●● RMT業者の垢ハックが多発している件28 ●●
1 :既にその名前は使われています:
ここはRMT業者が一般プレイヤーのID・パスワードを盗んで不正にログインし、アイテムやギルを奪う事件についてのスレッドです。
詳細は>>2-20くらい、スレ内での報告は報告テンプレで(>>10あたり)
◆垢ハックの予防と自衛が各プレイヤーに求められています!
前スレ ●RMT業者による不正アクセスの報告・対策スレッド26●
http://changi.2ch.net/test/read.cgi/ogame/1215465339/1-100
まとめサイト
【FF11】アカウント不正ログイン被害まとめ(過去ログあり) http://ort.sakura.ne.jp/taisai/
FF11Warning(ハッキングに重点をおいて詳しくまとめてあります) http://miku.a.orn.jp/miku2/
FFIX Virus問題 まとめサイト(初心者さん向け) http://www.eonet.ne.jp/~lunaticwaltz/notvirus_ffxi/
★リアルタイムで被害に遭われている方へ★
まずサポセンに電話し、不正アクセスの被害にあっていると伝えましょう(本人確認の後、対処してくれます)
ttp://www.playonline.com/ff11/rule/uacs01.html
■スクウェア・エニックス インフォメーションセンター
TEL:0570-003-399(PHSからは03-5333-1860)
月曜〜金曜 11:00〜19:00(土・日・祝・指定休日はお休み)
※サポセンが営業時間外の場合は、別アカウントを所持しているならそれでログインしてGMを呼ぶか、
他にログインできるアカウントがない場合はサポセンが開いてから電話をすることになります。
詳細は>>2-20くらい、スレ内での報告は報告テンプレで(>>10あたり)
◆垢ハックの予防と自衛が各プレイヤーに求められています!
前スレ ●RMT業者による不正アクセスの報告・対策スレッド26●
http://changi.2ch.net/test/read.cgi/ogame/1215465339/1-100
まとめサイト
【FF11】アカウント不正ログイン被害まとめ(過去ログあり) http://ort.sakura.ne.jp/taisai/
FF11Warning(ハッキングに重点をおいて詳しくまとめてあります) http://miku.a.orn.jp/miku2/
FFIX Virus問題 まとめサイト(初心者さん向け) http://www.eonet.ne.jp/~lunaticwaltz/notvirus_ffxi/
★リアルタイムで被害に遭われている方へ★
まずサポセンに電話し、不正アクセスの被害にあっていると伝えましょう(本人確認の後、対処してくれます)
ttp://www.playonline.com/ff11/rule/uacs01.html
■スクウェア・エニックス インフォメーションセンター
TEL:0570-003-399(PHSからは03-5333-1860)
月曜〜金曜 11:00〜19:00(土・日・祝・指定休日はお休み)
※サポセンが営業時間外の場合は、別アカウントを所持しているならそれでログインしてGMを呼ぶか、
他にログインできるアカウントがない場合はサポセンが開いてから電話をすることになります。
|
|
|
2 :既にその名前は使われています:2008/07/10(木) 20:52:53 ID:V5Emx5pz
■アカウントハックとは
主に中国のRMT業者(※1)がFF11関係のサイト(blogや情報サイト等)にアカウント情報を吸い出せる
罠ツールを仕掛けたサイトアドレスを貼り、FF11プレイヤーにそれを踏ませることにより
IDとpassを盗んで不正にログインし、所持アイテムやギルをを奪ってしまう(※2)行為の事です。
ログイン時にパスワードも変更され利用者本人がログイン出来なくなることも多々あります。
奪われたアイテムは各鯖にいるアイテム販売用キャラ(※3)が競売や店売りしてる模様。
※1:blogへの書き込みIP、リンクで飛んだ先のHPアドレスの所持者を調べると中国な為
※2:アイテムを奪われるだけの人も居れば、サーバー移動させられてたりキャラが消されていたり
と多種多様の報告があります。
※3:(鯖名3文字+ジョブ名3文字)シリーズ等、必要に応じて複数の鯖に作成される業者の販売担当キャラ。
ttp://karimohu.com/uploader/src/nejitsu11245.png
主に中国のRMT業者(※1)がFF11関係のサイト(blogや情報サイト等)にアカウント情報を吸い出せる
罠ツールを仕掛けたサイトアドレスを貼り、FF11プレイヤーにそれを踏ませることにより
IDとpassを盗んで不正にログインし、所持アイテムやギルをを奪ってしまう(※2)行為の事です。
ログイン時にパスワードも変更され利用者本人がログイン出来なくなることも多々あります。
奪われたアイテムは各鯖にいるアイテム販売用キャラ(※3)が競売や店売りしてる模様。
※1:blogへの書き込みIP、リンクで飛んだ先のHPアドレスの所持者を調べると中国な為
※2:アイテムを奪われるだけの人も居れば、サーバー移動させられてたりキャラが消されていたり
と多種多様の報告があります。
※3:(鯖名3文字+ジョブ名3文字)シリーズ等、必要に応じて複数の鯖に作成される業者の販売担当キャラ。
ttp://karimohu.com/uploader/src/nejitsu11245.png
3 :既にその名前は使われています:2008/07/10(木) 20:53:16 ID:V5Emx5pz
■予防と自衛が各プレイヤーに求められています。
被害に遭わないためにも各自でできる限りの防衛手段を身に着けておきましょう。
【公式より抜粋】
▼内容が不明なサイトにアクセスしない
(blogのレスの名前部分(HPアド)にリンクをつけてリンクアドレスを見せないようにする手口もあります。
絶対にリンクを押す前にアドレスを見る事)
▼不明なサイトにあるソフトウェアのダウンロードを不用意に行わない
▼Windows Updateを定期的に実行し、Windowsを常に最新の状態に保つ
※詳しくはマイクロソフト社の公式サイトを参照のこと。
▼利用しているWebブラウザーなどを定期的にアップデートして常に最新のプログラムを使用する
▼スクウェアエニックス社が使用を認めていない外部ツールを絶対に使用しない
▼ウイルス駆除ソフトを常に最新のバージョンで使用する
被害に遭わないためにも各自でできる限りの防衛手段を身に着けておきましょう。
【公式より抜粋】
▼内容が不明なサイトにアクセスしない
(blogのレスの名前部分(HPアド)にリンクをつけてリンクアドレスを見せないようにする手口もあります。
絶対にリンクを押す前にアドレスを見る事)
▼不明なサイトにあるソフトウェアのダウンロードを不用意に行わない
▼Windows Updateを定期的に実行し、Windowsを常に最新の状態に保つ
※詳しくはマイクロソフト社の公式サイトを参照のこと。
▼利用しているWebブラウザーなどを定期的にアップデートして常に最新のプログラムを使用する
▼スクウェアエニックス社が使用を認めていない外部ツールを絶対に使用しない
▼ウイルス駆除ソフトを常に最新のバージョンで使用する
4 :既にその名前は使われています:2008/07/10(木) 20:53:39 ID:V5Emx5pz
■具体的な自衛策その2
4:IPフィルタを導入する
PeerGuardian2というフリーソフトで特定の国(この場合は特に中国)のIPへのアクセスを遮断できます
★PeerGuardian2の導入・設定方法はここから
リネージュ資料室 ttp://lineage.paix.jp/guide/security/basic-ipfilter.html
このURLを踏みたくない人はgoogleで『リネージュ資料室』で検索してメニューから
セキュリティー対策→IPフィルタ で確認してください。
5:IE以外のウェブブラウザを使用する
Firefox、Opera、Safariなど。
ただしそれぞれのブラウザにもセキュリティホールが見つかることもあるので、ブラウザ自体の
アップデートも行う必要があります。
6:不審な・見覚えの無いURIを踏む必要がある場合は、まずaguse.jpやソースチェッカーを使用する。
http://www.aguse.jp/
URIを入力するとそのページのSSとドメイン情報、各ブラックリストに照らし合わせた結果が表示されます。
ソースチェッカーにはWebページ上のものと、DLして使用できるフリーソフトがあります。
http://so.7walker.net/
4:IPフィルタを導入する
PeerGuardian2というフリーソフトで特定の国(この場合は特に中国)のIPへのアクセスを遮断できます
★PeerGuardian2の導入・設定方法はここから
リネージュ資料室 ttp://lineage.paix.jp/guide/security/basic-ipfilter.html
このURLを踏みたくない人はgoogleで『リネージュ資料室』で検索してメニューから
セキュリティー対策→IPフィルタ で確認してください。
5:IE以外のウェブブラウザを使用する
Firefox、Opera、Safariなど。
ただしそれぞれのブラウザにもセキュリティホールが見つかることもあるので、ブラウザ自体の
アップデートも行う必要があります。
6:不審な・見覚えの無いURIを踏む必要がある場合は、まずaguse.jpやソースチェッカーを使用する。
http://www.aguse.jp/
URIを入力するとそのページのSSとドメイン情報、各ブラックリストに照らし合わせた結果が表示されます。
ソースチェッカーにはWebページ上のものと、DLして使用できるフリーソフトがあります。
http://so.7walker.net/
5 :既にその名前は使われています:2008/07/10(木) 20:59:35 ID:V5Emx5pz
■具体的な自衛策その3
7:SecuniaPSIを導入する
SecuniaPSIというフリーソフトでWindowsUpdateでは更新されない各種アプリケーション、プラグイン、ソフトウェアが最新版であるかどうか
チェックする事が出来ます。最近多発しているソフトウェアの脆弱性を突いたウィルスの感染・攻撃への予防策として有効です。
Secunia公式
https://psi.secunia.com/
Cow&ScorpionのSecuniaPSI RC3ダウンロードページ(日本語解説付き)
http://cowscorpion.com/Security/SecuniaPSI.html
★★もし被害に遭ってしまった場合★★
●「ある日突然登録してあるパスワードでログインできなくなった」もしくは「ある日ログインすると
キャラクターのアイテムやギルが奪われていた」等の、不正アクセスと思しき被害にあった場合は、
まず>>1にあるサポセンの連絡先に電話してパスワードの再発行を受けたり、不正アクセスの被害を
受けたことを報告しましょう。
ttp://www.playonline.com/ff11/rule/uacs01.html
●リアルタイムで被害にあっている場合は、同時にログインできる別アカがある場合はそちらから、
メール・電話・メッセ等のPOL・FF以外の連絡手段がある知人からゲーム内でGMコールを行い、
アカウント凍結の申請を行いましょう。
7:SecuniaPSIを導入する
SecuniaPSIというフリーソフトでWindowsUpdateでは更新されない各種アプリケーション、プラグイン、ソフトウェアが最新版であるかどうか
チェックする事が出来ます。最近多発しているソフトウェアの脆弱性を突いたウィルスの感染・攻撃への予防策として有効です。
Secunia公式
https://psi.secunia.com/
Cow&ScorpionのSecuniaPSI RC3ダウンロードページ(日本語解説付き)
http://cowscorpion.com/Security/SecuniaPSI.html
★★もし被害に遭ってしまった場合★★
●「ある日突然登録してあるパスワードでログインできなくなった」もしくは「ある日ログインすると
キャラクターのアイテムやギルが奪われていた」等の、不正アクセスと思しき被害にあった場合は、
