回答者寄合場-悪代官の伏魔殿

記事表示

桶波スレ - 悪代官

2016/09/19 (Mon) 18:48:31
http://okwave.jp/qa/q9231325.html

>ホームページが「Safesurfs.com」にセットされています


>英語の案内ページしかないですね・・。

なるほど、うちの伏魔殿掲示板は日本語のサイトじゃないわけですね(爆
http://akudaikan-0.bbs.fc2.com/?act=reply&tid=6985462

ミルク王子さんちの案内をもとにACとMBAMを勧めるのはいいですが、先に本体アプリをアンインストールしてから、タスクスケジューラも無効化と削除してから両ツールを使うのが無難ですね。
surf系ならタスケにも食い込みますし、またショートカットのリンク先も確認して修正が必要でしょう。

アプリ名やサイト名だけweb検索しても、その内容をある程度読み取ってから他の方に紹介しないと、貼ったリンクが2次被害を狙う囮ページだったら傷口広げるだけということも頭に入れてほしいですね

その名前だけとは限りません - 悪代官

2016/09/24 (Sat) 06:27:43
http://okwave.jp/qa/q9233127.html

回答No.3
>システム構成を出してスタートアップに
>webasdatと言う項目が有ればチェックを外し

シス復やACを勧めている先2人のレスよりは良いですが、asa-系のワンクリなら他の名前でスタートアップに食い込んでいることも多いです。
webasahiとかのweb****など。

スタートアップも
C:\Users\【ユーザー名】\

以下のフォルダだったり

C:\ProgramData\

だったりするので、そこを補足で確認してから対処を案内すべきでしょうか。

手っ取り早いのはCCleanerを使ってスタートアップのHKCU項目だけ補足してもらえば該当ワンクリについては見つけて沈静化可能です。
それ以外の問題点も抱えているのは確実でしょうが

少し気になったので - -

2016/09/25 (Sun) 23:26:57
2017/05/16 確認

(DL) gogo810.top: 動画を見る********.hta
-------------------------------------
2017/05/12 確認
DL hta2.hktw88.com: movie-hta2.hktw88.com-********.exe
www2.tw-hk-11.com/pc/page/completed.php
www.youtube141.com
www.hktw88.com
www.tw-hk-11.com

DL gogo809.top: 動画を見る-gogo809.top-********.exe
DL gogo809.top: 動画を見る********.hta
-------------------------------------
2017/05/07 確認
DL gogo808.top: 動画を見る-gogo808.top-********.exe
-------------------------------------
2017/04/25 確認
DL gogo806.top: 動画を見る-gogo806.top-********.exe
-------------------------------------
2017/04/24 確認
DL gogo806.top: 動画を見る********.hta
-------------------------------------
-------------------------------------
2017/04/21 確認
DL gogo805.top: 動画を見る-gogo805.top-********.exe
作成されるフォルダ: %ProgramData%\kirin\
O4 - HKCU\..\Run: [webkirin] "C:\ProgramData\kirin\********"
-------------------------------------
2017/04/17 確認
DL gogo804.top: 動画を見る-gogo804.top-********.exe
作成されるフォルダ: %ProgramData%\kirin\
O4 - HKCU\..\Run: [webkirin] "C:\ProgramData\kirin\********"
-------------------------------------
2017/04/14 以下を確認
02-jp.com/pc/page/sp_view.php
販売者名称:株式会社キリン
責任者氏名:城田悠
責任者の住所:東京都渋谷区代々木2-23-1
お問い合わせ電話番号:03-3378-9123
Copyright 2-JAPAN 2017 All rights reserved.

