[ウイルス]似非キンタマ[Desktop Live]
1 :[名無し]さん(bin+cue).rar:
shareのupフォルダに約三十分毎にデスクトップのキャプチャが
隠しファイルで作成されるんだがこれはなんなんだろう?
ノートンでもバスターでもウイルスは検出出来なかったんだが…
検索しても殆ど情報は載っていなくて
下の方法を試してみても怪しい点は見当たらない。
応急処置として下のツールを使って画像を即消ししてるんだが
感染ルートや駆除方法はわからないだろうか?
http://red.sakura.ne.jp/~anonymouse/
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの
怪しい値を削除する。
(/logon /start /autorun /startup これらが含まれている可能性が高い。)
どれが怪しいか分からない場合は「データ」を辿ってみる。
それが偽装アイコンだったら間違いなくキンタマ。
C:\Documents and Settings\ユーザー名\Local Settings\Temp\ユーザー名.txtなどを削除。
WINDOWS\win.ini、WINDOWS\system.iniに
キンタマっぽいのがWinnyのパスを書いていた場合そのパスのみを削除。
隠しファイルで作成されるんだがこれはなんなんだろう?
ノートンでもバスターでもウイルスは検出出来なかったんだが…
検索しても殆ど情報は載っていなくて
下の方法を試してみても怪しい点は見当たらない。
応急処置として下のツールを使って画像を即消ししてるんだが
感染ルートや駆除方法はわからないだろうか?
http://red.sakura.ne.jp/~anonymouse/
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの
怪しい値を削除する。
(/logon /start /autorun /startup これらが含まれている可能性が高い。)
どれが怪しいか分からない場合は「データ」を辿ってみる。
それが偽装アイコンだったら間違いなくキンタマ。
C:\Documents and Settings\ユーザー名\Local Settings\Temp\ユーザー名.txtなどを削除。
WINDOWS\win.ini、WINDOWS\system.iniに
キンタマっぽいのがWinnyのパスを書いていた場合そのパスのみを削除。
|
|
|
2 :[名無し]さん(bin+cue).rar:2008/01/31(木) 20:20:05 ID:7+itdtRe0
感染したファイルを貼りやがれ
3 :[名無し]さん(bin+cue).rar:2008/01/31(木) 20:20:48 ID:0OuWDUod0
このウイルスの名前 >>47
4 :1:2008/01/31(木) 20:20:50 ID:qnnTA1ku0
>>2
その感染したファイルが発見できない。
UPフォルダにデスクトップのキャプチャが下のような名前でできている。
これは隠しとシステムの属性がついたファイルなのでツール→フォルダオプションで
「すべてのフォルダとファイルを表示にする」を選び
「保護されたオペレーティング システム を表示しない」の選択
を解除すると見ることができる。
[似非キンタマ] Desktop Live! 0.2.0 xxxxxx (2008xxxx-xxxxxx).jpg
その感染したファイルが発見できない。
UPフォルダにデスクトップのキャプチャが下のような名前でできている。
これは隠しとシステムの属性がついたファイルなのでツール→フォルダオプションで
「すべてのフォルダとファイルを表示にする」を選び
「保護されたオペレーティング システム を表示しない」の選択
を解除すると見ることができる。
[似非キンタマ] Desktop Live! 0.2.0 xxxxxx (2008xxxx-xxxxxx).jpg
6 :[名無し]さん(bin+cue).rar:2008/01/31(木) 20:46:35 ID:kCO6juRw0
ハッシュ貼って首吊って市ね
7 :[名無し]さん(bin+cue).rar:2008/01/31(木) 21:19:31 ID:CJQVOSZ/0
新しいウィルスか?
8 :[名無し]さん(bin+cue).rar:2008/01/31(木) 21:21:05 ID:tq5X/Wfa0
(´・ω・) ス
9 :[名無し]さん(bin+cue).rar:2008/01/31(木) 23:09:40 ID:+jYh52450
壁|
壁|ω・)))
壁|つ;´・ω・))) スー!!!
壁|ω・)))
壁|つ;´・ω・))) スー!!!
10 :[名無し]さん(bin+cue).rar:2008/02/01(金) 01:17:40 ID:5t1WIilJ0
壁|
壁| <グシャッバキッ
壁| バリボリバリビチャピチャ・・・
壁| <グシャッバキッ
壁| バリボリバリビチャピチャ・・・
11 :[名無し]さん(bin+cue).rar:2008/02/01(金) 01:24:30 ID:zl0MpfJl0
(´・ω・) カワイソス
12 :[名無し]さん(bin+cue).rar:2008/02/01(金) 11:38:26 ID:nNn9wNJ+0
俺もそれ2週間くらい前にかかった
調べても>>1の駆除方法以外なくてどうしようもなくなってたところだ
shareだけじゃなくnyにもアップフォルダ作られる
nyの場合はアップフォルダだけが隠しフォルダになっててその中は普通のjpg
タスクマネージャのプロセス見ても特に問題ないし常駐起動ではなさそう
nyでもshareでもアップフォルダの設定消してプログラム再起動したらその設定復活しないし
PCの起動時かシャットダウン時に作られると思うのだけど…
調べても>>1の駆除方法以外なくてどうしようもなくなってたところだ
shareだけじゃなくnyにもアップフォルダ作られる
nyの場合はアップフォルダだけが隠しフォルダになっててその中は普通のjpg
タスクマネージャのプロセス見ても特に問題ないし常駐起動ではなさそう
nyでもshareでもアップフォルダの設定消してプログラム再起動したらその設定復活しないし
PCの起動時かシャットダウン時に作られると思うのだけど…
13 :[名無し]さん(bin+cue).rar:2008/02/01(金) 12:19:15 ID:rLAGD0On0
つシマンテックオンラインスキャン
ウィルスセキュリティのチェックとトレンドマイクロのオンラインスキャンは何もかからなかったのに・・・
ウィルスセキュリティのチェックとトレンドマイクロのオンラインスキャンは何もかからなかったのに・・・
>>13
一足先にwindows2000からXPに乗り換えてしまったので試せなくなった。
今のところ症状は出ていないけど感染ルートがわからないので再発が心配だ。
最近、怪しいexeを踏んだりした記憶はないけど
HDDの整理のために圧縮解凍を繰り返したので
もしこの中に混入していたとすれば目も当てられない。
スパイボットの製品版ではスパイウェアをいくつか検出したので