まず>>1にあるサポセンの連絡先に電話してパスワードの再発行を受けたり、不正アクセスの被害を
受けたことを報告しましょう。
ttp://www.playonline.com/ff11/rule/uacs01.html
●リアルタイムで被害にあっている場合は、同時にログインできる別アカがある場合はそちらから、
メール・電話・メッセ等のPOL・FF以外の連絡手段がある知人からゲーム内でGMコールを行い、
アカウント凍結の申請を行いましょう。
6 :既にその名前は使われています:2008/07/10(木) 20:59:57 ID:V5Emx5pz
■警察への通報方法
1:まず住んでいる都道府県警が設置しているサイバー犯罪相談窓口に相談の電話やメール送信をしておきます。
都道府県警察本部のサイバー犯罪相談窓口等一覧
(p)http://www.npa.go.jp/cyber/soudan.htm
2:相談窓口から「所轄の警察署に直接行って相談するように」という返事が来ます。
(この段階を踏まずに直接所轄署に行くと、「専門の窓口に連絡しろ」と言われてしまう可能性があります)
3:所轄署に電話で連絡し、直接訪問して話を聞いてもらえるか確認します。
4:資料を持参して所轄の署に赴き、「利用権の侵害」での被害を報告します。
「たかがゲームのアイテムを取られたからって警察に行くなんて…」という方もいるかもしれませんが、
家族やネット上、またこのスレッド内でそういったことを言われても気にせず警察に相談しください。
利用権の侵害というのは立派な被害です。警察の方もちゃんと話を聞いてくれます。
1:まず住んでいる都道府県警が設置しているサイバー犯罪相談窓口に相談の電話やメール送信をしておきます。
都道府県警察本部のサイバー犯罪相談窓口等一覧
(p)http://www.npa.go.jp/cyber/soudan.htm
2:相談窓口から「所轄の警察署に直接行って相談するように」という返事が来ます。
(この段階を踏まずに直接所轄署に行くと、「専門の窓口に連絡しろ」と言われてしまう可能性があります)
3:所轄署に電話で連絡し、直接訪問して話を聞いてもらえるか確認します。
4:資料を持参して所轄の署に赴き、「利用権の侵害」での被害を報告します。
「たかがゲームのアイテムを取られたからって警察に行くなんて…」という方もいるかもしれませんが、
家族やネット上、またこのスレッド内でそういったことを言われても気にせず警察に相談しください。
利用権の侵害というのは立派な被害です。警察の方もちゃんと話を聞いてくれます。
7 :既にその名前は使われています:2008/07/10(木) 21:00:18 ID:V5Emx5pz
■警察へ行く際に持っていく・用意しておくもの
過去スレで実際に警察へ行った被害者のレスから抜粋
もっていったもの †
o 身分証明、印鑑
o スクエニの会社情報 HPのプリントアウトしたもの
o プレイオンラインサポセンの電話番号
受け答えしてくれたサポセンの人の名前も伝えるといいかも
↑
警察で聞かれたもの †
o プレイオンラインのIDとパスワード
o キャラ名
o 犯行時間帯
o 被害内容(なくなったゲーム内通貨・アイテム)
o プロバイダ
過去スレで実際に警察へ行った被害者のレスから抜粋
もっていったもの †
o 身分証明、印鑑
o スクエニの会社情報 HPのプリントアウトしたもの
o プレイオンラインサポセンの電話番号
受け答えしてくれたサポセンの人の名前も伝えるといいかも
↑
警察で聞かれたもの †
o プレイオンラインのIDとパスワード
o キャラ名
o 犯行時間帯
o 被害内容(なくなったゲーム内通貨・アイテム)
o プロバイダ
8 :既にその名前は使われています:2008/07/10(木) 21:00:45 ID:V5Emx5pz
■このスレの目的
1:予防・自衛の徹底の周知
2:被害報告の収集
3:罠サイトURIの収集
4:被害者が現れた場合に対処をアドバイスする
★age進行(mail欄に何も書かない)でネ実民及びFF11プレイヤーへの周知と啓蒙にご協力ください
☆「スクエニ社に法的責任を!」や「誰が悪いかランキング」、「被害者の会を作れ」等の議論も
この場で行ってくださって構いませんが、スレを見に来た一見さんの質問や被害者の報告は
無視せずに対応してください
1:予防・自衛の徹底の周知
2:被害報告の収集
3:罠サイトURIの収集
4:被害者が現れた場合に対処をアドバイスする
★age進行(mail欄に何も書かない)でネ実民及びFF11プレイヤーへの周知と啓蒙にご協力ください
☆「スクエニ社に法的責任を!」や「誰が悪いかランキング」、「被害者の会を作れ」等の議論も
この場で行ってくださって構いませんが、スレを見に来た一見さんの質問や被害者の報告は
無視せずに対応してください
9 :既にその名前は使われています:2008/07/10(木) 21:12:59 ID:MGvQNy3w
>>3と>>4の間
■具体的な自衛策その1
1:ウイルススキャンソフトを導入する。
・シマンテック、マカフィー、カスペルスキー、トレンドマイクロなどのソフトを有料で購入する。
・avast!、AVG、AntiVir、BitDefenderなどの無料ソフトをダウンロードして使用するという手もあります。
2:Windows UpdateでWindowsを最新の状態にする
Windowsは最初にインストールしただけで万全というわけではなく、次々と発見されるセキュリティホールを
後付で修正し、それをWindows Updateで配布することで安全性を保つようにできています。
一般的には自動更新がされるよう設定されていますが、重いからという理由で自動更新機能を
オフにしている人もいると思います。その場合は必ず定期的に手動で更新を行ってください。
3:ファイアウォールを有効にする
・1に上げた有料ソフト等に同梱されているものや、同じ会社から出ているものを使う
・ベクターや窓の杜などでフリーのファイアウォールソフトを探し、導入する
(2chカテゴリ「ネット関係」>「セキュリティ」板にフリーのファイアウォールソフトの
スレッドがあります。「ファイアウォール」などの単語で検索してください)
■具体的な自衛策その1
1:ウイルススキャンソフトを導入する。
・シマンテック、マカフィー、カスペルスキー、トレンドマイクロなどのソフトを有料で購入する。
・avast!、AVG、AntiVir、BitDefenderなどの無料ソフトをダウンロードして使用するという手もあります。
2:Windows UpdateでWindowsを最新の状態にする
Windowsは最初にインストールしただけで万全というわけではなく、次々と発見されるセキュリティホールを
後付で修正し、それをWindows Updateで配布することで安全性を保つようにできています。
一般的には自動更新がされるよう設定されていますが、重いからという理由で自動更新機能を
オフにしている人もいると思います。その場合は必ず定期的に手動で更新を行ってください。
3:ファイアウォールを有効にする
・1に上げた有料ソフト等に同梱されているものや、同じ会社から出ているものを使う
・ベクターや窓の杜などでフリーのファイアウォールソフトを探し、導入する
(2chカテゴリ「ネット関係」>「セキュリティ」板にフリーのファイアウォールソフトの
スレッドがあります。「ファイアウォール」などの単語で検索してください)
10 :既にその名前は使われています:2008/07/11(金) 00:05:34 ID:KquD+liy
あげ
11 :既にその名前は使われています:2008/07/11(金) 00:06:42 ID:P6+ZEwXt
ハックハック 垢をハック
12 :既にその名前は使われています:2008/07/11(金) 00:17:27 ID:X5jmCttr
13 :既にその名前は使われています:2008/07/11(金) 01:49:02 ID:hshvy6wm
14 :既にその名前は使われています:2008/07/11(金) 02:04:29 ID:OqpU1CEc
29として再利用かな?
15 :既にその名前は使われています:2008/07/11(金) 08:06:23 ID:LOi+sNf2
なのかなsage保守
16 :既にその名前は使われています:2008/07/11(金) 17:31:59 ID:LOi+sNf2
保守
17 :既にその名前は使われています:2008/07/11(金) 19:05:11 ID:5cj2BG8C
このスレの出番が遅けりゃいいんだが
18 :既にその名前は使われています:2008/07/11(金) 19:13:41 ID:grU9Ha9w
とは言うもののもう400突破してるし、明日には来るね
19 :既にその名前は使われています:2008/07/12(土) 01:58:29 ID:xW7ufejW
RMT
20 :既にその名前は使われています:2008/07/12(土) 09:36:43 ID:M8lb3LZn
現行スレは雑談ばっかだからすぐ埋まっちまうな
スレタイが雑談っぽいのがいけないのかw
ほす
スレタイが雑談っぽいのがいけないのかw
ほす
21 :既にその名前は使われています:2008/07/12(土) 12:09:23 ID:5HhWdyTY
あの調子だと現行スレは間もなく埋まっちゃいそうだね〜
22 :既にその名前は使われています:2008/07/12(土) 12:55:16 ID:flPPjnVt
バザーから業者キャラ消えて寂しくなったな、かなり安く売ってくれてて儲かるだろうから買いだめしたんだが
大袖150×5、スピベ1200×3、ルンゴ50×94、属性杖×36本
いなくなったしこれから売り切るかな…杖は銘入りもあるし競売だなw
大袖150×5、スピベ1200×3、ルンゴ50×94、属性杖×36本
いなくなったしこれから売り切るかな…杖は銘入りもあるし競売だなw
23 :既にその名前は使われています:2008/07/12(土) 13:42:26 ID:0KlhaUmt
■■■■■■■■■■■■■■■
続きはこちらでどうぞ
次スレは30でお願いします
続きはこちらでどうぞ
次スレは30でお願いします
24 :既にその名前は使われています:2008/07/12(土) 13:51:03 ID:UfH6vwtl
再利用age
25 :既にその名前は使われています:2008/07/12(土) 13:52:45 ID:8AK4kLwR
前スレ
●● RMT業者の垢ハックが多発している件28 ●●
http://changi.2ch.net/test/read.cgi/ogame/1215690673/
現行スレは
●● RMT業者の垢ハックが多発している件29 ●●
です
●● RMT業者の垢ハックが多発している件28 ●●
http://changi.2ch.net/test/read.cgi/ogame/1215690673/
現行スレは
●● RMT業者の垢ハックが多発している件29 ●●
です
26 :既にその名前は使われています:2008/07/12(土) 14:02:28 ID:TpUINQL2
再利用age
しかし午後になっても新たな被害報告があがって来ないって事は
IP排除がそれなりに効果あったって事かね
しかし午後になっても新たな被害報告があがって来ないって事は
IP排除がそれなりに効果あったって事かね
27 :既にその名前は使われています:2008/07/12(土) 14:05:02 ID:C+XdyQWe
前スレで変なの何匹か沸いたから単に書き込みにくかったのかもなw
28 :既にその名前は使われています:2008/07/12(土) 14:20:31 ID:FXUtgUAB
>>22
盗まれた物で業者にギルを流している事を忘れないでいてください
盗まれた物で業者にギルを流している事を忘れないでいてください
29 :既にその名前は使われています:2008/07/12(土) 14:31:46 ID:WBQHmcLj
なんでスルーできないんだよ…
30 :既にその名前は使われています:2008/07/12(土) 14:39:58 ID:ZKw904x1
この可能性があるかもしれない?
http://japan.cnet.com/blog/lowkick/2008/01/24/entry_25004465/
フラッシュの脆弱性を突いてルーターのUPnPに攻撃しかけて
POLのアクセスしてるポートを開いて覗いてるとか?
