[ウイルス]似非キンタマ[Desktop Live]
51 :[名無し]さん(bin+cue).rar:2008/02/05(火) 01:13:49 ID:XW/OZKqy0
クリーンインスコしかないだろ
バックアップを取ってないから出来ないんだよorz
53 :[名無し]さん(bin+cue).rar:2008/02/05(火) 01:23:56 ID:XW/OZKqy0
取れよ
既に感染したOSのバックアップ取っても意味がないorz
55 :[名無し]さん(bin+cue).rar:2008/02/05(火) 02:04:20 ID:h5EkMIHy0
56 :[名無し]さん(bin+cue).rar:2008/02/05(火) 02:26:29 ID:ZaavKvVa0
>>55
教えていただきマジ感謝
imepadsv.exeさっき探したとき4つか5つぐらいあった
それに目を付けてみます
ara-keyもあったので削除して再起動したらうpフォルダ出来てなかった・・・
探してみたら正規のところ以外に
C:\WINDOWS\system32
C:\WINDOWS\system32\IME
があった。アイコンは単なる実行ファイルのやつ。これは怪しいよね・・・?
教えていただきマジ感謝
imepadsv.exeさっき探したとき4つか5つぐらいあった
それに目を付けてみます
ara-keyもあったので削除して再起動したらうpフォルダ出来てなかった・・・
探してみたら正規のところ以外に
C:\WINDOWS\system32
C:\WINDOWS\system32\IME
があった。アイコンは単なる実行ファイルのやつ。これは怪しいよね・・・?
57 :[名無し]さん(bin+cue).rar:2008/02/05(火) 03:20:26 ID:XJOy+4bp0
regedit.exeの復元も必要のようです
レジストリエディタを起動するとC:\WINDOWS\system32にimepadsv.exeが復元される模様
レジストリエディタを起動するとC:\WINDOWS\system32にimepadsv.exeが復元される模様
58 :[名無し]さん(bin+cue).rar:2008/02/05(火) 04:13:48 ID:ZaavKvVa0
regedit.exeの復元て
C:\WINDOWS\i386\
にあるregedit.exeを
C:\WINDOWS\
にぶち込めばいいんですかね?調べてみたらそーいうことが書いてあったので・・・
確かに削除したつもりでもいつの間にかimepadsv.exeがレジストリにもプロセスにも復活してるorz
C:\WINDOWS\i386\
にあるregedit.exeを
C:\WINDOWS\
にぶち込めばいいんですかね?調べてみたらそーいうことが書いてあったので・・・
確かに削除したつもりでもいつの間にかimepadsv.exeがレジストリにもプロセスにも復活してるorz
59 :[名無し]さん(bin+cue).rar:2008/02/05(火) 08:59:32 ID:tUEnSozq0
漏れがやった駆除方法@OSはXPね、、、
1.システムの復元機能をOFF
2.レジストリエディタを起動し、[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]の
[imepadsv.exe]を削除する。
3.タスクマネージャから[imepadsv.exe]をKill。
4.OSをインストールしたドライブで、[imepadsv.exe]を検索して【C:\WINDOWS\ime\shared内以外】
に存在するimepadsv.exeを削除する。ただし、拡張子がexeではないファイルも引っかかるが
容赦なく削除する。
【注意】
なぜかレジストリの値を消す前にタスクでKillして本体を削除しても復活する。
レジストリ削除後ではなぜか復活しない。
5.続いてOSをインストールしたドライブで、[regedit.exe]を検索して【C:\WINDOWS内以外】
に存在するregedit.exeを削除する。ただし、拡張子がexeではないファイルも引っかかるが
容赦なく削除する。
【補足】
ウィルス本体とおぼしき[regedit.exe]も[imepadsv.exe]も、C:\WINDOWS\system32の中に存在する。
まぁ〜参考にして駆除してみてくれ。
1.システムの復元機能をOFF
2.レジストリエディタを起動し、[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]の
[imepadsv.exe]を削除する。
3.タスクマネージャから[imepadsv.exe]をKill。
4.OSをインストールしたドライブで、[imepadsv.exe]を検索して【C:\WINDOWS\ime\shared内以外】
に存在するimepadsv.exeを削除する。ただし、拡張子がexeではないファイルも引っかかるが
容赦なく削除する。
【注意】
なぜかレジストリの値を消す前にタスクでKillして本体を削除しても復活する。
レジストリ削除後ではなぜか復活しない。
5.続いてOSをインストールしたドライブで、[regedit.exe]を検索して【C:\WINDOWS内以外】
に存在するregedit.exeを削除する。ただし、拡張子がexeではないファイルも引っかかるが
容赦なく削除する。
【補足】
ウィルス本体とおぼしき[regedit.exe]も[imepadsv.exe]も、C:\WINDOWS\system32の中に存在する。
まぁ〜参考にして駆除してみてくれ。
60 :[名無し]さん(bin+cue).rar:2008/02/05(火) 15:59:51 ID:QJu8gmtl0
おおっ 再起動してもimepadsv.exeが起動してないぞ!!うpフォルダもない!!