douga101.com/pc/page/completed.php
-------------------------------------
-------------------------------------
2017/04/11 確認
DL gogo803.top: 動画を見る-gogo803.top-********.exe
-------------------------------------
2017/03/30 確認
DL gogo802.top: 動画を見る-gogo802.top-********.exe
-------------------------------------
2017/03/24 確認
DL gogo801.top: 動画を見る-gogo801.top-********.exe
-------------------------------------
-------------------------------------
2017/03/19 確認
DL gogo710.com: 動画を見る-gogo710.com-********.exe
-------------------------------------
2017/03/17 確認
DL gogo709.com: 動画を見る-gogo709.com-********.exe
-------------------------------------
2017/03/12 確認
DL gogo708.com: 動画を見る-gogo708.com-********.exe
01-jp.com
-------------------------------------
IEで感染を確認 hktw88

DL hta.hktw88.com: movie-hta.hktw88.com-********.exe
https://www.virustotal.com/ja/file/aeeab4ffab1df9397d7d3e033ce91e1ee05c5d7c00dc498424bb0a681b265f1f/analysis/

作成されるフォルダ: %ProgramData%\hktw8\ 
O4 - HKCU\..\Run: [webhktw8] "C:\ProgramData\hktw8\********"
www.look-av.com
www.hktw99.com
www.youtube141.com
www.tw-hk-11.com
-------------------------------------
2017/03/04 確認
DL gogo707.com: 動画を見る-gogo707.com-********.exe
作成されるフォルダ: %ProgramData%\kirin\
O4 - HKCU\..\Run: [webkirin] "C:\ProgramData\kirin\********"
-------------------------------------
DL gogo706.com: 動画を見る-gogo706.com-********.exeは、
SmartScreen フィルターでブロックされました。
-------------------------------------
-------------------------------------
2017/02/28 再確認と修正をしました
DL gogo705.com:
作成されるフォルダ: %ProgramData%\kirin\
O4 - HKCU\..\Run: [webkirin] "C:\ProgramData\kirin\********"
-------------------------------------
2017/02/26 再確認
DL gogo704.com:
-------------------------------------
2017/02/24 再確認
DL gogo703.com:
-------------------------------------
2017/02/22 再確認
DL gogo702.com:
-------------------------------------
2017/02/20 再確認
DL gogo701.com:
-------------------------------------
2017/02/18 再確認
DL gogo505.com:
DL gogo404.com:
-------------------------------------
2017/02/17 再確認
DL gogo606.com:
-------------------------------------
2017/02/16 再確認と訂正をしました
DL douga303.com: %ProgramData%\kirin\
O4 - HKCU\..\Run: [webkirin] "C:\ProgramData\kirin\********"
douga101.com/pc/page/completed.php
-------------------------------------
2017/02/12 再確認
DL aiai303.com:
-------------------------------------
DL aiai202.com:
-------------------------------------
2017/02/08 再確認
1-JAPAN 01-jp.com  に変更
DL aiai101.com: %ProgramData%\kirin\
O4 - HKCU\..\Run: [webkirin] "C:\ProgramData\kirin\********"

douga101.com/pc/page/completed.php
01-jp.com/pc/page/completed_bank.php
-------------------------------------
-------------------------------------
2016/12/29 再確認
DL ieie33.com: %ProgramData%\asdat\
asa-five.com

hktw99から →hktw88に変更
DL hta.hktw88: %ProgramData%\hktw8\ 
www.hktw88.com
www.tw-hk-11.com
-------------------------------------
2016/11/22 再確認
asa-six.comから →asa-five.comに変更
-------------------------------------
2016/11/16 再確認
DL ieie33.com: %ProgramData%\asdat\
追加: →setup.vbs bg.jpg: →画像変更
O4 - HKCU\..\Run: [webasdat] "C:\Program Files\asdat\********_.exe"
asa-six.com
 
setup.vbs: →C:\Program Files\asdat\
修正しました
-------------------------------------
2016/11/09 再確認
ieie33から →hta.hktw99に変更

DL hta.hktw99: %LocalAppData%\asdat\ 
asa-six.com

DL hta.hktw99: %LocalAppData%\hktw9\ 
www.hktw99.com
-------------------------------------
2016/09/28 再確認
ieie33から →haihai11に変更

DL haihai11: %LocalAppData%\asdat\ 
asa-six.com
------------------------------------