だからデフォルトでUPnPがオフになってるVistaは影響受けてないとか?
http://japan.cnet.com/blog/lowkick/2008/01/24/entry_25004465/
フラッシュの脆弱性を突いてルーターのUPnPに攻撃しかけて
POLのアクセスしてるポートを開いて覗いてるとか?
だからデフォルトでUPnPがオフになってるVistaは影響受けてないとか?
31 :既にその名前は使われています:2008/07/12(土) 15:21:18 ID:i7CV4hUq
32 :既にその名前は使われています:2008/07/12(土) 15:46:45 ID:ZKw904x1
>>31
一人だけだがソフトウェアキーボードでパスうっててハックされた報告があった
まず感染してるPOL自体は書き換えされてる様子がない報告があったのと
ウィルスがメモリ上のPOLに直接フックしていくとアンチウィルスが確実に
反応すると思うんだが、そういった検出が出てこないのはPOLには何もせずに
ポートとか転送とかいじってるんじゃないかと思うんだが、どうなんだろう?
一人だけだがソフトウェアキーボードでパスうっててハックされた報告があった
まず感染してるPOL自体は書き換えされてる様子がない報告があったのと
ウィルスがメモリ上のPOLに直接フックしていくとアンチウィルスが確実に
反応すると思うんだが、そういった検出が出てこないのはPOLには何もせずに
ポートとか転送とかいじってるんじゃないかと思うんだが、どうなんだろう?
33 :既にその名前は使われています:2008/07/12(土) 15:46:52 ID:MsR0buEB
26
AHも広告主変えたし、FP脆弱性の件が落ち着いたようにも見える。
対策済みだけど感染したって報告もあったけど、FPのアップデート
より以前に感染していた可能性を、報告してた人はもう一度検証してみて欲しい。
AHが広告主を変える以前は確かにあそこの広告にはトロイがいたけど
先週の末、広告主が変わってからは毎日覗いてるけど確認できないんだよね。
それから経路は広告であってAHではないからな。AHの危険性だけ言うのはAH危険だけど
他は安全って言ってるように聞こえるけど今回やられた人は他でも何度でもやられますから。
AHも広告主変えたし、FP脆弱性の件が落ち着いたようにも見える。
対策済みだけど感染したって報告もあったけど、FPのアップデート
より以前に感染していた可能性を、報告してた人はもう一度検証してみて欲しい。
AHが広告主を変える以前は確かにあそこの広告にはトロイがいたけど
先週の末、広告主が変わってからは毎日覗いてるけど確認できないんだよね。
それから経路は広告であってAHではないからな。AHの危険性だけ言うのはAH危険だけど
他は安全って言ってるように聞こえるけど今回やられた人は他でも何度でもやられますから。
34 :既にその名前は使われています:2008/07/12(土) 15:58:54 ID:WBQHmcLj
35 :既にその名前は使われています:2008/07/12(土) 16:03:40 ID:aKGVvWrD
なんかもうインターネットするってレベルじゃねーぞ!
めんどくさいねぇ
めんどくさいねぇ
36 :既にその名前は使われています:2008/07/12(土) 16:05:30 ID:pbb5wMuW
攻撃に対する自衛についての心構えを変えなきゃアカンってことだよね。
以前は君子危うきに近寄らずってな感じで危険(とされるところ)を避けておけばよかったけど、
最近は昨日まで無害だった所が改竄されて一転危険になるから、そのへんが通用しづらくなってきた。
だから既知の脆弱性なんかについてはきっちりと塞いで、万が一攻撃を受けても被害を食い止められるようにしないといけない。
このスレなんかでできるアドバイスや自衛策も所詮「現時点」でのものでしかないし。
明日にはどうなってるかわからんのだから。
以前は君子危うきに近寄らずってな感じで危険(とされるところ)を避けておけばよかったけど、
最近は昨日まで無害だった所が改竄されて一転危険になるから、そのへんが通用しづらくなってきた。
だから既知の脆弱性なんかについてはきっちりと塞いで、万が一攻撃を受けても被害を食い止められるようにしないといけない。
このスレなんかでできるアドバイスや自衛策も所詮「現時点」でのものでしかないし。
明日にはどうなってるかわからんのだから。
37 :既にその名前は使われています:2008/07/12(土) 16:07:31 ID:MsR0buEB
んー。買ってきたデフォのままのPWを使うってのがすでに理解できないんだけどなぁ。
みんなそんなもんなのかねぇ。
みんなそんなもんなのかねぇ。
38 :既にその名前は使われています:2008/07/12(土) 16:09:12 ID:AtnrwVAT
本来ネットは初心者には手を出せないくらい難易度高くて難しいものなんだがw
特にマルウェア対策は常に最新の情報が要求されるしね
特にマルウェア対策は常に最新の情報が要求されるしね
39 :既にその名前は使われています:2008/07/12(土) 16:21:23 ID:MsR0buEB
>>38
初心者では手が出せないなら学習機会もないってことになる。それは言い過ぎ。
暗号化してないクレカ情報を普通にやり取りしてた
頃もあったからなぁ。難易度上がってるのは事実だわね。
ナローバンドの頃はトロイなんかいたら回線重くて
すぐ気づいたけど今はもう体感wじゃわかんないしね。
なんか割れだなんだって騒いでいた頃はセキュリティ意識も
高かったけどね。
初心者では手が出せないなら学習機会もないってことになる。それは言い過ぎ。
暗号化してないクレカ情報を普通にやり取りしてた
頃もあったからなぁ。難易度上がってるのは事実だわね。
ナローバンドの頃はトロイなんかいたら回線重くて
すぐ気づいたけど今はもう体感wじゃわかんないしね。
なんか割れだなんだって騒いでいた頃はセキュリティ意識も
高かったけどね。
40 :既にその名前は使われています:2008/07/12(土) 16:29:54 ID:ZiMZ6mtO
週末の割にスレが伸びないな?
41 :既にその名前は使われています:2008/07/12(土) 16:32:03 ID:aKGVvWrD
今更お礼は三行時代に戻るのもなあ
新規報告あんまないね確かに
新規報告あんまないね確かに
42 :既にその名前は使われています:2008/07/12(土) 16:36:46 ID:GIukYqU2
まんま中国から接続してたのかねぇ、垢ハック業者は…。
43 :既にその名前は使われています:2008/07/12(土) 16:38:48 ID:qwqOPsku
前スレも最後のほうは煽り厨が暴れてただけだしなw
まぁ被害減ったのはいいことである
まぁ被害減ったのはいいことである
44 :既にその名前は使われています:2008/07/12(土) 16:42:08 ID:UfG17X/K
本当に落ち着いたとしてもどうせ次の手段を考えてくるだろうからな
今度はそっちの対策にかからないといけないかもしれない
今度はそっちの対策にかからないといけないかもしれない
45 :既にその名前は使われています:2008/07/12(土) 16:48:49 ID:qwqOPsku
すぐに最新対策できる自宅警備員がやっぱり最強てことだな
46 :既にその名前は使われています:2008/07/12(土) 16:52:39 ID:/Ux38Ews
フレが今日被害に遭った。詳細は分からないが・・・
47 :既にその名前は使われています:2008/07/12(土) 16:55:51 ID:XWLVzeMB
垢凍結ではいれなくなった時のメッセージって
接続制限と一緒?
接続制限と一緒?
48 :既にその名前は使われています:2008/07/12(土) 16:56:34 ID:PfhTA9Tx
PS2で被害2件ほど聞いたんだが、ほかに聞いた人いない?
49 :既にその名前は使われています:2008/07/12(土) 16:58:29 ID:AtnrwVAT
50 :既にその名前は使われています:2008/07/12(土) 16:59:41 ID:W846WVkO
パス抜かれてる可能性があってまだ自分の垢でログイン出来てる人は、
業者が接続可能な串を探してるいまのうちに、パスの変更とかセキュ対策
しておいてね。
パスの変更は、感染PC以外でね。
業者が接続可能な串を探してるいまのうちに、パスの変更とかセキュ対策
しておいてね。
パスの変更は、感染PC以外でね。
51 :既にその名前は使われています:2008/07/12(土) 16:59:58 ID:qwqOPsku
どうせPS2での被害はコミュ見てたってオチだろ
52 :既にその名前は使われています:2008/07/12(土) 17:02:18 ID:n5+6Rj5h
53 :既にその名前は使われています:2008/07/12(土) 17:06:25 ID:7qArvRod
POLGMコールが逆に待ち人が増えてる・・・・
てか垢ハックは最初からPOLのGMコールすればよかったのね・・・
てか垢ハックは最初からPOLのGMコールすればよかったのね・・・
54 :既にその名前は使われています:2008/07/12(土) 17:18:22 ID:M52ohvuq
このスレの報告増減≠被害者総数の増減だからなんともいえんな。
盗られた奴が必ずココにくるわけじゃないし。
でも接続制限の実施直後だし、一応それが功を奏していると考えるのが
妥当なのかね。一時しのぎでも。
盗られた奴が必ずココにくるわけじゃないし。
でも接続制限の実施直後だし、一応それが功を奏していると考えるのが
妥当なのかね。一時しのぎでも。
55 :既にその名前は使われています:2008/07/12(土) 17:18:33 ID:uil0TKeB
業者も並び始めたんですね
56 :既にその名前は使われています:2008/07/12(土) 17:20:28 ID:XlrE2UyQ
ファイアーウォールの設定 アプリケーションルールでpol.exeの設定
許可しているリモートIPの範囲は
61.195.48.0〜61.195.55.255
61.195.56.0〜61.195.59.255
61.195.60.0〜61.195.63.255
202.67.48.0〜202.67.63.255
219.117.144.0〜219.117.159.255
空けているポート TCP1024-65535 UDP50000-65535
許可しているリモートIPの範囲は
61.195.48.0〜61.195.55.255
61.195.56.0〜61.195.59.255
61.195.60.0〜61.195.63.255
202.67.48.0〜202.67.63.255
219.117.144.0〜219.117.159.255
空けているポート TCP1024-65535 UDP50000-65535
57 :既にその名前は使われています:2008/07/12(土) 17:22:22 ID:XlrE2UyQ
↑の設定で、POLからFFへの切り替えができないんだけどどうしたらいい?
58 :既にその名前は使われています:2008/07/12(土) 17:27:25 ID:3R6YFBPz
>>37
PWってナンすか
PWってナンすか
59 :既にその名前は使われています:2008/07/12(土) 17:29:04 ID:/kLL6cQf
60 :既にその名前は使われています:2008/07/12(土) 17:29:49 ID:wAyfdEH2
>>58
どう考えてもパスワードだと思うんだが。
どう考えてもパスワードだと思うんだが。
61 :既にその名前は使われています:2008/07/12(土) 17:34:24 ID:XlrE2UyQ
>>59
ありがとう!!
