畜生バックドアにやられた。

このエントリーをはてなブックマークに追加
1番組の途中ですが名無しです
PC所有歴6年で初めてバックドア系ウィルスにやられた。
症状
複数のsvchostが常駐してどこかにアクセスしようとする
(ゾネで蹴ってる)
IEのトップページが得体の知れないサイトに
(DonutPの検索窓使うからいいけど)
謎のショートカットがデスクトップに
regeditが起動しない
WMPの関連付けが消えた

AVGアンチウィルス使用。
検知はできたけど、駆除の仕方がわからない
(隔離したらそれ以降検知しなくなったが、症状は出る)
from j102212.ppp.asahi-net.or.jp 61.213.102.212
2 ◆/OhLhLmjPc :04/05/22 11:38 ID:ph6nOHOK
終わりだね、ここ(^^;ワラ
3番組の途中ですが名無しです:04/05/22 11:39 ID:OvZdELgr
鼻毛伸びてるぞ ( ´,_ゝ`)
4番組の途中ですが名無しです:04/05/22 11:39 ID:xSECYkWR
三沢さん
5番組の途中ですが名無しです:04/05/22 11:39 ID:csRoI0g1
バックしたい
ハァハァ
6番組の途中ですが名無しです:04/05/22 11:39 ID:iiWk2cf8
よかったね
7番組の途中ですが名無しです:04/05/22 11:40 ID:5ImmJhHv
畜生バイアグラにやられた。
8番組の途中ですが名無しです:04/05/22 11:40 ID:ad0bwohg
再インスコしかないかね(Win2k)
システムだけ上書きするインスコってないの
9番組の途中ですが名無しです:04/05/22 11:40 ID:VjQwi2WX
ひっかかったファイル全削除しろ
10番組の途中ですが名無しです:04/05/22 11:40 ID:vs0tRCeX
漏れもタスクマネージャみるとsvchostが四つもある
どれ消せばいいのかわからん
11番組の途中ですが名無しです:04/05/22 11:40 ID:PTDThcXi
おまいらきねんぱぴこしてってよ(´・ω・`)

毒男板からきました!!
http://love3.2ch.net/test/read.cgi/sfe/1085192848/
12番組の途中ですが名無しです:04/05/22 11:41 ID:txwmlhIP
トロイの木馬と
バックドア

ってどう違うの?
13番組の途中ですが名無しです:04/05/22 11:41 ID:C0ic5GHb
FDISK 汁
14番組の途中ですが名無しです:04/05/22 11:41 ID:ZdEON2Xg
コマンドプロンプトから
net stop HackerDefender100
って打て
15こさん ◆yXDnqpYtKk :04/05/22 11:41 ID:NrfHBoaf
畜生にバックからやられたに見えた
16番組の途中ですが名無しです:04/05/22 11:41 ID:IABYC9hA
バックベアード
17番組の途中ですが名無しです:04/05/22 11:41 ID:6SzqjLF3
>>12
馬とドア
18番組の途中ですが名無しです:04/05/22 11:42 ID:rJy8mUlf
>>10
それはWinのシステムじゃね?
大文字のはヤバイらしいが。
19名無し募集中。。。:04/05/22 11:42 ID:txwmlhIP
>>10
俺は5個だった。

システム3個
ネットワークサービス、ローカルサービスが各1個。

20番組の途中ですが名無しです:04/05/22 11:42 ID:Gumm1ZIW
svcはクソゲー
21番組の途中ですが名無しです:04/05/22 11:42 ID:NWZ5X7WK

サッサーウイルスと違うの?
22番組の途中ですが名無しです:04/05/22 11:42 ID:38DCKElP
キンタマだろ
ny厨が!
23番組の途中ですが名無しです:04/05/22 11:42 ID:LHiv9XmI
火事の時のあれかと思ったよ
24番組の途中ですが名無しです:04/05/22 11:42 ID:EUM+ItZu
コイズミジュンイチロウ
25番組の途中ですが名無しです:04/05/22 11:43 ID:j1ePxPS3
>>1
タスクマネージャで怪しいの切れよ。
26番組の途中ですが名無しです:04/05/22 11:43 ID:goTYdIJm
svchost.exeって複数起動してるとおかしいの? 俺のもそうなんだが
27番組の途中ですが名無しです:04/05/22 11:43 ID:RBH4AmTw
ものすごい初心者のど素人だね。
28番組の途中ですが名無しです:04/05/22 11:44 ID:ad0bwohg
>>25
怪しいのはアクセス拒否される。