駆除できたってことか!?やほーい!!今思ったけどimepadsv.exeってowner権限で動くものなのかなぁ?
>>55、57、59
本当にありがとうございました おかげで助かりました。
そういえば俺ぱちゅこんのインスコ、インストーラーじゃなくてコピー形式のやつだった気がする・・・
流れからすると、それにはウイルスは混入してないみたいな感じだけど、
それが本当なら俺はどこから感染したというのだ・・・。一応、C73の東方関係は危ないと警鐘を鳴らしておこう・・・。
駆除できたってことか!?やほーい!!今思ったけどimepadsv.exeってowner権限で動くものなのかなぁ?
>>55、57、59
本当にありがとうございました おかげで助かりました。
そういえば俺ぱちゅこんのインスコ、インストーラーじゃなくてコピー形式のやつだった気がする・・・
流れからすると、それにはウイルスは混入してないみたいな感じだけど、
それが本当なら俺はどこから感染したというのだ・・・。一応、C73の東方関係は危ないと警鐘を鳴らしておこう・・・。
無事削除出来たようで何よりw
ちなみに俺も感染経路がよく分からなかったんだよなぁ・・・
ある日突然何もしてないのにUPフォルダが自動生成されてたから。
ちなみに俺も感染経路がよく分からなかったんだよなぁ・・・
ある日突然何もしてないのにUPフォルダが自動生成されてたから。
62 :[名無し]さん(bin+cue).rar:2008/02/06(水) 04:03:19 ID:0boXqHvU0
P2Pで違法ダウンロードしてなければ感染しないだろ
ある日突然なんてありえない
ある日突然なんてありえない
63 :[名無し]さん(bin+cue).rar:2008/02/06(水) 13:04:24 ID:8lnpINAO0
これ前からあったよな
64 :[名無し]さん(bin+cue).rar:2008/02/06(水) 14:38:34 ID:Hu/SfKi40
65 :[名無し]さん(bin+cue).rar:2008/02/07(木) 00:00:40 ID:9fSrQHlb0
俺もいつのまにかUpフォルダが生成されていたので上記の駆除
(システム復元無効後、regedit及びimepadsvでOSドライブすべてに全条件で検索)
ただ、IMEPADSV.EXE(全部大文字)っていうファイルがC\ProgramFiles\Commonなんとか\ime〜〜
に入ってたがアイコンロゴが正常なimepadsvと同じだし更新日時も近い(ウイルスは2004前後だがこれは2001)
から普通のファイルだと判断して放置中。
今から復元機能戻してしばらく様子を見るぜ
(システム復元無効後、regedit及びimepadsvでOSドライブすべてに全条件で検索)
ただ、IMEPADSV.EXE(全部大文字)っていうファイルがC\ProgramFiles\Commonなんとか\ime〜〜
に入ってたがアイコンロゴが正常なimepadsvと同じだし更新日時も近い(ウイルスは2004前後だがこれは2001)
から普通のファイルだと判断して放置中。
今から復元機能戻してしばらく様子を見るぜ
66 :[名無し]さん(bin+cue).rar:2008/02/07(木) 00:03:06 ID:+ZSF+RRR0
追記。
system32に入っていたウイルスと思われるimepadsvは
使用中で削除できないとエラーを返されたので、
kyosakuなどの強制削除ツールで再起動と同時の削除をオススメする
system32に入っていたウイルスと思われるimepadsvは
使用中で削除できないとエラーを返されたので、
kyosakuなどの強制削除ツールで再起動と同時の削除をオススメする
67 :[名無し]さん(bin+cue).rar:2008/02/07(木) 00:47:13 ID:FD6lwVfE0
68 :[名無し]さん(bin+cue).rar:2008/02/07(木) 00:54:02 ID:FD6lwVfE0
すまん俺のさっきのレスは無視してくれ
69 :[名無し]さん(bin+cue).rar:2008/02/08(金) 20:47:20 ID:A0tJpPYg0
いつの間にか似非キンタマに感染していたようなのですが
自分の情報がどれだけ流出してるか確認出来るサイトなどあるのでしょうか?