これがウイルスをつれてきたとかブラウザから感染したとかなら
まだマシなんだけれども・・・
よく古いログで対策が書かれているのは下URLのことなんだろうけど
キャッシュを消したりしなかったので新型や亜種なのかもしれない。
http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.antinny.html
誰か感染して検出できた人がいれば報告キボン。
一足先にwindows2000からXPに乗り換えてしまったので試せなくなった。
今のところ症状は出ていないけど感染ルートがわからないので再発が心配だ。
最近、怪しいexeを踏んだりした記憶はないけど
HDDの整理のために圧縮解凍を繰り返したので
もしこの中に混入していたとすれば目も当てられない。
スパイボットの製品版ではスパイウェアをいくつか検出したので
これがウイルスをつれてきたとかブラウザから感染したとかなら
まだマシなんだけれども・・・
よく古いログで対策が書かれているのは下URLのことなんだろうけど
キャッシュを消したりしなかったので新型や亜種なのかもしれない。
http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.antinny.html
誰か感染して検出できた人がいれば報告キボン。
感染ルートはわからないが
オンラインスキャン結果にあった
C:\WINDOWS\system32\Microsoft\svchost.exe は W32.Antinny.AX に感染しています。
これに当たりをつけて対策ソフトをシマンテックからダウンロードして作業中
ちなみに当方もXP
オンラインスキャン結果にあった
C:\WINDOWS\system32\Microsoft\svchost.exe は W32.Antinny.AX に感染しています。
これに当たりをつけて対策ソフトをシマンテックからダウンロードして作業中
ちなみに当方もXP
>>15
W32.Antinny.AXについて調べてみだら2年も前のウイルスじゃないか。
定義ファイルもちゃんと更新しているんだけどな。
(定義ファイルも今日の日付になっているからソフトが見捨てられたとは思えない)
常駐を無効にしたりもしていないしいったいどこから・・・
再インストールしてから同じ症状が現れないので確認できないんだが。
↓W32.Antinny.AX の関連URL
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2006-012815-0103-99
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2006-032315-4136-99
http://internet.watch.impress.co.jp/cda/news/2006/01/30/10676.html
W32.Antinny.AXについて調べてみだら2年も前のウイルスじゃないか。
定義ファイルもちゃんと更新しているんだけどな。
(定義ファイルも今日の日付になっているからソフトが見捨てられたとは思えない)
常駐を無効にしたりもしていないしいったいどこから・・・
再インストールしてから同じ症状が現れないので確認できないんだが。
↓W32.Antinny.AX の関連URL
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2006-012815-0103-99
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2006-032315-4136-99
http://internet.watch.impress.co.jp/cda/news/2006/01/30/10676.html
確かに古いウイルスなんですよね・・・
でも、タスクマネージャやレジストリからの確認は出来ませんでしたし
UPフォルダに「似非キンタマDESKTOPLIVE! 0.2.0」と入ってるので亜種なのでしょうか・・・
でも、タスクマネージャやレジストリからの確認は出来ませんでしたし
UPフォルダに「似非キンタマDESKTOPLIVE! 0.2.0」と入ってるので亜種なのでしょうか・・・
499 :[名無し]さん(bin+cue).rar:2007/09/19(水) 02:34:41 ID:F7jptH+Q0
【使用OS】xp pro sp02
【WindowsUpdateしてるか】してる
【使用AntiVirusソフト】ノートンインターネットセキュリティ2007
【AntiVirusをUpdateしてるか】自動で
【Winnyのバージョン】2b71 mempatchでup0化
【Winny歴、総DL量】3年
【テンプレを読んだか】読んだ
【テンプレにある対策を実行したか】自己流で
ノートンインターネットセキュリティ2007を使用
メールソフトはoutlookをまったく使用せずフリーのマイナーなソフトを使ってる
ブラウザはIEではなくSleipnir
すべての拡張子を表示
システムファイルなどの隠し属性のファイルも表示
ヤフーなどの会員ログオンを使用後はログオフ
オートコンプリートはオフ
WINNY起動中は個人情報ファイルは開かない
My Documentsはターゲットフォルダをcドライブではなく別のドライブに(うかつにもwinnyと同じHDに入れていた)
解凍せずにexplzhで参照して内容を確認してから実行
【症状、具体的に分かる限りすべて書く】
WinnyUtilでwinnyのキャッシュを消そうとした時にキャッシュビューアー上にupファイルが約20個のファイルがあることに気付いた
upfolderフォルダには「似非キンタマ desktop live 0.2.0(自分のユーザー識別コード)タイムスタンプ」.jpgとtxtファイルがあり
winnyフォルダにupfolder.txtファイル(内容はwinnyフォルダへのupfolderのパス)とupfolderフォルダを隠し属性付きで存在しえいた
jpgとtxtファイルの内容はindows起動中のデスクトップのスクリーンショット(30分置きの?)とクリップボードの履歴(ランダムな時間?)と判明
デスクトップのスクリーンショットには右上の方にそのPCのユーザー名、PC名、outlookのメールアドレス
Hotmailなどのフリーメールのアドレスなどが記載される
クリップボードの履歴にも同じようにPCのユーザー名、PC名が記載されている
【使用OS】xp pro sp02
【WindowsUpdateしてるか】してる
【使用AntiVirusソフト】ノートンインターネットセキュリティ2007
【AntiVirusをUpdateしてるか】自動で
【Winnyのバージョン】2b71 mempatchでup0化
【Winny歴、総DL量】3年
【テンプレを読んだか】読んだ
【テンプレにある対策を実行したか】自己流で
ノートンインターネットセキュリティ2007を使用
メールソフトはoutlookをまったく使用せずフリーのマイナーなソフトを使ってる
ブラウザはIEではなくSleipnir
