【警報】Winnyを狙ったワーム・ウイルス情報 Part22
2get
■質問テンプレ 質問の際、あなたのPC環境やウイルスソフトがわからないと対処できません。 テンプレに沿って答えることで解答が出やすくなります。 【使用OS】 【WindowsUpdateしてるか】 【AntiVirusは】 【ちゃんとUpdateしてるか】 【スキャンした結果】 【オンラインスキャンしたならその結果は】 【Winnyのバージョン】 【Winny歴、総DL量は】 【テンプレを読んだか】 【テンプレにある対策を実行したか】 【症状か具体的に、分かる限りすべて書く】 【何をしたらそんなことになったのか】 【これまでにとった措置】
■感染しないための注意1 〜やっておくべき設定等〜
・アンチウイルスソフトのインストール及び常駐、定期的な更新。
・シングルクリックをダブルクリックにしてうっかり操作防止。
・ファイルの拡張子は表示させておく。できれば詳細表示を使うか、ファイラを使う。
・nyをProgramFilesに置かない。CacheとDownフォルダは詳細表示にする。
・CD/DVDドライブのAutorun(自動実行)は切っておく。(やり方は以下参照)
・適切な無視リストの設定などで、そもそもウイルスを呼び込まない。(リストは以下参照)
・whiter対策としてC:\Windows\Systemに「Whismng.exe」というフォルダを作成。
(フォルダ名と同じファイルは置けないのである程度防止になる)
・WhiterVBS簡易チェッカーを使う。
ttp://mxtrojan.at.infoseek.co.jp/column02.html ・IEのセキュリティ設定を厳しくする。特にActiveXコントロールとプラグインを無効orダイアログ表示に。
(拡張子.folderで悪意のあるコードを含んだhtmlを読み込むバグ、悪用の危険あり)
ttp://internet.watch.impress.co.jp/cda/news/2004/01/30/1927.html ・XMLのOBJECT要素によってコマンドを起動するバグ対策に、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0にあるFlagsの値を10進数で1に変更する。
・フォルダアイコン、txtアイコンを標準のものから変更しておく。
(アイコンを偽装したexeを見分けるため。aviやヘルプなど他の拡張子も変更が望ましい)
・レジストリ:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run のアクセス権を制限する。
※アプリケーションのインストール時に弊害が起こることもあるので注意。
■感染しないための注意2 〜普段からの注意〜
・大事なデータはこまめにバックアップを取る。
・落としたファイルは必ずウイルススキャンする。
・解凍ソフトはWinRARなど中身を確認できるアーカイバを使う
・lzh,zip,rarなど圧縮ファイルは解凍後も要注意。
・exeファイルの実行は完全自己責任。
・CDイメージ(CCD等)はautorunを切ってからマウントし、更に実行ファイル(setup.exe等)をウイルススキャンする。
・怪しい・危険なファイルはWinnyFileDatabaseでチェックする。
ttp://p46.aaacafe.ne.jp/~nydb/ CD/DVDドライブのAutorun(自動実行)の切り方
◆Win9x、Meの場合
1.[マイ コンピュータ]-[プロパティ]-[デバイスマネージャ]-[CD-ROM]-[プロパティ]-[設定]を開く
2.オプション項目の「挿入の自動通知」のチェックを外す
◆Win2000、XPの場合
1.[スタート]−[ファイル名を指定して実行] から regedit を起動
2.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom を展開
3.右の「AutoRun」値のデータを0に設定
※設定変更後、必ず再起動すること。再起動しないと有効になりません。
※また窓の手などでソフトでも簡単にオフに出来る。
※DaemonToolsの自動起動とは別です。これをオフにしても自動実行は切れません。
■推奨無視リスト このままIgnore.txtにコピペしてください。 .exe,,0,0,,0,1,0 .jpg,,0.0085,0.0088,,0,1,0 .jpg .lzh,,0,0,,0,1,0 .g .lzh,,0,0,,0,1,0 .avi .lzh,,0,0,,0,1,0 .m .lzh,,0,0,,0,1,0 .w .lzh,,0,0,,0,1,0 .txt .lzh,,0,0,,0,1,0 .rar .lzh,,0,0,,0,1,0 .cab .lzh,,0,0,,0,1,0 .exe .lzh,,0,0,,0,1,0 ※無視リストを追加しすぎるとマシンに負荷が掛かります。
■FAQ.1
Q.○○が××で△△なんですけど、大丈夫でしょうか?ウィルスでしょうか?どうしたらいいでしょうか?
A.その程度のことも判断できないスキルでは、自力でどうにかすることは無理です。
迷わずにOSをクリーンインストールするのが安全策です。
Q.ファイルを解凍するだけでウィルスに感染することってあるんですか?
動画/音声ファイルを再生するだけでウィルスに感染したりしますか?
A.そのファイルを開くアプリにバグが無い限り、そういったことは有り得ません。
使用ソフトのhpなどでそのようなバグがないか調べましょう。
Q.拡張子がexeのものを実行しなければいいですか?
A.antinnyに限れば、基本的にその通り。
ただし.folder などを通じて.exeが間接的に実行されることもあるので注意。
また一般ウィルスはexeだけでなくマクロウイルスやらスクリプトやらその他もあります。
Q.キンタマに感染してしまったようです。これって、もうwinnyをやらなければ大丈夫なんですよね?
A.確かにWinnyでそれ以上の個人情報流出は止められるが、それまでに流出したものについてはお手上げ。
またそれ以外にどんな悪さをするか完全解明されていないのでクリーンインストール推奨します。
Q.いつの間にか ny のフォルダに(null)Download.txtや(null)Noderef.txtなどのファイルができてます。
A.ny終了時に何らかの問題が有って既存のファイルが上書きできなかった時に生成されるただのバグ。
Q.○○というファイルが削除できません
A.現在実行中のプロセスがそのファイルを使用している、あるいは、プロセスの実行ファイルそのものであることが原因。
原因となっているプロセスをタスクマネージャなどで終了させれば削除できる。
エクスプローラが不完全な動画ファイルの情報を取得しようとして固まっているケースが多い。
エクスプローラが動画ファイルを手放さないため、そのファイルの削除・リネームが不能となる
エクスプローラが原因の場合、エクスプローラを使用してファイル削除が出来ない。
その場合はコマンドプロンプトから「C:\>del "ファイル名(フルパス)"」とすればいい。
※参考 WindowsXPで消せないファイルを削除するTips集
ttp://xp-delete.hp.infoseek.co.jp/tips.html
■FAQ.2
Q.タスクマネジャーのプロセスにsvchost.exeっていうのがたくさんありますが危険なの?
A.svchostは正常なシステムでも5つ程度複数起動していることはよくある。
しかしそれを悪用してウィルスをsvchost.exeという名前で実行させるという手口がある。
怪しい節があるならProcessWalkerなどでプロセスの実行ファイルのフルパスを確認。
Q.突然パソコンが重くなりCPU使用率がほぼ100%になってしまいました。
A.タスクマネージャで、どのプロセスがパワーを消費しているのか確認。
もちろん実行覚えがないプロセスが大量に使用率が高いなら要注意。
Q.今動いているプロセスのどれが怪しいのかわかりません
A.ここのリスト参照
ttp://www.answersthatwork.com/Tasklist_pages/tasklist.htm Q.レジストリ、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runでどれを消せばいいのかわかりません
A.ここのリスト参照、もちろん怪しいのは削除
ttp://higaitaisaku.web.infoseek.co.jp/iru.html Q.レジストリエディタをメモ帳に書き換えられてしまいました。どうやったら元に戻せますか?
1.OSのインストールディスクからオリジナルの regedit.exe を探し出す。
◆95,98,Meの場合→
ttp://support.microsoft.com/default.aspx?scid=kb;ja;129605 ◆XPの場合→インストールディスクの入ったドライブをD:とするとD:\I386\REGEDIT.EXE
2.今あるregedit.exeをオリジナルで上書きする。
◆95,98の場合→C:\Windows\regedit.exeを上書き
◆XP/2000/Meの場合→C:\Windows\system32\dllcache\regedit.exe、C:\Windows\regedit.exe の順で上書き
★流行種その1
【キンタマ(W32.AntiWinny.K等)】
■感染ルート
・nyあるいはそれ以外の方法でキンタマワームを踏んで感染。
・IEや拡張子「.folder」のバグを利用し、自動実行させ感染。
■症状(感染確認方法)
・Upfolder.txtに登録したことのないフォルダが登録される。
・レジストリエディタ(regedit.exe)を開こうとするとメモ帳が開く。
・"C:\Documents and Settings\ユーザー名\Local Settings\Temp" に"ユーザー名.txt"が作成される。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に名前xxx データC:\Program Files\xxx\xxx.exeが登録される。
・スタートアップに該当プログラムが登録される。(msconfigで確認)
・etc.(亜種により様々)
■活動内容(亜種毎に違います)
・Winnyとは関係なくランダムな時間にデスクトップのスクリーンショットを取る。
・デスクトップ上のファイルをまとめて [キンタマ] 俺のデスクトップ PCのユーザー名[日付](ファイル詰め合わせ).lzh という名前でupフォルダに置く。
・UpFolder.txtを書き換えてファイルを勝手にアップロードする。
・Winnyを接続すると知らない間に勝手にこれらをダウンロードする。
・各exeファイルはそのアイコンの本来の動作も同時に行う。
(例えばjpgアイコンに偽装したexeを起動すると、ワームが実行されると共に画像も表示されるため気づきにくい)
■駆除方法
・Winnyをフォルダごと削除、そしてWinnyを再び入れ直す。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの怪しい値を削除する。
・C:\Program Files\xxx\xxx.exeを削除、 スタートアップからも該当プログラム削除。
■予防
・なるべく関わらない。推奨無視ワード「キンタマ」「デスクトップ」
・今回に関わらず、落とした.exeファイルの実行は控える。
■まとめサイト
ttp://www.geocities.jp/kim_virus/ ttp://myui.s53.xrea.com/kin/index.html ttp://chiakis-web.hp.infoseek.co.jp/kintama-v/
★流行種その2 【Antinny.ms(仮称)】 Antinny.Bの亜種? サイズ 1.26MB 開発名 SilentToker Delphi製 ファイルバージョン5.1.3125.1093 製品バージョン6.00.1800.1007 ■症状(感染確認方法) ・Windowsフォルダにsvchost.exeを作成。(無い場合もあり) (Systemフォルダにあるsvchost.exeは問題ありません) ・UpFolder.txtに名前BBSでダウンフォルダを追加。 ・アップ(ダウン?)フォルダのZIP、LZH、RAR(?)に感染。感染の際にアイコンを自ら変更する。 ・アンチウイルスソフト(ノートン、バスター)の自動実行を無効にする。 ・親と子があり、いずれもSystemフォルダに作成される。子はms???.exe(248k)。親はms???.exe(282k) (子を消しても、再起動すると親が子を再度作成する) ・親はサービスに登録される。 ・子はHOSTSを書き換えてWindowsUpdateやSymantecなどに接続不可にする。 ・親と子はノートンでトロイとして検出される。バスターは未対応? ■活動内容 ・毎月第一月曜日に発動。行動内容は不明。 ■対策 1. 親のファイル名が含まれるレジストリキーを削除。 Win2k、XPの場合HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 内にある。 (Win9X、MEの場合は不明) 2. セーフモードで再起動し、親子ともどもファイルを削除。 3. HOSTSファイルを開き、宛先が0.0.0.0の行を全部削除。 HOSTSファイルは \Windows\System32\Drivers\etc\Hosts をメモ帳などで開く。 4. NyのUpフォルダ設定を元に戻す。 5. ノートンやバスター等のワクチンソフトを再インストール。 バスターはPCCTool.exeを使えば再インスコせずに済む。
★流行種その3 【Autorun+bat】 5種類以上の亜種がある。 ■感染ルート ・主にエロゲのイメージファイルをマウントした時やSetupを実行した時に感染。 ・Setup.batやSetup.exeを実行させることで感染。 ■活動内容(版により活動は異なる) ・deltree、del、rmコマンドでファイル削除。 ・bug.exeで気をそらす。 ・reg deleteコマンドでレジストリ全削除。 ・スタートアップに自身を登録し、再起動毎に活動する。 ・レジストリのRunやRunOnceに自身を登録し、再起動毎に活動する。 ・システムの復元の無効化。 ・Windowsファイル保護の無効化。 ・使用者名・企業名変更。 ・レジストリエディタ本体及びdllcacheやi386フォルダ内のバックアップの削除。 (削除したファイルと同名のフォルダを作成する) ・強制再起動 ・html(ACCS・JASRACへの田代砲)起動をatコマンドでスケジュールする。 ・壁紙のエロCGへの変更(画面のプロパティでの修正は不可) ■駆除方法(版により対処法は異なる) ・batファイルに書かれたDOSコマンドを読んで、加えられた変更を元に戻す。 ■対策 ・batファイルを不用意に実行しない。 ・exeの実行は自己責任で行う。あまりアンチウイルスソフトは役に立たない。
Shareで手にいれたローラーコースタータイクーン2日本語版なんですが、 100k程度のNOCDも他から一緒にDLして当てたあとに実行したところ、 「HDD初期化ウイルス」という窓が出てきました。 同時にユーザIDとシリアルを入力する画面が出てくるのですが、 怖くて何もできないままです。初期化する準備をしてる状態で止まったままでどうすることもできません。 タイクーン2とNOCDの二つは解凍したあとウイルスチェックを行いましたが反応無しでした。 Autorunが何故か入ってないやつです。 似た体験したかたいませんでしょうか。 お願いします・・・どなたか・・・・Orz
15 :
[名無し]さん(bin+cue).rar :04/07/10 21:57 ID:XfEg3DXK
どうかどうか・・・m(。_。;))m
>>14 ヴァーカ
Shareとかほざいてるし答えなくていいよな?ここ「nyを狙った」スレだし
>>14-15 ここは「Shareを狙ったワーム・ウイルス情報」スレなのか?
す・・・すまん・・・・・総合だと勘違いしてた・・・ ごめんなさい。
というか、 やはりいまだにWinnyの方が利用者が多いのかな?
Shareから流れてきたり、その逆も多々あるようですが、 圧倒的にnyが多いようです。同じファイルがnyにも流れてました・・・
なんかプロセスから実行ファイルを終了させたら初期化画面も消えました・・・ あっけなすぎて何かありそうですが迷惑かけました。 ちなみにShareではウイルス関係のスレありませんでした。 すみませんでした<(_ _)>
つうか、今時それに引っかかるってのもなぁ・・・
>>19 >Shareはどうかわからないけど被参照量が少ないものは落とさない方がいいよ。
やっぱり、被参照量は目安になるんだ。多分そうだろうと、ファイル検索の時は
被参照量でソートして上から探してたんだけど。
そのうち確認の質問しようと思ってたけど、まだググってなかったからそのままに
しといた。thx
あと、テンプレまとめ更新乙です。このテンプレの内容に自分も少しは関わった
と思うと、ちょっと感慨深い・・・。
25 :
[名無し]さん(bin+cue).rar :04/07/10 22:33 ID:2DQut5gG
Winnyを最小化したところ元に戻らなくなり、 タスクマネージャからも終了できなかったためにPCを再起動しました。 再起動後Winnyが勝手に起動してインジゲータ?に入っており(最小化したかのような状態)、 キャッシュ用である外付けのHDDにアクセスし続けています。 同じような症状の方、いらっしゃいませんでしょうか? 対処としてタスクマネージャからのWinnyの終了の試行、 Winnyを二重起動することでタスクバーから出す(最大化する)事の試行を試みましたが、 うまく行っていません。 キャッシュ用の外付けドライブの電源を切ってしまうと何が起こるかわからないため、 怖くて試していません。
プロセス強制終了できなかったってこと?
27 :
[名無し]さん(bin+cue).rar :04/07/10 22:38 ID:2DQut5gG
そうです。 終了処理自体は何の問題も無くできるんですが、 Winnyは何事も無かったように起動し続けてます。
冗談抜きに怖いっす。 最近バックアップとってないし 今とりあえずセーフモード&DOSプロンプトで立ち上げて Winnyの実行ファイルを消去しました。
shareだと最近までタスクトレイにひきこもったままで終了できないって事象もあったらしいけど ある程度こなれたnyでもあるんかね?
再起動後、nyを再インストール(バックアップからコピー)して、 再度PCごと再起動したところ問題なさそうな感じです。 HDDがガリガリ言ってたのはノートンの関連ファイルだったらしいです。 タスクマネージャから怪しいプロセス片っ端から終了していったら、 ノートン関連ファイル消したところでガリガリが止まりました。 今まではこんなこと無かった…と思うんですが…。 いろんな要因が重なってただけだったんだろうか。。 お騒がせしました。
>>30 CPU負荷が高いと勝手にトレイから出てくる現象は相変わらずだがね。
33 :
25 :04/07/11 00:55 ID:EHlI0R7B
念のためウイルススキャンしてみたら2件ヒットしました('A`) まだスキャン中。 ノートン先生…常駐させてたのに('A`)
キンタマにかかった。 面白いね、このキンタマとかいうやつ。 こういうの作れる人ってやっぱ そこそこ賢いんかなあ。
35 :
25 :04/07/11 02:08 ID:EHlI0R7B
どこのウイルスデータベースにも具体的な活動内容は書かれてないな 古いウイルスだからか。
37 :
ひみつの文字列さん :2024/05/07(火) 07:14:43 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
>>37 たった今俺の友達も踏んだみたいでバタバタしてた。
なにか情報plz
>>38 急いで削除したのでうろ覚えですが
(ユーザー名).WA
desktop.ini
のファイルが実行後に出来上がっていた気がします。
40 :
38 :04/07/11 04:08 ID:JSmPLT0M
>>39 サンクス。
こっちはこち亀.exeを踏んだらウインドウが開いてファイルが二つ入ってたとか、
んで、GoodBoy.exeがタスクマネージャで動いてて、それを終了されたら開いたウインドウが閉じたとか。
desktop.iniについては調査中です。
随時報告します。
41 :
[名無し]さん(bin+cue).rar :04/07/11 04:25 ID:RAE0tdUs
最近、ファイル検索をしても一つも出てこなくなってしまいました。 掲示板は出るのですが・・・。 これって何かのウィルスにかかったのでしょうか。 どなたか教えて下さい。
42 :
25 :04/07/11 04:57 ID:afMeg0Fo
>>25-31 >>33 >>35-36 眠い…
経過報告。ファイルをあわてて退避してるんですが、
今まで明らかに壊れてなかったファイルがいくつか壊れてるような気がします。
さらに消せないファイルが数点ありました(TAT)
Winnyが終了できない現象は
>>29 >>31 により解消しましたが、
色々試した結果、今度はexplorerが終了できなくなっていました。
普通はexplorerは終了できて、タスクバーが画面から消えるような感じになると思うんですが。。
タスクマネージャからいくら終了ボタンを押しても、無反応です。
また、再起動するたびにHDDが異常なほどガリガリ言い、動作がものすごく重いです。
ものすごく厄介なウイルスのような気がしてきました。。。。。。。。。。。。。。眠い
43 :
25 :04/07/11 05:07 ID:afMeg0Fo
>>42 間違えた、Winnyが終了できない現象は、
「C:\WINDOWS\Temp」の中に生成されていた○○.tmpという偽装comファイル?を
ノートン先生で検疫したことによって解消しました。
その後怖いので全体スキャンを試みましたが、特定のファイル(壊れている/消せないファイル)で
ウイルススキャンがハングアップします。どーしようも無い状態です
どうしようもないなら とっとと再インストールをしろ
45 :
[名無し]さん(bin+cue).rar :04/07/11 05:40 ID:hWtnueuN
>>37 >>38 釣りですか?
つーか、キンタマの典型的症状なんだけど・・・。
とりあえず今HDDに有るファイルは諦めて
HDDフォーマット>再インストール
が一番安全。
キンタマは駆除したつもりでも潜伏してることが有る。
そうなれば最悪最後は画面が赤い血を吐いて(比喩表現)
ファイル全部あぼーんの運命だし
46 :
名無しさん@そうだ選挙に行こう :04/07/11 14:50 ID:AutuyQBE
先日、AVG Anti-Virus をインストールした 瞬 間 に ウイルスが発動したことがあった…(win32 Parite) これってノートン先生とかだとまた違うんでしょうか? どなたかお助けを
>>46 AVGは正直ウィルス検知能力は低め。
その分挙動は軽いけど。
AVGを使う場合は時々バスターとかの無料オンラインスキャンを
併用すると吉。
どの道nyを狙ってるようなウィルスの場合亜種がどんどん出てきて
どのアンチウィルスソフトも対応が追いついてないのが現状。
>>46 因みに
>>46 の言う「発動」と言うのがAVGの警告窓が出たと言うことなら、
それまで発動しても気が付いてなかったウィルスに入れたばかりのAVGが
気付いてウィルスの活動をブロックしたと言うことだと思う。
だからノートンとかでも同じ挙動だったはず。
>>46 「てめぇの不注意で放置されていたParite(すでに活動中)を、
俺は見つけてやったんだよ! それをおまえは…。
俺のせいでウィルスが発動しただぁ!? バカも休み休み言え!!」
以上、AVG氏の心の叫びですた。
こういうのが居るから、ウィルスも作り甲斐があるんだよな。 俺も何か造ってみようかという気にもなるわ。 ウィルスを作って、Winnyのアップフォルダに入れておくだけなら 今のところ、日本の法律には引っかからないからなw
51 :
名無しさん@そうだ選挙に行こう :04/07/11 15:42 ID:+FQhfFT9
>>46-49 dクスです。
要するにすでに裏で活動してた訳ですな…
追記なんですが…うちルータがトレンドマイクロ社の奴なんですけど、
これからオンラインスキャンができる場合
AVGはやっぱいらなかったりしますか?
厨な質問っぽいですが
>>48 当たっとります。
消しても消しても出てきたんすよ、Resident Shieldの窓が…
53 :
名無しさん@そうだ選挙に行こう :04/07/11 17:35 ID:USxR429k
>>51 オンラインスキャンで駆除は出来ないぞ。
ウィルスソフトは入れとけ。
56 :
51 :04/07/11 20:04 ID:Bd6nJ06w
>>56 つまり通常は無料提供で駆除は出来ずに削除だけのオンラインスキャンが
そのルーター経由だと駆除も可能と言うこと?
駆除が出来るとしてもとりあえず例のAVGインストール事件がルーター
導入後ということならそのままAVGは入れといた方が良いかと。
ルーターのセキュリティーに取りこぼしが有った訳だから。
動作も問題にならないくらい軽いわけだし、自動のウィルススキャンも有る。
で、何日かに1度ルーター経由のオンラインスキャン。
それでも完璧ではないけど、それ以上を求めてもきりが無いしね。
そのルーターの通常の挙動は
万引き犯を見抜いて店に入れないようにするようなもの。
PC内のアンチウィルスソフトの常駐時の挙動は
今まさに万引きしようとする奴の手を引っつかむようなもの。
58 :
[名無し]さん(bin+cue).rar :04/07/11 20:25 ID:ahHJtN2i
>>56 この製品の事はよう知らんが、
オンラインスキャンで駆除・削除できるなら、わざわざ買う必要無いとも思う。
でも、何らかの理由でネットに接続できない場合は、どうすんのかね?
取説とかなんかに書いてない?
起動時にアドレス帳が勝手に立ち上がって、 C:\WINDOWS\bugfix ってフォルダを作ってしまいます・・・ [焙煎にんにく][NullPorce] 俺のアドレス帳&お気に入り tokotoko.zip 私は*****、Antinnyの作者だ。.zip と二つの圧縮ファイルを勝手に作ってしまいます。 TROJ_NULLPORCE.A の亜種っぽいですけど、 同じ症状の方います?