自分の情報がどれだけ流出してるか確認出来るサイトなどあるのでしょうか?
70 :[名無し]さん(bin+cue).rar:2008/02/09(土) 13:35:27 ID:4PJCvZPA0
_
┌――─┴┴─――┐
│ セルフサービス .│
└―――┬┬─――┘
││ ./
゛゛'゛'゛ /
/
| \/
\ \
\ノ
┌――─┴┴─――┐
│ セルフサービス .│
└―――┬┬─――┘
││ ./
゛゛'゛'゛ /
/
| \/
\ \
\ノ
71 :[名無し]さん(bin+cue).rar:2008/02/10(日) 16:37:27 ID:yeXKdrBO0
72 :[名無し]さん(bin+cue).rar:2008/02/11(月) 19:13:52 ID:M+YDM4BD0
俺も>>59の方法試してみるぜイェア
73 :[名無し]さん(bin+cue).rar:2008/02/12(火) 01:06:43 ID:2L0JErPf0
_
┌――─┴┴─――┐
│ セルフサービス .│
└―――┬┬─――┘
││ ./
゛゛'゛'゛ /
/
| \/
\ \
\ノ
┌――─┴┴─――┐
│ セルフサービス .│
└―――┬┬─――┘
││ ./
゛゛'゛'゛ /
/
| \/
\ \
\ノ
74 :[名無し]さん(bin+cue).rar:2008/02/12(火) 20:37:59 ID:1fsPvvs30
このウイルス
DL専用で、基本何も実行してないマシンで感染行動の跡が見られた。
IMEPADSVが、Shareに紐ついて動いてたわけだが、同プロセスは
MSの正しいモジュールで動いてた。
Windows\system32配下にもregeditやimepadsvは無い。
レジストリに汚された跡も無い。
なぜそんなことになったかと言えば、そのマシンではShareを
Share専用のアカウントで起動している。
それも、そのアカウントでログオンするわけではなく、別のユーザーとして実行を使う
同アカウントはGuest並みの権限(User権限は削除)で、Share用のフォルダに対してのみ
変更アクセス権を付与する。
そもそも、その怪しいプロセスはShare用のアカウントで動いていた。
操作ミスにしろなんにしろ、自分で実行したものならば、自分のアカウントのプロセスになるはず。
ということは、Share自体に何らかの脆弱性が存在し、外部からのアクションで
特定のプロセスを起動させるような方法が有るのではないか
と、考えられる。
もともとこういう可能性を考慮して、上記のような対策を何年も前から行っていたわけだが、
実際にそんな場面に遭遇するとは・・・。
DL専用で、基本何も実行してないマシンで感染行動の跡が見られた。
IMEPADSVが、Shareに紐ついて動いてたわけだが、同プロセスは
MSの正しいモジュールで動いてた。
Windows\system32配下にもregeditやimepadsvは無い。
レジストリに汚された跡も無い。
なぜそんなことになったかと言えば、そのマシンではShareを
Share専用のアカウントで起動している。
それも、そのアカウントでログオンするわけではなく、別のユーザーとして実行を使う
同アカウントはGuest並みの権限(User権限は削除)で、Share用のフォルダに対してのみ
変更アクセス権を付与する。
そもそも、その怪しいプロセスはShare用のアカウントで動いていた。
操作ミスにしろなんにしろ、自分で実行したものならば、自分のアカウントのプロセスになるはず。
ということは、Share自体に何らかの脆弱性が存在し、外部からのアクションで
特定のプロセスを起動させるような方法が有るのではないか
と、考えられる。