すべての拡張子を表示
システムファイルなどの隠し属性のファイルも表示
ヤフーなどの会員ログオンを使用後はログオフ
オートコンプリートはオフ
WINNY起動中は個人情報ファイルは開かない
My Documentsはターゲットフォルダをcドライブではなく別のドライブに(うかつにもwinnyと同じHDに入れていた)
解凍せずにexplzhで参照して内容を確認してから実行
【症状、具体的に分かる限りすべて書く】
WinnyUtilでwinnyのキャッシュを消そうとした時にキャッシュビューアー上にupファイルが約20個のファイルがあることに気付いた
upfolderフォルダには「似非キンタマ desktop live 0.2.0(自分のユーザー識別コード)タイムスタンプ」.jpgとtxtファイルがあり
winnyフォルダにupfolder.txtファイル(内容はwinnyフォルダへのupfolderのパス)とupfolderフォルダを隠し属性付きで存在しえいた
jpgとtxtファイルの内容はindows起動中のデスクトップのスクリーンショット(30分置きの?)とクリップボードの履歴(ランダムな時間?)と判明
デスクトップのスクリーンショットには右上の方にそのPCのユーザー名、PC名、outlookのメールアドレス
Hotmailなどのフリーメールのアドレスなどが記載される
クリップボードの履歴にも同じようにPCのユーザー名、PC名が記載されている
19 :ひみつの文字列さん:2024/05/02(木) 07:01:21 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
Winnyを狙ったワーム・ニュイルス情報 Part64
のキャッシュから >>18-19 の書き込みを発見したが解決方法は書かれていない。
俺と共通しているのは同人ゲームの東方シリーズをインストールしたことだが…
のキャッシュから >>18-19 の書き込みを発見したが解決方法は書かれていない。
俺と共通しているのは同人ゲームの東方シリーズをインストールしたことだが…
21 :[名無し]さん(bin+cue).rar:2008/02/01(金) 21:33:47 ID:G0mx0LSR0
22 :[名無し]さん(bin+cue).rar:2008/02/01(金) 21:49:23 ID:nNn9wNJ+0
これで共通点が東方関連のものに繋がった
東方ではなく同人かもしれないけど
俺もC73の同人ソフトあさってたときにウイルスかかって、おそらくそれから永夜抄が起動できなくなった
この符合は何を意味しているのか
東方ではなく同人かもしれないけど
俺もC73の同人ソフトあさってたときにウイルスかかって、おそらくそれから永夜抄が起動できなくなった
この符合は何を意味しているのか
>>22
うわ、C73の同人ソフトをを漁っていたのも一致している。
HDDを整理中、戦国幻想郷(東方系SLG)を見つけて遊んだ後異変に気づいた。
東方冥異伝もインストールしたからこっちも怪しいかもしれない。
これは下のような原因(スペック不足のせい?)で起動もインストールもできなかったが…
ttp://www.hachikuma.net/bbs/viewtopic.php?p=58&sid=ac9c9ae70129021a4031314b5acec934
うわ、C73の同人ソフトをを漁っていたのも一致している。
HDDを整理中、戦国幻想郷(東方系SLG)を見つけて遊んだ後異変に気づいた。
東方冥異伝もインストールしたからこっちも怪しいかもしれない。
これは下のような原因(スペック不足のせい?)で起動もインストールもできなかったが…
ttp://www.hachikuma.net/bbs/viewtopic.php?p=58&sid=ac9c9ae70129021a4031314b5acec934
こちらもC73のパチェコンのせいかもしれない
ぱちゅコンも東方悠月譚も起動だけはしたな。
また感染するかもしれないが
このままウイルス入りのアーカイブを残しておくと
気持ち悪いので調べてみるか…
また感染するかもしれないが
このままウイルス入りのアーカイブを残しておくと
気持ち悪いので調べてみるか…
26 :[名無し]さん(bin+cue).rar:2008/02/02(土) 00:11:41 ID:TbwJbYGl0
バカが二人いても何の解決にもならないが、
バカが三人寄ればこんなに硬い電線もザクザク切れる!
バカが三人寄ればこんなに硬い電線もザクザク切れる!
27 :[名無し]さん(bin+cue).rar:2008/02/02(土) 01:27:56 ID:x5Xah+3+O
分かった分かった
違法ファイル落として感染したのね
通報してあげるから警察と相談しなさい
違法ファイル落として感染したのね
通報してあげるから警察と相談しなさい
28 :[名無し]さん(bin+cue).rar:2008/02/02(土) 08:12:40 ID:ThnYL4hV0
shareなんかを使ってるからこんなことに・・・
ざまぁwwwwwwwwwwwwwwwwwww
ぷぎゃーーーーーーーーーーwwwwwww
ざまぁwwwwwwwwwwwwwwwwwww
ぷぎゃーーーーーーーーーーwwwwwww
29 :[名無し]さん(bin+cue).rar:2008/02/02(土) 08:20:10 ID:B2SgvRlV0
ぱちゅコン黒だなw
30 :[名無し]さん(bin+cue).rar:2008/02/02(土) 22:47:24 ID:yu/STpSS0
ぱちゅコンで思い当たる節はオートランでインストーラー出なかったから直接autorun.exe実行したけど何も起こらなくて中のデータを普通にコピーしたっていうことくらい
でも実行する時ウイルスチェックしたけど何も反応しなかった
でも実行する時ウイルスチェックしたけど何も反応しなかった
31 :[名無し]さん(bin+cue).rar:2008/02/02(土) 22:51:11 ID:WfLgoRKy0
中卒・高卒に未来はありますか?
http://life9.2ch.net/test/read.cgi/kankon/1200680479/
http://life9.2ch.net/test/read.cgi/kankon/1200680479/
NOD32とZoneAlarm Securityに乗り換えてみた。
戦国幻想郷にもぱちゅコンに反応無し。
今ある圧縮ファイルをすべてチェックして
見つからなければ静観することにすることにするわ。
流石にイメージファイルの中身まで
チェックしてくるソフトはなさそうなので
これは最近のものだけチェックしてみる。
戦国幻想郷にもぱちゅコンに反応無し。
今ある圧縮ファイルをすべてチェックして
見つからなければ静観することにすることにするわ。
流石にイメージファイルの中身まで
チェックしてくるソフトはなさそうなので
これは最近のものだけチェックしてみる。
33 :[名無し]さん(bin+cue).rar:2008/02/03(日) 00:45:06 ID:CJGntJSA0
感染者ちょっとタスクマネージャ開け
BPowMon.exeってある?