ありがとう!!
62 :既にその名前は使われています:2008/07/12(土) 17:40:09 ID:TvOEUgsl
ここで評判のいいカスペルスキー試用版をいれてみた。
セキュリティセンターがウィルスソフト無効になっていると煩い…。
導入時のヘルプにはそれでても平気とあるが、その後がないから、
自分管理で無視設定かなー。学習モードにしたけど、初心者には使いずらそうだw
つか、バスターwに慣れてるからサッパリだぜw
セキュリティセンターがウィルスソフト無効になっていると煩い…。
導入時のヘルプにはそれでても平気とあるが、その後がないから、
自分管理で無視設定かなー。学習モードにしたけど、初心者には使いずらそうだw
つか、バスターwに慣れてるからサッパリだぜw
63 :既にその名前は使われています:2008/07/12(土) 17:40:53 ID:lefBJaBj
>>59
PasuWardoフイタw
PasuWardoフイタw
64 :既にその名前は使われています:2008/07/12(土) 17:41:44 ID:XlrE2UyQ
>>63
PasuWaadoの方がさらに間抜けでよさそうかも(*'-')
PasuWaadoの方がさらに間抜けでよさそうかも(*'-')
65 :既にその名前は使われています:2008/07/12(土) 17:54:39 ID:iblvBXaS
PeerGuardian2でPOLの許可の仕方
SQUARE ENIX:61.195.48.0-61.195.55.255
SQUARE ENIX:61.195.56.0-61.195.59.255
SQUARE ENIX:61.195.60.0-61.195.63.255
SQUARE ENIX:202.67.48.0-202.67.63.255
SQUARE ENIX:219.117.144.0-219.117.159.255
↑をメモ帳などにコピーし、SQUARE ENIX.txtとかの名前で
PeerGuardian2のlistsフォルダー内に保存
PG2の[リスト管理]ボタンを押す
[追加(A)]ボタンを押す
「説明」のテキストボックスに“pol”(半角英数ならなんでもいい)と入力する
「場所」の[ファイル]ラジオボタンを選んだまま[参照]ボタンを押す
さっき保存した“SQUARE ENIX.txt”を選んで[開く(O)]ボタンを押す
「種類」の[許可]ラジオボタンが選択されていることを確認して[OK]ボタンを押す
リスト管理のウィンドウを閉じる
SQUARE ENIX:61.195.48.0-61.195.55.255
SQUARE ENIX:61.195.56.0-61.195.59.255
SQUARE ENIX:61.195.60.0-61.195.63.255
SQUARE ENIX:202.67.48.0-202.67.63.255
SQUARE ENIX:219.117.144.0-219.117.159.255
↑をメモ帳などにコピーし、SQUARE ENIX.txtとかの名前で
PeerGuardian2のlistsフォルダー内に保存
PG2の[リスト管理]ボタンを押す
[追加(A)]ボタンを押す
「説明」のテキストボックスに“pol”(半角英数ならなんでもいい)と入力する
「場所」の[ファイル]ラジオボタンを選んだまま[参照]ボタンを押す
さっき保存した“SQUARE ENIX.txt”を選んで[開く(O)]ボタンを押す
「種類」の[許可]ラジオボタンが選択されていることを確認して[OK]ボタンを押す
リスト管理のウィンドウを閉じる
66 :既にその名前は使われています:2008/07/12(土) 17:59:43 ID:XlrE2UyQ
上の3行、61.195.48.0-61.195.63.255ってまとめちゃっちゃダメなん?(´・ω・`)
67 :既にその名前は使われています:2008/07/12(土) 18:25:49 ID:pNmvgauC
>>66
現状問題ない。けど、スクエニが上のように登録している。
たとえば、一行目は、61.195.48.0/21というIPで登録されている。
最後の「/21」の部分はビットマスクが21bitだと言うこと。
ビットマスクってのは説明すると面倒だからググって欲しいが、
要はマスクされているところ(ビットが1のところ)は固定、そうでないところ(ビットが0のところ)は可変と言うこと。
61.195.48.0を全部2進数に直すと、
00111101 11000011 00110000 00000000
ビットマスクが21bitなので、
11111111 11111111 11111000 00000000
すなわち、
00111101 11000011 00110000 00000000 から
00111101 11000011 00110111 11111111 までが登録してるIPになる。
これを10進数に戻せば
61.195.48.0〜61.195.55.255になるので、一行目のような記述になる。
このような登録の仕方をスクエニが連続して複数のIP帯域に渡って登録しているから、つながった領域が分かれて書かれているってだけ。
将来、スクエニが一部だけサーバーのIP帯域を変更した場合、連続して書いておくと書き直しがめんどくさい。
61.195.48.0/21とかいうIPアドレスの読み方知らない人のが多いだろうから、ちょっと詳しく書いてみた。
現状問題ない。けど、スクエニが上のように登録している。
たとえば、一行目は、61.195.48.0/21というIPで登録されている。
最後の「/21」の部分はビットマスクが21bitだと言うこと。
ビットマスクってのは説明すると面倒だからググって欲しいが、
要はマスクされているところ(ビットが1のところ)は固定、そうでないところ(ビットが0のところ)は可変と言うこと。
61.195.48.0を全部2進数に直すと、
00111101 11000011 00110000 00000000
ビットマスクが21bitなので、
11111111 11111111 11111000 00000000
すなわち、
00111101 11000011 00110000 00000000 から
00111101 11000011 00110111 11111111 までが登録してるIPになる。
これを10進数に戻せば
61.195.48.0〜61.195.55.255になるので、一行目のような記述になる。
このような登録の仕方をスクエニが連続して複数のIP帯域に渡って登録しているから、つながった領域が分かれて書かれているってだけ。
将来、スクエニが一部だけサーバーのIP帯域を変更した場合、連続して書いておくと書き直しがめんどくさい。
61.195.48.0/21とかいうIPアドレスの読み方知らない人のが多いだろうから、ちょっと詳しく書いてみた。
68 :既にその名前は使われています:2008/07/12(土) 18:31:49 ID:XlrE2UyQ
(@_@;
69 :既にその名前は使われています:2008/07/12(土) 18:36:28 ID:jfUfnfVI
>>30
怖かったのでルーターのupnp設定オフにしといた
怖かったのでルーターのupnp設定オフにしといた
70 :既にその名前は使われています:2008/07/12(土) 18:40:45 ID:nkhtIde3
ここですら釣りする阿呆がおるのがのう。
71 :既にその名前は使われています:2008/07/12(土) 18:45:54 ID:pNmvgauC
Windowsサービスの
Universal Plug and Play Device Host
SSDP Discovery Service
もUPnPがらみのサービスだからOFFに。
だたし、これ切るとUPnPをサポートしてるソフト起動時に、
イベントビューアにDCOMのエラーが記録されるので、気になるならそのままでもいい。
ルーター側で切ってあれば問題ないはず。
Universal Plug and Play Device Host
SSDP Discovery Service
もUPnPがらみのサービスだからOFFに。
だたし、これ切るとUPnPをサポートしてるソフト起動時に、
イベントビューアにDCOMのエラーが記録されるので、気になるならそのままでもいい。
ルーター側で切ってあれば問題ないはず。
72 :既にその名前は使われています:2008/07/12(土) 18:46:22 ID:tYkWI3GT
■の対策もまんざらじゃないのか、それとも巻き込みくらっただけなのか
さばの全人口がいつもより少ない
さばの全人口がいつもより少ない
73 :既にその名前は使われています:2008/07/12(土) 19:07:49 ID:URyWA61d
74 :既にその名前は使われています:2008/07/12(土) 19:09:15 ID:f2IOiL+u
まーたそのうちゴキブリみたいに増えるでしょ
やらなかったのは中国からの接続って分かればバンとか調査もやりやすかったからでは無いかと想像
やらなかったのは中国からの接続って分かればバンとか調査もやりやすかったからでは無いかと想像
75 :既にその名前は使われています:2008/07/12(土) 19:12:43 ID:cTX8YdKu
SYN flood 攻撃こわい;;
おれ涙目;;
おれ涙目;;
76 :既にその名前は使われています:2008/07/12(土) 19:20:26 ID:rn4lgY0v
6月初旬にFlashPlayerの脆弱性で感染、WindowsUpdateがフリーズし、
シャットダウンが遅くなって、いまだに垢ハックされていない。
POLの起動でエラーが発生しなかったらとりあえず大丈夫ってことなんだろうか。
シャットダウンが遅くなって、いまだに垢ハックされていない。
POLの起動でエラーが発生しなかったらとりあえず大丈夫ってことなんだろうか。
77 :既にその名前は使われています:2008/07/12(土) 19:23:18 ID:Zc+2x6Ko
>>76
ハックされなくて良かったな
ハックされなくて良かったな
78 :既にその名前は使われています:2008/07/12(土) 19:23:29 ID:meM+jC4u
今後が楽しみでいいんじゃねw
79 :既にその名前は使われています:2008/07/12(土) 19:25:44 ID:pbb5wMuW
>>76
パス漏れてるけど処理待ちってのもあるから何とも言えない
とりあえずPCをクリーンにしてからパス変更しといたら。
WindowsUpdate受けられないままだと、新たに明らかになった脆弱性の修正パッチも受けられないから、
そっち経由でやられるかもしれないよ。
パス漏れてるけど処理待ちってのもあるから何とも言えない
とりあえずPCをクリーンにしてからパス変更しといたら。
WindowsUpdate受けられないままだと、新たに明らかになった脆弱性の修正パッチも受けられないから、
そっち経由でやられるかもしれないよ。
80 :既にその名前は使われています:2008/07/12(土) 19:27:53 ID:oXB8JG43
Bard Life in FinalFantasy
上記名前のブログ汚染されてるのかものすごい勢いで
危険URLはじくな
火狐で画像表示、script全て拒否にしたら飛ばなくなって
画像表示のみ許すとURLへのアクセス始めるんだが、これscript以外で画像に罠でもあるんかな?
上記名前のブログ汚染されてるのかものすごい勢いで
危険URLはじくな
火狐で画像表示、script全て拒否にしたら飛ばなくなって
画像表示のみ許すとURLへのアクセス始めるんだが、これscript以外で画像に罠でもあるんかな?