>>14
サービスが制御機能に応答しません。

NET HELPMSG 2186 と入力すると、より詳しい説明が得られます。

と返された。
29番組の途中ですが名無しです:04/05/22 11:44 ID:XCIy1hX/
>>26
普通
30番組の途中ですが名無しです:04/05/22 11:44 ID:NWZ5X7WK

svchostが3つ立ってるけど、ノートンでは検出なし
正常なんかな。
31番組の途中ですが名無しです:04/05/22 11:44 ID:Sp4Aruo7
C.W.ニコル
32番組の途中ですが名無しです:04/05/22 11:44 ID:Xai1egaL
ふらっとばっかー
33番組の途中ですが名無しです:04/05/22 11:44 ID:tnnOB7uy
Windowsなんぞいったん消してしまうのが一番手っ取り早い。
データは全てCドライブ以外に。
いまどきはHDDもたっぷりあるんだから、よく使うアプリの
インストールCDもイメージ化してHDDに入れておく。
Windows再インストールしたら、HDDからDAEMON Toolsなどで
アプリを再インストール。これ最強。
34番組の途中ですが名無しです:04/05/22 11:45 ID:ASqHVmRJ
スパイウェアとキンタマの仕業だろ
釣り?
35番組の途中ですが名無しです:04/05/22 11:45 ID:goTYdIJm
>>29
どうもありがと
36番組の途中ですが名無しです:04/05/22 11:45 ID:RBH4AmTw
>>30
おれのは5つだ。うらやましいだろ。
37番組の途中ですが名無しです:04/05/22 11:45 ID:ESuL5ikJ
svchostが一個しかないけどこれはもしやウイルスですか?
38番組の途中ですが名無しです:04/05/22 11:45 ID:ZdEON2Xg
>>28それでregeditが起動できるようになるし、
隠されてたプロセスも表示されるようになってるはず。けしまくれ
39番組の途中ですが名無しです:04/05/22 11:46 ID:ad0bwohg
>>27
うるさいやいヽ(`Д´)ノ
リンクをjavaで書いてるサイト多すぎでオミトロン切ってたらやられた。
悔しい。

svhostとsvchostってのがあるな。
40番組の途中ですが名無しです:04/05/22 11:46 ID:R6gA5a+Z
ルータ買わない奴は貧乏人
41番組の途中ですが名無しです:04/05/22 11:46 ID:b5z6inyI
とにかくトリプルクリックだ
話はそれからだ
42番組の途中ですが名無しです:04/05/22 11:47 ID:aJywcwWq
>1
ココに行けばお友達がたくさんいらっしゃいます