ググったら日本語のページがない
BPowMon.exeってある?
ググったら日本語のページがない
34 :[名無し]さん(bin+cue).rar:2008/02/03(日) 01:02:21 ID:fPsJ+h9BO
ぱちゅコン削除したら再起動してもupフォルダが作られなくなった
やっぱぱちゅコンがクロなのか?
でも不安だからクリーンインスコするわ
やっぱぱちゅコンがクロなのか?
でも不安だからクリーンインスコするわ
35 :[名無し]さん(bin+cue).rar:2008/02/03(日) 07:58:38 ID:T3BVMeOL0
ぱちゅコンの本物はインストーラーが付いてなくて直接ファイルをコピー
インストーラーにウイルスが付いてて、実行すると
imepadsv.exeとregedit.exeを生成
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
にimepadsv.exeと消したファイルを復活する(名前忘れた)のを追加
ノートン、カスペ、ウイルスバスターには無反応。
とりあえずインストーラー実行したらファイルが生成されてるので
100%これ
インストーラーにウイルスが付いてて、実行すると
imepadsv.exeとregedit.exeを生成
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
にimepadsv.exeと消したファイルを復活する(名前忘れた)のを追加
ノートン、カスペ、ウイルスバスターには無反応。
とりあえずインストーラー実行したらファイルが生成されてるので
100%これ
36 :[名無し]さん(bin+cue).rar:2008/02/03(日) 08:17:06 ID:T3BVMeOL0
インストーラーじゃなくってautorun.exeだった
CRC32が65A54225
CRC32が65A54225
ぱちゅコンは以前インストールしなくて
中身だけ取り出して保存しておいたから
今回は反応せず起動しても再発もしなかったわけか…。
中身だけ取り出して保存しておいたから
今回は反応せず起動しても再発もしなかったわけか…。
38 :[名無し]さん(bin+cue).rar:2008/02/03(日) 12:26:47 ID:keu46p0E0
>>35
よくできました。
よくできました。
一月のものはすべてウイルスの反応無し(イメージの中身も)。
>>35 のウイルスは Trojan.Deoplive というもので
下のURLに書いてある症状にぴったりだった…。
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2006-070212-3940-99&tabid=2
感染ルートはほぼぱちゅコンに確定だな。
もう一度autorunを無効にした状態で
インストーラ付きのものを探してNOD32で実験してみるわ。
>>35 のウイルスは Trojan.Deoplive というもので
下のURLに書いてある症状にぴったりだった…。
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2006-070212-3940-99&tabid=2
感染ルートはほぼぱちゅコンに確定だな。
もう一度autorunを無効にした状態で
インストーラ付きのものを探してNOD32で実験してみるわ。
40 :[名無し]さん(bin+cue).rar:2008/02/03(日) 14:30:54 ID:T3BVMeOL0
メジャー系全滅だし対応してないんじゃね
41 :ひみつの文字列さん:2024/05/02(木) 07:01:21 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
42 :[名無し]さん(bin+cue).rar:2008/02/03(日) 16:48:05 ID:jGTFDSwf0
http://www.shihei.com/
このサイト超おすすめ。
日本で唯一正統な占いができる占い師のサイト。
鑑定歴も長いし技術も高いし自己の研究内容も発表している。
月あたりたったの1万円という破格の安さで講習会まで開いているというから良心的!
ここと比べれば他の占い師なんてどれもインチキだとわかるよ!
このサイト超おすすめ。
日本で唯一正統な占いができる占い師のサイト。
鑑定歴も長いし技術も高いし自己の研究内容も発表している。
月あたりたったの1万円という破格の安さで講習会まで開いているというから良心的!
ここと比べれば他の占い師なんてどれもインチキだとわかるよ!
正規版にはインストーラーは無いそうだ…
tp://www.tasofro.net/cgi-bin/cbbs01/cf.cgi?mode=all&namber=683&page=5&rev=
tp://www.tasofro.net/cgi-bin/cbbs01/cf.cgi?mode=all&namber=683&page=5&rev=
44 :[名無し]さん(bin+cue).rar:2008/02/03(日) 17:20:38 ID:W0+95HC30
m9(^Д^)
45 :[名無し]さん(bin+cue).rar:2008/02/03(日) 21:31:26 ID:BiOh4DQV0
P2Pやってる奴以外関係なしwwww
m9
m9
46 :[名無し]さん(bin+cue).rar:2008/02/03(日) 21:35:34 ID:8TUxDu650
ダウソ板で言っても120%説得力がない件
47 :[名無し]さん(bin+cue).rar:2008/02/04(月) 07:20:04 ID:5V3nUiEC0
ですよねー
48 :[名無し]さん(bin+cue).rar:2008/02/04(月) 07:36:33 ID:GZOQausI0
PCゲーム板からきますた。
49 :[名無し]さん(bin+cue).rar:2008/02/04(月) 22:19:54 ID:OZ6PG38w0
一応書いてあった手順どおりにやって、うpフォルダが作られなくなったんだけど
これで駆除されたのかな?復元を無効にしてるから作られないだけで復元を有効にしたら
また発生しそうで怖いわ・・・。
つかレジストリいじってたらWhiterもあった。やばかったんだね・・・。
これで駆除されたのかな?復元を無効にしてるから作られないだけで復元を有効にしたら
また発生しそうで怖いわ・・・。
つかレジストリいじってたらWhiterもあった。やばかったんだね・・・。
再起動したらうpフォルダが復活してたorz
いったい何が原因なんだorzぱちゅこんだって削除したのに・・・
レジストリにも怪しいところは見つからないし、imepadsv.exeが一番怪しそうではあるが
IMEだろうし・・・誰か助けてくれorzクリーンインストールしようにも出来ない事情があるから困るorz
いったい何が原因なんだorzぱちゅこんだって削除したのに・・・
レジストリにも怪しいところは見つからないし、imepadsv.exeが一番怪しそうではあるが
IMEだろうし・・・誰か助けてくれorzクリーンインストールしようにも出来ない事情があるから困るorz
51 :[名無し]さん(bin+cue).rar:2008/02/05(火) 01:13:49 ID:XW/OZKqy0
クリーンインスコしかないだろ
バックアップを取ってないから出来ないんだよorz
53 :[名無し]さん(bin+cue).rar:2008/02/05(火) 01:23:56 ID:XW/OZKqy0
取れよ
既に感染したOSのバックアップ取っても意味がないorz
55 :[名無し]さん(bin+cue).rar:2008/02/05(火) 02:04:20 ID:h5EkMIHy0
56 :[名無し]さん(bin+cue).rar:2008/02/05(火) 02:26:29 ID:ZaavKvVa0
>>55
教えていただきマジ感謝
imepadsv.exeさっき探したとき4つか5つぐらいあった
それに目を付けてみます
ara-keyもあったので削除して再起動したらうpフォルダ出来てなかった・・・
探してみたら正規のところ以外に
C:\WINDOWS\system32
C:\WINDOWS\system32\IME
があった。アイコンは単なる実行ファイルのやつ。これは怪しいよね・・・?