81 :既にその名前は使われています:2008/07/12(土) 19:29:50 ID:Zc+2x6Ko
>>80 aguseでチェックしてみろ
82 :既にその名前は使われています:2008/07/12(土) 19:31:59 ID:oXB8JG43
83 :既にその名前は使われています:2008/07/12(土) 19:34:21 ID:oXB8JG43
ちなみにはじくのは
666■lyzh■com
危険URLとして出てくる場所
666■lyzh■com
危険URLとして出てくる場所
84 :既にその名前は使われています:2008/07/12(土) 19:34:35 ID:Zc+2x6Ko
怪しいと思ったら見ない方がいいよ
85 :既にその名前は使われています:2008/07/12(土) 19:37:02 ID:UfG17X/K
>>82
俺も見てきたけど666lyzhcomがブロックされてるねー
俺も見てきたけど666lyzhcomがブロックされてるねー
86 :既にその名前は使われています:2008/07/12(土) 20:02:35 ID:x91tDQ5h
気軽にネットを見れないなんて、どんなMMOだよ。
■eは今すぐにでもトークンキーを導入しなさい。
■eは今すぐにでもトークンキーを導入しなさい。
87 :既にその名前は使われています:2008/07/12(土) 20:06:33 ID:W8vdPRwu
トークンキーってなにかな
88 :既にその名前は使われています:2008/07/12(土) 20:08:36 ID:7qArvRod
POLGMコールして半日たちました
89 :既にその名前は使われています:2008/07/12(土) 20:09:41 ID:AtnrwVAT
セキュリティ意識しないで気軽にネット見るほうがどうかしてる
FFに限らず別のウィルスやスパイウェアもあるっていうのに^^;
FFに限らず別のウィルスやスパイウェアもあるっていうのに^^;
90 :既にその名前は使われています:2008/07/12(土) 20:10:12 ID:f72HSXKh
POLの待機番号が昨日から一気に5000番ほど増えてた。
何故待機番号が増える、何故増えるんだ。待機番号じゃないのか
何故待機番号が増える、何故増えるんだ。待機番号じゃないのか
91 :既にその名前は使われています:2008/07/12(土) 20:12:45 ID:UfG17X/K
>>88
何度か言われているが、あれはゲーム内と同じ順番待ちっぽいよ。
たとえば1人待ちだったとしても、POL内でGMしている人の待ち件数が1なだけで
FF内のとあわせると101番目っていう可能性もある。
何度か言われているが、あれはゲーム内と同じ順番待ちっぽいよ。
たとえば1人待ちだったとしても、POL内でGMしている人の待ち件数が1なだけで
FF内のとあわせると101番目っていう可能性もある。
92 :既にその名前は使われています:2008/07/12(土) 20:15:55 ID:M52ohvuq
現状アクセス可能なPCからの盗用作業をなんとか成功させるために、
業者が空コールして被盗用アカウントの凍結依頼を妨げてたりして。
93 :既にその名前は使われています:2008/07/12(土) 20:16:56 ID:q86YQOv2
シャットダウンが遅いとかWUでフリーズするとか典型的な症状が出てるPCなんだけど、
さっきAVGがCドライブのSystem Volume Informationの中の何かのexeに反応した
system32直下にあったsvcchost.exeに反応したっぽい?
今までこんなとこにsvcchost.exeは無かったしオールスキャンしてもAVGはスルーだったのに
System Volume Informationフォルダだけもう一回スキャンしたらもう反応なかった
やっぱハッキングのウィルスかな?
さっきAVGがCドライブのSystem Volume Informationの中の何かのexeに反応した
system32直下にあったsvcchost.exeに反応したっぽい?
今までこんなとこにsvcchost.exeは無かったしオールスキャンしてもAVGはスルーだったのに
System Volume Informationフォルダだけもう一回スキャンしたらもう反応なかった
やっぱハッキングのウィルスかな?
94 :既にその名前は使われています:2008/07/12(土) 20:24:04 ID:kuAYXufs
>>86
ネ実民はFFでの被害がおおいってだけで、
本来はいろんなパスを抜くための複合ウイルスやらトロイのはずだろ?
その対策は入れてもらえるとうれしいが、
根本的にウイルスに引っかからないようにするのは各個人でヤルシカネェ。
ネ実民はFFでの被害がおおいってだけで、
本来はいろんなパスを抜くための複合ウイルスやらトロイのはずだろ?
その対策は入れてもらえるとうれしいが、
根本的にウイルスに引っかからないようにするのは各個人でヤルシカネェ。
95 :既にその名前は使われています:2008/07/12(土) 20:30:28 ID:dqtCnsIk
これだけスレが進んでるのに感染しているのかどうかを簡単にチェックする方法がみつかってないとは
どんだけネ実のレベル低下してんだよ
どんだけネ実のレベル低下してんだよ
96 :既にその名前は使われています:2008/07/12(土) 20:34:24 ID:wopogBHW
97 :既にその名前は使われています:2008/07/12(土) 20:36:17 ID:UfG17X/K
98 :既にその名前は使われています:2008/07/12(土) 20:44:06 ID:qOnis7C4
svchostがPOLに介入しかけてますアラートの報告は結構あるしー。
OS起動時にレジストリキーから起動かけられて常駐監視してるのかなーおもってたけどプロセスリストにも怪しげなのは見つかってないぽいし。
POLのレジストリキーにPOL横取りマルウェアの起動キーしこまれてるかもねー。可能性の話。
OS起動時にレジストリキーから起動かけられて常駐監視してるのかなーおもってたけどプロセスリストにも怪しげなのは見つかってないぽいし。
POLのレジストリキーにPOL横取りマルウェアの起動キーしこまれてるかもねー。可能性の話。
99 :既にその名前は使われています:2008/07/12(土) 20:44:14 ID:VByqSa/C
>>87
ワンタイムパスワードに使うやつならこれ
超簡単編
http://pc.nikkeibp.co.jp/article/trend/20080612/1004692/
そこそこ普通編
http://www.atmarkit.co.jp/aig/02security/onetimepassword.html
ワンタイムパスワードに使うやつならこれ
超簡単編
http://pc.nikkeibp.co.jp/article/trend/20080612/1004692/
そこそこ普通編
http://www.atmarkit.co.jp/aig/02security/onetimepassword.html
100 :既にその名前は使われています:2008/07/12(土) 20:46:10 ID:iblvBXaS
実は■eの管理鯖がハックされてて
各PCはインアウトの確認だけだったりしてなw
各PCはインアウトの確認だけだったりしてなw
101 :既にその名前は使われています:2008/07/12(土) 20:54:24 ID:URyWA61d
実は一番怪しいのがスクエニだったりして
102 :既にその名前は使われています:2008/07/12(土) 20:59:54 ID:qOnis7C4
103 :既にその名前は使われています:2008/07/12(土) 21:04:07 ID:W8vdPRwu
許可しなきゃFFできないじゃん
104 :既にその名前は使われています:2008/07/12(土) 21:06:52 ID:UfG17X/K
105 :既にその名前は使われています:2008/07/12(土) 21:10:47 ID:0KlhaUmt
>>102
全部はじいてスクエニだけ許可
全部はじいてスクエニだけ許可
106 :既にその名前は使われています:2008/07/12(土) 21:14:40 ID:qOnis7C4
全部弾いてそこだけ穴あけるなら納得w
107 :既にその名前は使われています:2008/07/12(土) 21:17:27 ID:M8lb3LZn
p2pを弾くというよりは
p2pする時うっかり企業に接続しないように弾くって感じじゃね、あれ
S○NY系の企業とかがポートスキャン仕掛けてきたりしてるの見えて結構面白いけどなw
p2pする時うっかり企業に接続しないように弾くって感じじゃね、あれ
S○NY系の企業とかがポートスキャン仕掛けてきたりしてるの見えて結構面白いけどなw
108 :既にその名前は使われています:2008/07/12(土) 21:18:53 ID:wopogBHW
汚いな糞NYさすが汚い
109 :既にその名前は使われています:2008/07/12(土) 21:42:09 ID:mpjK8CNf
この週末は被害報告が今のところ少ないな?
110 :既にその名前は使われています:2008/07/12(土) 21:43:13 ID:CJQ0bpYS
未明にやられる→明日の昼らへんに報告ラッシュとか
111 :既にその名前は使われています:2008/07/12(土) 21:46:51 ID:OQ43epUY
IP規制でこれだけ抑えられてるッテ事か?
BOT業者はともかく、アカハックは劇的に少ないね。
なんか■側に穴あって気付いて埋めたのかと勘ぐりたくもなる
BOT業者はともかく、アカハックは劇的に少ないね。
なんか■側に穴あって気付いて埋めたのかと勘ぐりたくもなる
112 :既にその名前は使われています:2008/07/12(土) 21:47:40 ID:7qArvRod
中古のPS2BBパックにウイルスしこんであるとかないよね?w
113 :既にその名前は使われています:2008/07/12(土) 21:48:14 ID:juijE810
週末だというのに、スレ遅め
114 :既にその名前は使われています:2008/07/12(土) 21:58:38 ID:guj+pI4L
滅多にanonにしないフレがanonにして
まずソロで行かないようなとこにソロ特攻した後、今もフラついてる…
Tell返事ないんだけどwwwwPS2プレイヤーも危ないの?
まずソロで行かないようなとこにソロ特攻した後、今もフラついてる…
Tell返事ないんだけどwwwwPS2プレイヤーも危ないの?
115 :既にその名前は使われています:2008/07/12(土) 22:02:38 ID:OJKdvb/k
危ないよ
116 :既にその名前は使われています:2008/07/12(土) 22:03:23 ID:CJQ0bpYS
ただ単に【今は独りで行動したいんです。】だったりして
117 :既にその名前は使われています:2008/07/12(土) 22:05:03 ID:guj+pI4L
ものすごい早とちりしたorz
エリア連発でTell届かなくて、ただサポ割れしたままフラフラしてただけらしい
フレ繋がりでハックされた人も出てるからちょっと珍しいことするとびびるなぁ
エリア連発でTell届かなくて、ただサポ割れしたままフラフラしてただけらしい
フレ繋がりでハックされた人も出てるからちょっと珍しいことするとびびるなぁ
118 :既にその名前は使われています:2008/07/12(土) 22:18:31 ID:2C3Wn5u9
WIN起動直後にwmiprvseが動いてるのを確認したんだけれど仕込まれてます?
POLは問題なく起動しました
POLは問題なく起動しました
119 :既にその名前は使われています:2008/07/12(土) 22:18:37 ID:NpoJGXy2
前スレにあった
うちのPOLクライアントは大丈夫だろうか・・・>>72見るとおっかねーよ;;という人のための簡単チェック。
0.PC再起動。
1.POLの自動ログイン及びパス保存は解除しておく。
2.スタート>アクセサリ>コマンドプロンプト起動。
3.POL起動(まだ接続しない
4.コマンドプロンプトで netstat -b コマンド投入。
Proto Local Address FreignAddress State PIDの下ににズラズラーっと現在接続しているアプリケーションとIP、Portなどの情報がでるのでPOL.exeがないことを確認。
5.POLでデタラメアカウント情報で接続、ユーザ名caonima5963 Pass 4649などでも。
6.ピロピロいってる最中にカカっとコマンドプロンプトにマッハ。netstat -b投入。
そうすると今度はPOL.exeの接続先が出てきているはず。というか感染していると接続後異常終了する可能性が高い?