>>57 あぁそうか。リアルタイムスキャンができるかどうかの問題があるね。
>>59 同じ症状の方は、既にCドライブあぼーんされてるかと・・・。
dll上書き始まってるかもしらないから、大事なデータあるんだったら
早めに退避させといたほうがいいよ。
62 :
59 :04/07/11 21:08 ID:Fm9aOpM4
まじすか? Cドライブだけかな、はやく逃がしてきます
もう長々とテンプレはるより
>>19 のアドレス張ったほうが良さげな・・・
梅乙 しんどいけど寝れない
65 :
[名無し]さん(bin+cue).rar :04/07/11 23:12 ID:ARckVBuM
bugfix 米田学でもできてた。 メールを送るタイプのウイルスかな。
前スレ埋め立て完了〜。 ところで、前スレ>650の報告なんだが @まめFile2で表示、種類がZipファイルであることを確認。 Aまめ2のビューアで中身を表示。フォルダが1個あって、その中は全てjpgファイルであることを確認 BMangaMeeyaで解凍せずに、中身をみると「書庫が壊れとる!」と警告 Cそこで、バスターでそのZipファイルをスキャンすると、PE_Parite.A検出、駆除成功。 D再度バスターで全ドライブスキャンすると、そのZipファイルからWORM_ANTINNY.A検出、隔離。 Eバスターのログには感染元「パス¥ファイル名(z).avi.exe(パス¥ファイル名.zip)」(CD同じ)とある。 Fついでに極窓で確認すると、拡張子はlzhだった。 Gその後、バスター、ノートンオンラインスキャンをかけたが問題なし。 これって、どこにウイルス仕込ませてたんだろう?zip落とすことが多いからずっと気になってんたんだが。 覗き見が信頼できないと、ちょっと辛いな。
>>66 たまたま書庫が壊れててまめFile2での表示が完全じゃなかったんじゃない?
変な形で破損してたんで全ファイルは表示できてなかったと。
多分該当のexeはjpgの入ってたフォルダと同階層にあったと予想。
WINRARのようなアーカイバーで覗き身の出来る物だとまた違う結果だったのかも。
>>65 どの道キンタマ系だと最後はファイルあぼーんだろうから
今のうちにバックアップとって再インストール推奨
イメージをマウントしたら、ドライブをアボーンするウイルスなんだっけ? 誰か、おちえて
70 :
66 :04/07/12 00:24 ID:5iwb7Jja
>>67 サンクス。まめ2はlzhのファイル削除はできるけど、zipはできないから
そのあたりが関係あるのかな。
しかし「たまたま」でなく、「意図的に」壊してたんなら
((;゚Д゚)ガクガクブルブルだな。出来るのかどうか知らんが。
ハッシュがあったから検索してみたら、トリップ付きじゃん。
>>66 もう捨てちまったんで記憶違いのとこあるかもしれんが
確かzip(lzhを偽装)
その中身がavi(zipを偽装)、exe(PE_Parite.A)だったかな
まめFile2のビューアでzip(lzhを偽装)を見ると表示されたのは
avi(zipを偽装)の中身(jpg)だった
5のWORM_ANTINNY.Aについては結局よく判らんかったけど
>バスターのログには感染元「パス¥ファイル名(z).avi.exe(パス¥ファイル名.zip)」(CD同じ)
同じexeに二つのウィルスが仕込まれてたということでいいのかな?
>>69 autorunを切らない人が多いのに驚くよ。
73 :
66 :04/07/12 02:06 ID:CvfTZq+R
>>71 えーとですね、元の650口調に戻りますが、
@まめ2ではzipの表示。極窓判定でlzhだった。
AまめFile2のビューアではjpgファイルしか見えない。avi、exeの表示なし。
なので、aviの中身としてのjpgだったかどうかはわかりません。
Bバスターのログの意味はよくわからない(何でaviがでてくるのか)のですが、
1回目でPE_Parite.A検出、2回目でWORM_ANTINNY.Aを検出された(同時に
検出されなかった)ことを考えると、同じexeに二つのウイルスが仕込まれて
いたのではないかと考えてます。
Cただ、ArcSpyだと「対応書庫ではありません」と判定された。
DWinrarは使うの忘れました。ort
といったところです。
ホント、覗き見が効かないと不安でしょうがないです・・・。
なんで、見えないexeが仕込めるのかどうしても知りたいのですが、そんな解析能力
ないんですよねotz。
>>73 事前にウィルススキャンすれば問題ないんだし不安がることはないでしょ
そういうのがあるとだけ気に留めておけばいいんじゃない
まぁ…俺は忘れるけどね(w
>>73 まあRARつかっとけってことかな。 慎重に開けてそれだとがっかりするだろうな。
76 :
[名無し]さん(bin+cue).rar :04/07/12 11:24 ID:cql4p5Nx
「晒し挙げ」で自分の名前出るんだけど…どう言う事?
78 :
[名無し]さん(bin+cue).rar :04/07/12 11:28 ID:cql4p5Nx
おまえの違法行為データが全世界を駆け巡っているから。
80 :
[名無し]さん(bin+cue).rar :04/07/12 11:49 ID:nQUu6Rkd
>>79 UPフォルダ削除したんだけど…それでも解決ではないの?
>>80 再起動したらまた勝手にUPフォルダが出来る。
お前から流れ出した違法データは永久に消えない・・・・・
俺もキンタマで検索したら自分の名前があってもう終わりだと思ったよ 落とすまでユーザー名は本名じゃないから同姓同名の他人のだと気付かなかった
そんなにユーザー名だとか所属名だとか本当の名前入れてる人って多いもんなのか?
そういうやつほどひっかかりやすい、みたいな…?
だからセキュリティーレベルまできちんと対策しろよ。 してないからウィルス引っかかるんだよ馬鹿
87 :
[名無し]さん(bin+cue).rar :04/07/12 13:28 ID:nQUu6Rkd
>>81 んでも見たらつまらんもんしか入ってなかった。(ホッ
起動したらまず最初にUPフォルダー削除する。
そしてウィルスチェックも欠かさない。
んなら大丈夫?>エロイ人
・・・根本的な対処したほうがいんじゃないか? いつまでウィルス飼ってるつもりなんだ
ヲイヲイキーオードがやられとる フォーマットかよ
>>87 釣りだと思ってたんだが、マジでキンタマ飼ってるのか・・・・
>>1 をよく読んでちゃんと駆除しろ。
91 :
[名無し]さん(bin+cue).rar :04/07/12 15:48 ID:uHv7fhgA
いま、6種類のキンタマを飼っているのですが、どうすれば良いでしょうか? 飼いならすうちにかわいさが出てきたのですが、「かわいい子には旅を(ry」というふうに、放流したほうが良いでしょうか? 当方、初心者の厨ですので、教えてください。
子供は「飼う」ものですか?
はじめまして。 イメージをDAEMONにマウントして起動したら、ドラクエの冒険の書が消える時の音楽がなって 画面が上から赤くなっていくウイルスに感染しそうになりました。 なんとか水際で食い止めたので、多分問題はないと思うのですが、もしこのウイルスに関して 詳しい情報をもっておられる方がいらっしゃいましたら、ウイルスの名前、最低限チェックするべきファイル名などを お教えいただければ、うれしいです。
95 :
66 :04/07/12 18:10 ID:CvfTZq+R
>>67 >>74 >>75 再度わざわざ落とすというおバカな事してWINRARでみてみたんですけどね、
結果は同じ、jpgだけみえてexeファイルはありませんでした。テストも
「エラーはありません」でした。
興味があるんで、暇をみて使ってないwin98のノートPCで解凍したりして、
もうちょっと遊んでみマツ。
>>95 そのjpgってのは、中身はexeだけど、拡張子をjpgに変えているってことでないかい?
ちなみに、元のアーカイブは中身はlhaだけど、拡張子はzipに変えてあったんだったよね?
zipてのはアメリカ産なので、最近ではWindowsでもネイティブに対応していたりするが、 lhaは国産。世界的に見ればマイナーな型式なので、うまいこと扱えないアーカイバがあってもおかしくはない。 つっても一昔前までは、日本じゃアーカイバといえばlhaだったんだけどねぇ
98 :
95 :04/07/12 19:42 ID:hJaMq9oh
>>96 同名別ファイルで面白いことがわかりました。
@ZIPをlzhに変換、それを覗くとaviファイルが1個だけ見つかる(jpgはない)。
Alzhを解凍、aviファイルを判定すると実はzipだった。
Baviをzipに変換、解凍。
Cすると最初に見えていたjpgファイル群が現れた。
なんなでしょうね、これ?ファイル偽装しまくり。
ウイルス入りの方は、そのうち実験します。
(多分、aviを偽装したzipの中にexeが入ってるんでしょうね。)
99 :
95 :04/07/12 20:06 ID:hJaMq9oh
追加 最初のzipフォルダをそのまま解凍しても、jpgが入ったフォルダ ができました。ますます訳わからん。
まあ暇だったんだろうね・・・
101 :
95 :04/07/12 20:33 ID:Z6akVzk3
暇ついでの追加の追加 WINRARで解凍するとjpgが Lhaplusで解凍するとaviファイルがフォルダ内に作成される。
単にアーカイバの仕様ってことは無いよな アーカイバや設定によっては問答無用でサブアーカイブまで解凍するぞ
同人誌のファイル名に偽装された、キンタマが生成したと思われる詰め合わせに 広瀬香美の「幸せをつかみたい」が入ってた。 キンタマワームまで掴んでどうするつもりだと(ry
104 :
[名無し]さん(bin+cue).rar :04/07/12 22:43 ID:DeOcBC7l
あるEXEを踏んだら、CHARRY.exeってのだったらしく、 何か変な英語をしゃべりながら、画面に血が・・・・。 そのソフトをとめたら、オンラインスキャンするも、ウイルスなしと判断。 これってどうなんですかね? このEXEのファイルの情報求む!!
>>92 子供というより、ペットを放し飼いにするような感じだな。
>>104 .exeを誤って踏んでも大丈夫なようにSSMを入れていたら大丈夫だったのにね。
ウィルス作者さま、売国奴・民主党と無能警察と社会保険庁などを馬鹿にするウィルスを作ってくだらい。
107 :
104 :04/07/12 22:59 ID:DeOcBC7l
>>105 SSMが分かりません。
SSMとは何ですか?><
先週あたりからこのスレ面白い
109 :
[名無し]さん(bin+cue).rar :04/07/12 23:08 ID:6UL03RkY
110 :
ラ王 ◆RAOU/tOSQc :04/07/12 23:09 ID:MDprKNLl
...
111 :
95 :04/07/12 23:32 ID:T4WpPF9G
>>102 そうかもしれません。見た限りWINRARやLhaplusに解凍レベル
の設定は無いようなのですが。
ところで、あんまり理解もしないでレスしましたけど>71さんは、
知ってたんですね(つд`;)
>>104 System Safety Moniter 1.9.4 b1
俺も入れてる、ないよりあったほうがいい
114 :
104 :04/07/12 23:42 ID:DeOcBC7l
>>112 サンクス!
要するに、ソフトの監視ソフトですな。
まあ、うちのPCにはPCGATEがあるからいいのだ。
>>111 サブアーカイブという呼称がそのままLhaplusの設定画面にあるが。
あと、ファイラ使ってるんならバイナリダンプ表示は手軽にできるだろ?
ヘッダ見ればファイル種別は一目瞭然じゃないか。少なくともzip、lzh、
jpg、avi、exeなんかは。・・・と、まめFile2の仕様を知らずに言ってみるテスト。
117 :
104 :04/07/13 09:12 ID:F1HFFgC3
>>115 ・・・・・・・よくよく考えたら駄目だった。_| ̄|○
っと思っていたら、b7.1でのnyの新バージョンのノード発見。これってもしや・・・・・。
SSMのいいところは未登録の いいのか? .exe などのexeを間違って起動してしまうのを防げるとこだな。
119 :
104 :04/07/13 09:52 ID:F1HFFgC3
ny最新バージョン・・・・・・。 何だろう?カスタム版じゃないよな・・・・・。
おまえはnyの質問スレでテンプレみてこい
122 :
104 :04/07/13 11:18 ID:F1HFFgC3
>>120 知ってるよお〜。
どうせクラック版さ。気にしない、気にしない。
何を言っているんだ・・・?
朝鮮語だろう。
batファイルを読むだけ、中身は起動させたくないって時はどうすりゃいいんですかい?
>125 メモ帳で開く
[映画] (fansub) ホーンテッド・マンション-Disney DVDSCR (日本語字幕by えむちゃん&ぽせいどん+風ちゃん Divx5.05).avi.lzh を解凍して [映画] (fansub) ホーンテッド・マンション-Disney DVDSCR (日本語字幕by えむちゃん&ぽせいどん+風ちゃん Divx5.05).avi.exe を実行したら情報収集して TCP home-42qnuurv8x:1025 cm203-168-184-23.hkcable.com.hk:1561 ESTABLISHED TCP home-42qnuurv8x:1025 cm203-168-184-23.hkcable.com.hk:1564 ESTABLISHED に送りつけてるみたいね
>>116 スマソ、簡易設定画面見てた。詳細設定画面にありましたort
サブアーカイブ解凍を選択したら、jpg出てきました。
まめFile2にもバイナリエディタついてるようですが、ヘッダの
見方がよーわからんので、ちょいとググってきまツ。
>>129 便利そうなソフトですね。とりあえずDLしました。
しかし、まめFile2、極窓、WinRAR使って、さらにSSMつーのも
あるようだし、誰かny用に1つに統合したソフト作ってくれんかな。
ランタイム Visual Basic 6.0 (SP6以降) ランタイム
ありがとう ちゃんと何が必要か書いてあったのに見てなかったよ
>>129 なにもそんなわけわからんツールなど使わないでも、
まともなアーカイバなら、exeに限らず書庫の中身の削除など普通に出来て当たり前
>>130 WinRAR使ってるんなら、右クリ→削除でOKじゃねーかw
「キンタマ」ってファイルをDLしても感染するのでしょうか? 人のデスクトップを覗いてみたいという衝動が・・・
こういう手の質問は何度でも言うが自分で落として実感しろっつーの
>>137 あぁ、返事待ちきれなくてDL、解凍、実行したよ
俺の場合は全く問題なかった
それよか、偽物ファイルが多かったのがつまらんね
仮に感染させて犠牲者を増やすのもつまらんがね
俺VAIOのリカバリユーティリティでフォーマットしたんだけど これで大丈夫か?もちろん前のdataは全部消えました
140 :
[名無し]さん(bin+cue).rar :04/07/14 13:22 ID:4iHK/CIF
>>134 わけわからんゆうなー
と作者が言ってみるテスト
141 :
ひみつの文字列さん :2024/05/07(火) 07:14:43 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
142 :
XP :04/07/14 18:06 ID:71Gatabq
Windows キタ━━━(゚∀゚)━━━!!!! Update
Thumbs.db.lzh
>>140 たとえば、俺が「Win.iniの中から"ぬるぽ"という文字列を削除できるツール」
というのを作って公開したとする。
そんなものをDLして使ってみようと思うか?
メモ帳を使えばいいだけのことだろ?
そんなツールの存在意義がわかんねーだろ?
そういうことだ。
フォルダ単位で選択できるようだから、大量にあるzipの中から.exeそのほかを一括削除 とかなら使えるんじゃない? この用途のためだけに入れるのはなんだが
本末転倒だが、結局そこまで注意してる人は踏まないという漏れ的結論
時々WinRARの機能で中身を削除できないようにしてる奴もいるな。 その場合はアンチウイルスソフト使えば消せるんだけど(反応すればね)
148 :
[名無し]さん(bin+cue).rar :04/07/15 05:16 ID:5xCgCN8R
たとえダブルクリックしたとしても未知のプログラムは起動しないようにしておけばいいじゃないか。
そこでSSMですよ
151 :
[名無し]さん(bin+cue).rar :04/07/15 11:19 ID:+kuV65/2
Winnyを動かしていたら突然PCが再起動。 その後Winnyを起動していない状態でもPCが再起動を繰り返すようになりますた。 これってきんたまのよかーん。 ノートンアンチウイルスでチェックしましたが何もひっかかりません。 ウイルスじゃなかったのかなあ?
電源が不安定?
>>152 その可能性はあります。
熱に弱い鎌力ですから。しかも昨日、それまで500Wだったのを400Wに変更しますた。
しかも室温30度でクーラー無しで使っています。
限界に挑戦してるとは漢だな
250Wで電源落ちない漏れのPCorz
質問です、nyつけてたらいきなり画面が真っ黒になって 赤い文字で「winnyで違法なファイルを集めています」と文字が流れてきて、 なんだろうと適当にマウス動かしたら再起動?というかログオフ→ユーザー切り替え みたいになってしまうのでウイルスチェックしてみたのですが、何もありませんでした。 今はnyつけていない時でもしばらく放置すると↑で言った様になってしまいます、 これは何かのウイルスに感染しているのでしょうか? 対処方を教えて下さい。
>>156 君のデスクとップ画像とPC内に有るファイルがnyをとおして全世界を駆け巡っているところです。
>>156 へえ
システム使用者欄を見てみたら「Winnyで違法ファイル集めてます(^^)v」になってるという例はあったが、
そんな派手に告知してくれるのもあるんだ
ある意味親切かも
親切な金様(ハ‘∀‘) ステキ〜
なんか、ノートンじゃny内のウイルシについていけてないみたいね。 いろんなとこでオンラインスキャンしてみたら何個か出てきて面白かったわ。
【使用OS】 XP HOME WinUpDateしてます。 【AntiVirusは】 Norton2002+AVG free 両方ともほぼ毎日CHECK 【スキャンした結果】 両方とも結果:感染無し。オンラインも同様。 【Winnyのバージョン】 b7.1 そろそろ2ヶ月経過、週末に少し利用。 【テンプレにある対策を実行したか】はい、全て読みました。レジストリも全てCheck済みです。 【症状】 最近ダブルクリックで怪しいexeを踏んでしまい、Antinny.A感染しました。テンプレやサイトを見て一応駆除完了。 しかし、たまにAVGが「C:\System Volume Infomation内で〜.exe=Antinny.A」反応します。 エクスプローラで確認しましたが、同階層(フォルダ)内は内容ゼロKb、何も無し。 ツールオプションで隠しファイル表示+一番下の項目を解除しても、検索機能でもAVGが反応してるEXEは見つからずです。 nyを使うと勝手に知らないキャッシュをDLする、ログ情報で「Send()失敗」を連発してることがあります。 ・・駆除したつもりなんですけど、問題があるのでしょうか?
常軌するアンチウイルスソフトが2つも。 その調子でバスターも常軌させて3つにすればかなり無敵w
>>161 問題があると考えるべきじゃないかなぁ。
ところで、XPの復元機能はOffにして駆除したよね?
それから、Nortonの隔離ファイルは削除してるよね?
もしかしたら亜種かもしれない。
いずれにしてもOSクリーンインストールだね。
いつ感染したのかはっきりしないなら、
今までに集めたファイルでCD-Rとかに既に焼いてあるファイルも
総点検したほうがいい。でないと、感染ファイルをそのまま焼いている可能性もある。
うぅ、お恥ずかしい。ご指摘のとおりでした。以下セキュリティ板のAVGスレより。 ____________________________________________________________________________________________________________________ Q.「_restore」フォルダから ウイルスが検出されたが、削除できない ←※C:\System〜 A.MEやXPの「システムの復元」機能の仕様です 一時的に「システムの復元」を無効にして、復元ポイントを破棄すればOK ____________________________________________________________________________________________________________________ AVGが反応することはなくなりました。改めて勉強してきます。 今のところ、試しにつないで見ましたがログ情報に[Send()失敗]はでなくなりました。 しかし、勝手に無関係なキャッシュ拾ってくるのは仕様なのでしょうか いつの間にか「アダルト (SM)ホモSpecial 薔薇3P決定版!.avi 部分キャッシュ」とかあるし…ワケワカランw
avast!4 はAntinny対応してますか?
A→B 直接転送 誰がUPしてるのかBから丸わかり。 A→C→B 中継 誰がUP元なのかBにはわからない。 Cは善意の第三者で、そこには意図しないキャッシュがたまる。 なんでこんな解説をしなきゃいけないんだw
全く無関係ではなくて、似たもの同士のキャッシュがたまる罠。
>>168 エロはクラスタ関係無しに飛び込んでくるw
170 :
[名無し]さん(bin+cue).rar :04/07/15 18:17 ID:u6dBALpw
僕も今日、
>>156 と同じような症状になってます・・・
キンタマツ(・∀・)カンダ!!
172 :
[名無し]さん(bin+cue).rar :04/07/15 18:29 ID:bh7tNb6t
質問です。 【使用OS】 WinXP SP1 【WindowsUpdateしてるか】 最新のものが入っているはずです。 【AntiVirusは】 Norton antivirusの最新版が入っています 【ちゃんとUpdateしてるか】7/13日updateされてます。 【スキャンした結果】スキャンしてもでてきません。 【オンラインスキャンしたならその結果は】 オンラインスキャンでも出ません。 【Winnyのバージョン】b7.1 【Winny歴、総DL量は】1年ほど 【テンプレを読んだか】読みました。 【テンプレにある対策を実行したか】 試しましたがダメでした。 【症状か具体的に、分かる限りすべて書く】 症状はwinを起動するたびにファイルが消されます。 消されるファイルの拡張子は今のところ .txt .html .jpg .gif .bmp .mpg .avi .wave です。 CドライブとDドライブのほぼ全部のフォルダの以上の拡張子が起動時に消されてしまいます。 別のスレで質問したのですがnyが原因かもしれないのでこちらで質問してくださいといわれました。 これはPC初期化しないとだめでしょうかねぇ・・・
明らかにキンタマ、諦めて再インスコせよ
>>172 は誰かに背中を押してほしいんだろうなぁ・・。
175 :
[名無し]さん(bin+cue).rar :04/07/15 19:02 ID:8PhJa9tJ
Winnyやったらワームに感染してしまいました。チェックしたら、System Volume In Formationってところにあるみたいなんですが、 見つかりません・・・ 誰か教えてください!
>>175 PCを窓から投げ捨てる
回線切って首を釣る
再インスコ
上記3つの内どれかを選べ
>>175 System Volume In Formation ってなんだ?初耳だな。誰か知ってる?
System Volume Information だったらさんざん既出だったんだけどねぇ。。。
>>172 スキャンしても反応なしなら新種か亜種。そんなものの駆除の仕方なんて
ウイルス製作者しか知らんのだから、再インスコしか手がない。
>>175 コントロールパネル→フォルダオプション→「すべてのファイルとフォルダを表示する」
にチェック
>>156 漏れのPCも感染…スクリーンセーバーに伝言で入ってた…
UpFolder.txtに「Path=C:\WINDOWS\bugfix」ができてる
[映画][NullPorce]俺のアドレス帳&お気に入り Owner.zip 4996KBと
私はOwner、Antinnyの作者だ。.zip 4812KB の2つが作成されてる
新型だろうか…ノートン先生最新版なのにいつ感染したのだろう
180 :
178 :04/07/15 19:46 ID:qgs097a0
あ、間違えた!
>>156 俺もだ…
スクリーンセーバー変えても再起動したら元に戻ってる。
ぬるぽ・キンタマに感染したまま放置してるけどキャッシュ削除になったことがない
「保護されたオペレーティング システム ファイルを表示しない」チェック・ボックスをオフにする 見え〜る、見え〜る・・・だけ。
>>182 そのうち君の人生自体が削除されるよ。早く対処したほうがいいよ。
>>177 Winny総合質問スレでは、訂正しているようだw
186 :
172 :04/07/15 21:30 ID:bh7tNb6t
皆さんありがとうございます。 諦めて再インスコします。
In Formationってかっこいいな、いやそれだけだ
とりあえず 358kbの実行ファイルを探してみろ。見つかるかも試練。
CCDファイルをマウントしたら、 ノートンがW32.Whiter.Trojanに反応した。 削除出来ないし、アクセスも出来ない。 一個だけファイルが感染してますとでた。 とりあえずレジストリ調べたが異常なし。 ビビりながら再起動かけたけどファイルは消えなかった。 これってノートン先生に助けられたの? 漏れのPCは感染してないの?