教えていただきマジ感謝
imepadsv.exeさっき探したとき4つか5つぐらいあった
それに目を付けてみます
ara-keyもあったので削除して再起動したらうpフォルダ出来てなかった・・・
探してみたら正規のところ以外に
C:\WINDOWS\system32
C:\WINDOWS\system32\IME
があった。アイコンは単なる実行ファイルのやつ。これは怪しいよね・・・?
57 :[名無し]さん(bin+cue).rar:2008/02/05(火) 03:20:26 ID:XJOy+4bp0
regedit.exeの復元も必要のようです
レジストリエディタを起動するとC:\WINDOWS\system32にimepadsv.exeが復元される模様
レジストリエディタを起動するとC:\WINDOWS\system32にimepadsv.exeが復元される模様
58 :[名無し]さん(bin+cue).rar:2008/02/05(火) 04:13:48 ID:ZaavKvVa0
regedit.exeの復元て
C:\WINDOWS\i386\
にあるregedit.exeを
C:\WINDOWS\
にぶち込めばいいんですかね?調べてみたらそーいうことが書いてあったので・・・
確かに削除したつもりでもいつの間にかimepadsv.exeがレジストリにもプロセスにも復活してるorz
C:\WINDOWS\i386\
にあるregedit.exeを
C:\WINDOWS\
にぶち込めばいいんですかね?調べてみたらそーいうことが書いてあったので・・・
確かに削除したつもりでもいつの間にかimepadsv.exeがレジストリにもプロセスにも復活してるorz
59 :[名無し]さん(bin+cue).rar:2008/02/05(火) 08:59:32 ID:tUEnSozq0
漏れがやった駆除方法@OSはXPね、、、
1.システムの復元機能をOFF
2.レジストリエディタを起動し、[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]の
[imepadsv.exe]を削除する。
3.タスクマネージャから[imepadsv.exe]をKill。
4.OSをインストールしたドライブで、[imepadsv.exe]を検索して【C:\WINDOWS\ime\shared内以外】
に存在するimepadsv.exeを削除する。ただし、拡張子がexeではないファイルも引っかかるが
容赦なく削除する。
【注意】
なぜかレジストリの値を消す前にタスクでKillして本体を削除しても復活する。
レジストリ削除後ではなぜか復活しない。
5.続いてOSをインストールしたドライブで、[regedit.exe]を検索して【C:\WINDOWS内以外】
に存在するregedit.exeを削除する。ただし、拡張子がexeではないファイルも引っかかるが
容赦なく削除する。
【補足】
ウィルス本体とおぼしき[regedit.exe]も[imepadsv.exe]も、C:\WINDOWS\system32の中に存在する。
まぁ〜参考にして駆除してみてくれ。
1.システムの復元機能をOFF
2.レジストリエディタを起動し、[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]の
[imepadsv.exe]を削除する。
3.タスクマネージャから[imepadsv.exe]をKill。
4.OSをインストールしたドライブで、[imepadsv.exe]を検索して【C:\WINDOWS\ime\shared内以外】
に存在するimepadsv.exeを削除する。ただし、拡張子がexeではないファイルも引っかかるが
容赦なく削除する。
【注意】
なぜかレジストリの値を消す前にタスクでKillして本体を削除しても復活する。
レジストリ削除後ではなぜか復活しない。
5.続いてOSをインストールしたドライブで、[regedit.exe]を検索して【C:\WINDOWS内以外】
に存在するregedit.exeを削除する。ただし、拡張子がexeではないファイルも引っかかるが
容赦なく削除する。
【補足】
ウィルス本体とおぼしき[regedit.exe]も[imepadsv.exe]も、C:\WINDOWS\system32の中に存在する。
まぁ〜参考にして駆除してみてくれ。
60 :[名無し]さん(bin+cue).rar:2008/02/05(火) 15:59:51 ID:QJu8gmtl0
おおっ 再起動してもimepadsv.exeが起動してないぞ!!うpフォルダもない!!
駆除できたってことか!?やほーい!!今思ったけどimepadsv.exeってowner権限で動くものなのかなぁ?
>>55、57、59
本当にありがとうございました おかげで助かりました。
そういえば俺ぱちゅこんのインスコ、インストーラーじゃなくてコピー形式のやつだった気がする・・・
流れからすると、それにはウイルスは混入してないみたいな感じだけど、
それが本当なら俺はどこから感染したというのだ・・・。一応、C73の東方関係は危ないと警鐘を鳴らしておこう・・・。
駆除できたってことか!?やほーい!!今思ったけどimepadsv.exeってowner権限で動くものなのかなぁ?
