ググっても何もヒットしないしどんなウイルスなんだろう
| URL | Reaper#-
なんかねー
2日前から定期的にIEが起動して広告っぽいものが表示されるのよ
気持ち悪いもんだからねぇAntiVir先生のウイルス定義ファイルをアップデートしてフルスキャンしてみたけど、何もヒットしないんだよねぇ
おかしいなぁおかしいなぁなんて思って・・・
WindowsDefenderでもスキャンしてみたけどやっぱり何もヒットしない・・・
ヒューリスティックでも検知されないってことは、ただ広告を表示するだけのアドウェアなんじゃないかな
WindowsはCSOをやるだけだしな。アドウェアの一つや二つ入ってても問題ないじゃろう。
なんて思ったりしてしばらくスルーしてた
大丈夫じゃない、問題だ
やっぱり気になっちゃうワラ
ヒューリスティックでも検知されない未知の有害なウイルスという可能性もある
じゃあ駆除しよう
スタートアップを見てみるとc:\users\root\appdata\local\temp\ojx.exeを起動するようになってるし、スケジュールにも定期的に動くように登録されてる
タスクマネージャーも見てみるとOjx.exeが複数動いてる・・・
Ojx.exeを停止してスタートアップとスケジュールの登録を削除し、ファイルを削除してみた。
復活ワロタ
もし、スパイウェアだとすると厄介だ罠 ログインパスワードやらなにやら盗まれてしまう。
本当にスパイウェアならどこかと通信してるんじゃ・・・いや、
WindowsにはWindowsファイアウォールというものがあってだな・・・
>netstat
173.212.247.108:http ESTABLISHED
何勝手に見知らぬホストと確立してんだワラWindowsファイアウォール仕事しておくれ
フリーで強力なCOMODO Firewallを入れてみた。
再起動直後にOjx.exeの通信を検知した とりあえずOjx.exeの通信は全てブロックするように設定しといた。
COMODO Firewallのログを見てみる
Ojx.exeが173.212.247.108:80に通信しようとしてる。
173.212.247.108が情報をホイホイする鯖なのかな
調べてみた
http://www.dedicatedornot.com/sites/173.212.247.108
アメリカ合衆国ペンシルベニア州スクラントン
GoogleMap
# nmap -O -p1- 173.212.247.108
OSはOpenBSDでftp ssh http mysqlが開いてると。
$ ssh root@173.212.247.108
とか打ってみるとパスワード認証が有効ってことが分かる
ブルートフォースアタックをしてくれと言っているようなもんだわな
まぁ結局Ojx.exeが具体的に何をしているのかはさっぱどわかんなかった。
さっきもう一回AntiVir先生の定義ファイルをアップデートしてスキャンしてみたらOjx.exeを検知して呆気なく削除された。
よかったよかった。
分かったこと
Ojx.exeを駆除してもCSOのFlashEntityエラーが治らないということは、
エラーの原因はOjx.exeではないということ
2日前から定期的にIEが起動して広告っぽいものが表示されるのよ
気持ち悪いもんだからねぇAntiVir先生のウイルス定義ファイルをアップデートしてフルスキャンしてみたけど、何もヒットしないんだよねぇ
おかしいなぁおかしいなぁなんて思って・・・
WindowsDefenderでもスキャンしてみたけどやっぱり何もヒットしない・・・
ヒューリスティックでも検知されないってことは、ただ広告を表示するだけのアドウェアなんじゃないかな
WindowsはCSOをやるだけだしな。アドウェアの一つや二つ入ってても問題ないじゃろう。
なんて思ったりしてしばらくスルーしてた
大丈夫じゃない、問題だ
やっぱり気になっちゃうワラ
ヒューリスティックでも検知されない未知の有害なウイルスという可能性もある
じゃあ駆除しよう
スタートアップを見てみるとc:\users\root\appdata\local\temp\ojx.exeを起動するようになってるし、スケジュールにも定期的に動くように登録されてる
タスクマネージャーも見てみるとOjx.exeが複数動いてる・・・
Ojx.exeを停止してスタートアップとスケジュールの登録を削除し、ファイルを削除してみた。
復活ワロタ
もし、スパイウェアだとすると厄介だ罠 ログインパスワードやらなにやら盗まれてしまう。
本当にスパイウェアならどこかと通信してるんじゃ・・・いや、
WindowsにはWindowsファイアウォールというものがあってだな・・・
>netstat
173.212.247.108:http ESTABLISHED
何勝手に見知らぬホストと確立してんだワラWindowsファイアウォール仕事しておくれ
フリーで強力なCOMODO Firewallを入れてみた。
再起動直後にOjx.exeの通信を検知した とりあえずOjx.exeの通信は全てブロックするように設定しといた。
COMODO Firewallのログを見てみる
Ojx.exeが173.212.247.108:80に通信しようとしてる。
173.212.247.108が情報をホイホイする鯖なのかな
調べてみた
http://www.dedicatedornot.com/sites/173.212.247.108
Host: 173-212-247-108.hostnoc.net
IP: 173.212.247.108
Country: United States
State: Pennsylvania
City: Scranton
Postcode: 18501
Latitude: 41.4201
Longitude: -75.6485
アメリカ合衆国ペンシルベニア州スクラントン
GoogleMap
# nmap -O -p1- 173.212.247.108
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
3306/tcp open mysql
Device type: general purpose
Running (JUST GUESSING) : OpenBSD 4.X (97%), FreeBSD 7.X|8.X (92%)
Aggressive OS guesses: OpenBSD 4.3 (97%), FreeBSD 7.0-BETA4 (92%), FreeBSD 7.0-RELEASE (91%),
OpenBSD 4.0 (x86) (90%), FreeBSD 8.0-CURRENT (89%), FreeBSD 7.0-STABLE (87%), OpenBSD 4.0 (87%)
OSはOpenBSDでftp ssh http mysqlが開いてると。
$ ssh root@173.212.247.108
とか打ってみるとパスワード認証が有効ってことが分かる
ブルートフォースアタックをしてくれと言っているようなもんだわな
まぁ結局Ojx.exeが具体的に何をしているのかはさっぱどわかんなかった。
さっきもう一回AntiVir先生の定義ファイルをアップデートしてスキャンしてみたらOjx.exeを検知して呆気なく削除された。
よかったよかった。
分かったこと
Ojx.exeを駆除してもCSOのFlashEntityエラーが治らないということは、
エラーの原因はOjx.exeではないということ
- 関連記事
-
-
IQをオーバークロックしたい
2010/11/10
-
Google急上昇ワードがYahoo祭り
2010/10/14
-
Ojx.exe
2010/10/12
-
MZK-W300NH2とFFP-PKR01
2010/09/28
-
HDDファン買ってきた
2010/09/18
-
コメント
照れるわ。
| URL | 長倉 怜二#DWa7YIhw
そんなとこまで調べられんのかよ。
惚れるわ。
| URL | ZEUS#-