さぁ・・・ニヤニヤ
>>290 ビビル気持ちはすごいわかるが、そんなこと製作者以外わからないと思う。
>>182 キャッシュは関係ないですよ いろんなソフトが書き換えられていて
起動できなくなるんです 駆除しても意味ないです 元がやられてしまってます
195 :
[名無し]さん(bin+cue).rar :04/07/16 00:12 ID:G4FkzjRO
>156 俺もだ・・・今日なってた・
196 :
[名無し]さん(bin+cue).rar :04/07/16 00:28 ID:G4FkzjRO
そしておもいっきりキンタマ感染・・・(ガクガク)
そういえば、曲にそんなテキストついてたな メモ帳で見たケド
199 :
[名無し]さん(bin+cue).rar :04/07/16 00:43 ID:G4FkzjRO
>197 最新版ノートン先生あり。 お気に入りに関しても>179と同じものが出来ています。 ただ違うのはUPFOLDE.TXTはゼロ。何も書いてないです。
C:\WINDOWS\bugfix ってのはある? あったらなんてファイルができてる?NullpoLE.exe?
>>195 俺もなったわ 特に起動していないんだけど・・・とりあえず今ウィルスチェックしてます(・∀・)
>>201 俺もなったんだが、ウイルスチェックはひっかからんみたいだ
203 :
[名無し]さん(bin+cue).rar :04/07/16 01:05 ID:b+MiftIT
私もスクリーンせーバーに異常発生。C:\WINDOWS\bugfix発見。 ウイルスチェックはひっかからず。
>200 C:\WINDOWS\bugfixありです。 NullpoLE.exeはないです。そこに前述のお気に入り〜がある。 ウイルスチェックには引っかからず。
現在ノートから、ハードディスクから綺麗にフォーマットするか・・
bugfixフォルダの下にあるのは、その前述のお気に入りなんたらだけ?
>206 イエェース
SS版「winnyで違法なファイルを集めています」NullPorce に感染してる奴、結構多いな。 とりあえず、 1.タスクマネージャ(Ctrl+Alt+Del)→[プロセス] の内容 2.msconfig(ファイル名を指定して実行)→[スタートアップ] の内容 又はレジストリの HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run の内容 を晒してみそ。 何人か晒せば、原因となってるexeの特定はできるだろう。
>209 SS版「winnyで違法なファイルを集めています」NullPorce んと、Run内で怪しそうなのはSOUNDMAN.EXEってのがある。見覚え全然なし
SOUNDMAN.EXEはあって大丈夫、というか無いと駄目だろ いっそのことSS晒したら
>211 違うパソで打ち込んでるから・・・・・(がく
>>211 SOUNDMAN.EXE ってのは多分サウンドマネージャってことだと思うが、
うちは XP pro だけど、プロセスにもスタートアップにもそんなのは無いよ。
214 :
213 :04/07/16 01:54 ID:hPlGE65N
ちなみにうちは健全環境ね。ウィルスにはどれも感染してないはず。
俺もスクリーンセイバ変になったけどSOUNDMAN.EXEってのはない
217 :
213 :04/07/16 02:09 ID:hPlGE65N
とりあえず、SS版「winnyで違法なファイルを集めています」NullPorce に感染してる奴は プロセスとオートランを全部晒せ。 健全環境に無くて、共通してるものを洗い出せば、本体が突き止められる。 本体がわかれば、そのプロセスを殺して、オートランの設定を削除すれば、それ以上の進行は止められるさ
218 :
211 :04/07/16 02:10 ID:/G/dBf3F
嗚呼申し訳ない、無くても問題ないな
>>215 みたいな例はあるが本来はAvance Logicのサウンドマネージャ
SOUNDMAN.EXEはうちのPCにはあるけど、正規のAvance AC97 Audio Sound Managerだから無害
というか
>>209 の言うとおりにさらしてみ
じゃなきゃどうしようもない
後はここらへんとかな
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunOnce
('A`)はぁ・・・ ぜんぶ消えちまった・・・ ぜんぶ消えちまったぁぁぁぁぁ 20GBもあったキャッシュが一瞬でゼロになっちまったぁぁ マジ名前はわからないけど、むかつくぞ!antiwinny!!! しかもあれだな。このウイルスに感染するとダウンロードできないのな。キャッシュがダウンした途端ゼロになるから。
20GBごときでガタガタ言うな それとantiwinnyじゃなくてantinnyだ
ひっかかる方が悪いとまでは言わないが ここは愚痴スレじゃねーんだ(・∀・)カエレ
SS「WINNYで違法ファイルを集めています」感染したみたいなんで、プロセス晒しますね。 ---------------------------------------------------------------------- NAVW32.EXE NMain.exe svchost.exe ctfmon.exe msbb.exe abkxhn.exe alg.exe realschedexe CCAPP.EXE spoolsv.exe msmsgs.exe CCEVTMGR.EXE CCSETMGR.EXE explorer.exe svchost.exe svchost.exe svchost.exe lsass.exe services.exe winlogon.exe csrss.exe symlcsvc.exe SAVSCAN.EXE smss.exe NAVAPSVS.EXE DKService.exe ruf.exe System System Idle Process 余りWINNYに繋げないんで楽観的なんだけど、やばいかな?
>>224 わからんのも多いが一つだけ。
msbb.exeはアドウェア(広告ダウソ系)だからさっさと消しちまえ。
駆除の仕方まではおしえねー
226 :
224 :04/07/16 03:45 ID:BBKe06+O
>>225 こんな時間に親切なレスありがとう。
今ウイルススキャン中なんだけど、スキャン終わったら
スパイウェア駆除しようと思うてました。
228 :
156 :04/07/16 03:50 ID:hOcj5Grp
今携帯から書き込んでおります、改行できてなかったらすみません。
>>156 のその後なんですけど、PC切ってしばらくしたあとこのスレ見ようしたんですが、
起動後少しするとガリガリいって固まってしまうようになりました。
起動〜固まるまでの間に見れるとこ見たんですがマイコンピュータ→ハードディスクの中に「d」という見たことないファイルがありました。プロセスも見たのですが元々あまり見たことないのでどれが怪しいとかさっぱりです。
>>228 だから再インスコしろと何度言ったらw(ry
とこんな事を言ったが優しい言葉にしてみると(長文だから('A`)マンドクセな人は飛ばし推奨) 君たちは何故再インスコをしない? データが惜しいのか?面倒なのか? データが惜しいのは定期的にCDに焼く癖を持っていたら被害を最小限に抑えられるだろう。 面倒なのは知らん。 データが惜しいデータが惜しいといっていると元から改竄されてHDD自体またはBios自体がやられて HDD自体がオジャンになってしまうんだぞ。 それでいいのか? わかったら今すぐ再インスコしてきなさい、先生応援しているからな。 と全く無いPC知識の中で書いたからツッコミ所あったら突っ込んでくださいorz
>>229 再インスコだとまた同じ過ちを犯すだろ。
特にスパイウェアはウイルスと違って危機意識が低いよかん。
てかメモリ常駐型スパイウェアでも完全に駆除できる奴ってない?
AD-awareとSpybot使ったんだけど駆除できん奴があった。
しゃあないからOS再インスコ&ぁゃιぃサイトは見ない事に。
>>230 CDに焼いた時点でファイルが既にウイルスにかかってry
自ら人柱を買って出た>156をあんまり冷たく扱うなよ・・・
正直スマンカッタorzもう寝るんでマジ許して下さい。
235 :
156 :04/07/16 04:18 ID:hOcj5Grp
いやぁ、再インスコしないのはただやり方わかんないだけなんです。 再インスコとリカバリって違うの?ってくらい知識ないんですみみせん; リカバリは試しにやってみようとしたんですがマニュアル通りにやったんですがセットアッププログラムの起動画面というのがでてこなくて…あとセーフモードなら動くのかと試しましたができませんでした。
そんなことも知らんやつがnyやってんの?
237 :
156 :04/07/16 04:46 ID:hOcj5Grp
>>224 さんとかぶってるプロセスだけ晒しますね、改行できてなかったらすみません。
spoolsv.exe
svchost.exe
ctfmon.exe
alg.exe
ccapp.exe
lsass.exe
services.exe
csrss.exe
smss.exe
未だに Antinny の被害者居ますよね。と云うかヘタレWinnyユーザーが増えて来たって事かな。
オンラインスキャン関連のサイトのみつながらなくするウィルスってある? ウィルスバスターもスキャン中の勝手に終了される。 教えてエロイシト
240 :
179 :04/07/16 05:26 ID:vb3EBDCd
>>156 ,224さんとかぶっているプロセスだけ表示
やられっぱなしでは悔しいしな
spoolsv.exe
svchost.exe
svchost.exe
lsass.exe
services.exe
csrss.exe
smss.exe
絞られてきたぞ・・
msconfigのスタートアップも晒すか?
気になって、2時間も早く起きちまったよ(欝
>>240 自分のプロセスにもあったので、気になり
>>227 SlightTaskManager と手動で調べたところ
↓Microsoft Corporation(会社名)でSystem関連みたいです
spoolsv.exe
svchost.exe
svchost.exe
lsass.exe
services.exe
csrss.exe
smss.exe
どうなんでしょう
242 :
201 :04/07/16 06:14 ID:tWP6qBf8
spoolsv.exe svchost.exe svchost.exe lsass.exe services.exe csrss.exe smss.exe 同じでした ねます 今夜は解決してると良いけど・・
243 :
[名無し]さん(bin+cue).rar :04/07/16 06:18 ID:e+eklzBp
漏れもキタ━━━━━━(゚∀゚)━━━━━━ !!!!!
またぞろsvchost.exeに偽装してるんじゃねーの? 複数有るsvchost.exeの各々のパス調べてみそ
svchost.exeはすべて同じパス&著名入りでした。コイツは白かな
246 :
156 :04/07/16 06:54 ID:hOcj5Grp
起動後十数秒で固まって何もできなくなってしまって、詳しく状態を説明できません。 他の感染してしまった方は普通にPC使えているのでしょうか? 固まっちゃうの回避できないかな…せっかくだからリカバリするまでに情報提供したいのですが。
また「アイコン偽装した長い空白+.exe」なのか?
>224 explorer.exe これ怪しい・・・w 容量が360kb以下だったら感染しているな・・。 エクスプローラーは一番最初に起動するからこんな命令はいりゃない・ あとsvchost.exe なんで同じソフトがいくつも起動されなくちゃならんの?怪しい。 でさwinlogon.exe ・・これ何ですか?ログオンするのに起動ファイルがいるの?怪しい・・。 そうそうSystem これこれ・・キンタマってこの名前のファイルすきなんだよね。怪しい・ だいたいアイコンがフォルダーなのに・・実行ファイルになっているファイルは怪しいです。 またその実行ファイルと同じサイズのファイルも怪しいです。 キンタマにかかって数回起動しているだろうから・・そのたびにエクセル、ワードやMP3の ファイルが消されているでしょうね。がんばってね。
あと署名なんたらと言ってる香具師・・関係ないよ。キンタマはファイルの署名をそのままに複製できるから。 それよりも怪しいファイルと見たら、一度エクスプローラーの検索でその怪しいファイルのサイズを特定して それ以下の容量のファイルを検索したらいい。そうすれば同じ得体の知れないファイルがぞろぞろ出てきますぞ。 そしたらそれごと消去。起動して増殖させるってのもありだがw(おれやってしもたw)
各exeについて。ちょっとだけでもググってみ
漏れは感染していない、というか、winny自体やってないのだが、
自分のパソのプロセス見てみたところ、
>>240-242 のプロセスは全部あった。
だから、これらのプロセスは原因じゃないと思う。
リストの中で無かったのといえば、
>>224 を除けばalg.exeぐらい。
もしかしたら、プロセス名がコロコロ変わるやつなのかもしれん。
248は釣りだろ
それらのプロセスじゃ特定できん。
又はレジストリの
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunOnce
ここらへんを晒してみ
>>239 あるよ。hostsファイルが書き換えられてるんだろ
255 :
213 :04/07/16 08:10 ID:hPlGE65N
>>251 どのあたりって。。
前半部分が全面的にいい加減。つか 出鱈目だw
256 :
253 :04/07/16 08:15 ID:A3d/PbAk
>>248 ちなみに、explorer.exeもwinlogon.exeも、Systemも漏れのプロセスにあったし、
svchostもちゃんと2つあったので、問題ないはず。
>>253 あぁ。おれのキンタマはexplorer.exeとして偽装されていたし、System、svchostとしても
偽装されてましたが?だからアイコンを確認して容量を調べてみろと書いたろ。
258 :
[名無し]さん(bin+cue).rar :04/07/16 08:47 ID:pvzvntP5
プ ロ セ ス に つ い て 、 こ れ っ ぽ っ ち の 知 識 も 持 ち 合 わ せ て い な い 糞 バ カ 共 が 、 テ メ エ の 頭 の 悪 さ を 披 露 す る ス レ は こ こ で す か ?
259 :
[名無し]さん(bin+cue).rar :04/07/16 09:00 ID:T2EhLnOB
パソコンに詳しい
>>258 さんが質問に答えてくれそうです
>>258 あのぅ…パソコンって何の略ですかぁ?(つ∀と)キャッ、イッチャッタ
困ったときの外角低めのスライダーとPCの再インストール。これが基本。
262 :
156 :04/07/16 09:17 ID:hOcj5Grp
>>254 さんの言ったレジストってのの晒してみますね。
(既定)
ccApp
ccRegVfy
CHotkey
CMESys
CnsMin
Drag'nDrop CD+DVD
ezShieldProtector forPx
HTpatch
IMJPMIG8.1
263 :
156 :04/07/16 09:24 ID:hOcj5Grp
続きです Mouse Suite 98 Daemon PHIME2002A PHIME2002ASync QuickTime Task SiS KHooker SiS Tray SoundMan System TkBellExe Vcrmon 以上です
>>262 CMESysとCnsMinはスパイウェア。
レジストじゃなくてレジストリ。お前、何歳だ、リアル厨房か?
>>262 CMESysとCnsMinは自分で入れたんじゃないのか?
CMESys = DivX Pro無償版に同封
CnsMin = J-Wordの同封
そうなら両方コントロールパネルから消去。
cisvc.exeって何?
>>263 確かTkBellExeも広告系アドだった気がする。
今回のwinnyで違法とは直接関係無いけど
自動起動はさ、実行プログラムのパスが判らんと何とも言えないよ。
>>267 TkBell.exeはイラネ。RealNetworks社製のRealPlayerなんかを起動すると勝手に登録されるやつ。
無害だけどウザイ。
スタートアップの整理を手伝うんじゃなくってさ・・・
とりあえず再インストですよね・・・
271 :
224 :04/07/16 15:29 ID:BBKe06+O
レジストリ覗いてみたんですが、
>>227 さんの指摘した↓がぁゃιぃかも。
lccnluuqn REG_SZ C:\WINDOWS\System32\adkxhn.exe
あと、コレは関係ないかな?
KernelFaultCheck REG_EXPAND_SZ %systemroot%\system32\dumprep 0-k
ttp://higaitaisaku.web.infoseek.co.jp/iru.html
見ても記載されてなかったのでちょっと心配です。
>>156 僕の場合スクリーンセーバーは変になったけど、不安定になった様子はありません。
ファイルを削除されたりとかも無いです。
>>271 System32に.exeが居る時点でかなり怪しいねぇ
しかもキー、ファイル名ともに無意味綴りっぽいし
えええええ。自分System32にexeがたくさんありますよ。 ただしスキャソしても反応は何もない。
ということで、今回の SS版「winnyで違法ファイルを集めています」感染者は レジストリの HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run から、 lccnluuqn REG_SZ C:\WINDOWS\System32\adkxhn.exe の様な、無意味っぽい名前の設定を探して 1.レジストリの値 2.本体(adkxhn.exe) のファイルサイズ(1byte単位で正確に) 3.本体の作成日時 4.本体のバージョン情報 5.本体の概要 を報告! 2-5 は、本体を右クリック→[プロパティ]で調べる。 一足先にウィルスを除去したかったら、 1.タスクマネージャでその名前のプロセスをストップ 2.レジストリから、その値を削除 すれば、ウィルスの被害はそれ以上は進行しない。はずw
あ、あとついでに、そいつを解析してみたいって人のために 本体をどこかにアップしといてくれるといいかも。 俺もちょっと覗いてみたいしw
本人じゃないけどうぷするのはいいんだけどちゃんとうpろだにもそういう注意とか入れてうpしてね。 何も知らない誰かが踏んで違法ファイル集めてます(^^)vになる可能性も否定できないし
レ ジ ス ト リ の 改 変 も で き な い 香 具 師 の 集 ま る ス レ は こ こ で す か ?
昨日の夜からWinnyを起動するとPCが突然再起動します。 しかも、151さんとは違ってWinnyを起動しているときだけ再起動します。 スキャンしても何も出ませんでした。 新種もしくは亜種でしょうか?
新手が出たのかね。 かかった奴は、どんなファイル落としたの? つーか、なんのファイル踏んでからそうなったか 覚えてない?
症状は結局スクリーンセーバーと、upfolder.txtにC:\WINDOWS\bugfix作成 でいまのとこファイルやられるとかはなし? タイマーでcドライブあぼーんのヌルポース亜種というわけではないのかな?
あと、お気に入りとか放流されます・・・
昨日まで再起動するごとにスクリーンセイバー変えられてたのに、なぜか今日は変わらない・・・
285 :
279 :04/07/16 19:14 ID:al2bojhE
>>281 いつもアニメ、漫画、音楽ファイルを落としていて
どのファイルを踏んでからかはわからないです・・・
先ほどわかったのですが、ノード接続しなければ再起動しないようです。
それからキャッシュは消えてなかったのですが検索単語だけが消えてました。
286 :
224 :04/07/16 20:26 ID:BBKe06+O
adkxhn.exeUPしたいんだけど System32にアイコンを偽装したexeファイルが死ぬほどあって関連性がよくわからん・・・・ 取り合えず adkxhn.exe adkxhn adddrv の3つをPASS付ZIPでUPしてもいいですか?
>>286 いいけど、adddrv.exe は通常ならDOSの外部コマンドだな。
うちのXPだと
C:\WINDOWS\system32\adddrv.exe
21,295 bytes
作成日時 2001年8月27日
アイコンは空白ウィンドウの絵柄の、コマンドラインexeファイルのやつ。
もし、これだったら、他に特に怪しいと思う根拠が無ければいらないかも。
>>287 レスどうも。
adkxhnって怪しいファイルと、作成時間とサイズ(2,855 バイト)アイコン(MSDOS)が同じなんで
関連性あるかもしれないです。再インスコする前にUPしときます。
nyで「ナルト 229」で検索したファイル落としたら感染。 解凍すると中にフォルダのアイコンでexe形式のがありそれを開くと実行?っぽい。 upなんとかっていうテキストファイルに[bicbic]って書いてあった。 とりあえず今クリーンインストール完了。
290 :
[名無し]さん(bin+cue).rar :04/07/16 22:09 ID:NwNSC3iY
っっっすまそ Winnyは何処でダウンロードしたらよいのでしょうか? 初心者です、宜しくおねがいします。
zip形式で中にexe有ったら全部ウィルスと思ったほうが良いよ
>>290 マルチ
質問スレのテンプレぐらい見ろと
いつの間にか感染してたようなんだけど bugfixの例の症状だけで レジストリもスクリーンセーバーも何も変化ないんだが。 ん〜?なんだろ adkxhn.exe も見当たらない ただ、taksmgrが移動されてた。何がしたいのかいまいち分からん
【使用OS】 windowsXP
【WindowsUpdateしてるか】はい
【AntiVirusは】 ノートン2002
【ちゃんとUpdateしてるか】 はい
【スキャンした結果】 できない
【オンラインスキャンしたならその結果は】してない
【Winnyのバージョン】 v2.0b7.1
【Winny歴、総DL量は】 一ヶ月
【テンプレを読んだか】 はい
【テンプレにある対策を実行したか】はい
【症状か具体的に、分かる限りすべて書く】ノートンを開くとスクリプトエラーが出て使えなくなっている
【何をしたらそんなことになったのか】 exeファイルを開いてしまった
【これまでにとった措置】
ttp://nyweb.hp.infoseek.co.jp/ ←に書いてある事を試した。
結局偽装の仕方は過去のと同じで、わかってる人は踏まないが、 夏のご新規さんとか、アンチウィルスソフト入れてるからだいじょうぶ〜みたいな人が ひっかっかてるんだろうな
>>296 そこのupロダ重すぎ、といっても落としても何か出来る訳でもないが・・・
>>296 nortonだとDownload.Adwareだって言ってるな
>>296 判定でました。スパイウェアです。
BitDefender = Infected Trojan.Downloader.Agent.AE
ノートン = Download.Adware
VB = TROJ_Agent.AE
スクリーンセーバー云々とは別物か
結局言える事は感染する奴は何種類でも感染するんだな。
どうでもいいけど
>>296 がSAV8.1には引っかからなかった・・・ちょい欝
>>303 つか、そもそもスパイウェアなんだから、ウィルスとは扱いが違うさ。
引っかからなくても無理はない。
306 :
304 :04/07/16 23:11 ID:hPlGE65N
あと、複数ある svchost.exe を忘れてたw 念のため、svchost のフルパス全部をチェックしてみそ。
307 :
224 :04/07/16 23:31 ID:BBKe06+O
アドウェアだったみたいで・・・お騒がせして申し訳ありませんでした。 オートランに怪しい物は見当たりませんし、svchostも異常無いと思います。 パスはすべてC:\WINDOWS\system32\svchost.exeですし。 いまタスクマネージャで確認した所、NMain.exe は無くなってました。 ruf.exeはスタートアップの方にだけあったので切っておきました。 不気味なんで再インストールして寝ます。お役に立てなくてごめんなさい。
>>307 結局そういうオチ?
とりあえず、224のリストを全部チェックしてみました。丸印はOS関係、四角は他のアプリ、三角は不明
白抜きは、うちでも動いているプロセス。(ノートン先生関係で白かったり黒かったりするのは、バージョンが違うため)
■ abkxhn.exe スパイウェア(CallingHome.biz)
● alg.exe XPの火壁関係
□ CCAPP.EXE ノートン先生
□ CCEVTMGR.EXE ノートン先生
■ CCSETMGR.EXE ノートン先生
○ csrss.exe OS関連(Client Server Runtime SubSystem)
○ ctfmon.exe XP関連(言語バー)
■ DKService.exe Diskeeper
○ explorer.exe OS関連(エクスプローラ:OSのシェル)
○ lsass.exe OS関連(Local Security Authentication Server)
■ msbb.exe スパイウェア (180Solutions.com)
□ msmsgs.exe MSNメッセンジャー
▲ NAVAPSVS.EXE NAVAPSVCならノートン先生。うちでも動いてる。NAVAPSVSってのは不明。
▲ NAVW32.EXE 不明
▲ NMain.exe 不明
■ realschedexe RealPlayer関係
▲ ruf.exe 不明
■ SAVSCAN.EXE ノートン先生
○ services.exe OS関係(Services Control Manager)
○ smss.exe OS関係(Session Manager SubSystem)
○ spoolsv.exe OS関係(Spooler service)
○ svchost.exe OS関係(Service Host)
■ symlcsvc.exe ノートン先生
○ System OS関係(OSのカーネル)
○ System Idle Process OS関係(擬似プロセス)
○ winlogon.exe OS関係(system32にあればOK。Windows又はWinNT直下だと要注意)
また感染した。どうやらnullporceていうファイルもウイルスだな。 今回はアドレス帳も何も登録されてないから被害はなかったが。。。 二回目のクリーンインストール逝ってきます。
書き忘れたけれど感染するとdownlord.txtが作成されて 感染後にダウンしたファイルが書き込まれている。
>>311 downlord.txtは感染してなくても存在するファイル。
ny上での「ダウン条件」タブの中身だよ。
>>308 NAVW32.EXE、NMain.exeはノートン関連。ruf.exeは何だろう?