>>55、57、59
本当にありがとうございました おかげで助かりました。
そういえば俺ぱちゅこんのインスコ、インストーラーじゃなくてコピー形式のやつだった気がする・・・
流れからすると、それにはウイルスは混入してないみたいな感じだけど、
それが本当なら俺はどこから感染したというのだ・・・。一応、C73の東方関係は危ないと警鐘を鳴らしておこう・・・。
無事削除出来たようで何よりw
ちなみに俺も感染経路がよく分からなかったんだよなぁ・・・
ある日突然何もしてないのにUPフォルダが自動生成されてたから。
ちなみに俺も感染経路がよく分からなかったんだよなぁ・・・
ある日突然何もしてないのにUPフォルダが自動生成されてたから。
62 :[名無し]さん(bin+cue).rar:2008/02/06(水) 04:03:19 ID:0boXqHvU0
P2Pで違法ダウンロードしてなければ感染しないだろ
ある日突然なんてありえない
ある日突然なんてありえない
63 :[名無し]さん(bin+cue).rar:2008/02/06(水) 13:04:24 ID:8lnpINAO0
これ前からあったよな
64 :[名無し]さん(bin+cue).rar:2008/02/06(水) 14:38:34 ID:Hu/SfKi40
65 :[名無し]さん(bin+cue).rar:2008/02/07(木) 00:00:40 ID:9fSrQHlb0
俺もいつのまにかUpフォルダが生成されていたので上記の駆除
(システム復元無効後、regedit及びimepadsvでOSドライブすべてに全条件で検索)
ただ、IMEPADSV.EXE(全部大文字)っていうファイルがC\ProgramFiles\Commonなんとか\ime〜〜
に入ってたがアイコンロゴが正常なimepadsvと同じだし更新日時も近い(ウイルスは2004前後だがこれは2001)
から普通のファイルだと判断して放置中。
今から復元機能戻してしばらく様子を見るぜ
(システム復元無効後、regedit及びimepadsvでOSドライブすべてに全条件で検索)
ただ、IMEPADSV.EXE(全部大文字)っていうファイルがC\ProgramFiles\Commonなんとか\ime〜〜
に入ってたがアイコンロゴが正常なimepadsvと同じだし更新日時も近い(ウイルスは2004前後だがこれは2001)
から普通のファイルだと判断して放置中。
今から復元機能戻してしばらく様子を見るぜ
66 :[名無し]さん(bin+cue).rar:2008/02/07(木) 00:03:06 ID:+ZSF+RRR0
追記。
system32に入っていたウイルスと思われるimepadsvは
使用中で削除できないとエラーを返されたので、
kyosakuなどの強制削除ツールで再起動と同時の削除をオススメする
system32に入っていたウイルスと思われるimepadsvは
使用中で削除できないとエラーを返されたので、
kyosakuなどの強制削除ツールで再起動と同時の削除をオススメする
67 :[名無し]さん(bin+cue).rar:2008/02/07(木) 00:47:13 ID:FD6lwVfE0
68 :[名無し]さん(bin+cue).rar:2008/02/07(木) 00:54:02 ID:FD6lwVfE0
すまん俺のさっきのレスは無視してくれ
69 :[名無し]さん(bin+cue).rar:2008/02/08(金) 20:47:20 ID:A0tJpPYg0
いつの間にか似非キンタマに感染していたようなのですが
自分の情報がどれだけ流出してるか確認出来るサイトなどあるのでしょうか?
自分の情報がどれだけ流出してるか確認出来るサイトなどあるのでしょうか?
70 :[名無し]さん(bin+cue).rar:2008/02/09(土) 13:35:27 ID:4PJCvZPA0
_
┌――─┴┴─――┐
│ セルフサービス .│
└―――┬┬─――┘
││ ./
゛゛'゛'゛ /
/
| \/
\ \
\ノ
┌――─┴┴─――┐
│ セルフサービス .│
└―――┬┬─――┘
││ ./
゛゛'゛'゛ /
/
| \/
\ \
\ノ
71 :[名無し]さん(bin+cue).rar:2008/02/10(日) 16:37:27 ID:yeXKdrBO0
72 :[名無し]さん(bin+cue).rar:2008/02/11(月) 19:13:52 ID:M+YDM4BD0
俺も>>59の方法試してみるぜイェア
73 :[名無し]さん(bin+cue).rar:2008/02/12(火) 01:06:43 ID:2L0JErPf0
_
┌――─┴┴─――┐
│ セルフサービス .│
└―――┬┬─――┘
││ ./
゛゛'゛'゛ /
/
| \/
\ \
\ノ
┌――─┴┴─――┐
│ セルフサービス .│
└―――┬┬─――┘
││ ./
゛゛'゛'゛ /
/
| \/
\ \
\ノ
74 :[名無し]さん(bin+cue).rar:2008/02/12(火) 20:37:59 ID:1fsPvvs30
このウイルス
DL専用で、基本何も実行してないマシンで感染行動の跡が見られた。
IMEPADSVが、Shareに紐ついて動いてたわけだが、同プロセスは
MSの正しいモジュールで動いてた。
Windows\system32配下にもregeditやimepadsvは無い。
レジストリに汚された跡も無い。
なぜそんなことになったかと言えば、そのマシンではShareを
Share専用のアカウントで起動している。
それも、そのアカウントでログオンするわけではなく、別のユーザーとして実行を使う
同アカウントはGuest並みの権限(User権限は削除)で、Share用のフォルダに対してのみ
変更アクセス権を付与する。
そもそも、その怪しいプロセスはShare用のアカウントで動いていた。
操作ミスにしろなんにしろ、自分で実行したものならば、自分のアカウントのプロセスになるはず。
ということは、Share自体に何らかの脆弱性が存在し、外部からのアクションで
特定のプロセスを起動させるような方法が有るのではないか
と、考えられる。
もともとこういう可能性を考慮して、上記のような対策を何年も前から行っていたわけだが、
実際にそんな場面に遭遇するとは・・・。
DL専用で、基本何も実行してないマシンで感染行動の跡が見られた。
IMEPADSVが、Shareに紐ついて動いてたわけだが、同プロセスは
MSの正しいモジュールで動いてた。
Windows\system32配下にもregeditやimepadsvは無い。
