想定の範囲外(´・ω・) カワイソス 山田ヲチスレ 185
26 :ドクロ情報 その1:
(´・ω・)つ現在のまとめス
症状
1.Shareでダウンロードするファイル名の1文字目がドクロ(?)に変わる。
2.Shareを終了するとキャッシュが削除される。
3.Shareを起動している最中、SSが公開される。
4.SSを見るには串を通して
http://自分のIP:Shareのポート番号
にアクセス。
対策
1.ProcessExplorerでShareを表示する。
2.下ペインの表示をdllにする。
3.30以上のdllがあるが、そのうちの一つがドクロの原因となるdllである。
4.dllを一つずつgoogleで検索。(検索に引っかからないdllがウイルスである可能性大。 )
5.もしくはStirlingで該当dllを調べる。検索→Snapshot→データ種別には文字列にチェック。
6. 検索単語が出てきたら確定。
7.セーフモードでdllを移動する。(System32から移動すれば効力は消える)
8.もう一度Shareを起動し、ドクロが消えてるかを確認 。
感染経路となったファイル名はまだ不明です。
dll以外にもファイルが残っている可能性もありますが、それも不明。
ProcessExplorer Ver.9.25の入手先
ttp://www.sysinternals.com/files/procexpnt.zip
英語が苦手な人は
ProcessExplorer Ver.9.25の日本語化ファイル
ttp://www.kawachi.zaq.ne.jp/goemon/patch_room/archives/procexp9.25JP.zip
Stirlingの入手先
ttp://www.vector.co.jp/soft/win95/util/se079072.html
症状
1.Shareでダウンロードするファイル名の1文字目がドクロ(?)に変わる。
2.Shareを終了するとキャッシュが削除される。
3.Shareを起動している最中、SSが公開される。
4.SSを見るには串を通して
http://自分のIP:Shareのポート番号
にアクセス。
対策
1.ProcessExplorerでShareを表示する。
2.下ペインの表示をdllにする。
3.30以上のdllがあるが、そのうちの一つがドクロの原因となるdllである。
4.dllを一つずつgoogleで検索。(検索に引っかからないdllがウイルスである可能性大。 )
5.もしくはStirlingで該当dllを調べる。検索→Snapshot→データ種別には文字列にチェック。
6. 検索単語が出てきたら確定。
7.セーフモードでdllを移動する。(System32から移動すれば効力は消える)
8.もう一度Shareを起動し、ドクロが消えてるかを確認 。
感染経路となったファイル名はまだ不明です。
dll以外にもファイルが残っている可能性もありますが、それも不明。
ProcessExplorer Ver.9.25の入手先
ttp://www.sysinternals.com/files/procexpnt.zip
英語が苦手な人は
ProcessExplorer Ver.9.25の日本語化ファイル
ttp://www.kawachi.zaq.ne.jp/goemon/patch_room/archives/procexp9.25JP.zip
Stirlingの入手先
ttp://www.vector.co.jp/soft/win95/util/se079072.html
|
|
|