317 :
[名無し]さん(bin+cue).rar :04/07/17 02:31 ID:fSAoBRsd
318 :
[名無し]さん(bin+cue).rar :04/07/17 03:43 ID:cLbBuJzb
c:\windows\bugfixって元から無くてウィルスがつくるの? だとしたら俺も感染してるな・・・、中身は空だったけど。
>>289 スマソけど、そのexe開いた時に「開けません」って出た」?
321 :
248 :04/07/17 07:00 ID:Dt+Ujuzh
http://v.isp.2ch.net/up/7792205d1609.rar 1Mほど
PASSはwinny #xploer.exe はファイナルデータから復元したのですが、
仕切れなかったみたいです。申し訳ない。もともとは358kbのサイズでした。
ただ
>>308 の指摘して○印になっててもキンタマはExplorer.Exe、Systemの
ファイル名をコピーし、レジストリーをいじって自動起動してましたね。
起動毎に複製を作って、WINNYのUPフォルダーにMP3やエクセルファイルを
圧縮(XPの機能をつかってるのか?)してましたね・・複製はウィルスと同じ
容量でシステムフォルダーにいかにもっという名前でコピーしてます。そして
レジストリーの改変。
まぁMP3やらのファイルをUpフォルダーに転送して改変するくらいのファイルですから
其の位はやれるのでしょうなぁ。これを防ぐにはレジストリを確認して
ファイルの容量をこまめにみて、アイコンを確認するのが一番でした。それ以降は
起動して・・UPフォルダーに転送されてないので今の所は問題なし。
このPCではWINNY使ってないし。
AVGやっててもスキャンできませんでしたしねぇ。
結局、相変わらず.exe踏むという古典的というか典型的方法で感染か? 後は、裏でどんな悪さをしているか、時限式か他の発動条件でHDあぼーん にもっていくかどうか・・・。
323 :
[名無し]さん(bin+cue).rar :04/07/17 08:39 ID:IgRKF5aF
スクリーンセーバー強制変換された人って 今のところSS変換以外に実害はないのですか?
324 :
[名無し]さん(bin+cue).rar :04/07/17 09:39 ID:9QGeWh0x
WinXPを使っているのですが、時々いきなり再起動したり、デスクトップのアイコンが消えたりするのですが 似たような症状の人いますか?誰か原因を知っていたら教えてください。 WindowsUpdateはしています。ウィルスソフトはノートンでちゃんとUpdateしています。スキャンしたら異常なしとでました。
>>324 マシンスペックが原因の場合もあるだろうが・・・
つーか、テンプレ嫁
jpgに偽装してるヤツは、サムネイル表示させるだけでもアウトだっけ?
327 :
[名無し]さん(bin+cue).rar :04/07/17 10:04 ID:IFB1y7nA
落としたzipをウイルススキャンして無反応だったから、ソフトで解凍しようとしたら「書庫壊れてます」 拡張子調べたらexeだった・・・。 ダブルクリックで開けてないからセーフ?アウト?
>326 漏れも、それ知りたい。 >327 多分、セーフ。
>>328 どうも。
異変は無いし、大丈夫そうかな・・・。
因みに、使ってるソフトはノートンです。定義ファイルは最新の物にしています。
330 :
[名無し]さん(bin+cue).rar :04/07/17 10:15 ID:9QGeWh0x
>>325 テンプレは全部読みましたし、そこに書いてある対策もしました。
>>330 >スキャンしたら異常なしとでました。
新種や亜種にはアンチウィルスソフトは弱いからあてにしないほうがいいよ。
>327 セーフじゃないと困るよ!
>>330 レジストリやプロセスまで調べたってことだな。
じゃ、PCの問題なんだろう。
つーか
>>7
オマエラ、親切にレスしなければ馬鹿が減っていいのに
>>326 知らないが、偽装しようがなんだろうがjpgならjpg
システムの脆弱性を突いたものでなければ、それこそダブルクリックしようが平気
サムネ表示でウィルス感染程の脆弱性が有れば、ここは死体の山になってるだろうしな
Agentトロイは、MS Internet Explorer 5.0と5.5のバージョンに存在する脆弱性を利用して、 犠牲者が悪意を持って加工されたBMPファイルを開くことで、犠牲者のPC上で悪意のある コードを実行することが出来ます。このIEの脆弱性は2004年2月16日に最初に発覚した Windows2000のソースコードが漏洩したことに直接起因しています。 Agentトロイはロシア語バージョンのWin2000をターゲットにしており、他の言語のWindows2000 では動作しない。ただ近い将来この脆弱性を利用する多くのMalwareが登場するのは容易に 想像することができます。(全言語・バージョンのWindows,IEをターゲットにして) 今現在、Microsoftはこの脆弱性に対応するパッチをリリース出来ていない。 今現在、この問題からシステムを守る方法は、この悪意を持って加工されたBMPファイルを 検出することが出来るアンチウイルスソフトを常駐させておくことがとても重要である。
>>337 申し訳ない言葉が足らなかった、落とした画像が対象だと思ってIEは考えてなかった(IEの脆弱性は反則ポ
まぁexplorerでその脆弱性が見つかれば、antinny制作者はアイコン偽装、.jpg .exeなどの血の滲むような努力から解放されるわけだが
あくまでも現時点では安全、おやすみ
>>326 まさかと思って飛び起きたんだが、jpg偽装って.jpg .exe見たいな奴のこと?
だとしたら、サムネイル表示なら大丈夫だと思うが、絶対ダブルクリックしちゃ駄目よ
疲れてるな、吊ってこよう
そういえば夏厨の季節になったね。
で、感染した人は対応できたのか? その後ファイル削除するとか何もなし? みんなリカバリしちゃったのかな
流れ変えて悪いけど キンタマふんだんだけどオンラインでチャックしたらantinny aが3つ引っかかって 消そうと思ったら結果が勝手に消えてて場所が一つしか覚えてなくて HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run 値:“ara-key= を削除したあと1つだけウイルス削除 またオンラインでチェックするとウイルスが引っかからなくなったんですが これはもう大丈夫なのかな? ■症状(感染確認方法) の ・Upfolder.txtに登録したことのないフォルダが登録される。 ・レジストリエディタ(regedit.exe)を開こうとするとメモ帳が開く。 ・"C:\Documents and Settings\ユーザー名\Local Settings\Temp" に"ユーザー名.txt"が作成される。 ・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run に名前xxx データC:\Program Files\xxx\xxx.exeが登録される。 ・スタートアップに該当プログラムが登録される。(msconfigで確認) の一つも該当しないみたいですが・・・
>>342 キンタマは大丈夫かもしれんが、他のウイルスに感染してるかも。
アンチウイルスソフトの過信は禁物だが、必要最低限の備えである
ことも事実。
正規のものを買って、もう1回スキャンかけてみ。
なんでアンチウィルスソフトを常駐させないの? フリーでもあるんだから常駐させておけよ。
OKよ?そんじゃOKだな。
アンチウィルスソフトがあったからって防げるわけでもないがな・・・ ny関連のワーム・ウィルスの場合は一番いいのはそれなりの対策をとって後は「注意する」かもなw
347 :
[名無し]さん(bin+cue).rar :04/07/17 18:06 ID:Yp9ZLAYg
っっっすまそ スパイウェアって誰が何の利益の為に仕込むのでつか? 僕は5回ほどやられました、悲しいでつ・・・
「でつ」とか使ってるからスパイウェア仕込まれるんだよ・・・
>>347 こんなとこでも釣りしてるのか。
お前いいかげんにしろよ。
っっっすまそ、って釣りのつもり?
351 :
[名無し]さん(bin+cue).rar :04/07/17 18:18 ID:Yp9ZLAYg
釣りじゃないっす、マジレスでつ
>>351 お前、スパイウェアとウィルス混同してるだろ?
絵に描いたような釣りだな
>>347 スパイウェアってのは、ウィルスと違って、自分の意思でインストールしてるんだから(少なくとも形式上は)
「やられた」って表現はちょっと違うぞ。
安易に [ 同意します ] とか [ は い ] をクリックするからそういうことになるんだよ。
スパイウェアってのは、たとえばwebの閲覧履歴とかを送って、
マーケティングリサーチの資料に利用したりするんだよ。
ちなみに、DivXproの無料版にはスパイウェアが漏れなく付いてるし、
RealPlayerなんてな、それ自体がスパイウェアみたいなもんだ。
っっっすまそ スパイウェアってPCの中身を覗くのでしょう!? ウィルスってメールと供にくる(ワーム)のことでつか?? 教えてください、おながいします!!
感染経路で、いの一番にメールを挙げる所が如何にも夏風味 とりあえず「でつ」とか「おながいします」とか言ってる内は教えてやんねー
教えて欲しい時は「教えてポンポコリン」を忘れるな。
スクリーンセーバー云々のやつが入っているファイル名、教えていただけないでしょうか? あまってるpcで試して、みてみたい・・・。
360 :
[名無し]さん(bin+cue).rar :04/07/17 19:45 ID:s9pi9TNE
ケラケラ
煽った上にage 動揺して(?)二度もミス 切ねぇっす
365 :
[名無し]さん(bin+cue).rar :04/07/17 20:16 ID:Yp9ZLAYg
ドンマイ(・∀・)イイー age
>>364 やっちまったよ。引っかけようと思ったのに!逝ってくる。
NGID推奨 Yp9ZLAYg r;ァ'N;:::::::::::::,ィ/ >::::::::::ヽ . 〃 ヽル1'´ ∠:::::::::::::::::i i′ ___, - ,. = -一  ̄l:::::::::::::::l . ! , -==、´r' l::::::/,ニ.ヽ l _,, -‐''二ゝ l::::l f゙ヽ |、 ここはお前の日記帳じゃねえんだ レー-- 、ヽヾニ-ァ,ニ;=、_ !:::l ) } ト ヾ¨'7"ry、` ー゙='ニ,,,` }::ヽ(ノ メモ帳にでも書いてろ :ーゝヽ、 !´ " ̄ 'l,;;;;,,,.、 ,i:::::::ミ ::::::::::::::::ヽ.-‐ ト、 r'_{ __)`ニゝ、 ,,iリ::::::::ミ ::::::::::::::::::::Vi/l:::V'´;ッ`ニ´ー-ッ-,、:::::`"::::::::::::::;゙ , な! :::::::::::::::::::::::::N. ゙、::::ヾ,.`二ニ´∠,,.i::::::::::::::::::::/// :::::::::::::::::::::::::::::l ヽ;:::::::::::::::::::::::::::::::::::::::::::/ / ::::::::::::::::::::::::::::::! :|.\;::::::::::::::::::::::::::::::/ /
368 :
[名無し]さん(bin+cue).rar :04/07/17 20:46 ID:Yp9ZLAYg
ID:s9pi9TNE !!! / ̄ ̄ ̄ ̄ ̄ ミ / ,―――─―-ミ / // \| | / ,(・ ) ( ・) ハァ (6 つ | ハァ | ∪__ | | /__/ / <今度から慎重にカキコしなくちゃ /| ∪ /\
あれ?もしかしてもう夏休み?
書き込む前にSG(セキュリティー・ガード)に登録しないと危険です。 SGに登録せずに書き込んだ場合、あなたのPC内の情報が他人に見られる恐れがあります。 初期の頃から2chにいる方達は、殆どSGに登録しています。 リモートホストを抜かれ、住所まで公開された人も数多くおり、社会的に抹殺されてしまう。 それが2chの隠れた素顔でもあります SGしておけば、どんなにスキルがある人でもリモートホストを抜く事が不可能になります。 登録する方法は、名前欄に『fusianasan』と入れる。これだけです。 一度登録すれば、電話番号を変えない限り継続されます。 fusianasanは、正式にはフュージャネイザン、又はフュジャネイザンと読みます。 元々は、アメリカの学生達の間で、チャットの時のセキュリティを強化する為に開発されたシステムです。 fusianasanを掲示板に組み込むのは結構面倒なのですが、2chにカキコしてたら個人情報が漏れた、等の 抗議がうざったくなったひろゆきが、仕方なく導入しました。 悪意のある人間にクラックされる前にSGを施す事をお勧めします。
SG登録したっぽ
ID:Yp9ZLAYgこの方昨日の離島少年? よく覚えてないが、友達には馬鹿にされなかったか?
>>373 っっっすまそ それが友達が罵倒しまくりで怒りが収まりません(泣く
Winnyはお陰でDLしたのでつが、ルーターのせいか
起動しまつぇん??
小さなアドバイスおながいします。
376 :
[名無し]さん(bin+cue).rar :04/07/17 21:55 ID:Yp9ZLAYg
身も心も全てを捧げて尽くしてあげたい _ _,,、−''"/.:::::::::::::::::::::::::::::::::::::\ ヽ \::\ . {  ̄ /.::::::::::::::::::::: ::... ::: :. ::::..:::::ヽ 丶 \::\ ___ ! 、_,/ .:.:i: :::ト、 ::、:: :::. :::::::::::::::::::::::::::l〉, ヽ ヾ""" ~´ ', 、_, '..::::::/ .!:. ::| \:.、::::、:::::、::::ヽ:::::::::::l/l ', ', , ',  ̄´ ̄ !:::ハ:::::l 丶ヽ、、_:ヽ ::丶::::::|‐|l i ! i__/ ヽ :::,':::!:::::!__ ×´,ィfi「}!l::::ヽ、!::::l l l / ゙、 j:/::::ハ:::l_` 〃`ニ゜' |:l::::::i::i:::::| l/ ', 〃l::/!l:l!:lf‐tミ |!:::::ハ:l:::::| / / ヽ / j/ノ |!l|ヾ.`´ _, _,. /!::/| |:/ / ヽ、/ l ! l':..、 ヾ‐’ / lf' |/ /| ID:7Uz0Cxs4 さん \ l:|l:| ̄、 'T´ リ/ ,.イ|l:::| ヽ l| | , ヽj /´ / |:!l::| ヽ |ヽ、 ̄_,. / ,. /|| |:! !:! ,ノ'´ < ,' l' / || |i l| _,. ' ´ ! /:| ‖ |! ll ○ / ○ i::::| | l| ノ ! i r ,i|:::| U \ ', ', ノ /::|:::| h ヽ _,,ノ ヽ、 ,. ' / |:l|:::! /
>>374 「初心者はP2Pなんかに手を出すな」
煽りでもなんでもなく、マジなアドバイスだ。
ろくに知識も無いのに手をだすと、高確率で、そのうち痛い目に遭うことになる。
「質問する前に自分で調べろ」
「質問するなら、適切なスレッドで質問しろ」
「複数のスレッドに同じ質問を重複して書き込むな」
これらは半分煽りだw
>>355 からしてwinnyやったら確実に痛い目に遭うな。
最低限の知識見につけてからしろよ。
それに分からないのは質問する前に調べろよ。
友達が罵倒するのも分かる。
今更飯食ってきたんだが。
>>376 そういうAAを貼るところがなんともな・・・
漏れ的には好きっちゃぁ好きだけどな
余計な何かがあったら、これからは無視するのが一番だろうな。
おまいら釣られ杉
【使用OS】 Windows XP 【WindowsUpdateしてるか】 してます 【AntiVirusは】 NAV 2004 【ちゃんとUpdateしてるか】 してます 【スキャンした結果】 何も無し 【オンラインスキャンしたならその結果は】 同上 【Winnyのバージョン】 2b7.1 【Winny歴、総DL量は】 10ヶ月程度 【テンプレを読んだか】 読んだ 【テンプレにある対策を実行したか】 した 【症状か具体的に、分かる限りすべて書く】 頻出しているSS系と酷似。既出でない特徴としてタスクマネを開くとレジストリエディタが開く 【何をしたらそんなことになったのか】 誤って.folderを実行してしまった 【これまでにとった措置】 Winnyを削除・アドレス帳の全削除・このスレをよく読んでみた
384 :
[名無し]さん(bin+cue).rar :04/07/18 02:52 ID:hn156bYI
で、結局何が聞きたいのか分からない
>>36 が何かも分からない(
>>37 のこと?
タスクマネージャ開こうとすると、レジストリエディタが開くというのは本当に初耳だな・・・
>で、結局何が聞きたいのか分からない
>>36 が何かも分からない(
>>37 のこと?
おまえのあたまじゃね・・・
かわいそうに
387 :
[名無し]さん(bin+cue).rar :04/07/18 03:53 ID:EjdEuYlx
(null)Noderef.txt ってなんだろう?
389 :
ひみつの文字列さん :2024/05/07(火) 07:14:43 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
>>289 オレも、似た感じ。感染する前に落した可能性のあるものは デスノートだったと思う。
ZIP開いたら、EXEで偽装している感じだったからアヤシィとは思ったけどなんか、トライしちまった。。
アホや (´・ェ・`) ショボーーーーン
392 :
[名無し]さん(bin+cue).rar :04/07/18 04:58 ID:Ciow+IMN
拡張子を.folderにして偽装するってのパッチでてたっけ? うちのWindowsUpdate全部当てたやつで拡張子folderにしても 登録されていない拡張子のアイコンになるんだが。
393 :
383 :04/07/18 05:06 ID:25M4/q+1
もう少し詳しく説明すると感染したPCにはny入ってないのよね マイネットワークで繋がってるから念のためny消してネットワークは切断した ちなみにスタートアップには多分怪しいのがいない どうにかしてタスクマネを出せれば活路は見えるのだが…
394 :
[名無し]さん(bin+cue).rar :04/07/18 05:26 ID:6fEk9ESa
>>360 やさしい人だなと思ってそれ開きました。
クソッ、今ようやくリカバリおわた。
395 :
383 :04/07/18 06:22 ID:hn156bYI
取りあえずぐぐりつつ怪しいのをピックアップ PRONoMgr.exe スパイウェアかな あとはsvchostが4つあるしどっかにいるかも。 プロセスをひとつづつぐぐって見たけどあからさまに怪しいのがないからもっともらしい名前がついてそう。 同様にスタートアップをあからさまに怪しい名前のはありません。
今確認してみたら、窓の手だと自動実行のフルパスってわからないんだね。 msconfig なら確認できるんだけど。。。 どなたか、自動実行がフルパスまで確認できる窓の手みたいなツール知りませんか?
ZoneAlarmから警告、 Winnyが129.48.112.52に接続しようとしているらしい。 ???と思いながら129.48.112.52をIPドメインで調べると・・・ Wright-Patterson Air Force Base ガクガク(((( ;゚Д゚))))ブルブル
>>398 HijackThis すごく便利だけど
むやみに[fix]すなと言いたい。(もどせるけどね
使用方法をよくお読みになってね
ちなみにそこの質問掲示板を利用する際には、
P2P類はアンインストールしないと答えてくれませんので注意。
>>399 ライトパターソン空軍基地か。なんでそんなところにつなぐんだろうか・・・。
402 :
397 :04/07/18 08:02 ID:kVUwkTBs
>>398 ありがとー!
例のスタートアップ一覧のページにはいつもお世話になってたのに、他のページは全然見てなかったw
こいつは汎用ツールじゃなくって、スパイウェアとかウィルス検索に特化しているみたいだから
このスレで使うには最適かも。
とりあえず、試してみます。
っつーことで、HijackThis もテンプレHPに推奨ツールとして追加?> HP管理人さん
403 :
[名無し]さん(bin+cue).rar :04/07/18 09:36 ID:SsyTGKgU
初期ノードもしくは自winyのノード登録で流したんジャネーノ?
なんでexeを実行するやつがこんなに多いの? 拡張子が後方にあろうが、気付くだろ普通
アプリばかり落としてからでな〜い?
>>400 まあ当然だなあ
nyやってるヤツまで面倒みたくないだろう
リスクわかっててやってるんだから、自己責任だ
>>405 ファイラーを使えば拡張子がわかりやすくていいのにね。
俺にとっては、なんでファイラー使わずにエクスプローラを使うのかが分からんくらいだ。
エクスプローラもファイラーなんだが・・・ それはともかく、エクスプローラでも詳細表示にすればファイルタイプはまる分かりだぞ だから何だってわけでもないが、拡張子偽装のexeに引っかかるような香具師は知識も注意力も足らん
>>410 あれはへぼすぎるだろ。ファイラーとしては。ファイラーとみなすのにもアレすぎる。
エクスプローラなんか使ってらんねーよと言ってる香具師がvix派だった時は笑ったな
なんかJaneDoeでダウソ板更新するとノートンがすげー警告すんだけど何打これ。
>>415 サンクス
スレ題に反応は初めての経験だった
417 :
[名無し]さん(bin+cue).rar :04/07/18 23:13 ID:6JnZqC20
変な新手のウィルスにかかりました。 突然、右クリックを押しても何も出なくなったり、 XPのスタートアップの内容が変わってたり、 winnyで検索ボタンを押したら急に終了(というか画面から消えます)して、 その後動作が重くなりまくったりします。 ウィルスバスターのオンラインでも出てこないし、 スパイウェア駆除の物でも出てこないです。 なんかエラいのにかかってしまいますた・・・
>>417 単にレジストリのどこかが壊れてるとかOSのファイルの何かが壊れたとかかも知れんがな
419 :
[名無し]さん(bin+cue).rar :04/07/19 04:55 ID:eFJeeRLV
基本的にAntinnyタイプ(ノートン&バスター未対応)で、 スクリーンセーバー周りの設定変更をする。 UpFolderに [BicBic] C:\WINNT\bugfix を作って、 C:\WINDOWS\bugfix にいくつかファイルを作り、 タスクマネージャを起動できないようにして、 さらにC:\WINNTにWindowsXPのフォルダーを偽装したEXEファイルをいくつか作る (うちで確認済みなのはCTFMON.EXE、IMEJPMlG8.0.exe、Exploder.exeでどれも45,056バイト) 発症後はレジストリの HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run に上記44KBのファイルが何個か登録され、起動する度に UpFolderとC:\WINNT\bugfix以下を作り直す。 …というところまでいまんとこ確認。
421 :
[名無し]さん(bin+cue).rar :04/07/19 17:46 ID:wfSPK6W6
もともとUpFolder.txtがない人間にはさほど実害は無いのかなヽ(´ー`)ノ
もともとUpなどしたこともないような素人が患者なわけだが
UpFolder.txtを作って読みとり専用にしとけ
>>421 UpFolder.txtなんかいくらでもつくるから関係ない
おーうい .batファイルのopenアクションの 標準起動オプションってどうなってますか? ウイルス対策にDOSとの関連付け切り離しテスト してたらオプション忘れて戻せなくなってもうた…
"%1" %*
428 :
sage :04/07/19 18:24 ID:G9YFvJZl
”女性警察官”で検索すると、 (裏写真集) 鬼畜な女性警察官に 貧乳で必死にパイズリまくり (超オススメ).lzh などの超面白そうなファイル名が引っかかるのだが、どいつの仕業?