ttp://pc5.2ch.net/test/read.cgi/pcqa/1084800180/
43番組の途中ですが名無しです:04/05/22 11:47 ID:Xai1egaL
>>39
それ,フォータイムスK1チャンピオンだよ
44番組の途中ですが名無しです:04/05/22 11:48 ID:r74/MwrB
これキンタマじゃないよ
うpろだとかに張ってあるだけで感染するやつ
漏れも前引っかかって駆除にえらい苦労した
一番楽な解決策はXPの復元機能で昨日とか一昨日とかの
感染してない日付に戻せ
45番組の途中ですが名無しです:04/05/22 11:48 ID:Q9dd5JDS
分からないなら再インストールすればいいじゃない
46番組の途中ですが名無しです:04/05/22 11:48 ID:EKpE3MCH
>>19
俺も同じだ。たぶんそれで正常なんじゃないかな
47番組の途中ですが名無しです:04/05/22 11:48 ID:tnnOB7uy
心配なヤツは
Windowsキー(左下のCtrlキーのとなり)を押しながら
E キーを5〜10秒程度押しっぱなしにしろ。
48番組の途中ですが名無しです:04/05/22 11:49 ID:5KAN0njM
w2Kなら3つかな普通
49番組の途中ですが名無しです:04/05/22 11:49 ID:ad0bwohg
>>44
まったく同じ状況
ν速のリンク踏んだらやられた。どんなサイトかは忘れたが。
OS2kなんだよな。しかも起動しっぱなしで1週間ぐらいたっちゃったし。
50番組の途中ですが名無しです:04/05/22 11:49 ID:C0ic5GHb
JAVAアプレットはローカルディスクにアクセスできないだろ。
51番組の途中ですが名無しです:04/05/22 11:49 ID:Q9dd5JDS
52番組の途中ですが名無しです:04/05/22 11:50 ID:Rr+8HZaO
svchostが5個あるんだけど
チサマ等、何個だよヽ(`Д´)ノ
5346:04/05/22 11:50 ID:EKpE3MCH
あ、4個だった。
54番組の途中ですが名無しです:04/05/22 11:50 ID:RBH4AmTw
>>48
2000は3個XPは5個
55番組の途中ですが名無しです:04/05/22 11:50 ID:b5z6inyI
shiftを連打しろ
56番組の途中ですが名無しです:04/05/22 11:50 ID:MeOJp6h+
Backdoor Man を訳せ
57番組の途中ですが名無しです:04/05/22 11:50 ID:3YuLsY9+
オレもこの症状が昨日でて半日かけて直した。
Meたんはシステムの復元も苦手だから参ったよ。
58番組の途中ですが名無しです:04/05/22 11:51 ID:oJrK738P
>>56
やらないか男
59番組の途中ですが名無しです:04/05/22 11:52 ID:6SzqjLF3
2000、XPってアップデートしててもこのテのかかるの?
いや、2000にしようかなと思ってたトコで、現在Me
60番組の途中ですが名無しです:04/05/22 11:52 ID:r74/MwrB
ユーザー名がSYSTEMになってないSVCHOSTがいたらアウト
61番組の途中ですが名無しです:04/05/22 11:53 ID:yEPL6yq0

     ,/””   ”ヽ
   ,/   __ _ ゛
   /   /““  “” ヽ |
   |   / -━  ━.| |
   |   |.  “” l “ .|.|
   (ヽ |   r ・・i.  ||    
   りリリ  /=三t. |  
   |リノ.      |  
    |   、  ー- ' ノ     
   |   ”ー-- '|
62番組の途中ですが名無しです:04/05/22 11:53 ID:C0ic5GHb
ActiveX は切っておけという事だな。
63番組の途中ですが名無しです:04/05/22 11:53 ID:r74/MwrB
む、少し修正
今ログインしてるアカウントのSVCHOSTがいたらアウトか
64番組の途中ですが名無しです:04/05/22 11:53 ID:ad0bwohg
現状。

>>14を実行。

タスクマネージャからsvchostを全て切る。
4つのうち、異常にCPU時間の長かったプロセスが一つ切れた。あとはアクセス拒否。
TClockのCPU使用率グラフがおとなしくなった。それまではものすごい勢いで乱高下してたんだが。

さて、どうしてくれようか。
65万年厨房:04/05/22 11:54 ID:GUKTUk9X
家が燃えたバックドラフトにやられた。
66番組の途中ですが名無しです:04/05/22 11:56 ID:aJywcwWq
元スクリプトは同じでアチコチに悪意で貼られてるから要注意
拡張子はjpgのもある
67番組の途中ですが名無しです:04/05/22 11:57 ID:Xai1egaL
セキュリティ意識の低いスレだな
68番組の途中ですが名無しです:04/05/22 11:58 ID:b5z6inyI
format c: は魔法の合いことば
69番組の途中ですが名無しです:04/05/22 11:58 ID:LozmMi4+
走行していると、
路肩に停車している後部座席のドアが開いて・・・。
70番組の途中ですが名無しです:04/05/22 11:59 ID:5l6GSl5Q
何が原因で感染したの。
71番組の途中ですが名無しです:04/05/22 11:59 ID:RBH4AmTw
>>68
どしろうとが。
72番組の途中ですが名無しです:04/05/22 12:00 ID:ZdEON2Xg
>>64怪しいプロセス全部落としたらSPYBOTをインストールして根こそぎ潰せ。
このウイルスに感染してると半角でSPYBOTとか打っただけでIE落ちるから史上最悪。
73番組の途中ですが名無しです:04/05/22 12:00 ID:yEPL6yq0
最近某画像掲示板に、この手の物がしかけられてたな。
74番組の途中ですが名無しです:04/05/22 12:02 ID:HUVWykeX
エロサイト見てると、ノートン先生がウィルスみつけて勝手に捨てることが最近多くなってきた。
75番組の途中ですが名無しです:04/05/22 12:03 ID:aJywcwWq
>>72
最近のはセキュリティ関連のサイトには行けない仕掛けがしてあるんだ
76番組の途中ですが名無しです:04/05/22 12:03 ID:ESuL5ikJ
どれどれ SPYBOT
77番組の途中ですが名無しです:04/05/22 12:05 ID:j1ePxPS3
SPYBOT
78番組の途中ですが名無しです:04/05/22 12:05 ID:cEuIX2ss
ここで全部"Blocked"にならないやつは池沼