レジストリに汚された跡も無い。
なぜそんなことになったかと言えば、そのマシンではShareを
Share専用のアカウントで起動している。
それも、そのアカウントでログオンするわけではなく、別のユーザーとして実行を使う
同アカウントはGuest並みの権限(User権限は削除)で、Share用のフォルダに対してのみ
変更アクセス権を付与する。
そもそも、その怪しいプロセスはShare用のアカウントで動いていた。
操作ミスにしろなんにしろ、自分で実行したものならば、自分のアカウントのプロセスになるはず。
ということは、Share自体に何らかの脆弱性が存在し、外部からのアクションで
特定のプロセスを起動させるような方法が有るのではないか
と、考えられる。
もともとこういう可能性を考慮して、上記のような対策を何年も前から行っていたわけだが、
実際にそんな場面に遭遇するとは・・・。
75 :[名無し]さん(bin+cue).rar:2008/02/12(火) 22:25:43 ID:gLExaYKX0
俺はウイルス駆除後、発症時期にインストールした
ソフトを全て再インストールしてみても再感染しなかった。
どこから感染したのか全くわからない。
ウイルス自体が全ての対策ソフトで発見できなかったし…
ソフトを全て再インストールしてみても再感染しなかった。
どこから感染したのか全くわからない。
ウイルス自体が全ての対策ソフトで発見できなかったし…
76 :[名無し]さん(bin+cue).rar:2008/02/13(水) 18:17:55 ID:dLjS8Oh30
2週間ぐらい前に感染して適当にimepadsv削除してupフォルダ出来なくなってたから安心したら
今日いきなりまた作られ始めててびっくりしたぜ
今日いきなりまた作られ始めててびっくりしたぜ
77 :[名無し]さん(bin+cue).rar:2008/02/13(水) 23:40:35 ID:JAK2eyC30
稀に、
本物のファイルと一緒にautorunとかの.infファイルに偽装してあるウイルスがある
ノートンでもカスペルでもバスターでも反応しない。なぜだ
本物のファイルと一緒にautorunとかの.infファイルに偽装してあるウイルスがある
ノートンでもカスペルでもバスターでも反応しない。なぜだ
78 :[名無し]さん(bin+cue).rar:2008/02/14(木) 12:52:21 ID:qopmil4N0
これかかっている人ホントに少ないのかな?
最新の対策ソフトでも反応しないから、実際にかかっている人もっといるのかもね
何より感染経路が特定できないのがマズイ
最新の対策ソフトでも反応しないから、実際にかかっている人もっといるのかもね
何より感染経路が特定できないのがマズイ
79 :[名無し]さん(bin+cue).rar:2008/02/14(木) 13:08:27 ID:2ffDofIY0
80 :[名無し]さん(bin+cue).rar:2008/02/14(木) 16:28:35 ID:qopmil4N0
>>79
俺めっちゃかかるんだが・・・軽く見ても300くらい
しかも20080214とか、かなりリアルタイムなファイルが流れてるよ
たぶん本人気づいてない・・・
果たして感染経路がぱちゅこんだけなんだろうか?
・・・と思って今マウントしてみたら、隠しファイルかつオペレーティングファイル
扱いになってAutorun.exeが入ってた・・・。しかもマウントした瞬間、imepadsv.exeが起動した。
これで確実にぱちゅこんは黒になった。・・・少なくとも俺の中では。ぱちゅこんは落とさないほうがいい。
コピー形式のやつに入ってる。
俺めっちゃかかるんだが・・・軽く見ても300くらい
しかも20080214とか、かなりリアルタイムなファイルが流れてるよ
たぶん本人気づいてない・・・
果たして感染経路がぱちゅこんだけなんだろうか?
・・・と思って今マウントしてみたら、隠しファイルかつオペレーティングファイル
扱いになってAutorun.exeが入ってた・・・。しかもマウントした瞬間、imepadsv.exeが起動した。
これで確実にぱちゅこんは黒になった。・・・少なくとも俺の中では。ぱちゅこんは落とさないほうがいい。
コピー形式のやつに入ってる。
81 :[名無し]さん(bin+cue).rar:2008/02/14(木) 17:30:07 ID:VR1qWi8w0
shareってUPフォルダ内の隠しファイルってUP対象のファイルに含まれる?
ためしに隠しファイルをUPフォルダに作成してみたんだけど、shareから見たファイル数が0のままなんだよね。
似非キンタマでかかったファイルをいくつか落としてみたんだけど、どれもjpgのデータが
壊れてるみたいで、jpgの生成がエラーになって隠しファイルの設定がされかったファイルが
流れてるのかなって思ってたんだけど。
ためしに隠しファイルをUPフォルダに作成してみたんだけど、shareから見たファイル数が0のままなんだよね。
似非キンタマでかかったファイルをいくつか落としてみたんだけど、どれもjpgのデータが
壊れてるみたいで、jpgの生成がエラーになって隠しファイルの設定がされかったファイルが
流れてるのかなって思ってたんだけど。
82 :[名無し]さん(bin+cue).rar:2008/02/14(木) 18:22:45 ID:7KA14KI40
皆気づかない分地味に性質悪いからそのうちまたどこかの団体で情報流出〜
とかニュース出てくるぞ
とかニュース出てくるぞ
83 :[名無し]さん(bin+cue).rar:2008/02/15(金) 01:20:35 ID:9uUO2jO30
ファイル検索してみたら2007とか2006とかのファイルもあるんだな
皆気づきにくいし被害もそれほどじゃないから昔からあるけど話題に上がらないだけなのかね
皆気づきにくいし被害もそれほどじゃないから昔からあるけど話題に上がらないだけなのかね
84 :[名無し]さん(bin+cue).rar:2008/02/15(金) 02:58:59 ID:gnrrHS8s0
割れソフト使ってる犯罪者しかやられないんなら、一般人には関係ないな
85 :[名無し]さん(bin+cue).rar:2008/02/15(金) 10:57:16 ID:+X8Jgv9a0
\(^o^)/
86 :[名無し]さん(bin+cue).rar:2008/02/15(金) 18:49:59 ID:2U9RvQVV0
俺の環境ではキンタマの二次公開の詰め合わせ以外は全くヒットしないんだが
設定などの問題があるんだろうか?