429 :
[名無し]さん(bin+cue).rar :04/07/19 18:26 ID:T1XKcI1S
UpFolder.txt作られてるところがトンチンカンで 起動のたびに「アップフォルダファイル読み込み失敗」とでるのですがヽ(´ー`)ノ
430 :
[名無し]さん(bin+cue).rar :04/07/20 00:16 ID:5OdJmjqN
>>429 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
,__ | もろにウィルスなのに陽気な
>>429 が立ち直れますように。
/ ./\ \________________
/ ./( ・ ).\ o〇 ヾ!;;;::iii|//"
/_____/ .(#´_ゝ`)\ ∧∧ |;;;;::iii|/゙
 ̄|| || || ||. |っ¢..|| ̄ (,, ) ナムナム |;;;;::iii|
|| || || ||./,,, |ゝ iii~ ⊂ ヾwwwjjrjww!;;;;::iii|jwjjrjww〃
| ̄ ̄ ̄|~~凸( ̄)凸 .( ,,)〜 wjwjjrj从jwwjwjjrj从jr
いや違うだろ、おそらくデフォルトのアレだよ
>>420 私もほぼ同じ症状が現れました。
>C:\WINDOWS\bugfix にいくつかファイルを作り、
中身は下記2つのファイルでした。
(1)「[アニメ][NullPorce] 俺のアドレス帳&お気に入り (User).zip」
中身は、@「お気に入り」のルートにあるショートカット、A「desktop.ini」
B「(User)のアドレス帳 .exe」(※恐らくトロイ本体)
(2)「私は(User)、Antinnyの作者だ。.zip」(※恐らくトロイ本体)
非書庫だったので極窓にかけたら、拡張子は.exeのようでした。
サイズからして恐らくはトロイ本体。
>タスクマネージャを起動できないようにして、
私の場合、タスクマネージャの起動はできました。
※いつもタスクバー上で右クリックして起動しているので、
「Alt+Ctrl+Del」経由での起動可能性は未確認。
>さらにC:\WINNTにWindowsXPのフォルダーを偽装したEXEファイルをいくつか作る
私の場合は、「Windows.exe」と「Exploder.exe」の2つ。
まあ、NY狙いのトロイは、症状が高々知れているから (カムフラージュだったら怖いなw)、 以下のようなチェックは、もはや定石でしょうな。 @UpFolder.txtが書き換えられていないかチェック →YESなら、新たなアップフォルダの位置を確認、削除。 AWINDOWSフォルダ内にトロイ本体らしきEXEファイルが生成されていないかチェック ※HDD全体に.EXE指定で全検索して、フォルダと同じアイコンを持つ 怪しいファイルの有無をチェックする入念さはあってもいいかも。 Bレジストリのチェック、不正値の削除 C再起動して、@〜Bが水の泡になっていないかチェック
勝手にファイルネーム作るウイルスとかある? 今日、露天風呂アナルThe Offspring住所録中だし っていうすげえファイル見かけたんだけどw
あるよ。何を今更。
>>434 ソースネクストのソフトが入っていることと、bsso.exe、khz.exeがあやしい。
あと自分で常駐させてるアプリや起動してるアプリをすべての終了させてから見せろよ。
見づらくてしょうがない。
Exploder.EXEがいますね。
お前には無理
>>8 のサイト見て自分で判断しろ。
大体、突然起動中のプロセス提示して何のつもりだ。
ウイルスに掛かった可能性があると自覚してるんなら
まずテンプレ見てレジストリのキーに不正なモンが追加されてないか調べろ。
起動中のアプリ終了させたところで、レジストリ弄られてたら再起動するたびに異常起こされるぞ
あとExploderについてはすぐ上のレスで話題に上がってる。少しは見ろ。
>>439 「Explo"d"er」の意味はわかるよな?w
nyやる香具師は氏ね
(´∀` )オマエガナー
>>439 >ソースネクストのソフトはウイルス対策
ソースネクストのソフトを使ってる時点で・・・。avast!などのフリーの
アンチウィルスソフトの方が良さそうだね。
このスレの住人は別に「ウイルス駆除のプロ」というわけではないし、しかも 答えるにしてもみんなボランティアでやってる。 それでも今までの情報交換の中で、親切な人がテンプレという形にまとめた。 で、何が言いたいかというと、何が言いたいんだろうな俺? 今日は疲れてるort
>>446 Winnyやるのもネットをやるのも自己責任。自分で出来るだけ判断して
分からなければPCを再インスコしてWinnyやめろ。責任を持たなくていいのは
小学生までだ。
このスレは本来、質問スレではなくウィルス・ワームについての
情報交換するスレであることを認識してほしい。
という具合でつか?それなら同意しまつ。
>>447 あぁ、ありがと。そんな感じかな。
まぁ、質問するのは別にいいんだけど、「自分で出来るだけ判断して」
つーか自分で出来るだけ調べて(テンプレ嫁!)、その上で質問内容が
判るように質問しろってとこかな。質問自体が情報の提供になるようにな。
449 :
104 :04/07/20 20:24 ID:65VIESZf
>>446 >>447 まあ、もう夏休みだからしょうがない・・・・・・って考えた方がいい。
厨がまた増える予感・・・・・。orz ァ '`,、'`,、'`,、'`,、(´▽`) '`,、'`,、'`,、'`,、'`,、
提案だが、厨お断りみたいなことも書いてみるのもいいかも・・・。
>>449 厨は自分の事を厨とわかっていないものなのですよ・・・
つうか厨しか感染しない予感
>>451 じゃあ漏れは厨かなウフフフ('∀`)フフフ
昨日気をつけてたのに感染した。
2時間で駆除終えたけど、このスレ見てたし
普通は一度感染したらセキュリティ意識高くなって 次から感染しなくなるだろ。 ホイホイとダブルクリックしまくるのやまれ。 起動する前に複数のアンチウイルスでスキャンして ネットワーク遮断して 仮想PC上又はどうなってもいいサブPCで実行するくらいはしたほうが(以下略
やまれって何だよやめれだろ糞が
まあそこまでせんでも少し注意しただけで亜種にはひっかからんよ 今のところ強力な新種がでてるわけじゃないしなー
456 :
104 :04/07/20 23:11 ID:oAxUYIIB
それに厨はほとんど偽装のexeに引っかかってるから、拡張子ぐらいさせろって〜の! 圧縮形式のウイルスだって、最近のウイルス対策ソフトはスキャンできるんだからそれもしろって〜の! けど、漏れのnyフォルダーにSearchTrip.txtってのがある・・・。何かあやしい・・・・・。 やばい、漏れも厨に当てはまるかも・・・・・。 勉強せねば・・・・。orz
SearchTrip.txtはあって当たり前だぞ
>>456 SearchTrip.txtはトリップ検索を行えば勝手に作られる
テキストビュワーで覗いてみれば見覚えのあるトリップが出てくる筈だが
459 :
104 :04/07/20 23:19 ID:oAxUYIIB
>>457 Σ( ̄ロ ̄lll)
そうだった・・・・・。
半年のブランクは怖いな、全然いろんなこと忘れてる・・・・。_| ̄|○
頑張ろう、漏れ。
合法ファイル、ネットに貼り付けてくれればnyやめられるんだけどな〜。
>>453 いやあ、実はね。
WinRARで中身確認してファイル名.exeがあったから駆除しようと思って
一度クリックして削除しようとしたら出来ない。
しょうがないからノートン先生に駆除してもらおうと思って別の場所クリックしようとしたら
(一度クリックした奴は別の何も無い場所クリックして元に戻す癖がある)
間違えてexeクリックしてしまって十分間隔あったのに勝手に解凍→実行。
とき既に遅しですぐに駆除開始したけど。
あれはWinRARの仕様だったのか何故かダブルクリックになったのか、今となってはどうでもいい事だ
461 :
104 :04/07/20 23:36 ID:oAxUYIIB
ところで、例のスクリーンセーバー警告型のやつその後どうなったのかな? みんな再インスコしたのか、既にHDあぼーんしたのか。 それとも何事もないままなのか、報告キボンヌ。
>>460 右クリックで削除すりゃダブルクリックしようが関係ないんじゃないか?
>>461 それはさておき↓の意味を教えてくれよ。
>拡張子ぐらいさせろ
くだんね
466 :
104 :04/07/21 01:17 ID:c8qLveWM
ごめん、拡張子表示ぐらいさせろデシタ。何かキーボードがおかしくて打てなかった。 スマソ。
>>462 いらんサブPCが感染して、ずっと放置してたんだけど
一昨日くらいまではスクリーンセイバーが勝手に変えられてたんだが
昨日になってから何をしても勝手に変えられることはなくなった。
特になにもしてないんだけど・・・
Bugfixってフォルダはあるけど中身は空。レジストリ調べたけど異常なし。
468 :
[名無し]さん(bin+cue).rar :04/07/21 02:58 ID:Sy8HhRUv
>>467 >>レジストリ調べたけど異常なし。
言い切れるのか? 大方、RunやRunonceを見ているだけだろ。
(User名)のアドレス .exeは、VBで作ってるっぽいね。 VBのランタイム入れてない人は大丈夫かも。
>468 レジストリは RUNにエクスプローダー(exploder.exe)をのっけるのと、 あとはスクリーンセーバ廻りをいろいろいじくってるみたいだ。
過去の凶悪なものに比べたらやってる事はおとなしいなw それとも潜んで、ある条件になったら・・・・とかあるのかね
>471
それはたぶん大丈夫(と思う)
>>420 の症状が、こいつの行動のすべてだと思う。
あと、付け足すとすれば
UNLHA32.DLL を勝手にインストールする。
【使用OS】 WindowsXP 【WindowsUpdateしてるか】 してる 【AntiVirusは】 NOD32 【ちゃんとUpdateしてるか】 してる 【スキャンした結果】 未検出 【オンラインスキャンしたならその結果は】 バスター、チェイサーのオンラインスキャンで未検出 【Winnyのバージョン】 v2.1b7.1 【Winny歴、総DL量は】 2年 【テンプレを読んだか】よんだ 【テンプレにある対策を実行したか】した 【症状か具体的に、分かる限りすべて書く】 ”ダウンフォルダパス”および、その中のフォルダ(1段目まで) にあった”***.avi” ”***.mp3”のファイルがそれぞれ”***.avi .exe” “***.mp3 .exe な感じに、いつの間にか変更されていた(拡張子を戻しても再生不可)。そのファイルの プロパティをみると、ファイルの種類:メディア ファイル、説明:MSIME2002になってた。 【何をしたらそんなことになったのか】不明 【これまでにとった措置】レジストリエディタがなぜか使用不可だったのでいじくるつくーる等 でスタートアップにあった「adsldp.exe" /P」 「key02.exe" /u」 「h323msp.exe" /k」 「1042.exe" -y」 あたりを消去。変更されていたファイルの拡張子の.exeが見えてなくて、かつアイコンがWMP9のメディアファイルと同じに なってたので、なかなか気がつかず、変更されたファイルをクリックしてしまって、動作が変だったことで初めて異変に気づいた次第です。 最初の原因がわからずじまい… これって、何かに感染したっぽい?
感染してないと思うのか?
>>473 システムのプロパティが
「Winnyで違法ファイル集めてます」になってない?
レジストリって異常がある場合はどこらへん見ればいいの?
ひとつ怪しいのを発見したから消しといた・・・ 次回起動しなかったらどうしよう・・・
480 :
104 :04/07/21 13:04 ID:AgAs6ySa
・nyあるいはそれ以外の方法でキンタマワームを踏んで感染。 ・IEや拡張子「.folder」のバグを利用し、自動実行させ感染。 まあ厨しか感染しないウイルスと化してきたな。kintama・・・・・・。 みんな〜、変なexeは踏まないように・・・・・。(教師風に・・・・・。) .exe (ニヤリ)ァ '`,、'`,、'`,、'`,、(´▽`) '`,、'`,、'`,、'`,、'`,、
481 :
104 :04/07/21 14:24 ID:wE29j0H4
スマソ、ついつい調子に乗ってしまった。 俺だって同レベルなのにな…。ショボーン
>>475 ビンゴだよ_| ̄|○
ま、まさかキンタマなのか…!? データ流出してたらちとやばいかも…(-_-)
PC洗いざらい調べてたら“マイ ドキュメント”の中身がフォルダを残して空からになってた…
デスクトップ上のフォルダの中身もスッカラカン…
システムの復元がいつの間にかOFFになっててONにできない。
UpFolder.txt は、何ともない。
変更されてしまったファイルのキャッシュが残ってたので再びデコードしてみると
ちゃんとしたファイルになってたので、ダウンした後で改変されたのが確定。
ちなみに、おかしくなったファイルをバイナリエディタで開くと、先頭に「MZP…」
少し下に「This program must be run under Win32」と必ず入っているし、mp3のファイルは
エラー出しながらも途中から再生できたので、データの先頭部分が改変されたようだ。
偽装拡張子と拡張子の間に長いスペースを入れる&アイコンの偽装…。なんて嫌らしいんだ(゚Д゚ )ゴルァ!!
Windows標準のアイコン使うのやめよかな…、マジで
手遅れな気がするな
485 :
104 :04/07/21 14:55 ID:AgAs6ySa
>>481 漏れの言いたかったことを先に言うな。
IDが違うぞ、おい!
最低でもフォルダアイコンは変更しとけ
488 :
名無し :04/07/21 16:15 ID:RPvQ2HLt
>>482 >偽装拡張子と拡張子の間に長いスペースを入れる&アイコンの偽装…。なんて嫌らしいんだ(゚Д゚ )ゴルァ!!
>Windows標準のアイコン使うのやめよかな…、マジで
こんなことを言うなら今すぐWinnyやめたほうがいいよ。どうせ新作のファイルとか流してないでしょ?
490 :
[名無し]さん(bin+cue).rar :04/07/21 16:49 ID:6dVodMJW
zipを解凍すると感染するの>? 天麩羅読んだけど確認でw
>>491 実行しなければ、解凍だけでは感染しないのでは?
493 :
[名無し]さん(bin+cue).rar :04/07/21 17:19 ID:k/yDBquQ
,、------- 、 ,、-'´ `ヽ、 ___/ _\ \ / // /  ̄`ヽ、 ヽ / レi // / /ハヽ \ヽ |`iー 、 // |ヾ r//i / / / ヽヽ ヾi V ヽヽ // /| `7 |_|_L _/ / / | | |l |//! ゙i ゙i // / |三|'´| | || | /| / -─!ト!、|| |/ | | | | || / l>-|、rァ〒ヾ|/ |.! __,リ⊥ リ|彡/! |! | | || | |⌒l` |‐':::::::| l、_j::::::iゝr‐vi|| |ト、', ',ヽ! | ト、∧ ー---' |::::::::ノ '/ / || || ヾ.、 \! | | | | |‐! , j  ̄` /- ' ', ト、 \ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ヽト、! ',ヽ! \ ー_- /^i | ヽ、 | \ `ー < お兄ちゃん、それは罠だよ \ヽミ ゙ヽ、 ,、-' ´ j/ ヾ-、ヾミー \__________ `` _|`` ー ' ´ ト--、_ r‐、| r‐v--、 __,、-‐'´ | / >ー-、 \\l‐、ヽ | rくヽ |--──/ // ̄ ヽ し! | ヽ | / ヽヽ |rv'l / ,、-'´/ ヽ-/ / ./ ヽヽ |`=/-‐'´,、-' ´ / / / / _ヽ.|_/__∠/ / く`ー─‐' ´/ ∧ | く =しヘ / i ノ } _/7
494 :
[名無し]さん(bin+cue).rar :04/07/21 17:25 ID:9s+6gwE6
tesuto
>>490 ってなんか頭わるそう。
Winnyなんかいじらないほうがいいと思うよ。
>>472 なんか、悪質なジョークソフトみたいな感じですね。
でも、すぐに凶悪な亜種が出てくるんだろうなぁ。
解析乙です。
詳細キボン
何がしたいのだ? IEのセキュリティ・プライバシーレベル最高にして 恐る恐る覗いててはみたが・・・。
>>499 危うきに近寄っていつか墓穴ほるタイプと見た
オンラインソースチェッカーしてから 見てみた・・・ 特に異常なし だが、貼った人の精神状態を危惧する
502 :
499 :04/07/22 00:44 ID:5+xH/hUn
え、なんだったの?
504 :
499 :04/07/22 00:51 ID:5+xH/hUn
>>501 厨みたいな質問で申し訳ないんだが、オンラインソースチェッカーって何?
ソフト?ググっても見つからんかったんで。
>>503 安全性は確認されてるようなので、見れ見れ。特に面白くもないけど・・・。
なんか今日はsageんの忘れるなort
>>499 右クリックランチャーってのがある
ベクターあたりにあった希ガス
>>497 見なきゃよかった、ちょっと鬱。。
これ張ったヤシはたぶん真正。
鬱だ・・・
510 :
ひみつの文字列さん :2024/05/07(火) 07:14:43 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
工エエェェ(´д`)ェェエエ工工 オレ普通に見てたよ・・・
>>511 周囲から鬼畜と呼ばれないよう気をつけてくださいw
まぁ、おれも気分は良くないが鬱になるほどでもなかったな。
で、
>>497 は何をしたかったんだろう?他にも貼ってるのかな?
>>510 俺も同じく
win.ini見ても、レジストリも何も無い。UPフォルダも無い。
ググってみたが出てこない。
起動し続けたらどうなるかしらん。すぐ消したから。
プロセス動いたままPC再起動等すると何か起こるのかな。
ああ、上に出てるタイプなのかな
どっかのスレにも書いたけど 始めにNullPorce2MX.EXeというフォルダーが出来て、 実行するとNullPorce2MX.exeというフォルダ、 desktop.ini、チルダ何かの記号ファイルが出てくる。 そしてタスクプロセスを見るとNullPorce2MX.exeが作動中。 アプリケーションを見るとsvchostを実行中とでる。 desktop.iniは実行してみたらウィルスソース?らしきものが書かれている。 そこから先、どうなるかはわかんね。
>>515 NullPorce2MX.exe というのはフォルダじゃなくて、実行ファイルだよ。
desktop.ini っていうのはウィルスソースじゃなくて UNLHA32.DLLそのもの、
つまりこれも実行ファイル。(ウィルスじゃないけど)
なんか君のようなタイプの人は、Winnyなんか使わないほうが幸せになれると
思うよ。
アイコンがフォルダになってるexeかな
519 :
ひみつの文字列さん :2024/05/07(火) 07:14:43 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
Winny.exeが置いてあるフォルダに、下記のファイルができる。 "NullPorce2MX.exe" 22,528 Byte " " 4,110,010 Byte "UpFolder.txt" 内容は↓ -------------------------- [BicBic] Path=C:\WINNT\bugfix Trip= -------------------------- レジストリには下記が追加されて、起動時の自動実行が設定される。 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "scanreg.exe"="C:\\WINNT\\system\\scanreg.exe" "C:\WINNT\system\"には3つのファイルが作られる。 "C:\WINNT\system\MDM.exe" "C:\WINNT\system\scanreg.exe" "C:\WINNT\system\wnconfig.txt" ← Winnyのフォルダ名が書かれている
521 :
携帯から :04/07/22 13:44 ID:DSuxAcRw
ぬるぽ血しぶきが出て慌ててネット切断して再起動したら hal.dllが壊れてて起動出来ませんって画面から動かなくなった とりあえずフォーマットしたいんだけど画面動かないし、どうすれば… PC使って調べられないし、もっと勉強しておけばよかた…
>>521 その前にセーフモードで立ち上げて、
システム復元してみれば?セーフモードは普通に起動させてF8連打で、
メニューを表示させてセーフモードを選択。
ただし、システム復元はXPとME限定。
リカバリの仕方は参考程度に。(PCによって微妙に違うから)
自分のPCでは、普通に起動させてF12を連打。
起動メニューが現れるからCDドライブを選択。
リカバリディスクをCDドライブにセットする。
あとは指示に従うだけで完了する。
リカバリは付属の説明書嫁。
524 :
携帯から :04/07/22 14:41 ID:DSuxAcRw
>>522 >>523 ありがとうございます…なんとかやってみます
セッパ詰まって質問しちゃってすみません
【
>>432-433 です。 】
>>472 「UNLHA32.DLL を勝手にインストールする。」
思い当たるふしがありますね。
トロイを実行してしまった直後のアーカイバの使用で、
UNLHA32.DLL まわりのエラーが出ました。
バージョンが合わなかったのか、それとも、
そもそも アーカイバDLL なんかではなく悪さをするDLLだったとか・・・?
とにかく、アーカイバが使えないと困るということで
UNLHA32.DLL をインストールし直しましたよ。
新たにインストールされた(?)「UNLHA32.DLL」が悪さを
するようでも困るので、再インストールするのが賢明かも。
「+Lhaca使っているから関係ないよ」という人も、上書きぐらいは
しておいてもいいかも。
ttp://www.csdinc.co.jp/archiver/
527 :
[名無し]さん(bin+cue).rar :04/07/22 22:22 ID:mhznXwij
実行するとエクスプローラがやたら重くなったり オーディオデバイスが解除されたりする(でも再起動したら直った) よくわからん動画ファイルを拾いました。しかも削除できない、再生もできない。 (サイズは200M以上) これってウイルスがらみなんでしょうか?詳細わかる方いましたらよろしく頼むます
528 :
[名無し]さん(bin+cue).rar :04/07/22 22:31 ID:qGsMbNu5
>527 ただの切れてるファイルじゃないの?
529 :
[名無し]さん(bin+cue).rar :04/07/22 22:42 ID:X9SKdME8
すんません付け足しです。 オーディオデバイスの解除というのは、 タスクマネージャーのプロセスにsvchostが5つほどあったんですが、 一つだけメモリ使用量を1万キロバイト越してる奴があったのでそれを終了。 すると音が出なくなるわけなんです。 しかしファイルはなんで削除できないんでしょう?(実行中と出る) windows/tempフォルダには怪しいもんは見当たらなかったですが…
530 :
[名無し]さん(bin+cue).rar :04/07/22 22:43 ID:JubovnwT
ファイルはそのうち消せるようになるよ。 ほっとけ。
>>529 WindowsXPで消せないファイルを削除するTips集
でぐぐる
age
>>530 なかなか消えてくれないこともあるぞ。
>>531 説明が不十分だったり、効果がないこともある。
そこで・・・
@コマンドプロンプト起動→ "del [Space]" まで打ち込んで・・・
↓
"削除したいファイル"をコマンドプロンプトにドラッグ
↓
(先述の "del [Space]" に続いて"削除したいファイル"の
フルパスがコピーされる)
↓
Bタスクマネージャ→[プロセス]タブ→"Explorer"のプロセス終了
※これをやらないと、"Explorer"の束縛から解放されない
ままなので、依然として削除できない。
※なお、後で"Explorer"を起動し直すので、
タスクマネージャはまだ閉じない。
↓
C再びコマンドプロンプト
はい![Enter]を押していいでつよ!(^^)
↓
これで問題のファイルが削除される(ハズ)
(コマンドプロンプトはもう閉じてよし!)
↓
Dタスクマネージャ→[ファイル]→[新しいタスクの実行]→"Explorer"
以上
・・・というワケだ。やってみな!
>>527 (=
>>529 ?)
534 :
104 :04/07/23 00:18 ID:NsZO4z/A
memo帳で上書き。 これ、最強アルネ〜! (何か自分で言っておいて変な回答っぽ。)
PCを再起動してエクスプローラ以外のファイラーで消すのはだめなのか?
536 :
533 :04/07/23 00:44 ID:o8bnSxce
>>534 やってみたけど、"Explorer"にロックされていて出来なかった。
その点、
>>533 に示した方法は、手順が面倒だけど、確実性はかなり高い!
>>535 いずれにせよ、その方法も、"Explorer"によるロック状態から
問題のファイルを解放すべく、"Explorer"を終了することになるのかな?
そうなると("Explorer"を起動していない状態だと)、
[スタート]メニューの並びのタスクバーが表示されないので、かなり不便。
よって、突出したメリットは無いのではないかと・・・。
537 :
534 :04/07/23 01:00 ID:NsZO4z/A
>>533 そうでっか・・・・。
とりあえず、頑張って!!
それしか言えない漏れって一体・・・・。_| ̄|○
538 :
[名無し]さん(bin+cue).rar :04/07/23 01:25 ID:VDQ3/We/
ウィルスとは違うと思うのですが、OSを2000からXPにしたらノードがつながらなくなってしまいました。 ファイアウォールのチェックは外れてました。 他にXP独自の設定って、あるんでしょうか。
ウィルスはないなら板違い
540 :
[名無し]さん(bin+cue).rar :04/07/23 01:29 ID:VDQ3/We/
質問スレ見つけました。失礼しました。
以前、FAQにまとめたときは「Delコマンドを使え」程度の極めて簡単なことしか書かなかったが、
>>533 はきっちり説明してあって、まことによい。GJ!!