確認してみました。

DL ieie33: %LocalAppData%\asdat\ 
asa-six.com
asa-seven.com

2016/06/初旬 asahiから →asdatに変更
asa-three.com
asa-two.com
asa-one.com

DL mai-pony: %ProgramData%\mycon\
con-book.com
con-cd.com
con-mouse.com
con-pens.com
con-pic.com

Re: 桶波スレ - うんち

2016/09/26 (Mon) 01:26:57
質問者はなかなかのぽちゃ専ですね

今度はplay-bar.net - 悪代官

2016/09/30 (Fri) 19:20:15
http://okwave.jp/qa/q9236100.html

>駆除について、ネットで検索すると、機械翻訳された、変な日本語の駆除の
サイトばかり、出てきて、何かのソフトを使用しろ、や、日本語が変で、いかに
も胡散臭いサイトばかりが出てきます。

>日本語が正常なものは、見当たりませんでした

なるほど、やはり自分の日本語は正常じゃないようです(泣
http://akudaikan-0.bbs.fc2.com/?act=reply&tid=7000788

http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10163678245

とりあえず5KPlayerが入ってたらその削除と処置からかかることになりそうですね

Browser Modifierだけでみな同じものと混同は危険 - 悪代官

2016/11/09 (Wed) 06:32:54
今度は今をときめく(違)SupTab絡みの質問が桶波でも出てますが
http://okwave.jp/qa/q9253142.html

Browser Modifierの検出名だけで類似の事例と見られたら他の方まで混乱して、処置できるものもできなくなるおそれがあります。

知恵袋での自分のレスを引用されたのはまったく無駄ではないので、この相談者さんがWDでの検出結果リソースを確認して、そこから正しい相談先にたどり着いてくれることを祈ります

ZAは仕事してますが - 悪代官

2016/11/29 (Tue) 21:33:01
http://okwave.jp/qa/q9260810.html

>このZineAlarmは削除はしてくれないのでしょうか?
>ならば、何のためのウイルス対策ソフトでしょうか?

いや、画像見ると問題は一目瞭然ですね。
自らFreemakeシリーズを入れちゃってますが。

PCをセーフモードでSpybotスキャン推奨 - 悪代官

2017/02/16 (Thu) 21:45:53
http://okwave.jp/qa/q9294665.html

また設定と仕様も把握しないままSpybotを入れた方ですか。
しかしZlob.ZipCodecならマルチメディア系アプリ経由で同梱された可能性ありますね。

下手なweb検索すると上位にヒットする日本語表示のページではSpyHunterダウンロード勧めるところが出るのでそれに気づいて止める回答者さんがいることを期待しましょう

今回もシス復失敗で拗らせましたか - 悪代官

2017/03/27 (Mon) 19:45:37
https://okwave.jp/qa/q9309616.html

どこのURLで何を踏んだかわかりませんが、症状からしてショートカットのリンク先改ざん濃厚です。

https://note.chiebukuro.yahoo.co.jp/detail/n395110

なのに桶波ではまたシス復のレス2連発で、沈静化もできないまま締め切られてしまいました。

hostsやらタスクスケジューラやらブラウザ拡張やら、シス復以前に見るべきところはいくつもあるでしょうに。

web検索のヒットが正しいと思いますか? - 悪代官

2017/10/03 (Tue) 21:12:53
https://okwave.jp/qa/q9380686.html

質問者さん

>"winexit!rfn"はコピペなのでタイプミスはないはずですが何もヒットしないのです

対して回答No.6

>はぁ? 明らかにタイプミスしています。
>Win32/Winexert!rfn ですね

>幾らでもヒットしますが?

web検索で共通の対処策を見つけられないために別名に改称したり、一文字二文字だけ変えるのは悪質プログラム作成配布者の常套手段です。
伏魔殿だけでも数年前は各スレで毎日のように見つかっていました。

類似名、類似挙動の情報を参考にするのはいいですが、それを鵜呑みにするのも、頭から役に立たないと否定するのも避けるべきです

返信フォーム

Template Design By BeigeHeart.