もともとこういう可能性を考慮して、上記のような対策を何年も前から行っていたわけだが、
実際にそんな場面に遭遇するとは・・・。
75 :[名無し]さん(bin+cue).rar:2008/02/12(火) 22:25:43 ID:gLExaYKX0
俺はウイルス駆除後、発症時期にインストールした
ソフトを全て再インストールしてみても再感染しなかった。
どこから感染したのか全くわからない。
ウイルス自体が全ての対策ソフトで発見できなかったし…
ソフトを全て再インストールしてみても再感染しなかった。
どこから感染したのか全くわからない。
ウイルス自体が全ての対策ソフトで発見できなかったし…
76 :[名無し]さん(bin+cue).rar:2008/02/13(水) 18:17:55 ID:dLjS8Oh30
2週間ぐらい前に感染して適当にimepadsv削除してupフォルダ出来なくなってたから安心したら
今日いきなりまた作られ始めててびっくりしたぜ
今日いきなりまた作られ始めててびっくりしたぜ
77 :[名無し]さん(bin+cue).rar:2008/02/13(水) 23:40:35 ID:JAK2eyC30
稀に、
本物のファイルと一緒にautorunとかの.infファイルに偽装してあるウイルスがある
ノートンでもカスペルでもバスターでも反応しない。なぜだ
本物のファイルと一緒にautorunとかの.infファイルに偽装してあるウイルスがある
ノートンでもカスペルでもバスターでも反応しない。なぜだ
78 :[名無し]さん(bin+cue).rar:2008/02/14(木) 12:52:21 ID:qopmil4N0
これかかっている人ホントに少ないのかな?
最新の対策ソフトでも反応しないから、実際にかかっている人もっといるのかもね
何より感染経路が特定できないのがマズイ
最新の対策ソフトでも反応しないから、実際にかかっている人もっといるのかもね
何より感染経路が特定できないのがマズイ
79 :[名無し]さん(bin+cue).rar:2008/02/14(木) 13:08:27 ID:2ffDofIY0
80 :[名無し]さん(bin+cue).rar:2008/02/14(木) 16:28:35 ID:qopmil4N0
>>79
俺めっちゃかかるんだが・・・軽く見ても300くらい
しかも20080214とか、かなりリアルタイムなファイルが流れてるよ
たぶん本人気づいてない・・・
果たして感染経路がぱちゅこんだけなんだろうか?
・・・と思って今マウントしてみたら、隠しファイルかつオペレーティングファイル
扱いになってAutorun.exeが入ってた・・・。しかもマウントした瞬間、imepadsv.exeが起動した。
これで確実にぱちゅこんは黒になった。・・・少なくとも俺の中では。ぱちゅこんは落とさないほうがいい。
コピー形式のやつに入ってる。
俺めっちゃかかるんだが・・・軽く見ても300くらい
しかも20080214とか、かなりリアルタイムなファイルが流れてるよ
たぶん本人気づいてない・・・
果たして感染経路がぱちゅこんだけなんだろうか?
・・・と思って今マウントしてみたら、隠しファイルかつオペレーティングファイル
扱いになってAutorun.exeが入ってた・・・。しかもマウントした瞬間、imepadsv.exeが起動した。
これで確実にぱちゅこんは黒になった。・・・少なくとも俺の中では。ぱちゅこんは落とさないほうがいい。
コピー形式のやつに入ってる。
81 :[名無し]さん(bin+cue).rar:2008/02/14(木) 17:30:07 ID:VR1qWi8w0
shareってUPフォルダ内の隠しファイルってUP対象のファイルに含まれる?