手順も一見面倒くさそうに見えるが、なぜ削除できないのかをきちんと理解していればべつに複雑でもなんでもないし。
っつーことで、毎度ご苦労様ですが、テンプレHP管理人様。よろしくお願いします。
542 :
533 :04/07/23 02:14 ID:VnVuYVhK
>527 セーフモードにして削除してみ 自分も切れたファイルはそれで削除してる
>>543 すげェ!!あっさり消せたよ!!流石セーフモード(w
皆様協力までしてくださって有難うございます!
しかし…
なぜにあそこまで事細かに書いてくださった
>>533 氏の
手順が俺の場合通じなかったんだろう?
「ボリュームラベル云々が間違っています」といったメッセージが
出て削除できなかったのですが
いくらファイル名が日本語でも日本語OKのDOSで読み取れないはずは…
>>544 ひょっとして、
C:\>del[Space]"C:\Program Files\Winny2\download\消したいファイル"
と打ち込んで、
「ファイル名、ディレクトリ名、またはボリューム ラベルの構文が間違っています。」
というエラーが出た、とかいうオチじゃねーの?
[Space]は半角スペースのことだぞw
ま、セーフモードで削除できたんであれば、それに越したことはないよ。よかったじゃんか。
ただ、セーフモードでもエクスプローラのロックが掛かることはあるから、
>>533 の手順は知っておいた方がいいと思うぜ。
というか、DOSがある程度使えれば、なんてこたーないけど。
546 :
[名無し]さん(bin+cue).rar :04/07/23 10:39 ID:VNhtJs3O
>>519 >>520 そのウイルスに感染してしまいました。
書いてあるレジストリを削除したら直るのでしょうか?
ウイルススキャンしても感染していません、としか出てこないもので。
Winnyもうやめます。二度と使いません。
せっかく情報だしてくれてるんだからやってみればいいじゃないか それで直るかどうかはやってみなきゃわからん nyやめて正解だ
548 :
534 :04/07/23 11:37 ID:wniQR1/P
何か改めてタスクみたらあやすぃ〜exeありすぎ・・・。 NTMETER.EXE Apoint.exe AGRSMMSG.exe あやしすぎるが、動きをみてもあんまわかんね〜。 誰かえろい人、何か知ってたら教えてくれ。
550 :
[名無し]さん(bin+cue).rar :04/07/23 12:37 ID:IqMk4zRR
私は*****、Antinnyの作者だ。.zip [一般コミック][NullPorce] 俺のアドレス帳&お気に入り *****.zip これと、 UpFolder.txt [BicBic] Path=C:\WINNT\bugfix Trip= これはあるのですが、 Winny.exeが置いてあるフォルダに、"NullPorce2MX.exe" これと、 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "scanreg.exe"="C:\\WINNT\\system\\scanreg.exe" "C:\WINNT\system\"には3つのファイルが作られる。 "C:\WINNT\system\MDM.exe" "C:\WINNT\system\scanreg.exe" "C:\WINNT\system\wnconfig.txt" これがありません。XPですが、なぜでしょうか?
551 :
548 :04/07/23 13:34 ID:wniQR1/P
>>546 519-520 の情報は、"とりあえず"分かったことを書いただけだから、
これ以外にも 何らかの問題があるかもしれない。
ウィルス対策メーカーなどが詳しく解析してくれれば、対処法も分かると思うけど、
ウィルス対策ソフトが対応してない現状では OSの再インストールが最良の対策だと思う。
>>550 NullPorce2MX.exeとは違う亜種かもしれないし、ウィルスの気まぐれ(?)で、
少々動作が変わってくるのかもしれない。でも感染してることは間違いないので気をつけて。
「爽快!ぬるぽ叩き」って何ですか?
ny総合質問スレみてると、夏厨が大量に発生しているようですねぇ。 夏休み!うらやましいですねぇ。新たな事に挑戦!良いことですねぇ。 で、あと何日くらいで、こっちに泣きついてくると思う?w
すでにきてる
>>556 じゃあ、PCをおかしくするようなワームやスパイウェアのURLを踏ませて
楽しむことにするわ。
47氏筆頭にタ・ィ(ry 今年は減るのでは?と予想してたのに。 なによこの板の賑わいは なぜですか?
561 :
533 :04/07/23 23:56 ID:Zlu1A0we
>>533 の応用技です。(スレ違いスマソ)
@テキストファイルを新規作成。
↓
A"deletefile.bat"に改名(コマンドから呼び出せるシステムファイルと被らないような名前に)。
↓
BWINDOWSフォルダに移動(タスクマネージャからの起動用)。
↓
C好きな場所にBのショートカットを作る(編集用)。
↓
DBATファイル本体(B)又はショートカット(C)をテキストエディタで開く。
↓
「DEL "消したいファイルのフルパス"」と入力。
(※)複数のファイルを消したい場合は、下記要領で改行しつつ各行に入力。
「DEL "消したいファイル1のフルパス"
DEL "消したいファイル2のフルパス"
DEL "消したいファイル3のフルパス"」
↓
保存
↓
Eタスクマネージャ→[プロセス]→"Explorer"終了
↓
Fタスクマネージャ→[ファイル]→[新しいタスクの実行]→"deletefile"
(→目的のファイルが消える)
↓
Gタスクマネージャ→[ファイル]→[新しいタスクの実行]→"Explorer"
562 :
533 :04/07/23 23:57 ID:Zlu1A0we
↑のメリットは・・・ ・大量に、又は、定型的に処理できる。 ・手順を間違えにくい(入力面で)。 ・仮に順番を間違えても、コマンドの打ち直しは不要。 などなど?かえって面倒なだけか?
563 :
[名無し]さん(bin+cue).rar :04/07/24 00:21 ID:OwOByxSI
っっっすまそ なぜルータ繋いでるとWinny起動しないすっか?? エエッ---すれ違いって言わないでくれやんす 教えてください 紳士の皆様がた・・・いろりろと・・・(友達が書けと脅すものですから) スススマソ
>>562 発想は面白いとオモタ。
けど、この手順理解できる人は、フツーに消す気がする。
568 :
[名無し]さん(bin+cue).rar :04/07/24 00:26 ID:YgOS5/Dx
バスターとノートンどっちがいいですか?
569 :
[名無し]さん(bin+cue).rar :04/07/24 00:28 ID:OwOByxSI
おねがいしやす カッコイイ人 僕は高校せいです、Winnyは夏休みの楽しみです おながいします、是非ぜひ!!!
>>569 お前のIDウェ━━━━(OwO)━━━━ィ!!!
メモ帳で上書きできないものは極窓でzip、rar等の拡張子に変更すればいい
(´д`)エェー「失せろチンカス」って言っただけなのに・・
573 :
[名無し]さん(bin+cue).rar :04/07/24 00:36 ID:OwOByxSI
ごごごきぶりすっか 僕はっっっすまそ、ごめんなさい 教えてください!!!!いらりらさせてスマソ・・・
>>573 また来やがったのかこの蛆虫が。
さっさと死ね。
575 :
[名無し]さん(bin+cue).rar :04/07/24 01:15 ID:OwOByxSI
死ぬわけにはいかないっす 友達から罵倒を浴びせられます わかってくれやんす、紳士のみなさま
とりあえず釣りとわかってんだから放置くらいしろよ。 あえて触るやつらは全員屑ゴミだ
例のスクリーンセーバーのやつ、解析してくれた人がいるけど 最終的に何をするのかは、未知数か。 再インスコせずに、放置して確認してくれる猛者はおらんかのう・・・。
ご自分でどうぞ
まったく蛆虫だの弱虫だの 今夜はムシムシ大行進なのか?
581 :
[名無し]さん(bin+cue).rar :04/07/24 02:08 ID:4qEiehA3
csrss.exeってのがプロセスにあって終了できないんだが・・・ これトロイだよな?
583 :
[名無し]さん(bin+cue).rar :04/07/24 02:16 ID:ar/0Tsm+
デス(゚∀゚)トローイ!
585 :
581 :04/07/24 02:30 ID:4qEiehA3
イメージパス\??\C:\winnt\system32\csrss.exe PCを起動すると、アドミン¥ローカル¥tempに ユーザー名.txtと63611.tmpフォルダ・中にtrack1.exeができる。 antinnyだよな・・・誰か助けて 【使用OS】 2000sp4 【WindowsUpdateしてるか】 してる 【AntiVirusは】 バスター 【ちゃんとUpdateしてるか】 してる 【スキャンした結果】 なし 【オンラインスキャンしたならその結果は】 【Winnyのバージョン】 2.71 【Winny歴、総DL量は】 長い 【テンプレを読んだか】 読んだ 【テンプレにある対策を実行したか】 【症状か具体的に、分かる限りすべて書く】 上に書いた。 【何をしたらそんなことになったのか】 【これまでにとった措置】
>>581-583 簡単なチェック方法としては
C:\winnt\system32\csrss.exe
の日付のチェックだろうか。
「2001年xx月xx日」とか、結構古めの日付なら、
トロイである可能性は低いと思われ。
ま、日付なんてど〜にでもなるんだろうけど。
テンプレの処置を実行しろ。 しかしあからさまな偽装だな。WinNT\system32って
最新バスターに反応しないなら、亜種だろうから 完全駆除は難しいと思う。 再インスコの準備を。
590 :
548 :04/07/24 04:44 ID:MFRMCG2u
漏れもあった・・・・・。 けど、この間教えてくれたソフトじゃ日付すら表示してくんない。 ガクガクブルブル。
>>590 おい
csrss.exeは普通にあるぞ
C:\WINDOWS\system32\csrss.exe
更新日時2002年8月31日、21:00:00
593 :
548 :04/07/24 09:40 ID:dtrnt4/T
>>591 まあ、そうだが・・・・。
更新日時が2001年になってた。
マジよかった・・・・。_| ̄|○(TT)
そのcsrss.exeの更新日時うんぬんってなんなの? おれ2003年だけど やっちまってる? あひゃー
ネタなのかマジなのか
あーあー、
>>586 が妙なこと言うからアフォがたくさん・・・
そりゃ確かに、2000年に買ったPCなのに重要なシステムファイルの更新日時が2004年とかならアレだが、
そういう道理が分かってないなら、そんな信頼性の低い情報に踊らされる前に
プログラムのある場所とか、svchost以外で同一名のプロセスが複数起動してるかとか気にしろよ。
597 :
[名無し]さん(bin+cue).rar :04/07/24 13:03 ID:Br0tZlez
キンタマにかかった。。。 デスクトップにマイドキュメント剥き出しでおいてたんだけど lzhの中身は、名前の早い順に上のファイルから2GB流されんの? マイドキュメントの中身が、一番上のファイルが10GB位あって、それは流れても平気で 下のほうに見られたくないファイルがあったのだが…うう
>>596 2000年に買ったPCのシステムファイルでも、
WindowsUpdateで更新されてタイムスタンプが最近になってる可能性は有る罠
>>592 乙です。
だから、みんなこのスレか、こっちのテンプレ読もうよ。
ここもそこもたいしてかわらんて
603 :
588 :04/07/24 17:40 ID:wn6sLSVc
>>591 と同じで
C:\WINDOWS\system32\csrss.exe
更新日時2002年8月31日、21:00:00
だったんだけどこのPC買ったの去年の年末なんだがどういう事?
604 :
585 :04/07/24 17:57 ID:bcf3n3Wa
おれが適当なこといったから混乱してるね、ごめん。 解決しました。たぶんcsrssは関係ない。疑ったのは日付が今月だったからだ・・・ 【症状】 PCを起動すると、アドミン¥ローカル¥tempに ユーザー名.txtと63611.tmpフォルダ・中にtrack1.exeができる。アイコンはwmp。 テキストの内容、フォルダの数字はランダム、trackの数もランダム。 win.iniの最終行に [SoiCiseo] ←ごめん、名前忘れた。電卓・関数電卓の名前だった。 LastPath=winnyのパス を追加される。 スタートアップ、レジストリにexeを追加される。exeは下のもの。 プログラムフォルダ¥既存のフォルダ¥既存のファイル_config.exeを作られる。 winnyフォルダに見えない(隠しフォルダでもない)upフォルダを作られ、中にwmvアイコン・動画風の名前.exeを作られる。 【解決方法】 症状のファイル・レジストリなどをすべて消す。 winnyフォルダを削除、再インスコ。 たぶん、これで解決したっぽい。既出だな。 【考察】 一昨日まではたぶん無かった。怪しかったのは写真集をsusieで見た時反応がおかしかったくらい。 バスターいれてるけど反応は無い。HP閲覧とかは普通にやってるからそっちからかな・・・ 間違ってもexeなんかは起動して無いからね。 なんか他に遣り残したことあったら教えて。。。
519,520に感染。同じくHxHにて。
NULLPORCE2MX追加情報。 HKEY_CURRENT_USER\Software\VB and VBA Program Settings\NullPorce2\Attribute が追加される。値はGalaxian Explosion(;´Д`)
>>606 ひょっとして、↓こんなのか!?漏れにもあるぞ!
名前: AboneLevel
データ: Galaxian Explosion
「Abone」って「あぼーん」ってことだよな。
どういう害悪があるんだろ・・・??
よくわからんのですが検索キーを手に入れ(?)たのに 相手がキャッシュを消したらそのキーは使い物にならなくなりますか?
>>606 乙です。感染してる人には悪いけど、わろた。 > ギャラクシアン・エクスプロージョン
なつかしいわぁ。
一応、レジストリを"NullPorce2"以下エクスポートして削除しといた。 副作用らしきものもなし。この値は作者のギャグなんだろうなw 一応HDD内を全検索して怪しいファイルを探したけど無いみたいだ。
何度か再起動してるが不審な動作はない。 TROJ_NULLPORCE.Aの亜種だとしたら、0時になった瞬間Cドライブのファイルを全部消されるかも。 レジストリを"nullporce","abone"で検索し該当キー全て消した。 だが作者がいじわるなら、この程度じゃ対処できまい。
613 :
533 :04/07/24 21:25 ID:5BlogVj7
>>533 の手順を少し変更です。本質的なことはあまり変わりませんが。
@コマンドプロンプト起動→ "del " まで打ち込んで・・・
※"del"の直後に半角スペース1コを忘れずに!
↓
A"削除したいファイル"をコマンドプロンプトにドラッグ
↓
(先述の "del " に続いて"削除したいファイル"の
フルパスがコピーされる)
↓
Bタスクマネージャ→[プロセス]タブ→"Explorer"のプロセス終了
※これをやらないと、"Explorer"の束縛から解放されない
ままなので、依然として削除できない。
↓
※タスクマネージャはもう閉じてよし!
↓
C再びコマンドプロンプト
はい![Enter]を押していいでつよ!(^^)
↓
これで問題のファイルが削除される(ハズ)
↓
"Explorer"コマンドを打ち込んで"Explorer"復旧
↓
D(゚Д゚)ウマー
>>613 winnyとは言え機種依存文字は止めてね はぁと
615 :
548 :04/07/25 03:47 ID:cOS7rrd0
616 :
[名無し]さん(bin+cue).rar :04/07/25 05:31 ID:7KEKAZpy
Nullporceの発現回避のため時間をずらした。 誰かCドライブ総削除なんて目にあった人いるか?
618 :
[名無し]さん(bin+cue).rar :04/07/25 09:03 ID:dodHZTex
OS:ME ノートンアンチウィルスで最新のウィルス定義でスキャンしたら W32.HLLW.Antinnyに感染してますとなり青ざめました。 winnyのバージョンは2.71です。 状況 そのファイルはノートンで検疫で隔離しました。 UPフォルダはできていません。 キャッシュが消えたり、今まで保存していたファイルが消えたりは 一切ありません。 大丈夫でしょうか? キンタマに感染した可能性はあるでしょうか? よろしくお願いします。
>>618 キャッシュの中にあったのなら問題なし。つーかそれぬるぽじゃねえか?
620 :
[名無し]さん(bin+cue).rar :04/07/25 10:23 ID:dodHZTex
>>619 いえ、キャッシュの中にあったのではなく
落としたファイルを解凍→ノートン反応→隔離という手順を踏んだのですが
キンタマではないかと不安です。
感染確認をしようとしてもMEなので微妙に違っているようなので
確認できません。
これは大丈夫でしょうか?
何度もageてしまい申し訳ありませんが教えてください。
>>620 それなら問題ないから。解凍して反応しただけ。ワームにやられてないよ。
もう少しノートンの仕組みを勉強しろよ。
623 :
[名無し]さん(bin+cue).rar :04/07/25 12:21 ID:Nmsj1/jM
例のスクリーンセーバーのやつだが、 (ちなみに俺はWinXP使ってる) C:\WINDOWS\system\ にある、 アイコンがフォルダになってる IMEほにゃらら.exe(名称失念・・・) ってやつを削除し、 同じC:\WINDOWS\system\ にある、 wnconfig.txt を削除。 そして、 C:\WINDOWS\bugfix\ の中に生成されてる2ファイルを削除。 最後に nyを入れてるフォルダにある、 UpFolder.txt を削除したら、 例のスクリーンセーバー流れなくなったよ。 どうも、Windows起動時にIMEほにゃらら.exe が実行されて、C:\WINDOWS\bugfix\ に2ファイルを生成したりするっぽい。
624 :
623 :04/07/25 12:41 ID:Nmsj1/jM
ファイル名わかった。 IMEJPMlG8.0.exe でつ。 レジストリにも書き込まれてたので、 regedit.exe起動して削除しますた。
625 :
[名無し]さん(bin+cue).rar :04/07/25 13:54 ID:7KEKAZpy
おい。Nullporceでwinnyがフォルダごと別の場所にコピーされてそこからも アプされてるっぽいんがだ。
>>616 あるよ。テキスト偽装したexe踏んだら、デスクトップに「ぬるぽ.txt」が一面に展開。
それ消しているうちに、デスクトップのショートカットアイコンが消えていく。
びっくりして、いったん電源切って再起動したらCドライブあぼーんw
幸い別のドライブは無事。再起動を発現条件とした亜種だと思う。
今となっては、わからんけどwwハッシュは無視リストに入れてるけどね。
627 :
[名無し]さん(bin+cue).rar :04/07/25 15:03 ID:sE3nG9IN
最近落としたZipファイルには、必ず入ってるよキンタマ!
ぬるぽ叩きはtaskmgrが消えてregeditに置き換えられた。
>>621-622 ありがとうございました。
どうやらセーフの様です。
無知でヘタレなのでもうwinnyはやめておきます。
>>627 5個ぐらいハッシュ登録して全部捏造とキンタマだった時はわらた
そういえばパチンコのゲームがやりたくなったので適当に十本ぐらい落としたら八本ぐらいウイルスが入ってたな
すいません、先ほど確認したところ8日前にW32.HLLW.Antinny.Gの感染ファイルを 落としてしまったらしいです。 しっかりとは覚えていませんがそのファイルは実行はしないで捨てたと思います、 感染しているんでしょうか?幾つか関連サイトを見て回ったのですが 感染した時の症状などは出てはいませんが、関連サイトはXPを対象に 書かれているのでMEでは不安です。 なんとか感染を確認するすべはないでしょうか?
>>633 なぜ、W32.HLLW.Antinny.Gの感染ファイルと思ったのかな?
まぁ、何もせずに捨てたんなら大丈夫だとは思うが、念のため
ノートンとバスターのオンラインスキャン受けといたら。
つーか、アンチウイルスソフトは常駐させてないの?
618=633 とりあえずノートンのログと該当ファイルを見ろ。 隔離されてるのなら、問題ない。
>>635 ありゃ?ホントだ、同一人物だ。
マジレスしたのが、なんか恥ずい・・・ort
>>634 ノートンのログを見てわかりました。
落としてからスキャンしてからでないとファイルは開けないようにしているので
その時見つかったのだと思います。
>>635 UPフォルダを作られていたり、キャッシュ2やBBSキャッシュなど
作られていないので大丈夫とは思ったのですがかなり怖かったので
それを聞いて安心しました。どうもありがとうございました。
これもうテンプレにあったっけ? →自分で判断できないならnyをやるな
自分のアンチウィルスソフトの見方もわからないのはほっとけばいんだよ
亜種踏んだので報告。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run にsystemで登録して残ろうとする。 スタートアップにExplorer.exeで登録。 Windowsフォルダに同名のファイルを作成。 大文字な部分が味噌。 エクスプローラ本体を上書きしないので怪しまれないし、気付かれない。 ってことでPandora関連は落とすなよー。ニヤニヤ(゚∀゚)
今更Pandoraかよ。 尻集のPandoraは Pandora2004. 2004-6-3版 が最終。 今は Les Clefs d'Or. 2004-7-25版
NULLPORCE2MX感染したっぽい。 そもそもny自体入れてないんだが何か影響あるかな? 一応上に出てる対応策は全部やっといたけど・・・。
643 :
640 :04/07/25 20:46 ID:BkMlsnQ/
>>641 踏めと言ってるみたいな誘導でつね。ニヤニヤ(゚∀゚)
ところでCドラにNY本体のフォルダ無いのだが
それでもキンタマは完全に動作するのかね?
親切に教えてくれた奴にそのレスはないんじゃない?
いや…すまんかった。 普段煽られ過ぎて変な癖が付いてしまってた。 反省している…。 Λ‖Λ
>>638 次回の
>>1 のテンプレに。
住人への決まり
・スレ違い、マルチ、煽り、釣り等はひややかに対処もしくは徹底放置しよう。
質問するやつへの決まり
・質問する前にまずテンプレのサイトを読め。
・質問はわかりやすく簡潔に。どこまで調べて何がわかっているかを書け。
・質問して、わからない単語が出てきたらそれも検索しろ。スレで聞くな。
・自分で判断できないならnyをやるな。今すぐWinnyやめろ。
・PC初心者はWinnyやらないでWindowsの勉強しろ。(恐らく回答されても解決できないし)
・ワーム・ウィルスにひっかかったら、とっととWinnyやめろ。
>>640 >エクスプローラ本体を上書きしないので怪しまれないし、気付かれない。
大文字・小文字って区別されなかったような気がするけど?
ひょっとして「Explo"d"er.exe」じゃねえの?
>>647 大文字・小文字は区別されるよ! UNIXならね。
>>640 Pandoraはサイトで落とすものじゃないのか?
>>646 いらないよ 読むやつは最初っからそんな事しないから
スクリーンセーバーが勝手に伝言板で「私はWinnyで違法ファイルを落としています」 と表示されるものになったり、cディスクにUpFolder.txtというファイルが生成されたり したのですが、これはやはりウイルスでしょうか? 僕はWinnyはやっていないのですが、思い当たる節は幾つか… ちなみにノートンのウイルスチェックには何も反応しませんでした。
最近、マジでキンタマ率たけーな。 前はexeとかじゃなきゃまぁまぁ安心だったけどほんとzipはキンタマだらけに なってきたな。あぶないあぶない。 ノートンの検疫ログがキンタマだけで4つだよ。ありえねぇなマジで。 未だに感染してない俺は運がいいと思うくらいだ。 さーて、ウィニー卒業しよっと。
さっそく
>>652 の様な香具師も居るしなw
まああれだ、厨はテンプレなんて読まないからこそ厨なのであって、
テンプレを読む厨なんて居ない。
つまり、テンプレに色々書いても、厨除けには成らないって事だ。
>>652 もろキンタマウィルスだなそりゃ。
ほんとにwinnyやってないの?
信じてもらえないかもしれませんがファイル交換ソフト関係に手を出すには 知識不足なのは分かっているので、手を出していません。
>>656 だからと言って割れ酢鯖(つまりはアングラサイト)にアクセスしたんじゃねぇのか。
>>656 ノートンが反応しないのはおかしいな、
ま、キンタマだけじゃ情報流しようがないので、個人情報流出の危険はほぼ無いだろうが
デスクトップ上のファイルが消えてたり、マイドキュメントの中身が無くなったりはしてないの?
659 :
588 :04/07/26 01:20 ID:waTA+/r7
NullPointerException.classってのがjava/langフォルダにあったんだが感染してるって事か?