7.その接続先が>>71にあるリモートIPのどれかであれば、POLが変なところにID/PASSは送信していないと思われる。それ以外のところに繋がっていたら危ないヤカン。パス変更マッハ。
8.POLが変なところに接続してないようなら、再度正規のID/PASSつっこんでログイン。
こんなんでとりあえずどうだろうか・・・穴あったら指摘して都度修正してくだちい。
前スレで有志の方がかいてくれたもの 一応おいとく
うちのPOLクライアントは大丈夫だろうか・・・>>72見るとおっかねーよ;;という人のための簡単チェック。
0.PC再起動。
1.POLの自動ログイン及びパス保存は解除しておく。
2.スタート>アクセサリ>コマンドプロンプト起動。
3.POL起動(まだ接続しない
4.コマンドプロンプトで netstat -b コマンド投入。
Proto Local Address FreignAddress State PIDの下ににズラズラーっと現在接続しているアプリケーションとIP、Portなどの情報がでるのでPOL.exeがないことを確認。
5.POLでデタラメアカウント情報で接続、ユーザ名caonima5963 Pass 4649などでも。
6.ピロピロいってる最中にカカっとコマンドプロンプトにマッハ。netstat -b投入。
そうすると今度はPOL.exeの接続先が出てきているはず。というか感染していると接続後異常終了する可能性が高い?
7.その接続先が>>71にあるリモートIPのどれかであれば、POLが変なところにID/PASSは送信していないと思われる。それ以外のところに繋がっていたら危ないヤカン。パス変更マッハ。
8.POLが変なところに接続してないようなら、再度正規のID/PASSつっこんでログイン。
こんなんでとりあえずどうだろうか・・・穴あったら指摘して都度修正してくだちい。
前スレで有志の方がかいてくれたもの 一応おいとく
120 :既にその名前は使われています:2008/07/12(土) 22:19:26 ID:lFiPxk1u
WMIはsystem32\wbem\のなら正規の物だと何度言えば
121 :既にその名前は使われています:2008/07/12(土) 22:19:26 ID:nkhtIde3
122 :既にその名前は使われています:2008/07/12(土) 22:50:16 ID:XWLVzeMB
午前中からまってるPOLGMコールがまだ繋がらない。
これ繋がるの真夜中かな…
これ繋がるの真夜中かな…
123 :既にその名前は使われています:2008/07/12(土) 22:56:44 ID:g8YmKcJ8
GMチャットモードって復旧作業開始してるからじゃなくて、
アカウントを一時凍結してるからだよね??
もう2週間以上経つけど、なにもねーから復旧作業してんのかどうかわかんねーyp
アカウントを一時凍結してるからだよね??
もう2週間以上経つけど、なにもねーから復旧作業してんのかどうかわかんねーyp
124 :既にその名前は使われています:2008/07/12(土) 22:59:01 ID:SbimFrG1
125 :既にその名前は使われています:2008/07/12(土) 22:59:40 ID:GIukYqU2
126 :既にその名前は使われています:2008/07/12(土) 23:01:50 ID:CLIFm/EX
今月1日か2日に身分証明が到着したと思う俺の復旧依頼は
今日完了のメールが来たよ
今日完了のメールが来たよ
127 :既にその名前は使われています:2008/07/12(土) 23:05:09 ID:XWLVzeMB
128 :既にその名前は使われています:2008/07/12(土) 23:05:40 ID:CLIFm/EX
>>127
15キャラだよ
15キャラだよ
129 :既にその名前は使われています:2008/07/12(土) 23:08:49 ID:TvOEUgsl
カスペルスキー導入したけど、学習モードはテラまんどくせw
窓モードじゃないと駄目だなw
窓モードじゃないと駄目だなw
130 :既にその名前は使われています:2008/07/12(土) 23:12:11 ID:XWLVzeMB
>>128
そうか。d。
そうか。d。
131 :既にその名前は使われています:2008/07/12(土) 23:27:23 ID:gO9EGKEG
>>129
なんだよねぇ。。。聞かれてもワケワカメ。
なんだよねぇ。。。聞かれてもワケワカメ。
132 :既にその名前は使われています:2008/07/12(土) 23:47:04 ID:QmMICCxd
接続制限してから被害者0じゃね?すごい効き目だw
133 :既にその名前は使われています:2008/07/12(土) 23:50:52 ID:f2IOiL+u
もって1週間かなぁ・・・
134 :既にその名前は使われています:2008/07/12(土) 23:52:29 ID:JpYJ7D+W
どーせこっちに居る在日業者が串用意するんだろうな・・
135 :既にその名前は使われています:2008/07/12(土) 23:54:02 ID:qOnis7C4
□e鯖に接続規制はいったとしても、現在感染してるPCからはだだ漏れ状態なんだからな。
回避する策はいくらでもあるし、今被害が治まってるからって油断してると痛い目にあうかもだよw
回避する策はいくらでもあるし、今被害が治まってるからって油断してると痛い目にあうかもだよw
136 :既にその名前は使われています:2008/07/12(土) 23:57:37 ID:QmMICCxd
ソッカー…
137 :既にその名前は使われています:2008/07/13(日) 00:06:14 ID:hqC07ghP
カスペのオススメ設定の仕方教えてくれませんか〜?
全画面モードでやりたいけれど、学習モードだと切断されすぎてやれないです。
困った…。
全画面モードでやりたいけれど、学習モードだと切断されすぎてやれないです。
困った…。
138 :既にその名前は使われています:2008/07/13(日) 00:08:06 ID:ZgF0MYiV
つーか接続規制って結構な効き目だろ?□eがやったことだけみてもw
それを自分のPCで行うコトができるのがファイアヲールなわけで。
必要なところだけを開放して、必要ないところは閉じる。
それだけでセキュリティレベルはぐっと上がるもんなんだよw
昔のえらいはっかーさんは言いました。
コンピュータシステムで最大のセキュリティホールになりえるのがユーザの存在。
今のうちに環境みなおしておくと幸せになれるかもしれんよw
それを自分のPCで行うコトができるのがファイアヲールなわけで。
必要なところだけを開放して、必要ないところは閉じる。
それだけでセキュリティレベルはぐっと上がるもんなんだよw
昔のえらいはっかーさんは言いました。
コンピュータシステムで最大のセキュリティホールになりえるのがユーザの存在。
今のうちに環境みなおしておくと幸せになれるかもしれんよw
139 :既にその名前は使われています:2008/07/13(日) 00:08:14 ID:N/8Oh9UF
140 :既にその名前は使われています:2008/07/13(日) 00:09:25 ID:aLu7SpGh
141 :既にその名前は使われています:2008/07/13(日) 00:13:39 ID:aLu7SpGh
ちなみに学習モードだよ俺も
普通に遊べてる
普通に遊べてる
142 :既にその名前は使われています:2008/07/13(日) 00:14:54 ID:d5o8l9No
>>134
接続ルートがさらに狭まるからまあ特定はしやすくなるんじゃね
接続ルートがさらに狭まるからまあ特定はしやすくなるんじゃね
143 :既にその名前は使われています:2008/07/13(日) 00:17:43 ID:lA3khJBk
こっちに鯖立てたら立てたで逮捕すればいいだけだしな
業者ざまぁぁぁwww
業者ざまぁぁぁwww
144 :既にその名前は使われています:2008/07/13(日) 00:18:43 ID:F9JK0Irr
>>126
早すぎるだろ
早すぎるだろ
145 :既にその名前は使われています:2008/07/13(日) 00:22:26 ID:iT6Mj4Vy
きっと株主!
146 :既にその名前は使われています:2008/07/13(日) 00:26:28 ID:62Ef0XIb
中継鯖立てて逮捕されるのは留学生のアルバイトとかだからな。
効果ないわけじゃないけど替えはいくらでも居ると思うよ。
効果ないわけじゃないけど替えはいくらでも居ると思うよ。
147 :既にその名前は使われています:2008/07/13(日) 00:28:20 ID:M5+WHrMi
まだGMコールが繋がらない。
ゲームもしてないのに寝落ちしそうw
ゲームもしてないのに寝落ちしそうw
148 :既にその名前は使われています:2008/07/13(日) 00:33:27 ID:YZmKQRd5
>>143
まーボットネット(踏み台)構築するだけなんだけどね。
最近やたらと見かけるasprox系(構造としてはFast-Flux)のボットネットは
感染者がWebサーバにもDNSサーバにもProxyサーバにもなり、
そこらじゅうのWebサイトにSQLインジェクション攻撃も仕掛ける。
最近だとプレステやパンヤのサイトを食った奴ね。
トロイを簡単に踏む人がいる以上、ボットネットもあっという間に増殖する。
まーボットネット(踏み台)構築するだけなんだけどね。
最近やたらと見かけるasprox系(構造としてはFast-Flux)のボットネットは
感染者がWebサーバにもDNSサーバにもProxyサーバにもなり、
そこらじゅうのWebサイトにSQLインジェクション攻撃も仕掛ける。
最近だとプレステやパンヤのサイトを食った奴ね。
トロイを簡単に踏む人がいる以上、ボットネットもあっという間に増殖する。
149 :既にその名前は使われています:2008/07/13(日) 00:34:29 ID:QbFq9U4R
当分は踏み台候補生を減らすスレ
150 :既にその名前は使われています:2008/07/13(日) 00:43:31 ID:1+rDb201
流れぶったぎり
SecuniaPSIで、古いFlashバージョンが見つかる云々のレスが前にあったと思うけど
GOMPlayer使ってる人はこの中のに反応してるんで
C:\WINDOWS\system32\Macromed\Flashの中にある Flash9f.ocxを
C:\Program Files\GRETECH\GomPlayerのとこにコピーして古いのを消せばOK
GOMのインストーラで入れたままだとバージョン7のままだった。
一応報告しとく。
SecuniaPSIで、古いFlashバージョンが見つかる云々のレスが前にあったと思うけど
GOMPlayer使ってる人はこの中のに反応してるんで
C:\WINDOWS\system32\Macromed\Flashの中にある Flash9f.ocxを
C:\Program Files\GRETECH\GomPlayerのとこにコピーして古いのを消せばOK
GOMのインストーラで入れたままだとバージョン7のままだった。
一応報告しとく。
151 :既にその名前は使われています:2008/07/13(日) 01:17:49 ID:bPXLbkBf
FF11は去年に解約したのですが
最近PCのシャットダウンに数分かかるようになり
いろいろ調べてみてここに来ました。
FF11のコンテンツIDは全て解約し
退会した後にPOLのパスワードやIDのメモも捨ててしまったので
FF11にログインできないので確認することが出来ません。
解約したあとでもアカハックされるのでしょうか?
最近PCのシャットダウンに数分かかるようになり
いろいろ調べてみてここに来ました。
FF11のコンテンツIDは全て解約し
退会した後にPOLのパスワードやIDのメモも捨ててしまったので
FF11にログインできないので確認することが出来ません。
解約したあとでもアカハックされるのでしょうか?
152 :既にその名前は使われています:2008/07/13(日) 01:19:23 ID:cu6AdjP8
巻き戻しって垢ハックされた日の通りの戻るのかな?