ためしに隠しファイルをUPフォルダに作成してみたんだけど、shareから見たファイル数が0のままなんだよね。
似非キンタマでかかったファイルをいくつか落としてみたんだけど、どれもjpgのデータが
壊れてるみたいで、jpgの生成がエラーになって隠しファイルの設定がされかったファイルが
流れてるのかなって思ってたんだけど。
ためしに隠しファイルをUPフォルダに作成してみたんだけど、shareから見たファイル数が0のままなんだよね。
似非キンタマでかかったファイルをいくつか落としてみたんだけど、どれもjpgのデータが
壊れてるみたいで、jpgの生成がエラーになって隠しファイルの設定がされかったファイルが
流れてるのかなって思ってたんだけど。
82 :[名無し]さん(bin+cue).rar:2008/02/14(木) 18:22:45 ID:7KA14KI40
皆気づかない分地味に性質悪いからそのうちまたどこかの団体で情報流出〜
とかニュース出てくるぞ
とかニュース出てくるぞ
83 :[名無し]さん(bin+cue).rar:2008/02/15(金) 01:20:35 ID:9uUO2jO30
ファイル検索してみたら2007とか2006とかのファイルもあるんだな
皆気づきにくいし被害もそれほどじゃないから昔からあるけど話題に上がらないだけなのかね
皆気づきにくいし被害もそれほどじゃないから昔からあるけど話題に上がらないだけなのかね
84 :[名無し]さん(bin+cue).rar:2008/02/15(金) 02:58:59 ID:gnrrHS8s0
割れソフト使ってる犯罪者しかやられないんなら、一般人には関係ないな
85 :[名無し]さん(bin+cue).rar:2008/02/15(金) 10:57:16 ID:+X8Jgv9a0
\(^o^)/
86 :[名無し]さん(bin+cue).rar:2008/02/15(金) 18:49:59 ID:2U9RvQVV0
俺の環境ではキンタマの二次公開の詰め合わせ以外は全くヒットしないんだが
設定などの問題があるんだろうか?
自分が感染した時もUPすらされていなかった。
設定などの問題があるんだろうか?
自分が感染した時もUPすらされていなかった。
87 :[名無し]さん(bin+cue).rar:2008/02/15(金) 23:47:51 ID:iSC6BTOD0
>>80
さっき気付いて今駆除し終わりました。怖いからバックアップ取った後クリーンインストールもする予定だが。
とりあえず皆さんありがとう。超役に立ちました。
ただね。普通にやばめの画像も流れちゃったっぽいw
さっき気付いて今駆除し終わりました。怖いからバックアップ取った後クリーンインストールもする予定だが。
とりあえず皆さんありがとう。超役に立ちました。
ただね。普通にやばめの画像も流れちゃったっぽいw
88 :[名無し]さん(bin+cue).rar:2008/02/18(月) 05:17:57 ID:8h2lsef+0
デスクトップ画像でヤバ目ってどんな画像?