ttp://scan.sygate.com/prequickscan.html
79番組の途中ですが名無しです:04/05/22 12:05 ID:5KAN0njM
漏れも SPYBOT
80番組の途中ですが名無しです:04/05/22 12:05 ID:ad0bwohg
>>72
SPYBOTは入れてあった。
コイツ、SPYBOTの文字列があるフォルダやファイルを隠匿しやがる。
今起動してスキャン中。
81番組の途中ですが名無しです:04/05/22 12:06 ID:8CgQiVDQ
dd if=/dev/nullポ of=/dev/hda
82番組の途中ですが名無しです:04/05/22 12:06 ID:PrZ1hHtC
>>68
バルス
83番組の途中ですが名無しです:04/05/22 12:06 ID:5iRkmpMG
バックドアにやられた。

マッピー?
84番組の途中ですが名無しです:04/05/22 12:06 ID:AI4+xn2E
漏れはブラウザの表示速度が以上に遅くなった。
30秒で完全表示のサイトが5分立っても文字しか表示されない。
ファイルのDL速度は変化なし。
85番組の途中ですが名無しです:04/05/22 12:08 ID:Q9dd5JDS
SPYBOT うわっあqwせdrftgyふじこlp
86番組の途中ですが名無しです:04/05/22 12:09 ID:r74/MwrB
>>78
一番下のICMP ってのだけOPENになっちまったorz
87番組の途中ですが名無しです:04/05/22 12:10 ID:C0ic5GHb
ウェブをアクセスしただけで感染させる方法って何だろう?
JavaアプレットやJavaScriptは関数自体が存在しないし
Cookieの読み書きで感染はしないだろうし。
88番組の途中ですが名無しです:04/05/22 12:10 ID:u88kceh0
おい、1.AVGで検知したんなら、ウイルス名がわかってるだろ。
そのウイルス名を晒せよ、物凄い勢いで。
そのウイルス名を検索エンジンにかければ駆除方法の載ってるサイトが見られる。
たぶんウイルスがそういったセキュリティーのサイトへのアクセスを拒否するから>>1は見られないと思うが、
俺が内容をコピペしてやる。
89番組の途中ですが名無しです:04/05/22 12:12 ID:aJywcwWq
>>87
一度踏んでみれと言いたいところだが
修復が超大変だから言わない
90番組の途中ですが名無しです:04/05/22 12:13 ID:r74/MwrB
>>87
まぁ漏れも含めそう思って安心してたらマジでやられた
なんだかしらんが出来てしまうのは間違いない
どっかにまとめページあったはずだが忘れた
91番組の途中ですが名無しです:04/05/22 12:13 ID:PrZ1hHtC
>>78

Testing . . .
Testing . . .
Testing . . .
.
.
.
うほっ、イイ男。
92番組の途中ですが名無しです:04/05/22 12:14 ID:1H1mty8H
>>78
ルーターだけで全部ブロックした
93番組の途中ですが名無しです:04/05/22 12:15 ID:C0ic5GHb
>>89
ローカルディスクにウィルスプログラムを保存させて
それを実行させるスクリプトってそうは無いだろ
94番組の途中ですが名無しです:04/05/22 12:16 ID:ad0bwohg
>>88
Trojan horse BackDoor.Hacdef.Cだ
今ググったがどうにもね・・・・

