5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【ウィルス情報質問 総合スレッド★Part49】

1 :名無しさん@お腹いっぱい。:2011/07/15(金) 22:16:33.06
前スレ
【ウィルス情報質問 総合スレッド★Part48】
http://hibari.2ch.net/test/read.cgi/sec/1302983866/
★質問用テンプレ★
【使用OS】 「」
【Microsoft Update(MU)の状態】 「」
【使用セキュリティソフトとバージョン】 「」
【セキュリティソフトの定義ファイルは最新の状態に更新されているか】 「」
【スパイウェア対策ソフト】 「」
【スパイウェア対策ソフトの更新は定期的に行なっているか】 「」
【ルータの有無】 「」

【スキャンの結果何が検出されたか(検出されたウイルス名・ファイル名を(パスを含めて)詳しく)】
「」

853 :名無しさん@お腹いっぱい。:2014/04/05(土) 19:21:35.39
win7のガジェットでcpu,メモリの使用状況を表示させてるんだが最近cpuの使用率が90%を超えてることが
続き、気になったのでタスクマネージャで調べようと起動するとcpuの使用率が数%に落ちる現象が発生した
タスクマネージャを終了するとまたcpuの使用率が90%を超えてくる
いろいろ調べたところcpu.exeというのがいつの間にかインストールされcpuの使用率をあげていた
このままの状態だと削除できないので、セーフモードで立ち上げ個人フォルダに作成された
ApplicationManagerというフォルダをそっくり削除することで解消した
タスクマネージャの起動を監視しているようなのでタスクマネージャでは動作を確認できない
情報が少ないが気になるなるようだったら、cpu.exeで検索してみてくれ

854 :名無しさん@お腹いっぱい。:2014/04/05(土) 20:14:29.74
どこの階層にインストールされたんだ?

855 :名無しさん@お腹いっぱい。:2014/04/06(日) 07:45:49.77
階層ってインストール先のことか?
場所は
ユーザ名\AppData\Roaming\Microsoft\ApplicationManager\cpu
ApplicationManagerのフォルダの中にcdaというのも作られていた

cpu.exeというのはcpuに負荷をかけるまともなソフトも有るようだが、これは別物
気が付かないと、いつもcpuの負荷が90%を超えた状態が続く

856 :名無しさん@お腹いっぱい。:2014/04/06(日) 08:34:38.15
iPhoneのアプリの中の画像を見たかったんでifunboxと言うソフトをダウンロードしたのですが
その中にshopperProというのもまぎれて入ってしまいました
これがどうやってもアンインストールしようとしても消えません
CCleanerで悪さをしないようにある程度消したと思うのですが
完全にアンインストールするにはどうすればいいのでしょうか?

857 :名無しさん@お腹いっぱい。:2014/04/06(日) 08:41:27.65
Download.com(cnet)が公式に大量のマルウェア配布してるんだが
それを防ぐウィルス対策ソフトってあるの?

具体的な手口は目的のソフトの同意ボタンと誤認させて、なおかつ
同意しないボタンを無効に見えるグレーにして押せないと誤認させる手法。
昔はちゃんと見分けが付いたけど つい最近使ったら見事に引っ掛かって
ブラウザ全部書き換えられた。あいつらのやり方は許せん。

858 :名無しさん@お腹いっぱい。:2014/04/06(日) 09:15:35.77
>>857
それであなたはどのセキュリティソフト使ってたの?

859 :名無しさん@お腹いっぱい。:2014/04/06(日) 18:11:40.69
>>855
新種っぽいな

860 :名無しさん@お腹いっぱい。:2014/04/07(月) 10:54:41.29
>>855
cpu.exeをVirustotalに送ってくれ

861 :名無しさん@お腹いっぱい。:2014/04/08(火) 19:36:37.91
853ではないがこちらでもエンドユーザーのPCで同様のウイルスを確認した。

C:\Users\[username]\Appdata\Roaming\Microsoft\ApplicationManager\cpu
ApplicationManager配下

stub.exe
https://www.virustotal.com/ja/file/717980895a97fa6ea53f8aa90576358a987a24db2797bf921c32dceb8ec7bf2f/analysis/
mst.exe
https://www.virustotal.com/ja/file/de9ad19d6d7c0869d28a50bf4e5527eb500e8186b912c0b67ae85718cf484132/analysis/

\cpu\cpu.exe
https://www.virustotal.com/ja/file/394061f48d7f73c13fa191990b7946af5163c0fddf3a4594a977e49c1b67b8dc/analysis/

\cda\cda.exe
https://www.virustotal.com/ja/file/8b0babf7de4afcb04d2736654ffd33b218d586470655db8fb2bca4ddedae8ef1/analysis/

プロセスとしては、mst.exeの下にcpu.exeが動くような構造だった。
なのでcpu.exeだけ切ってもすぐに復帰、mst.exeとcpu.exeを同時に停止すればそのまま止まった。

激俺regeditで検索しただけだけどもレジストリは
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
に二つ値が仕込まれてただけで他は仕込まれてない感じだ

862 :名無しさん@お腹いっぱい。:2014/04/08(火) 19:38:28.83
拡張子をリネームしてからVirusTotalで再分析かけたので
一部は表示上の拡張子がex_で表示されるかも知れないけども実際は.exeです。

863 :名無しさん@お腹いっぱい。:2014/04/08(火) 19:45:55.01
すまん、>>861のファイルパスミスった
C:\Users\[username]\Appdata\Roaming\Microsoft\ApplicationManager配下 です

ApplicationManager\
├stub.exe
├mst.exe
├─cpu\
│  ├cpu.exe
│  ├libcurl-4.dll
│  ├libwinpthread-1.dll
│  └zlib1.dll
└─cda\
    ├cda.exe
    ├cudart32_50_35.dll
    └pthreadVC2.dll

864 :861:2014/04/08(火) 22:24:38.29
自分が使ってるF-Secureの献体報告(SAMPLE ANALYSIS)で下記の通り登録された
stub.exe > Trojan.Agent.BCOB
mst.exe > Trojan.Generic.11157386
cpu.exe > Application.BitCoinMiner.EM
cda.exe > Application.BitCoinMiner.EN

342 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50


read.cgi ver 05.04.09 2022/06/21 Walang Kapalit ★
FOX ★