自分が感染した時もUPすらされていなかった。
設定などの問題があるんだろうか?
自分が感染した時もUPすらされていなかった。
87 :[名無し]さん(bin+cue).rar:2008/02/15(金) 23:47:51 ID:iSC6BTOD0
>>80
さっき気付いて今駆除し終わりました。怖いからバックアップ取った後クリーンインストールもする予定だが。
とりあえず皆さんありがとう。超役に立ちました。
ただね。普通にやばめの画像も流れちゃったっぽいw
さっき気付いて今駆除し終わりました。怖いからバックアップ取った後クリーンインストールもする予定だが。
とりあえず皆さんありがとう。超役に立ちました。
ただね。普通にやばめの画像も流れちゃったっぽいw
88 :[名無し]さん(bin+cue).rar:2008/02/18(月) 05:17:57 ID:8h2lsef+0
デスクトップ画像でヤバ目ってどんな画像?
ユーザー名を本名とか会社名とかにしてない限り全然ダメージないよな普通
ユーザー名を本名とか会社名とかにしてない限り全然ダメージないよな普通
89 :[名無し]さん(bin+cue).rar:2008/02/18(月) 06:26:06 ID:p92leLY20
うは感染してたの今気が付いた
2ヶ月丸まる流出とか人生オワタ\(^o^)/
ちなみに参考になるか知らんがShareキャッシュが綺麗に一掃されてて
それでおかしいなと思って調べたらウィルス発見という流れでした
感染時はぱちゅこん確定だけどキャッシュ削除前後数週間は漫画落として解凍せずにミーヤ突っ込むしかしてない
>>74でもあるように起動してるだけでなんかやられてるんじゃなかろうか
2ヶ月丸まる流出とか人生オワタ\(^o^)/
ちなみに参考になるか知らんがShareキャッシュが綺麗に一掃されてて
それでおかしいなと思って調べたらウィルス発見という流れでした
感染時はぱちゅこん確定だけどキャッシュ削除前後数週間は漫画落として解凍せずにミーヤ突っ込むしかしてない
>>74でもあるように起動してるだけでなんかやられてるんじゃなかろうか
90 :[名無し]さん(bin+cue).rar:2008/02/18(月) 06:44:50 ID:WH8PMMIf0
流出しても、おもろそうなネタが入って無い限りコレクターのHDDに死蔵されておしまい
話題になるのは、公務員や有名企業の情報漏洩とか、
ハメ撮り画像が入ってたりとか
一個人の漏洩なんて多すぎて無視される
話題になるのは、公務員や有名企業の情報漏洩とか、
ハメ撮り画像が入ってたりとか
一個人の漏洩なんて多すぎて無視される
91 :[名無し]さん(bin+cue).rar:2008/02/18(月) 11:25:55 ID:p0cI4JsL0
あれの右上に出てるメアドってどこから取得されてるものでしょうか
一つは普段から使ってるhotmailなのですが、もう一つ普段使ってないアドレスがのっていました
どこにも保存されてないと思っていたのですが、PC内から完全にこのメアドを削除したい場合はどうすればいいでしょうか
ちなみに>>59の駆除で今のところ症状はおさまっています
一つは普段から使ってるhotmailなのですが、もう一つ普段使ってないアドレスがのっていました
どこにも保存されてないと思っていたのですが、PC内から完全にこのメアドを削除したい場合はどうすればいいでしょうか
ちなみに>>59の駆除で今のところ症状はおさまっています
92 :[名無し]さん(bin+cue).rar:2008/02/18(月) 18:41:18 ID:sYBSe5G/0
Outlook Expressとかに登録してるなら全部出るぞ
hotmailはMSNメッセンジャーの設定ファイルからだろうし、OEならOEの設定ファイル
あと可能性があるのはレジストリか。自分のメアドでレジストリ検索かけて、引っかかったの
片っ端から消しておけ
hotmailはMSNメッセンジャーの設定ファイルからだろうし、OEならOEの設定ファイル
あと可能性があるのはレジストリか。自分のメアドでレジストリ検索かけて、引っかかったの
片っ端から消しておけ
93 :[名無し]さん(bin+cue).rar:2008/02/18(月) 21:52:49 ID:T0AIwvhZ0
こういうことあるからoutlookは使えない
94 :[名無し]さん(bin+cue).rar:2008/02/20(水) 01:00:25 ID:ZqZruxy30
似非キンタマっつーのが大量に引っかかるとなぁ思ってたらスレがあったのか
95 :[名無し]さん(bin+cue).rar:2008/02/20(水) 20:49:56 ID:OYUskoQd0
似非キンタマは個人情報が
載ってる.txtも流すらしいですねえ
何個かひっかかった
載ってる.txtも流すらしいですねえ
何個かひっかかった
96 :[名無し]さん(bin+cue).rar:2008/02/20(水) 20:58:09 ID:9nC57hHn0
クリップボード常時監視してその内容のテキストが作られてるな
かなり恥ずかしい
かなり恥ずかしい
97 :[名無し]さん(bin+cue).rar:2008/02/21(木) 00:33:53 ID:F/9YzEqU0
98 :[名無し]さん(bin+cue).rar:2008/02/21(木) 01:50:20 ID:gekBVqgR0
ユーザーアカウントやOEの送信者名情報あたりから引っこ抜いてきてんじゃないか?
99 :[名無し]さん(bin+cue).rar:2008/02/21(木) 15:33:16 ID:SvgOqPDn0
ちょ!p2p使って落としたファイルでなくて油断して
フォルダアイコンの拡張子が.exeのファイルクリックしちまった。
でも0バイトのファイルだから・・・・・・大丈夫か?
フォルダアイコンの拡張子が.exeのファイルクリックしちまった。
でも0バイトのファイルだから・・・・・・大丈夫か?
大丈夫
安心しろ
安心しろ