SPYBOTでスキャンかけたがcookieばかりヒットした。
Win2kのレジストリで自動起動が書いてあるエントリってどこだっけ。
95番組の途中ですが名無しです:04/05/22 12:17 ID:aJywcwWq
>>93
以前あったIEのバグを利用して実行させる形式なんだけど
修正済みのIEでも感染して発症してるんだ
96番組の途中ですが名無しです:04/05/22 12:17 ID:ZdEON2Xg
>>80ちなみにWMPの実行ファイルそのものが全然違うウイルスファイルに置き換えられてる可能性あるから、
WMP再インストールすることをお勧めする。
program Filesを更新日付でソートして、書き換えた覚えの無いソフトが下の方に来てたら疑え
97番組の途中ですが名無しです:04/05/22 12:17 ID:C0ic5GHb
ActiveX なら可能だけど
98番組の途中ですが名無しです:04/05/22 12:18 ID:BYYFF30J
漏れのバックドアもやられそうです。
99番組の途中ですが名無しです:04/05/22 12:18 ID:u88kceh0
>>78closedが結構あるんだが、これは無問題?closedが12ある。
残りがblock!
100番組の途中ですが名無しです:04/05/22 12:18 ID:6/HKRksf
エロサイト巡回するのが日課な俺はノートン+spybot+ad-aware+ルータで完璧だぜ
101番組の途中ですが名無しです:04/05/22 12:19 ID:1nZDA/B1
ヽ(`Д´)ノ
俺も5つちゃんとあったぞ<XP
102番組の途中ですが名無しです:04/05/22 12:20 ID:HvZ8i1O4
    ↓バックからドアにやられる
.   ____
   | |・∀・| /⌒⌒ヽ
   | |\  |`イ  ノハぃ) カク
.  (( |_|_ィ⌒`」 ‖' 、 ソ|
    ノ と、_入`_,つ λ う
 カク
103番組の途中ですが名無しです:04/05/22 12:20 ID:ulxj/vJq
おまえら馬鹿なんだから素直にOperaなりネスケなりつかってろよ
104番組の途中ですが名無しです:04/05/22 12:21 ID:fIgj4wkl
6年もエロ集めだけしてると>>1になります
105番組の途中ですが名無しです:04/05/22 12:21 ID:v3yZQZ9/
バック好きな女って多いよな
いやマジで
106番組の途中ですが名無しです:04/05/22 12:22 ID:u88kceh0
Hacdefでググレ 
107番組の途中ですが名無しです:04/05/22 12:22 ID:By/zzVTL
バックで逝くのは相手に失礼だと思う
108番組の途中ですが名無しです:04/05/22 12:22 ID:Y20/aaaD
>>72
>>76
>>77
>>79
spybot 半角でって書いてあるけど、俺釣られた?
109番組の途中ですが名無しです:04/05/22 12:24 ID:FsODrX57
なぁ、ルーターが回線とPCの間に入ってればルーターが勝手に弾いてくれるんだろ?

ちなみにポートは殆ど閉じてる
110番組の途中ですが名無しです:04/05/22 12:24 ID:By/zzVTL
どれどれ


spybokki
111番組の途中ですが名無しです:04/05/22 12:24 ID:pRaMnIU4
>>102
ワラタ
112番組の途中ですが名無しです:04/05/22 12:24 ID:ZXEVugG4
>>78
ICMPがOPENになってる。orz
113番組の途中ですが名無しです:04/05/22 12:25 ID:GK73xwzG
4つしかねーよXP
114番組の途中ですが名無しです:04/05/22 12:25 ID:VZ1pMZ7+
spybottotto
115番組の途中ですが名無しです:04/05/22 12:25 ID:vaEqsnYO
SPYBOTでチェックしたら2個見つかった・・・・
最近エロサイトなんぞ見てないに・・・
てことは2ちゃんからアクセスしたサイトでやられた、って事か?
116番組の途中ですが名無しです:04/05/22 12:26 ID:+J31ZPgs
>>1
regedit使えないのはつらいねえ。
セーフモードで起動してみな。
regeditが使えるようになるから。