ゴメン 名前欄消し忘れた。
>>657 アングラと呼ばれるような所には行ってない…と思います。
>>658 特にそういう事は起こっていません。
(確認していないだけかもしれませんが)
>>661 じゃあ気にしないでいいよ。
でもなんで感染したのかわからないのは気持ち悪いな。
nyやってなくとも、ny経由のワーム入りファイルをどっかでDLしてexe実行したら同じこと
>>662 お言葉通り気にしないことにします。感染源は分からないですが、
知り合いから貰ったCD-Rを適当にいじってたのが原因かも?
>>664 知り合いに「nyやってる?」って聞くのが一番
>>663 そりゃそうだ。結局はexeファイルだし。
>>664 それが一番可能性高いな。
キンタマ付きのファイルを検疫だけで削除しないでCDに焼いたんだろうよ。
ぬるぽ、キンタマ、それ以外。 ちゃんと区別汁!
668 :
652 :04/07/26 02:20 ID:R7aOSbi4
今再起動してみたら、アドレス帳の入ったフォルダが開きました。
本当に放っておいて大丈夫なんでしょうか。待ってればノートンの更新で
対応できるようになるのかな。
>>665 >>666 やってるような事は言ってたのでそうかも知れません。
このスレの過去ログみて同じ症状の人の対処事例を参考に 該当ファイルの削除とレジストリを修復する 知識がなくてできないというなら、感染原因と思われるやつにやらせる
671 :
[名無し]さん(bin+cue).rar :04/07/26 02:34 ID:GhkBbYo6
「Winnyで違法ファイルを集めています」の画面に変わるウィルス対策。 1.ファイル名を指定して実行から msconfig を起動する。 スタートアップタブの中のExploderのチェックを外す。(bugfix フォルダー作成する) 2.C:\WINNT(又は\WINDOWS)\Exploder.exe 実行ファイルを削除。 (同じ名前が2個あるので、拡張子(EXE)のついた方のみ削除) 3.画面のプロパティのスクリーンセーバーの伝言版の中身を削除。 4.レジストリエディタに詳しい人は ・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run System C:\winnt\Exploder.exe を削除。 感染源はわからない。 ウィルスチェックは厳格にやっているつもりだが検索できなかった。
新しいウィルスまだー?(・∀・ )// 創価はカルト団体でーすとか宣伝するウィルスきぼんぬ
>>671 .exeじゃないexploderって何のファイル?
674 :
652 :04/07/26 03:09 ID:Nbfb8M3y
>>670 >>671 教えていただいた手順を実行してみたら、直ったみたいです。
ありがとうございました。
ウィルスとは長い事無縁だけど いろいろ面白いのが増えてるんだなぁ。
676 :
ひみつの文字列さん :2024/05/07(火) 07:14:43 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
一気にログが増えてるな。夏休みってすげえw
>>676 .avi.lzhの時点で殆ど黒じゃねーか
そんなもんの中の.exe踏むなよ恥ずかしい
> 【AntiVirusは】使用してない
つか、↑ってのはNetに繋ぐ態度として如何な物か
>>676 これはぬるぽだよな?
亜種って感じでもないし、クリーンインストする前に少しあがいてみてたらいいのに
私なら3分で駆除出来る。
681 :
[名無し]さん(bin+cue).rar :04/07/26 04:49 ID:fNTnxo83
>>653 おいコラ! 前はexeとかじゃなきゃまぁまぁ安心だったけどほんとzipはキンタマだらけに
なってきたな。あぶないあぶない。
zipはってどういうことだよ? キッチリ説明したれやボケ!
>>681 zipのなかにきんたまが入ってるってことだろ。
結局それがexeなのに馬鹿だから気づかないだけじゃない?
そんなの相手にしないように
なんでそんなに引っ掛かるんだよ おまいらがぽんぽこ引っ掛かってるせいで 信頼あるトリップのものだけ落とす 被参照量の多いものだけ落とす 新作は安全確認ができたものだけ落とす そんなかでもexeは開かない俺は心配になって このスレに来て感染してないかのチェックを試す日々じゃねーかバカバカ
685 :
548 :04/07/26 06:55 ID:O7nG6jV9
さすが夏休み・・・・・。_| ̄|○
686 :
[名無し]さん(bin+cue).rar :04/07/26 07:10 ID:1VPfvWBY
動画なのに圧縮で流されてるファイルの場合 大抵は何かのウイルスが入ってるってことだよ 現に2回キンタマにかかり駆除に手間取った_| ̄|○
688 :
548 :04/07/26 07:42 ID:O7nG6jV9
何か最近ny起動してから接続ボタン押さないと接続しなくなった・・・・・。 いろんな記事みてるけど、該当情報がないので、何か対策ある? えろい人教えてクレ。
689 :
[名無し]さん(bin+cue).rar :04/07/26 09:53 ID:ZQABPaM+
690 :
[名無し]さん(bin+cue).rar :04/07/26 10:07 ID:GhkBbYo6
「Winnyで違法ファイルを集めています」の画面に変わるウィルス対策で
>>671 に追記
C:\WINNT(又は\WINDOWS)\bugfix フォルダーの削除を忘れずに。
(中身はいじらない)。
>>670 の報告例を見てると
>>671 でまとめた以外にもファイルはあるようだが、削除できました〜といってる人はいいんだろうか
スクリーンセーバーのやつは現れ方は派手だがやってる事は軽度なので多少ゴミが残ってても
まあいいか、どうでも
692 :
548 :04/07/26 13:08 ID:O7nG6jV9
何か無視られてる・・・・。 (TT) これは、・・・・・・駄目な質問だったのか・・・・・。????
694 :
ひみつの文字列さん :2024/05/07(火) 07:14:43 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
わざわざ落として調べるかいな
696 :
[名無し]さん(bin+cue).rar :04/07/26 14:35 ID:K4SB78Cg
>>695 なんか変な香具師なんですよ
nullってのはやばいんですよね?
先日ウイルスにやられてしまい、 PCをリカバリしなければならない状況になってしまいました。 HDのファイルが全て247KBになってしまったり、 新規テキストドキュメントの中身は全て消えてしまい「ぬるぽ」とかいてあるだけです。 運良く生き残ったファイルはCDに6時間ほどかけて保存しました。 その時、画面にポツポツと血痕が浮かび上がるのです。 最終的には画面が血だらけになり真っ赤になりました。 怖くなって途中で消したのが最後です。 今、消えたファイルを落としなおしています・・・
>>697 こわっ!!怪しいエグゼファイル起動したとかじゃないよね?
700 :
[名無し]さん(bin+cue).rar :04/07/26 15:00 ID:K4SB78Cg
無視キャッシュをデータベース化できませんかね?
>>697 それが何だかわかってない時点でアウトだなあ
なってしまったって運が悪かったぐらいに思ってるときっとまた感染するよ。
>>698 釣りか?
703 :
[名無し]さん(bin+cue).rar :04/07/26 16:07 ID:K4SB78Cg
エグゼドエグゼス
nyを使用したことはないのですが先日偽装されたexeを実行してしまいキンタマに感染してしまいました。 nyをやっていなくても(nyのプログラムを感染したPCに持っていなくても) デスクトップ画像やデータがネット上に流出してしまうのでしょうか? また個人情報などもACCSに送信されてしまうということはあるのでしょうか? アンチウィルスソフトで発見したいくつかのウィルスを駆除した数日後、なぜか 「私はnyで違法ファイルを集めてます」とかいうような文章が出てくるスクリーンセーバーが追加されて いたのですが、これはまだキンタマが潜んでるということでしょうか?
>>706 よく言われてるだろ?
テンプレと過去ログ嫁って言ってんだよ屑が、散々既出じゃねぇかよボケ
708 :
706 :04/07/26 19:24 ID:46ZqHLyQ
すみませんでした
「ここは相談・質問スレではありません」ってテンプレに入れようよ。
>>709 そーだねー。以前は質問OKでもいいと思っていたけど、
アンチウイルスソフトに対応しているものは、それ使えばいいし、
対応してない新種・亜種は駆除の仕方聞かれてもわからんし。
結局、
Q「アンチウイルスソフトでウイルスが検出されました。これで大丈夫でしょうか?」
A「大丈夫です」
Q「アンチウイルスソフトには反応しませんが、ウイルスに感染したみたいです。」
A「再インストールしてください。」
ぐらいしか、回答のしようないもんなぁ・・・。
アンチウィルスソフトの対応してない亜種でもだいたい駆除はできるだろ 今時はスパイウェアのほうがよっぽど悪質
ny総合質問スレがやばい事になってるね。 でもここはいつもと比べて厨が少ない、何でだろうか? それともまだ?
ああ、でもここの住人じゃ新種・亜種でも踏むことないだろうから、
新種・亜種の情報を集めるんだったら、相談・質問という形で踏んだ
奴呼び込む必要もあるかなぁ、と考えたりもする。
>>711 質問厨に「だいたい駆除」が出来るとも思えんしなぁ〜。
隣接権まで切れた合法なクラシックを落としてるけど過半がウィルス入り 一応捏造警告は出すけど私自身ついてても気にせず落とす 捏造警告だけじゃなくてウィルス警告って機能がほしかったなあ
>>712 ちょっと覗いてみたがなんだありゃ('A`)
あれを見るとテンプレって初心者避けにはならないんだなと思う
>>715 回答する住人は全員名前を「テンプレ読め!」にするとかw
で、「テンプレって何ですか?」という質問がでるんだろうなorz
>>716 ,--'-、
(___ノ^8(ハルリハ)ヽ、__)..,_ /i
リ ^ヮ゚ノj. .:、:, :,.: ::`゙:.:゙:`''':,'.´ -‐i
.. '、;: ...: ,:.∩:.、.:',.: .:: _∩.;;..; :..‐'゙ ̄  ̄
' ''`゙ //゙`´´ | |
//Λ_Λ | |
| |( ´Д`)// <これか?
\ |
| /
/ /
__ | | __
\  ̄ ̄ ̄ ̄ ̄ \
||\ \ それは天婦羅…つーか、なんだそれ?
||\|| ̄ ̄ ̄ ̄ ̄ ̄ ̄||
|| || ̄ ̄ ̄ ̄ ̄ ̄ ̄||
そろそろ新種のワームが投入されるんじゃねーか?
>>718 そして、夏厨を大量に駆除するわけだな。
720 :
548 :04/07/26 23:00 ID:O7nG6jV9
723 :
548 :04/07/26 23:14 ID:O7nG6jV9
>>721 Σ( ̄ロ ̄lll)えっ!そんな馬鹿な・・・・・。
_| ̄|○
>>720 オマエ、カワイソウ。
オマエ、チュウ、デモキヅイテナイ、カワイソウ。
オマエクジョサレルホウ、カワイソウ
ショウコ、ショウコ
【レス抽出】
対象スレ: 【警報】Winnyを狙ったワーム・ウイルス情報 Part22
キーワード: ID:O7nG6jV9
685 名前:548[] 投稿日:04/07/26 06:55 ID:O7nG6jV9
さすが夏休み・・・・・。_| ̄|○
688 名前:548[] 投稿日:04/07/26 07:42 ID:O7nG6jV9
何か最近ny起動してから接続ボタン押さないと接続しなくなった・・・・・。
いろんな記事みてるけど、該当情報がないので、何か対策ある?
えろい人教えてクレ。
692 名前:548[] 投稿日:04/07/26 13:08 ID:O7nG6jV9
何か無視られてる・・・・。
(TT)
これは、・・・・・・駄目な質問だったのか・・・・・。????
720 名前:548[] 投稿日:04/07/26 23:00 ID:O7nG6jV9
>>719 イイね〜!!(ニヤソ)
ゼンブageテル、チュウ、キヅカナイ、カワイソウ
夏厨駆除するのに、新種なんていらんと思う。 従来ので十分だろう。 どうせ、ここのテンプレにあるような防御策なんか とってないだろうし、アイコン偽装されてたら一発 だと思うぞ。
729 :
548 :04/07/26 23:21 ID:O7nG6jV9
>>724 Σ( ̄ロ ̄lll)えっ!そんな馬鹿な・・・・・。
_| ̄|○
絶対にそれはぬぁ〜〜〜い!(怒)
キンタマ・antinyA,G・・・・・等等・・・・。もう経験済みだ〜!
>>729 いいかげんsageたほうがいいぞお前・・・
だから厨っていわれるんだ でも 当の本人は気づいてないみたい
メンドクサイ、ヒトコトデオワリ。 ツリ
733 :
548 :04/07/26 23:25 ID:O7nG6jV9
↓↓↓↓↓↓↓↓↓↓↓↓。。。。。。。。(このぐらい下げる・・・・。) ノシ
>>733 やれば出来るじゃないか。
さ、もう夜遅いから寝なさい、いい子だから。
735 :
548 :04/07/26 23:30 ID:O7nG6jV9
| |__ チラッ | |∀・|ノシ もーこね〜よ。 | |____| | | |
ココ、ナレアイ、チガウ っつーわけで漏れも消えよ('A`)
737 :
[名無し]さん(bin+cue).rar :04/07/26 23:42 ID:0x+risht
【使用OS】 XP 【WindowsUpdateしてるか】 なぜかできない 【AntiVirusは】 なし 【ちゃんとUpdateしてるか】 なぜかできない。。。 【スキャンした結果】 ANTIWINNY 【オンラインスキャンしたならその結果は】 上の通り 【Winnyのバージョン】 v2.0b7.1 【Winny歴、総DL量は】 2日 【テンプレを読んだか】 読みました 【テンプレにある対策を実行したか】 読んだ時にはすでに・・・ 【症状か具体的に、分かる限りすべて書く】 PCを起動したらマイドキュメントが2つ開く 【何をしたらそんなことになったのか】 多分、解凍をした時か、不明なファイルを開いたときです 【これまでにとった措置】 フリーの対策ソフト(AVG)を使いました。 おねがいします。 とりあえず、あと17個ウイルスがあるっぽいです。
>>737 そこまできたなら一番手っ取り早いのは
再インスコ
739 :
[名無し]さん(bin+cue).rar :04/07/26 23:51 ID:0x+risht
>>738 ・・・。
それ以外はないんでしょうか?
>>737 NY始める前からWindowsUpdateやAVGのUpdateが出来なかったの?
それが一番重要な問題じゃない?
間違いなく再インスコ推奨。
742 :
737 :04/07/26 23:54 ID:0x+risht
上書きはしたんですけど。。。ダメなんですよね・・・?
技術のないやつが駆除しようとしたって
どうせどこかにウイルスが残ってさらに取り返しのつかないことになる。
再インストールが嫌なら死に物狂いでテンプレとか関連サイト見て
駆除方法を知るんだな。
大体
>>737 の情報だけで他人にどうしろと。
躊躇する事は許されない。 嫌だは許されない。 再インスコしな。
>>737 >【AntiVirusは】 なし
>【Winny歴、総DL量は】 2日
お前ふざけてるのか?とっととPCをリカバリしてWinnyやめろよ。
「再インスコのやり方が分からない」 と来そうな悪寒w
とにかく夏だな・・・
748 :
737 :04/07/27 00:03 ID:ZMmHkEoj
WINNYはやめます。 今ノートン入れました。 死ぬ気で削除します。
多分、明日か30分〜1時間の間に 「削除できないウィルスがあります、どうしたらいいのでしょうか!?」 とか言いそうな予感。 ノートン入れる前に再インスコしてからにしろや
>>748 nyで落としたノートンいれました。がオチじゃねえだろな
OSも割れだったりしてw
>>737 の情報じゃnyが原因かどうかさえわからんて
>>737 正直もう手遅れ
ブラックジャックじゃないと取り切れないくらいの末期ガン
諦めなさい
Antinnyという情報だけで死ぬ気で削除・・・ 心意気は買うが、その前に致死武器発動のヨカーン。 17個もウイルスって、なんもセキュリティ対策とって なかったのか。 しかし、燃料投下されるとスレも賑わうねw
総合質問スレの惨状を見てると嫌気が差してくる・・・
>>757 確かに・・・。そろそろ大量流入してくるかな。
こっちには「再インスコしろ!」の最強兵器があるけどな。
759 :
737 :04/07/27 01:00 ID:ZMmHkEoj
オンラインスキャンで何も検出されなければ、全て駆除できたってことですか? 一応なにも検出されなくなったんですけど。
AntiVirusも入れてない香具師が約1時間で17個のウイルスを駆除かぁ。 世の中何が起こるか、わからないねー、ってホンマかぁ〜?
ウィルスが絶対無くならない理由を垣間見た気がするな
W32.Antinny.Q キタ━━━━━(゚∀゚)━━━━━!!!!! ノートン先生で削除したのにまだウィルス残ってるとか出てるw
764 :
737 :04/07/27 01:21 ID:ZMmHkEoj
自分の場合は、同じトコに全部かたまってたんですよ。 怪しいファイルを一気に削除しただけです。
>>762 いや、そのりくつはおかしい・・・とも言い切れないな
ワームが素人に感染したらガシガシ感染拡大する羽目になるしな・・・
>>764 そうか。それは良かったな。
よほど単純なAntinnyだったんだろうな・・・。
ほとほと困り果てたのでアドバイスお願いします。 起動ドライブとデータ用ドライブに別けていて起動ドライブの方は無事でした。 症状から察するにwriterだと思われます。 自業自得なのでフォーマットしようと思ったのですが、フォーマット自体できません。 データは諦めたのですが、ハードディスクもあぼんしているんだろうか・・・ 【使用OS】XP HOME 【WindowsUpdateしてるか】してます 【AntiVirusは】Norton 【ちゃんとUpdateしてるか】してます 【スキャンした結果】発病後スキャン、起動用ドライブは0 データ用も0 【Winnyのバージョン】7.1 【Winny歴、総DL量は】1年半 不明 【テンプレを読んだか】読みました 過去スレに類似した事が1件書いてあったが解決しておらず。 【テンプレにある対策を実行したか】autorunのみ切っていた、writer.exe〜(略はしておらず。 【症状か具体的に、分かる限りすべて書く】再起動直後、HDがうなりをあげてデータドライブに関する物にアクセスできなくなった。 そして、データあぼん。先生は反応せず・・・フォーマットを受け付けない。マイコンピュータのデータドライブアイコンをクリックすると反応なしになる。(起動用ドライブアイコンはクリック可能 【何をしたらそんなことになったのか】壊れたavi(圧縮しておらず、途中でエラーを一回再生したくらいしか思い当たる節なしです。(ノートンチェック済み 【これまでにとった措置】レジストリ、システムフォルダ内にwhismng.exe(winsvc.exe)発見できず。 ディスク管理からフォーマット→できず、起動CDからフォーマット→できず。 comsクリアをしてみる→不可 Noton Disk Doctor→ボリュームに認識可能なファイルシステムが入っていません。
>>764 あのー参考までに教えていただきたいのですが、
「同じトコに全部かたまってた」というのは、どうやって判ったのでしょうか?
「同じトコ」とは多分フォルダだと思うのですが、どこのフォルダだったんで
しょうか?
ノートン入れたのに何故わざわざ、オンラインスキャンをされたんでしょうか?
>>767 症状から察するに、単にHDDがお亡くなりになっただけだと思われます。
なんでもかんでもウィルスのせいにすな。
>>767 俺も
>>769 と同意見。
Whiterはたいした亜種も出てないから先生入ってれば感知できるし。
念のため聞いておくが、ブートドライブとデータ用ドライブはパーティション切ってるんじゃなくて物理的に違うドライブなんだよな?
>>769 酷い時には
うちのPCが重いんです
削除できないファイルがあります
nyでアップフォルダを指定したら落ちました
これってウイルスですか?ってのが来るから
もうすぐ1年か・・・Antinnyに引っかかってから・・・・。 いや〜あん時は参った、参った。 ま、幸い今ほど凶悪なウィルスじゃなかったんで、 このスレ見て削除できたが、今のようなウィルスっだったら悲惨だったろうなぁ〜・・・。 今ウィルスに引っかかってる連中は、これを期にウィルス対策しっかりしなさい。
>>767 漏れもハードディスクがあぼーんしたと思う。
なんかヘンなexeやアプリケーション入れなかった?
>>769 >>770 すみません助かります。
>念のため聞いておくが、ブートドライブとデータ用ドライブはパーティション切ってるんじゃなくて物理的に違うドライブなんだよな?
違うドライブです。
再起動時に逝ったのと普段の高負荷時の音と変わりなかったので・・・
お騒がせ致しました。
775 :
763 :04/07/27 02:18 ID:41AmovxU
念のためスキャンしてみたらなんと六つもウィルスが('A`)
最近ビューアに突っ込むようになったからろくにウィルスチェックしてなかったからな〜
>>772 の言うとおりウィルス引っかかりそうな人は万全の対策を・・・。
>>773 特に踏んだ覚えはないです。
データ用160G3ヶ月でご臨終。酷使してないのになぁ・・・お墓作って埋めてきます。
ありがとうございました。
777 :
[名無し]さん(bin+cue).rar :04/07/27 04:21 ID:SIjMXh3g
TROJ_HOOKER.Aというウィルスに感染してネットに繋ぐことができなくなってしまいました。 今携帯からです 解決方法があれば教えてください C:\_RESTORE\ARCHIVE\FS611.CAB←このファイルに感染していて中でコピーされたのが増殖しているみたいなんです 削除しようとしても送り先が〜でできませんと表示されます OSはMEです。 システムの復元もできませんでした すみませんが解決方法があれば教えてください
meならdosから
Meでシステム復元なんか有効にしたら重くね? つか信者か? システム復元無効にすれば\_restore以下は消せるんじゃねーか? よー知らんけど
つかny関係ないやん
777です キンタマにかかったと思ってました。違うんですかね?
>>778 さん
DOSとは削除コマンドですか?ME対応のコマンド教えてほしいです
携帯しか使えないので調べられなくて…
>>781 http://www.google.co.jp/search?num=50&lr=lang_ja&ie=sjis&oe=sjis&q=_RESTORE WindowsMeの「_restore」フォルダからウイルスが駆除できない
WindowsMeを使用中に「_restore」フォルダからウイルスを発見することがある。
しかし,ここで発見したウイルスは駆除ソフトでも駆除ができず,何度もウイルスを発見する羽目になってしまう。
これは,WindowsMeの「システムの復元」機能によって,ウイルスに感染した状態でのバックアップ(復元ポイント)が作成されているためだ。
残念ながら,バックアップファイル内からのウイルス駆除や,バックアップファイル自体の削除を行なうことはできないので,繰り返し発見されてしまうわけだ。
しかし,ウイルスに感染したファイルを含むバックアップを持っていることは,セキュリティ上も好ましいことではないので,
感染したバックアップをいったん破棄して,ウイルスを完全に駆除した状態でバックアップを作成し直そう。
マイコンピュータのアイコン上で右クリックし「プロパティ」を選択して「システムのプロパティ」を起動する。「パフォーマンス」タブから「ファイルのシステム」を選択
「ファイルシステムのプロパティ」画面から「トラブルシューティング」タブを選択して,「システムを復元しない」のチェックボックスにチェックをして「OK」→「閉じる」をクリック
ダイアログが出るので「はい」をクリックしてWindowsを再起動する。この設定を行なうと,システムの復元機能が無効となる。再起動後にシステムの復元機能を使用する場合は,同様の手順でチェックボックスのチェックを外しておこう
>>782 さん
丁寧に解説ありがとうございます
なんとか道が開けた気がします このウィルスを削除できたらネットが繋がるようになるのか不安ですががんばってみます
皆さんお騒がせしました。
786 :
737 :04/07/27 07:24 ID:ZMmHkEoj
ども、おはようございます。
質問がきてたみたいなので回答させてもらいます。
>>768 私の場合は「Documents and Settings」の「Temp」ってトコと「Winny」のフォルダの中でした。
なぜそこが分かったかというと、スキャンしてる画面をずっと見てるとそこで必ず発見されるからです。
だからその中の怪しいファイル(WinnyはもうしないからWinnyはフォルダごと)を消しました。
そしたらキレイに消えた、というわけです。
同じとこに「全部」ではなかったですね・・・。ごめんなさい。
今朝、PCを起動したら、『winnyで違法ファイルをあつめています。』っていうスクリーンセーバーがインストールされてたんですが、これはウイルスですか?