ユーザー名を本名とか会社名とかにしてない限り全然ダメージないよな普通
ユーザー名を本名とか会社名とかにしてない限り全然ダメージないよな普通
89 :[名無し]さん(bin+cue).rar:2008/02/18(月) 06:26:06 ID:p92leLY20
うは感染してたの今気が付いた
2ヶ月丸まる流出とか人生オワタ\(^o^)/
ちなみに参考になるか知らんがShareキャッシュが綺麗に一掃されてて
それでおかしいなと思って調べたらウィルス発見という流れでした
感染時はぱちゅこん確定だけどキャッシュ削除前後数週間は漫画落として解凍せずにミーヤ突っ込むしかしてない
>>74でもあるように起動してるだけでなんかやられてるんじゃなかろうか
2ヶ月丸まる流出とか人生オワタ\(^o^)/
ちなみに参考になるか知らんがShareキャッシュが綺麗に一掃されてて
それでおかしいなと思って調べたらウィルス発見という流れでした
感染時はぱちゅこん確定だけどキャッシュ削除前後数週間は漫画落として解凍せずにミーヤ突っ込むしかしてない
>>74でもあるように起動してるだけでなんかやられてるんじゃなかろうか
90 :[名無し]さん(bin+cue).rar:2008/02/18(月) 06:44:50 ID:WH8PMMIf0
流出しても、おもろそうなネタが入って無い限りコレクターのHDDに死蔵されておしまい
話題になるのは、公務員や有名企業の情報漏洩とか、
ハメ撮り画像が入ってたりとか
一個人の漏洩なんて多すぎて無視される
話題になるのは、公務員や有名企業の情報漏洩とか、
ハメ撮り画像が入ってたりとか
一個人の漏洩なんて多すぎて無視される
91 :[名無し]さん(bin+cue).rar:2008/02/18(月) 11:25:55 ID:p0cI4JsL0
あれの右上に出てるメアドってどこから取得されてるものでしょうか
一つは普段から使ってるhotmailなのですが、もう一つ普段使ってないアドレスがのっていました
どこにも保存されてないと思っていたのですが、PC内から完全にこのメアドを削除したい場合はどうすればいいでしょうか
ちなみに>>59の駆除で今のところ症状はおさまっています
一つは普段から使ってるhotmailなのですが、もう一つ普段使ってないアドレスがのっていました
どこにも保存されてないと思っていたのですが、PC内から完全にこのメアドを削除したい場合はどうすればいいでしょうか
ちなみに>>59の駆除で今のところ症状はおさまっています
92 :[名無し]さん(bin+cue).rar:2008/02/18(月) 18:41:18 ID:sYBSe5G/0
Outlook Expressとかに登録してるなら全部出るぞ
hotmailはMSNメッセンジャーの設定ファイルからだろうし、OEならOEの設定ファイル
あと可能性があるのはレジストリか。自分のメアドでレジストリ検索かけて、引っかかったの
片っ端から消しておけ
hotmailはMSNメッセンジャーの設定ファイルからだろうし、OEならOEの設定ファイル
あと可能性があるのはレジストリか。自分のメアドでレジストリ検索かけて、引っかかったの
片っ端から消しておけ
93 :[名無し]さん(bin+cue).rar:2008/02/18(月) 21:52:49 ID:T0AIwvhZ0
こういうことあるからoutlookは使えない
94 :[名無し]さん(bin+cue).rar:2008/02/20(水) 01:00:25 ID:ZqZruxy30
似非キンタマっつーのが大量に引っかかるとなぁ思ってたらスレがあったのか
95 :[名無し]さん(bin+cue).rar:2008/02/20(水) 20:49:56 ID:OYUskoQd0
似非キンタマは個人情報が
載ってる.txtも流すらしいですねえ
何個かひっかかった
載ってる.txtも流すらしいですねえ
何個かひっかかった
96 :[名無し]さん(bin+cue).rar:2008/02/20(水) 20:58:09 ID:9nC57hHn0
クリップボード常時監視してその内容のテキストが作られてるな
かなり恥ずかしい
かなり恥ずかしい
97 :[名無し]さん(bin+cue).rar:2008/02/21(木) 00:33:53 ID:F/9YzEqU0
98 :[名無し]さん(bin+cue).rar:2008/02/21(木) 01:50:20 ID:gekBVqgR0
ユーザーアカウントやOEの送信者名情報あたりから引っこ抜いてきてんじゃないか?
99 :[名無し]さん(bin+cue).rar:2008/02/21(木) 15:33:16 ID:SvgOqPDn0
ちょ!p2p使って落としたファイルでなくて油断して
フォルダアイコンの拡張子が.exeのファイルクリックしちまった。
でも0バイトのファイルだから・・・・・・大丈夫か?
フォルダアイコンの拡張子が.exeのファイルクリックしちまった。
でも0バイトのファイルだから・・・・・・大丈夫か?
大丈夫
安心しろ
安心しろ