詳しくは、symantecのサイトを見るがよろし。
117番組の途中ですが名無しです:04/05/22 12:26 ID:pU9KtLtK
怪しいサイトにIEで行くこと自体知障行為。
118番組の途中ですが名無しです:04/05/22 12:27 ID:pRaMnIU4
ICMPってオープンにしとかないと、windows updateとか対応できないんじゃないの?
119番組の途中ですが名無しです:04/05/22 12:27 ID:YeWNFWwF
バックドアってアナルのことだろ?
120番組の途中ですが名無しです:04/05/22 12:27 ID:CGOhAoIy
1211:04/05/22 12:27 ID:ad0bwohg
>>116
今裏で動いてたサービスを停めてregedit起動中
どのエントリを消せばいいんだ?
122番組の途中ですが名無しです:04/05/22 12:28 ID:u88kceh0
hacdefあんまり情報ないなあ。
とりあえずセーフモードで起動してAVGと、スパイボットスキャンは試したか?
123番組の途中ですが名無しです:04/05/22 12:28 ID:aJywcwWq
>>115
SPYBOTの1.3はバグがあるから注意!誤検出する!
124108:04/05/22 12:28 ID:Y20/aaaD
勘違いいてた。
>>77は全角か
125番組の途中ですが名無しです:04/05/22 12:28 ID:vaEqsnYO
>>117
何で行ったらイイ?
126番組の途中ですが名無しです:04/05/22 12:29 ID:NDZ5cjp+
svchomo.exeって消していいの?
127番組の途中ですが名無しです:04/05/22 12:29 ID:C0ic5GHb
WindowsUpdateがIEでしか出来ない理由を考えれば
IEが如何にデンジャーなブラウザであるか解る筈だよね。
128番組の途中ですが名無しです:04/05/22 12:29 ID:rJy8mUlf
>>78
ほとんどCLOSEDなんだが・・・w
129番組の途中ですが名無しです:04/05/22 12:29 ID:t9k/kivf
130番組の途中ですが名無しです:04/05/22 12:29 ID:Br8CREKm
とりあえずmsconfigでスタートアップのチェック全部はずせ

適当
131番組の途中ですが名無しです:04/05/22 12:30 ID:S1PI37Bz
重症の場合は再インストールが吉
1321:04/05/22 12:30 ID:ad0bwohg
>>122
試したんだが、セーフモードでAVGは起動しなかったような。
regeditも同じ。

S PYBOTはcookieしか検知せず。
133番組の途中ですが名無しです:04/05/22 12:31 ID:NltE5BKD
俺なんかOS起動時にexplorerが2個起動してしまう
ちなみに2k
134番組の途中ですが名無しです:04/05/22 12:32 ID:j1ePxPS3
135番組の途中ですが名無しです:04/05/22 12:32 ID:u88kceh0
ファイル名を指定して実行を選んでmsconfig
サービスのタブを選んで、マイクロソフトのサービスを隠すにチェックして、
マイクロソフト以外のサービスの起動を全部とめてみたら?
ま、これだけじゃ復活するけど。
コントロールパネル→管理ツール→サービス→で怪しいサービスを全部無効。
でもとめちゃいけないサービスもあるから危険。
サービスの説明が英語で書いてあったり、何も説明がなかったら怪しいかな。
よくわからなかったらやめとけ。
136番組の途中ですが名無しです:04/05/22 12:32 ID:+J31ZPgs
>>132
ん?
セーフモードでregeditは起動するぞ。AVGは使ったことないのでしらんが。
137番組の途中ですが名無しです:04/05/22 12:35 ID:+6pWAEV5
昔はリンクなんて踏めなかった。
半年ROMって、1年くらいしてようやく踏んだ。
今は反射的に踏んでるから気をつけなきゃ
138番組の途中ですが名無しです:04/05/22 12:35 ID:t9k/kivf
msconfigって9x系だけじゃなかったっけ?
139番組の途中ですが名無しです:04/05/22 12:36 ID:u88kceh0
おい、>>1このサイトは見れるか↓これは、どうよ?
http://www.symantec.com/region/jp/sarcj/data/b/backdoor.hackdefender.html
140139:04/05/22 12:37 ID:u88kceh0
>>139ごめん、これ、関係なさそうだった。
1411:04/05/22 12:38 ID:ad0bwohg
レジストリのエントリにこんなん発見。

