. KG – C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 – Service: Avira Real-Time Protection (AntiVirService) – Avira Operations GmbH & Co. KG – C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 – Service: Avira Web Protection (AntiVirWebService) – Avira Operations GmbH & Co. KG – C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 – Service: McAfee SiteAdvisor Service – McAfee, Inc. – c:\PROGRA~1\mcafee\SITEAD~1\mcsacore.exe
O23 – Service: Mozilla Maintenance Service (MozillaMaintenance) – Mozilla Foundation – C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 – Service: TP AutoConnect Service (TPAutoConnSvc) – Cortado AG – C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
O23 – Service: TP VC Gateway Service (TPVCGateway) – Cortado AG – C:\Program Files\VMware\VMware Tools\TPVCGateway.exe
O23 – Service: VMware Tools (VMTools) – VMware, Inc. – C:\Program Files\VMware\VMware Tools\vmtoolsd.exe

End of file – 4687 bytes

168384776_624.v1394118742

>O4 – HKCU\..\Run: [weblkgol] “C:\ProgramData\lkgol\95V26X1Y”

ファイル作成型のワンクリウェアです。感染しますと…、

ワンクリ

上記画面が消しても消しても表示されるはずです。さらに以下をご覧ください。

ワンクリ1

実際にワンクリウェアによって作成されたフォルダです。mshta.exeを用いる部分は従来のワンクリウェアと同じですが、表示させるまでの手段をバッチファイルにてコマンド操作していますね。

それからhijackthisのログには記載がないですが、以下のレジストリにもエントリーが作成されています。

>HKEY_CURRENT_USER\Software\Weblkgol”userid”=”95V26X1Y”

さて削除方法ですが、現時点ではsasi40さんのワンクリウェア駆除ツールも対応していない様子です。空牙さんの駆除ツールでもうまく削除できないというご質問がありました。

http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12101535672

としますと手動削除という手段になりますが、削除自体はそこまで難解ではありません。有識者の方のご指示にて削除を行ってください。以下、ご相談の掲示板です。

イカさんの掲示板

それでは以上です。