それプラスさらに1週間ほど巻き戻るのかな・・・それだったらLV10くらい下がるは・・
それプラスさらに1週間ほど巻き戻るのかな・・・それだったらLV10くらい下がるは・・
153 :既にその名前は使われています:2008/07/13(日) 01:21:29 ID:Xz6qYol2
データが残ってなければ最大3ヶ月巻き戻るよ^^
154 :既にその名前は使われています:2008/07/13(日) 01:22:17 ID:7AalaVLn
今日も被害は普通に発生している模様。
落ち際にフレからテルがあり、PTメンバーのフレがアカウントハックにあったらしく、
急遽解散して有志でかけつけたところまさに身ぐるみはがされて落ちるとこだったらしい。
依然ヤツらは活動中、油断無きように。
落ち際にフレからテルがあり、PTメンバーのフレがアカウントハックにあったらしく、
急遽解散して有志でかけつけたところまさに身ぐるみはがされて落ちるとこだったらしい。
依然ヤツらは活動中、油断無きように。
155 :既にその名前は使われています:2008/07/13(日) 01:22:40 ID:OIbcxMAJ
>>151
解約して放置しているキャラも課金され盗まれる
他のネトゲーでも解約し放置したキャラクターが盗まれたという報告はたくさんあるよ
まぁカード被害とかない限り二度とやらんのなら気にすることもないんじゃね?
解約して放置しているキャラも課金され盗まれる
他のネトゲーでも解約し放置したキャラクターが盗まれたという報告はたくさんあるよ
まぁカード被害とかない限り二度とやらんのなら気にすることもないんじゃね?
156 :既にその名前は使われています:2008/07/13(日) 01:23:01 ID:pTYnM/xI
一応報告
クリーンインストール(Cドライブのフォーマットからやった)直後のPOL起動でもwmiprvse.exeは起動するよ
クリーンインストール(Cドライブのフォーマットからやった)直後のPOL起動でもwmiprvse.exeは起動するよ
157 :既にその名前は使われています:2008/07/13(日) 01:27:24 ID:YZmKQRd5
>>151
解約したならヴァナでの被害はないだろうけど、
変なの飼ってるのも気持ち悪いだろ。
クレカ情報やいろんなパスワード抜く奴があるし。
ま、ただシャットダウンが遅い、てだけじゃ
Windowsが変になっただけかもしれんけど
そういうのはPC初心者板やWindows板で。
ウイルス関係はセキュリティ板ね。
解約したならヴァナでの被害はないだろうけど、
変なの飼ってるのも気持ち悪いだろ。
クレカ情報やいろんなパスワード抜く奴があるし。
ま、ただシャットダウンが遅い、てだけじゃ
Windowsが変になっただけかもしれんけど
そういうのはPC初心者板やWindows板で。
ウイルス関係はセキュリティ板ね。
158 :既にその名前は使われています:2008/07/13(日) 01:27:45 ID:cu6AdjP8
>>153
まじかよ・・・エクレアないし巻き戻しなしにしようかな・・・
まじかよ・・・エクレアないし巻き戻しなしにしようかな・・・
159 :既にその名前は使われています:2008/07/13(日) 01:30:11 ID:d7KDfnvk
>>148
なるほど。そいつは確かに協力(強力)だあ。
最近シャットダウンが遅いだのどうだのと、一人喚いてたけど、こいつが悪さしてたのか。
こいつ、ひょっとすると、ウイルス駆除ソフトが動き出すと、自動で消えるタイプだったりして。
なるほど。そいつは確かに協力(強力)だあ。
最近シャットダウンが遅いだのどうだのと、一人喚いてたけど、こいつが悪さしてたのか。
こいつ、ひょっとすると、ウイルス駆除ソフトが動き出すと、自動で消えるタイプだったりして。
160 :151:2008/07/13(日) 01:40:50 ID:bPXLbkBf
レスありがとうございます
FF11解約済みでもパス盗まれ課金されるのですね・・・
しかし解約した後なのでそれを自分で確認出来ないとなると
どうすれば・・・
FF11解約済みでもパス盗まれ課金されるのですね・・・
しかし解約した後なのでそれを自分で確認出来ないとなると
どうすれば・・・
161 :既にその名前は使われています:2008/07/13(日) 01:41:10 ID:CGiEnJ4j
162 :既にその名前は使われています:2008/07/13(日) 02:13:17 ID:9TdXO4H9
今日2垢分やられたお!!
余りのレジコ垢停止したけど、サポセン休みの土日にやるとはなかなか。
こりゃ24時間とは言わないが、土日も体力出来るセンタとか必要じゃね?
まぁ対応(ロールバックとか)はかなりの時間要するだろうけどGMとのやりとりだけじゃ不安だよ。
余りのレジコ垢停止したけど、サポセン休みの土日にやるとはなかなか。
こりゃ24時間とは言わないが、土日も体力出来るセンタとか必要じゃね?
まぁ対応(ロールバックとか)はかなりの時間要するだろうけどGMとのやりとりだけじゃ不安だよ。
163 :既にその名前は使われています:2008/07/13(日) 02:17:54 ID:QiCUaC+a
ちなみにさ、PG2って、
>>65で「許可」の設定やったら、そのアプリの「許可」以外のIP接続は自動で弾くような仕様になってるの?
他のを弾く設定にしなきゃ意味ないんじゃ、と思ったんだが、
それだと許可が選べる理由がないか
>>65で「許可」の設定やったら、そのアプリの「許可」以外のIP接続は自動で弾くような仕様になってるの?
他のを弾く設定にしなきゃ意味ないんじゃ、と思ったんだが、
それだと許可が選べる理由がないか
164 :既にその名前は使われています:2008/07/13(日) 02:24:42 ID:QiCUaC+a
よく考えたらexeファイルの指定もしてないな
これじゃ意味ないんじゃ…
これじゃ意味ないんじゃ…
165 :既にその名前は使われています:2008/07/13(日) 02:27:53 ID:7lZNjsl6
伸びが悪くなってきたってコトは、多少は沈静化してきたのかな?
166 :既にその名前は使われています:2008/07/13(日) 02:28:22 ID:/1UmRSQ5
それはどうかな
167 :既にその名前は使われています:2008/07/13(日) 02:54:06 ID:B41XcXSl
>>155
レベル上げ中業者PTのPL役が昔だったら先行業者PTで育ったキャラだったのが
最近だとノーマークのが行き成り現れてる。
AF2着た白とかハックされたキャラではと思うと遣り切れないものがあるな。
レベル上げ中業者PTのPL役が昔だったら先行業者PTで育ったキャラだったのが
最近だとノーマークのが行き成り現れてる。
AF2着た白とかハックされたキャラではと思うと遣り切れないものがあるな。
168 :既にその名前は使われています:2008/07/13(日) 02:55:16 ID:hqC07ghP
ヘルプ読んでもやり方まで詳しくないから、カスペ学習モード取りやめ…。
ポート開放とかやり方分からない俺アホス。
いや、自分なりに今まで調べたけど、むっずいわ。
FFやる為のカスペテンプレ欲しいわ…orz
ポート開放とかやり方分からない俺アホス。
いや、自分なりに今まで調べたけど、むっずいわ。
FFやる為のカスペテンプレ欲しいわ…orz
169 :既にその名前は使われています:2008/07/13(日) 03:02:03 ID:N/8Oh9UF
学習モードにしないと外への送信全部スルーで盗まれ放題
170 :既にその名前は使われています:2008/07/13(日) 03:15:20 ID:N/8Oh9UF
171 :既にその名前は使われています:2008/07/13(日) 03:16:13 ID:dCpPwOmL
>>153
最近の報告で3ヵ月巻き戻しとかあったけ?あっても稀なケースだろそんなの。
こんだけ待たされて3ヶ月とか戻るともっと騒がてれるはずだしあんま不安煽るなよ。
>>158
今までの報告だとハック時間わかってれば、最後に落ちた1時間前後にもどったって報告から
24-30時間巻き戻ったって報告まであるから参考までに。
このスレ結構いるけど3ヶ月って数字は見たこと無い。
可能性としてはあるかもしれないからまぁ自己責任で。
最近の報告で3ヵ月巻き戻しとかあったけ?あっても稀なケースだろそんなの。
こんだけ待たされて3ヶ月とか戻るともっと騒がてれるはずだしあんま不安煽るなよ。
>>158
今までの報告だとハック時間わかってれば、最後に落ちた1時間前後にもどったって報告から
24-30時間巻き戻ったって報告まであるから参考までに。
このスレ結構いるけど3ヶ月って数字は見たこと無い。
可能性としてはあるかもしれないからまぁ自己責任で。
172 :既にその名前は使われています:2008/07/13(日) 03:19:13 ID:bwKe3DWT
昨日やられました。
接続制限の巻き添え食らってようやく入れたーと思ったら
パスワードが違います・・・
接続制限の巻き添え食らってようやく入れたーと思ったら
パスワードが違います・・・
173 :既にその名前は使われています:2008/07/13(日) 03:23:03 ID:pTYnM/xI
やられました報告が2件来てるけど
テンプレを・・・・って無いのかよw
テンプレを・・・・って無いのかよw
174 :既にその名前は使われています:2008/07/13(日) 03:24:30 ID:pTYnM/xI
----------報告用テンプレ、書ききれない場合は複数レスに分けて下さい----------
【 気付いた日時 】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス、ドメインのドット(.)を■等で置き換える事。h抜き等は駄目)
【他人が貴方のIDを使用したことが一度でもあるか】 (Yes/No)
【ID・Passの認証方法】 (POLに保存/自動ログイン/手打ち、途中で変更した場合はその履歴、例:自動ログイン→○月○日から手打ち、等)
【 Pass変更の履歴 】(していた/していなかった、していたなら最後にパスを変えたのはいつか)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【 ツールの使用の有無 】 (Yes/No、Yesの場合はそのToolの説明)
【 ネットカフェの利用の有無 】 (Yes/No)
【 OS 】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【FlashPlayerとRealPlayerのバージョン】(更新日時をわかる範囲で 未導入であれば無し)
【 アンチウイルスソフト 】 (NortonInternetSecurity2008 等の名称、及びパターン更新日)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでC:\WINDOWS\System32\●●.DLLをTrojan.W32●●として発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【 気付いた日時 】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス、ドメインのドット(.)を■等で置き換える事。h抜き等は駄目)
【他人が貴方のIDを使用したことが一度でもあるか】 (Yes/No)
【ID・Passの認証方法】 (POLに保存/自動ログイン/手打ち、途中で変更した場合はその履歴、例:自動ログイン→○月○日から手打ち、等)
【 Pass変更の履歴 】(していた/していなかった、していたなら最後にパスを変えたのはいつか)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【 ツールの使用の有無 】 (Yes/No、Yesの場合はそのToolの説明)
【 ネットカフェの利用の有無 】 (Yes/No)
【 OS 】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【FlashPlayerとRealPlayerのバージョン】(更新日時をわかる範囲で 未導入であれば無し)
【 アンチウイルスソフト 】 (NortonInternetSecurity2008 等の名称、及びパターン更新日)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでC:\WINDOWS\System32\●●.DLLをTrojan.W32●●として発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
175 :既にその名前は使われています:2008/07/13(日) 03:31:16 ID:EGnZWTBk
ヾミ || || || || || || || ,l,,l,,l 川〃彡|
V~~''-山┴''''""~ ヾニニ彡| 垢ハックはする・・・・・・!