C:\WINNT\svhost.exe -sr -0

コイツかぁ?
142番組の途中ですが名無しです:04/05/22 12:42 ID:iPGYoNmk
完璧に消す方法を教えます

Ctrl+ESCを押す
Rを押す
cmdと入力しエンタ
format c:と入力しエンタ
yesかnoかきかれるからyを押す
143番組の途中ですが名無しです:04/05/22 12:43 ID:C0ic5GHb
書きかえられるファイルや症状は詳細に説明されてるが
ウィルスの感染方法が記載されてないのは腑に落ちないなぁ。
144番組の途中ですが名無しです:04/05/22 12:45 ID:u88kceh0
2000ってシステムの復元機能とかないのか?
145番組の途中ですが名無しです:04/05/22 12:48 ID:r74/MwrB
MEとXPだけかな
146番組の途中ですが名無しです:04/05/22 12:48 ID:MBQXU6c/
>>144
あれはmeから
147番組の途中ですが名無しです:04/05/22 12:49 ID:S1PI37Bz
regedit の exe ファイルを削除しやがるやつも中にはあるから注意
148番組の途中ですが名無しです:04/05/22 12:49 ID:CEkOHkC7
http://firedragon.homelinux.com/moelabo/imgboard.cgi
ここ踏んでいろいろうぃるす貰った。まじお勧め
149番組の途中ですが名無しです:04/05/22 12:50 ID:Nryk7rVs
今時バックドアなんてまだあったんだ
150番組の途中ですが名無しです:04/05/22 12:51 ID:fJByrJZ8
ウイルス・トロイのたぐいはたいていrunとかrunoneceセクションに
おかしなスタートアップコマンドが入ってる
151番組の途中ですが名無しです:04/05/22 12:51 ID:u88kceh0
>>1がこのスレッドにこなくなったときは、いじってはいけない場所をいじって、
戻れなくなったとき。
泣きながら再インストールしてるんだろうなあ。
無事帰還することを祈る!
152番組の途中ですが名無しです:04/05/22 12:52 ID:C0ic5GHb
>>148
得体の知れないプラグインをインストールしようとさせてるね
153番組の途中ですが名無しです:04/05/22 12:53 ID:Pkzb5W1P
再インストールは月1回。MEです。
いつもきれい。
154番組の途中ですが名無しです:04/05/22 12:54 ID:t9k/kivf
まぁ素敵なOS
155番組の途中ですが名無しです:04/05/22 12:54 ID:I4ZDWcqz
俺なんてフロントドアに感染しちゃったよ
なんか2chとかいうと所に接続されてる
156番組の途中ですが名無しです:04/05/22 12:55 ID:Y4qMRnvz
俺も >>78 やったら、>>112 みたいに
「ICMPがOPEN」って、なったんだけど?
やばいのかな・・教えてエロエロな人!
1571:04/05/22 12:55 ID:ad0bwohg
HackerDefでレジストリ検索かけたら出るわ出るわ・・・・・

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\HackerDefender100

これってセーフモード時もサービスとして起動するって意味かなぁ
158番組の途中ですが名無しです:04/05/22 12:58 ID:Nryk7rVs
>>78
UPnPとICMPがOPENだった。
159番組の途中ですが名無しです:04/05/22 12:58 ID:kmSId1fT
俺の車の事かと思った
バックドアとフェンダーの間をピンポイントでバットか何かで凹まされた
カーコンで聞いたら修理代2倍近くかかるらしい

初任給消えた・・・
160番組の途中ですが名無しです:04/05/22 12:58 ID:u88kceh0
ん?regedit起動しないのにレジストリ見れるのか?
161番組の途中ですが名無しです:04/05/22 13:00 ID:lmwtLM5x
僕の彼女のパンツはTフロントパンツですが
162番組の途中ですが名無しです:04/05/22 13:00 ID:t9k/kivf
>>156
pingに反応するだけじゃね?
163番組の途中ですが名無しです:04/05/22 13:01 ID:ceyU4Rse
ボットとアドアウェア掛けたら百個以上見つかった。
164番組の途中ですが名無しです:04/05/22 13:03 ID:55hmYD75
ICMPがOPENになってるってのは
釣りなのか?
165:04/05/22 13:03 ID:ad0bwohg
>>160