>>787 ウイルスです、このスレにも情報があります。
789 :
[名無し]さん(bin+cue).rar :04/07/27 08:12 ID:76qSnW+I
「winnyで違法ファイル〜」ってスクリーンセーバーは C:\Windows\system32の中にあるssmarque.scrってファイルでした。 ちなみに私はWindowsXPです。
>>789 そりゃ95の時代からWindowsに附属してる伝言板のスクリーンセーバーだよw
表示されるテキストの設定をウィルスが書き換えてるだけだ。
↓ここで設定されてるから、レジストリエディタで確認してみ
HKEY_USERS\.DEFAULT\Control Panel\Screen Saver.Marquee
791 :
787 :04/07/27 09:24 ID:vSGxiN0B
>>788-789 有難うございました。やはりウイルスですか・・・_| ̄|○
とりあえず、このスレに載っている対策(
>>671 等)の内、当てはまっていた物に関してはやってみたのですが、
一向に収まる気配がありません。
\Exploder.exeのファイル自体がないのですが、どうすればいいのでしょうか?
>>791 >>67 1はごく一例、
>>670 のリンク先の人の例とかは?
それもなければプロセス、スタートアップなんかをみながら怪しいのをあぶりだしていくしかない
どうでもいいんだけど ファイル落とした→Autorun切って再起動→ノートン先生でスキャン→突然スピーカーからノイズが聞こえる メールですたorzビビッタジャネーカコノヤロー
ANTINNY Fってウイルスが消せないんだけどだれかおしえてください!ほんとに困ってます。これはどういったういるすなんですか?おねがいします。
Fなんてあるのか、知らんな
Exploder.exeのタスクマネージャーのプロセス終了したら画面が真っ暗になっちゃった。 Exploder.exeを消したら画面が見れなくなるのが怖い。
テンプレにもありましたがmpgやaviにウィルスを仕込んだりってできるのでしょうか? mpgを見てたらいきなり再起動になったのですが…再起動後にウィルスチェックをしましたが検出はできませんでした。
>>794 ANTINNY Fって名前わかるんなら、アンチウイルスソフト使ったんだろう?
そこのサイトいって調べれ。
Fは漏れも聞いたことがない・・・。
>>797 他にソフト動かしててPCに負荷がかかりすぎて落ちちゃったんじゃないの。
できないんですか…しかしなぜ再起動になったのかわからずまだ不安です。 昔MX落としてはいけないリストにaviなどでファイル再生後にHDDフォーマットというのがあったと思うのですが、これはウィルスでないのならどういう原理なのでしょうか?
【使用OS】xp 【WindowsUpdateしてるか】はい 【AntiVirusは】ノートン 【ちゃんとUpdateしてるか】はい 【スキャンした結果】出ない 【オンラインスキャンしたならその結果は】antinny.g 【Winnyのバージョン】7.1 【Winny歴、総DL量は】2年 いっぱい 【テンプレを読んだか】取り合えず 【テンプレにある対策を実行したか】出来る範囲で 【症状か具体的に、分かる限りすべて書く】HDカタカタ、JPGファイルが見れなくなる ノートンのNMain.exe(c:progra~1\common~1\symant~1\virusd~1\20030218.021\navex32a.dll) が正しくないイメージ。ウイルス定義ファイルがエラー 【何をしたらそんなことになったのか】おそらくファイルに偽装していたEXEをクリック。いつもは解凍時に ノートンが反応するのに反応せず。 【これまでにとった措置】タスクマネージャで怪しいexe(panasonicnev.exe)を終了。 antinny.gを探して駆除。 どうですかね?
>>801 スクリプト埋め込んで実行させることならできるかも
スクリプトですかぁ…スクリプト埋め込まれててもやはりウィルススキャンでは発見できないのでしょうか? あとスクリプトの実行とはどの程度のことができるものなのでしょう?HDDフォーマットなども可能性としてはあるんですかね?
>>805 氏
レジストリも削除しました。
どーもantinny.msクサイんですが・・・
うっかり.folderのantinnyGをモロにふんだはずなのですけど regeditがメモ帳にならず、ユーザー名.txtもなく、upfolderもないんですよ。 オンラインスキャンをしてもかかりませんでした。 踏んでも発祥しないことはあるものなのでしょうか? 一応該当のファイルとレジストリの値は一時間以内程度で消したんですけど。 OSはXP、アンチウイルスはノートンです。
>>803 できないよ。
無いものは埋め込めない。
>>801 の言っているのは大方、.avi .exe か、バグを衝いた奴だろう。
>>807 踏んでないんじゃないの?
とりあえず再起動してみれば?
>>806 hostsかきかえるやつか
どっちにしろ
>>10 みて地道に作業するしかないんでは?
おれは踏んでもビープ音とともに拒否されるようになっている。
.folderはexeを呼び出すだけじゃないの? exeがなければ踏んでもなんともないのかな
>>807 いくら .folder をダブルクリックしたところで、.exe が無ければウィルスもお手上げ
おそらく、本体はノートン先生が有無を言わさず消してくれていたんじゃないの?
ノートン先生最高だよ
>> 797 不正な動画ファイルなどを読み込む。 メディアプレイヤーのスタックがオーバフローする。 インストラクションポインタが、メモリにロードされているデータ領域を指す。 ウィルス起動(゚Д゚)ウマー
hosts見た所、宛先が0.0.0.0の行は無かったです。 まぁノートンは入れなおすからいいとして、JPGとか見れないのは どーすればいいですかね? オンラインスキャンしなおした所、もう何も出ませんでした。 しかし亜種は検出されないというので心配です・・・
どうやらnyで出回ってるウィルスに一番反応するのはノートンみたいだ。 なぜだノートン?やっぱワレ物の多さからユーザが多い…からか? しかし、それでも亜種はどうにもならない…
ちょっと訊きたいんだけど、テキストビュアーで開いて感染する.exeってある? 今使っているファイラーがそういう設定なんだけど・・・
>>816 バッファオーバーフローを衝いたウィルスの起動原理はそれで正しいが、
WMPで新しいバグでも見つかったのか?
>>819 質問がおかしい。
問題なのはウィルスじゃなくてテキストビュアー。
渡されたファイルがexeだった場合、勝手に実行しちゃうような仕様のビュアーなら
どんなウィルスでも感染するわな。
「ファイラーがそういう設定」ってのも意味不明。
821 :
802 :04/07/27 16:34 ID:egUOJBbk
症状追加。 documents&settingの中のcookiesの中身にtextファイルでぬるぽのAA多数発見。 他、マイドキュメントの中のjpgとかmp3ファイルなどが148`バイトに書き換えられる。 よーしパパ再インスコしちゃうぞ〜
822 :
819 :04/07/27 16:36 ID:echS5ABl
>>820 言葉足らず&勘違いしてた。スマソ
今DYNAってファイラーを使っていて、特に設定していない拡張子のファイルを
ダブルクリックすると内部のテキストビュアーで開く(exeだと0000から始まる文字列)
それがもしウィルスだった場合、感染するのがあるのか?
という主旨の質問でした。けどそれぞれのビュワーの仕様に依存するのかぁ・・・orz
>exeだと0000から始まる文字列 日本語難しいね
824 :
807 :04/07/27 16:41 ID:6p8xa80X
すみません、落ち着いてもう一度書き込みさせていただきます。 何故かノートンはantinnyGに反応しませんでした。 流れ的には .folderを踏む、ノートンでスキャンしたものの何も無し。 regedit等を試すも通常のまま。 その後ウイルスバスターのオンラインスキャンをしたところ .folderのあるフォルダとプログラムの一つにAntinnyGの感染が見つかる。 ノートンが利かないので手動でこれらとレジストリを削除、ここまでが再起動前。 再起動後にもregedit等を試すも通常のまま。 と、いった具合なんですが、感染の可能性は高いでしょうか? クリーンインストールする予定ですが、気になるので教えてください。
レジストリで削除が出来るためには削除すべきものが必要 削除すべきものが発生するためにはウィルスを踏まなければならない 感染してたんじゃないかな
826 :
ひみつの文字列さん :2024/05/07(火) 07:14:43 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
試しに環境を晒してみればいい。 ついでに常駐ソフトもな。
再起動する際に大抵なんかエラーメッセが出るだろ
>>826 単なる熱暴走や電源の寿命が近いって事なら笑える
>>826 いろいろ家庭の事情があるようだが、親父のPCでnyやるのはもうやめとけ。
そもそもトリップがついてないファイル落とすなよ
>>824 だからそれはノートンで隔離済みのファイルだったんじゃないのかと?
>>797 俺はモー娘。赤外線盗撮とかいうmpgを途中で強制変換して見たら
いつまでたっても接続中で再生されずwmv切ってタスクマネージャ
確認したらcpuの使用率がずっと100%の激重状態。
再起動してもっかい再生しても同じ状態になった。
OSは窓xpで常駐はノートンのアンチウィルスとインターネットセキュリティ、メッセンジャーぐらいです。 再起動になった時はもっと厳密に言うと、再起動というよりもmpgを見ていたらいきなり電源が落ち、その後OSが起動したという感じです。 何かこれでわかるでしょうか?
あのな、グラボとかメモリとか電源のワット数等々もっと詳しくおながいします。
838 :
[名無し]さん(bin+cue).rar :04/07/27 18:40 ID:rsVsNV3u
Winnyでダウンロードした圧縮されたファイルを開いてみたら、自分名のアド レス帳が出てきました。これってウイルス? このアドレス帳がどこかに送信されてしまったのでしょうか?
>>833 その現象はファイルが壊れてるからなる
もしくはコーデック関係かな
削除しとけ
>>835 デスクトップのアイコンも消えていってるんだろう?
mpgじゃなくて、その前にNullporce亜種かWhiter亜種を踏んだのでは
ないかと思われる。亜種の駆除の仕方は誰も知らないが。
841 :
[名無し]さん(bin+cue).rar :04/07/27 19:11 ID:rsVsNV3u
なにかのウィルスに感染したらしい。 c:windows\bugfixというファイルが出来ていた。 このファイルを削除するだけで、大丈夫なのだろうか?
このスレをbugfixで検索してみ
デスクトップのアイコンなどが消えるなどは私は確認していません。 親父のPCでnyをするな…というのは一見正しいことを言ってるようですが、私の親父の場合は特例です。 むしろ私より親父のがnyやうたたねなどをやりまくっています。アプリなども落としたやつ日頃からインストしまくっています。 そのうえ何か調子が悪くなると全て私にキレてきます。 だから親父が勝手にウィルス踏んだのに気付かず、私にキレたのではないかと思っているのです。 ただ一つ自分に思い当たる節がmpgを見てたさいの再起動なんです。 それもみなさんの意見では別にウィルスではないようですし、私自身再起動後2、30分PCをしていても異常は感じられませんでした。 完全な私事になってしまいこんな乱長文ですいませんでした。
お前の親子関係には興味はない
ない
ですよね…。伏せていたかったのですがこのスレを教えてくれたスレの住人が、こちらにもレスしていただけたようなので長々と私事を書かせていただきました。
つーか、親子共々逝って良し
>>843 早く自分専用のPC持てるようになるといいな。
その前に、親父にこのスレ読ませた方が良いかもな。
場を読めず、わがままに自分の意見を書きなぐるところを見ると 似たもの親子なんだろうよ
>>843 PCに負荷がかかった時に再起動してしまう場合もある
俺の場合はnyそのものによる負荷で再起動してしまったことがあったし
壊れた動画再生しようとしてそうなったのかもね
ワトソン君のログになにか出てないか確認した?
>>843 つうか、まずお前の親父が死んでくれと伝えてくれ。
このスレの名前出してな。
ログを見ようにももうプラグラムフォルダが消されたらしく、見れないのです。 現在そのPCは封印されて私は触れないし、今更復旧もできず結局OS再インストするようです。
そろそろリカバリーしようかな?アンチウィルス期限切れるし。
855 :
787 :04/07/27 20:15 ID:KeBG7go1
856 :
[名無し]さん(bin+cue).rar :04/07/27 20:37 ID:EisidOSo
>>857 ブラクラじゃない。jpg4枚貼ってるだけ。
検索結果
IPアドレス 218.230.101.165
ホスト名 dae665a5.speednet.ne.jp
IPアドレス
割当国 ※ 日本 (JP)
都道府県 神奈川県
市外局番 --
接続回線 無線
>>856 >ロリ系の得ろ漫画と実写のエロ画像がおいてあるサイト
>倫理的有害 PC無害
861 :
[名無し]さん(bin+cue).rar :04/07/27 22:34 ID:lWxuwERN
>>843 息子を装ってウィルス対策聞きに来るなよw
>>861 微妙に入力ミスしてるし、いまどきの厨にしてはお固い文体だしな(w。
antinnyGに感染しているかどうかの判断は とりあえずregeditが普通に開くことと、tenpの中にユーザー名.txtが無ければ大丈夫ですよね? それと、デスクトップ上のものを固めるだけでなくてpass.txtみたいな分かりやすいファイルや FFFTPのアカウント情報のファイルもなんかも吸い上げるって本当ですか?
結局みんな夏厨
Q XXXなら大丈夫? A 自分がウイルス作者ならどうするか、って方向からも考えてみ
お前か! オレオレ詐欺なんてやってないでお盆くらい実家に帰ってきなさい!
なぁ、おまえら antinnyを感知してEXEとレジストリ、関連フォルダを削除。 その後、Winnyのキャッシュと登録されてるUPフォルダを 綺麗さっぱり消してくれるウィルス なんて踏んだら嬉しいか?
871 :
[名無し]さん(bin+cue).rar :04/07/28 04:33 ID:a9JhNk3e
中身が単純ゆえに異常に圧縮率が高い巨大ファイルじゃねーのか? ただのいやがらせだろ。
圧縮爆弾
例えば"1"の羅列の巨大なバイナリーファイルを他の拡張子で擬装した物とか。
友人の父親もそうだが いい年して会社ではそれなりの地位のオッサンが nyとかやってるのも大分タチわりぃなw
876 :
ひみつの文字列さん :2024/05/07(火) 07:14:43 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
878 :
[名無し]さん(bin+cue).rar :04/07/28 08:02 ID:a9JhNk3e
>>877 ダウン中なんだが、ファイル名がずっと紅いまんま
880 :
[名無し]さん(bin+cue).rar :04/07/28 08:18 ID:a9JhNk3e
>>869 rar解凍だけで感染することはまずありえないと思うよ。
>>872 が正解で、馬鹿デカファイルというのはスワップファイルなんじゃないだろうか?
スワップファイルならPC再起動すれば元のサイズに戻ると思う。
がっかりだ。
まあ、何だかんだ言いつつ 優しいお前らが大好きだ
885 :
869 :04/07/28 13:45 ID:WuMsWLgZ
削除は普通に出来た。ファイル名が「0000000」とか「0000047」とか なんか怪しい感じになってて、とくに他に悪事はしてなかったっぽい。 rar解凍にはLhaz使ってて、指定解凍フォルダは「もとのファイルと同じ」にしてる。 だからDownフォルダにも一応何か出てきたけど、名無しフォルダと「@ (空白) 」 っていうフォルダが出ただけ。後者は「名前が非常に長い」とPCが言ってた。これも削除は 出来る。 ちなみに再起動前に消したから再起動で直ったかどうかはわからない。 余談だけど、WINDOWSにbugfixが作られて「私は***、略」ってやつが出るってやつも 食らったけど、意見をきくと今回とは別物らしいね。俺の場合後遺症が特に無くて一回消したら もう出なくなった。やっぱりノートンにはひっかからなかった。(HUNTER×HUNTERのNo.219だか に入ってた)
【何をしたらそんなことになったのか】 【症状か具体的に、分かる限りすべて書く】 「痕NoCDパッチ」(ノートンでウイルススキャン済み)を実行後、 しばらく何も起こらなかったと思ったら マウスポインタを置いているところから花火が出て その部分のアイコンが(一時的に?)消えました。 winny総合質問スレでhappy99でないかと言われましたが、 発病画面を見たところウィンドウを開いて花火が出てくるようなので違うと思います。 「コンピュータをスキャン」をしたのですが、 関係ないファイルからウイルスが検出・削除されただけで不安です。 「winny」「花火」「感染」でぐぐってもそれらしいウイルスが見あたらなかったのですが、 これはウイルスなんでしょうか? 【使用OS】windowsXP 【WindowsUpdateしてるか】春頃して最近はしてません 【AntiVirusは】ノートンアンチウイルス2004 【ちゃんとUpdateしてるか】 【スキャンした結果】関係ないファイルがいくつかantinnyに感染済みであったことが発覚 【Winnyのバージョン】 v2.0b7.1 【Winny歴、総DL量は】3ヶ月 【テンプレを読んだか】読みました 【テンプレにある対策を実行したか】あてはまらないと思ったのでやっていません 【これまでにとった措置】花火が2回出たあと強制終了、ノートンでスキャン
花火が出るって状況がわからんな。その画面をうpしてみたら? 花火と思ったら血飛沫だったというオチだったらしゃれにならんが
「関係ないファイルがいくつかantinnyに感染済み」だしな
>(ノートンでウイルススキャン済み) こんな文句が入っているファイルは絶対に落とさねえ
>>889 自分なりにノートンでウイルススキャンした後に実行、って事じゃないのかな
891 :
886 :04/07/28 14:13 ID:OEVJlF4A
>>887 再起動後はまだ花火は出ていないので
スクリーンショットをとることはできません。
確かに、花火でなくて別のことかもしれませんが、血しぶきではなかったと思います。
winny無視リストファイルデータベースで痕パッチを見てみたところ、
ハッシュは違いますが以下のものと同じ症状だと思います。
「実行すると、カーソルのふれた全てのボタンが消えて無くなります。」
(ノートンでウイルススキャン済み)というのは
>>890 さんのおっしゃるとおり私がくっつけた言葉で、
元々ファイルに書いてあったのではありません。
とりえずこのパッチは捨てますが、再起動しただけで大丈夫なのか心配です。
何か注意することがあったら教えてください。
そういうことか アンチウィルスソフトを入れるのもいいが頼りきっちまうと、登録されてない 新型亜種を踏んでしまうことがある 日頃の心がけが一番大切だな 実行する前にデータベースを確認したり、同サイズのファイルがMXで流れてないか確認したり winrarなど中身の見えるソフトを使う、そんな感じでやってる
893 :
548 :04/07/28 14:18 ID:IRzQJn9f
ちょっと質問。 [焙煎にんにく][NullPorce] 俺のアドレス帳&お気に入り *******.zip ってファイルがnyで流れてるけど、****の部分が自分のPC名だったら吊るされてるって思えばいいんだよね?
>>893 お前まだいたの?
そろそろっていうか既にうざいんだが。
895 :
[名無し]さん(bin+cue).rar :04/07/28 14:25 ID:IRzQJn9f
Σ( ̄ロ ̄lll) 893と同じ質問をしたかったが、・・・・この様子ではやばいかな・・・。 NULLPORCEにかかったみたいだ・・・。 だから質問したいんだが・・・・。
>>893 華々しくデビューができてよかったな。
個人情報とか仕事関係の資料が含まれているなら、できる限り早く連絡し
て「流出しますた」って謝っておけ。京○府警みたいに「流れたファイル
はすべて削除します」なんてウソをつくなよ。
>>886 複数のファイルがantinnyに感染、って時点でキツいもんがあるな。
とりあえず、可能なら再インスコをお勧めする
>>891 それ昔、自分がラウンジで鑑定していたころに実行したことがあります。
確か実行後ボタンやアイコンやメニューにカーソルを持っていくと、
板が砕けるようなアクション(3Dのポリゴンが散る感じ)を示したあと、
ボタンが消滅するやつでタスクバーでプロセスを終了させるのも、
一苦労した記憶があります。
痕CDレスパッチってやつでlhz型式の自動実行型exeのアイコンに、
偽装したexeでした。
とりあえず鑑定したのは5月頃ですが、
自分は大丈夫だと思います。たぶん悪質なジョークソフトかと。
893 名前:548[sage] 投稿日:04/07/28 14:18 ID:IRzQJn9f ちょっと質問。 [焙煎にんにく][NullPorce] 俺のアドレス帳&お気に入り *******.zip ってファイルがnyで流れてるけど、****の部分が自分のPC名だったら吊るされてるって思えばいいんだよね? 895 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/07/28 14:25 ID:IRzQJn9f Σ( ̄ロ ̄lll) 893と同じ質問をしたかったが、・・・・この様子ではやばいかな・・・。 NULLPORCEにかかったみたいだ・・・。 だから質問したいんだが・・・・。 抽出レス数:2 幼稚な自作自演ご苦労さん っていうかID変えろよ( ´,_ゝ`)
900 :
548 :04/07/28 14:35 ID:IRzQJn9f
っで、結局のとこ、どうなの? ****のとこがユーザー名が自分のでなければいいんだよね? 何か全然使ったことのない名前で、しかもキャッシュはない。 ただ、nullで検索してたら、出てきたからちょっと不安に・・・・。_| ̄|○ 情報求む!テンプレとか見てるけど、よく分からん。(TT)
どうでもいいよ('A`)
902 :
548 :04/07/28 14:40 ID:IRzQJn9f
Σ( ̄ロ ̄lll) どうでもいくない! 漏れだけだが・・・・。
以降、前からずっと執着してる激しくうざい
>>548 は放置で。
答えた奴はキンタマとWhiter(←だっけ?綴りが思い出せないorz)に当たる。
904 :
548 :04/07/28 14:42 ID:IRzQJn9f
いいよ、もう・・・・。 自分でみつけてやる! ノシ サッ!
Σ( ̄ロ ̄lll)Σ( ̄ロ ̄lll)Σ( ̄ロ ̄lll)Σ( ̄ロ ̄lll)Σ( ̄ロ ̄lll)Σ( ̄ロ ̄lll)Σ( ̄ロ ̄lll)Σ( ̄ロ ̄lll)Σ( ̄ロ ̄lll)
分からなければPCをリカバリしてWinnyやめろよ、ID:IRzQJn9fの屑野郎。
何で切羽詰ってる(ような)わりにAA使いまくるんだろうね。 稚拙な釣りにしか見えんよ
909 :
886 :04/07/28 15:01 ID:sH0YH/+Y
>>897 確か感染していたファイルは、落としたままスキャンしていない物でしたので
元々感染していたのかなあと思います。
>>898 ありがとうございます。ほっとしました。
よろしければついでに教えていただきたいのですが、
こういったものの真贋は実行してみないとわからないのでしょうか?
アイコンの形などでわかるのなら安心なのですが。
簡単にわかったら誰も苦労しない。。
信頼できないexeは実行するなと。
実行したいときは仮想PCで。
>>13
911 :
886 :04/07/28 15:05 ID:sH0YH/+Y
やっぱりそうですか。 ではデータベースで確認して安全な物だけ使うようにします。 レス下さった方々ありがとうございました。
NOCDパッチは偽物が多いからこわいよね。
対策なら仮想PCが無ければ多少旬がすぎて被参照量が、参考になるような値に
なってからパッチをダウンロードするくらいじゃないかね。
インスコ前に大事なファイルをバックアップするとか。
>>911 たまに嘘の登録があるから気をつけてね。
何処も彼処もウヨウヨしてますねウヨウヨ
>>886 > 【WindowsUpdateしてるか】春頃して最近はしてません
> 【ちゃんとUpdateしてるか】(未記入)
取り敢えずちゃんとやっとけ
915 :
[名無し]さん(bin+cue).rar :
04/07/28 17:31 ID:9il0iFRc Winnyでワームに感染してしまって、今消してるところなんですが、System Volume っていうフォルダが見つかりません。どこにあるか詳しく教えてください!