>>14をやったら起動するようになった。

HackerDefenderを含むエントリが削除できねえ・・・・・。
「サービス」も起動しないし・・・まだ怪しいプロセスがあるってか。
166番組の途中ですが名無しです:04/05/22 13:04 ID:SSdvxv0+
>>78
ノートンが反応した
167番組の途中ですが名無しです:04/05/22 13:09 ID:u88kceh0
PC初心者板とか、ネットセキュリティー板にもでかけて、重複スレッド立ててみたら?
ここにいても>>1を救済できる知識のある神は現れないだろ。
なんかかなり凶悪なトロイみたいだし。

>>166ポートスキャンだから、反応するよ。
ポートスキャンをブロックする機能がついてる。
168番組の途中ですが名無しです :04/05/22 13:11 ID:UIhODb6A
>>78
WEBとIDENTがCLOSEDだった・・・
これはもうダメかもわからんね(´・ω・`)
169番組の途中ですが名無しです:04/05/22 13:13 ID:t9k/kivf
http://pc5.2ch.net/test/read.cgi/pcqa/1065082687/l50
ググったら出てきたけど、同じ症状?読んでないからシランけど。

>>168
俺漏れも
170:04/05/22 13:14 ID:ad0bwohg
とりあえず
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svhost.exe -sr -0 と
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\svhost.exe -sr -0 を消した。
こんな引数引くsvchostは他にないので多分コイツかなと。
一回落ちてsafemodeで起動してきます。んでわ。
171番組の途中ですが名無しです:04/05/22 13:16 ID:VvPfwn4s
出川つまらんうざい氏ね
172番組の途中ですが名無しです:04/05/22 13:17 ID:C0ic5GHb
復旧方法を教えるより、なぜ感染するかを考えた方が>>1の為だよ。
173番組の途中ですが名無しです:04/05/22 13:18 ID:Z7Mr4vWp
>>167
そんなことしたら、 マルチうざい 単発質問スレ立てるな >>1は氏ね

って言われてしまうよ
174番組の途中ですが名無しです:04/05/22 13:22 ID:r74/MwrB
まぁ復旧しても同じことすりゃすぐ元通りなわけだが
175番組の途中ですが名無しです:04/05/22 13:29 ID:IZWydFXg
ヌー即でリンク踏んで海外エロアプロダに飛ばされたら似た様な状態になった。
ブラウザ立ち上げたら勝手にどこかにアクセスしようとする。
スパイボットとノートンでスキャンかけたて削除したら治った様な気がする。
176番組の途中ですが名無しです:04/05/22 13:30 ID:Y4qMRnvz
>>162
て事は進入できる?
177番組の途中ですが名無しです:04/05/22 13:30 ID:zYMoBa6O
ぶっ壊しゃいいじゃん
178番組の途中ですが名無しです:04/05/22 13:34 ID:P/IIlh1b
スタート→ファイル名を指定して実行→taskmgr.exe
プロセスの部分にcsrss.exe smss.exeがある場合プロセスの終了
179万年厨房:04/05/22 13:35 ID:GUKTUk9X
上上下下右左右左BA
180番組の途中ですが名無しです:04/05/22 13:40 ID:EeK3fv9b
フフン。おれはちゃんとICMPもICPOもICBMもブロックしてるぜ!
181番組の途中ですが名無しです:04/05/22 13:42 ID:Y4qMRnvz
>>180
一生、ILOVEYOUもブロック乙
182番組の途中ですが名無しです:04/05/22 13:46 ID:EeK3fv9b
つまりだ。こういうウィルスって言うのは正常なファイルの”振り”してるのが多いから、
とりあえずはタスクマネージャ見て頭文字が大文字になってるのは怪しい。
SystemとSystem Idle Process以外でそうなっているのはとりあえず全部プロセスを終了させろ。
別にシステムがおかしくなったりとかは絶対ないから。
183番組の途中ですが名無しです:04/05/22 13:46 ID:u88kceh0
>>178終了させちゃいけないプロセスを書くな
184番組の途中ですが名無しです:04/05/22 13:58 ID:ZdEON2Xg
つかそもそもサービス使ってOS乗っ取って、都合の悪いファイルやプロセスは表示させないようにするから超厄介。
タスクマネージャにも映らない。
185番組の途中ですが名無しです
1が帰ってこないところを見ると、
いろいろいじくりすぎてパソコン自体が起動しなくなったりとかしたのかなあ。
可愛そうに。