/ 二ー―''二 ヾニニ┤ するが・・・
<'-.,  ̄ ̄ _,,,..-‐、 〉ニニ| 今回 まだ その時と場所の
/"''-ニ,‐l l`__ニ-‐'''""` /ニ二| 指定まではしていない
| ===、! `=====、 l =lべ=|
. | `ー゚‐'/ `ー‐゚―' l.=lへ|~| そのことを
|`ー‐/ `ー―― H<,〉|=| どうか諸君らも
| / 、 l|__ノー| 思い出していただきたい
. | /`ー ~ ′ \ .|ヾ.ニ|ヽ
|l 下王l王l王l王lヲ| | ヾ_,| \ つまり・・・・
. | ≡ | `l \__ 我々がその気になれば
!、 _,,..-'′ /l | ~''' 感染したPCのアカウントハックは
‐''" ̄| `iー-..,,,_,,,,,....-‐'''" / | | 10年後 20年後ということも
-―| |\ / | | 可能だろう・・・・・・・・・・ということ・・・・!
| | \ / | |
V~~''-山┴''''""~ ヾニニ彡| 垢ハックはする・・・・・・!
/ 二ー―''二 ヾニニ┤ するが・・・
<'-.,  ̄ ̄ _,,,..-‐、 〉ニニ| 今回 まだ その時と場所の
/"''-ニ,‐l l`__ニ-‐'''""` /ニ二| 指定まではしていない
| ===、! `=====、 l =lべ=|
. | `ー゚‐'/ `ー‐゚―' l.=lへ|~| そのことを
|`ー‐/ `ー―― H<,〉|=| どうか諸君らも
| / 、 l|__ノー| 思い出していただきたい
. | /`ー ~ ′ \ .|ヾ.ニ|ヽ
|l 下王l王l王l王lヲ| | ヾ_,| \ つまり・・・・
. | ≡ | `l \__ 我々がその気になれば
!、 _,,..-'′ /l | ~''' 感染したPCのアカウントハックは
‐''" ̄| `iー-..,,,_,,,,,....-‐'''" / | | 10年後 20年後ということも
-―| |\ / | | 可能だろう・・・・・・・・・・ということ・・・・!
| | \ / | |
176 :既にその名前は使われています:2008/07/13(日) 03:33:55 ID:N/8Oh9UF
可能かもしれんがさすがにサービス終了してるだろうw
177 :既にその名前は使われています:2008/07/13(日) 03:36:51 ID:R3yiTC4w
ログイン中に業者に落とされて業者とログイン合戦の報告少ないよな
ログアウト中に盗まれるのが多いとこ見るとサーチでログインしてないか監視して
盗んでるんだろうな。
ログアウト中に盗まれるのが多いとこ見るとサーチでログインしてないか監視して
盗んでるんだろうな。
178 :既にその名前は使われています:2008/07/13(日) 03:40:13 ID:F9JK0Irr
ハクラレTIMEは2:00〜13:00頃っぽい
業者冗談抜きで死ねばいいのに。ゲームで殺意が芽生えるなんて
業者冗談抜きで死ねばいいのに。ゲームで殺意が芽生えるなんて
179 :既にその名前は使われています:2008/07/13(日) 03:45:20 ID:gNn9ztfu
パス変更ってXBOXでやれば安全ですよね?
180 :既にその名前は使われています:2008/07/13(日) 03:51:24 ID:Xz6qYol2
絶対安全とは言えない^^
181 :既にその名前は使われています:2008/07/13(日) 03:56:19 ID:zc1nMfb8
被害にあった人の感染箇所が現状PCのみと仮定すれば
XboxやPS2でのPW変更に成功すれば安全といってもいいでしょう
でもホントか嘘かわからないけどパス記憶してないPCのFFユーザがハクられた報告が前スレにあったから
変更後にPCでプレイするならば心配の種は尽きませんね
XboxやPS2でのPW変更に成功すれば安全といってもいいでしょう
でもホントか嘘かわからないけどパス記憶してないPCのFFユーザがハクられた報告が前スレにあったから
変更後にPCでプレイするならば心配の種は尽きませんね
182 :既にその名前は使われています:2008/07/13(日) 04:16:24 ID:McH4l2cI
>>177
ログイン中に盗まれたよ
エラーメッセージに焦っていて細部まで覚えていないが、「他からログインしています」のような文章がざっと読めた
30秒ほどで自分のキャラは回線切断出して、落ち
そばにいたフレの話によると、即リポップして倉庫に向ったらしい
他のフレからもログイン中の似たような症状でハックされたヤツがいるって聞いたから割とあるのかも
被害はなかったんだが、パス変えられたのが痛かった
ログイン中に盗まれたよ
エラーメッセージに焦っていて細部まで覚えていないが、「他からログインしています」のような文章がざっと読めた
30秒ほどで自分のキャラは回線切断出して、落ち
そばにいたフレの話によると、即リポップして倉庫に向ったらしい
他のフレからもログイン中の似たような症状でハックされたヤツがいるって聞いたから割とあるのかも
被害はなかったんだが、パス変えられたのが痛かった
183 :既にその名前は使われています:2008/07/13(日) 04:19:18 ID:OYG5Stbe
復旧したので報告
24日正常にログアウト
25日ハクられ(パスワードが違います) サポセンに連絡→パス変更依頼
26日被害確認 GMに連絡→垢凍結及び復旧依頼(3キャラ分)
27日証明書送付(土日挟んでいるので■は30日月曜日に確認か?)
7月12日復旧完了のメール
ログインして確認したら23日ログアウトしたときのデータに巻き戻ってた
宅配・競売・ポストのアイテム以外は戻っていました
24日正常にログアウト
25日ハクられ(パスワードが違います) サポセンに連絡→パス変更依頼
26日被害確認 GMに連絡→垢凍結及び復旧依頼(3キャラ分)
27日証明書送付(土日挟んでいるので■は30日月曜日に確認か?)
7月12日復旧完了のメール
ログインして確認したら23日ログアウトしたときのデータに巻き戻ってた
宅配・競売・ポストのアイテム以外は戻っていました
184 :既にその名前は使われています:2008/07/13(日) 04:24:10 ID:wpbkqqm+
>160
「解約」の意味により違う。
POLアカウントごと退会(普通の人はわざわざやらない)したなら
POL退会者向けのFFウェルカムバックキャンペーンもしくは
電話連絡をしないとPOLアカウントは復活しないので一応安全。
POLアカウントを残して、ただコンテンツID(キャラ)の解約をした場合は
お金持ち装備もったままとかだと狙われるかもね。
二度とFFやらないってんならPOL退会がいいかも。
「解約」の意味により違う。
POLアカウントごと退会(普通の人はわざわざやらない)したなら
POL退会者向けのFFウェルカムバックキャンペーンもしくは
電話連絡をしないとPOLアカウントは復活しないので一応安全。
POLアカウントを残して、ただコンテンツID(キャラ)の解約をした場合は
お金持ち装備もったままとかだと狙われるかもね。
二度とFFやらないってんならPOL退会がいいかも。
185 :既にその名前は使われています:2008/07/13(日) 04:54:32 ID:gNn9ztfu
とりあえずPS2でPOLパス変更に成功したのですが
もしPCに何か仕込まれてる場合新パスワードをPCに打ち込んだ瞬間送信されてしまいますか?
やはりクリーンインストールしないとだめ?
もしPCに何か仕込まれてる場合新パスワードをPCに打ち込んだ瞬間送信されてしまいますか?
やはりクリーンインストールしないとだめ?
186 :既にその名前は使われています:2008/07/13(日) 04:57:16 ID:Wuihf3uA
>やはりクリーンインストールしないとだめ?
しないでまたハックされても報告しなくていいから
しないでまたハックされても報告しなくていいから
187 :既にその名前は使われています:2008/07/13(日) 05:04:29 ID:coBNjaSe
188 :既にその名前は使われています:2008/07/13(日) 05:06:12 ID:cu6AdjP8
189 :既にその名前は使われています:2008/07/13(日) 05:07:23 ID:CkbiGwol
ちょっとお聞きしたいのですが
WindowsUpdateやコントロールパネルを開けるのにすごく時間がかかったり、
シャットダウンに時間がかかったりするのでウィルスがいるのは
間違いないと思うのですが、PCでFFはしないので
今のとこ被害はないんですが、銀行振り込みや他のゲーム等の
パスも抜かれるんでしょうか??
PCについてはまったくの無知でして、ご教授お願いします
WindowsUpdateやコントロールパネルを開けるのにすごく時間がかかったり、
シャットダウンに時間がかかったりするのでウィルスがいるのは
間違いないと思うのですが、PCでFFはしないので
今のとこ被害はないんですが、銀行振り込みや他のゲーム等の
パスも抜かれるんでしょうか??
PCについてはまったくの無知でして、ご教授お願いします
190 :既にその名前は使われています:2008/07/13(日) 05:08:39 ID:xpZ+q3Sx
その可能性は十分にあるとしか言えない
191 :既にその名前は使われています:2008/07/13(日) 05:10:47 ID:a3fXT6dU
>>189
世の中には、FF11のアカハックウィルスしか存在しないとでも?w
世の中には、FF11のアカハックウィルスしか存在しないとでも?w
192 :既にその名前は使われています:2008/07/13(日) 05:11:35 ID:gNn9ztfu
クリーンインストールするしかなさそうですね、面倒だけど。
ほんとに中国人いい加減にしてほしい
ほんとに中国人いい加減にしてほしい
193 :既にその名前は使われています:2008/07/13(日) 05:14:27 ID:EGnZWTBk
クリーンインストール ウイルス感染
で、調べてみると理由がわかるよ。
で、調べてみると理由がわかるよ。
194 :既にその名前は使われています:2008/07/13(日) 05:33:11 ID:QiCUaC+a
195 :151:2008/07/13(日) 05:37:25 ID:bPXLbkBf
>>184
POLを退会したあとに再びPOLにログインしようとすると復活手続きのための
パスワードとIDの確認の画面になったのは覚えてるのでパスワードとIDが盗まれると
これによりログインされ勝手に復活手続きされることもあるんですよね・・・?
POLを退会したあとに再びPOLにログインしようとすると復活手続きのための
パスワードとIDの確認の画面になったのは覚えてるのでパスワードとIDが盗まれると
これによりログインされ勝手に復活手続きされることもあるんですよね・・・?
196 :既にその名前は使われています:2008/07/13(日) 05:42:14 ID:wpbkqqm+
>195
退会してから三ヶ月ちょい(データ残っててその復活手続きできる)以内だとできちゃうかも。
退会してから三ヶ月ちょい(データ残っててその復活手続きできる)以内だとできちゃうかも。
197 :既にその名前は使われています:2008/07/13(日) 06:13:41 ID:gEExB3Z1
PG2で■eと2chとニコニコだけ許可してあと遮断するのってどうすればいいでしょう?
198 :151:2008/07/13(日) 06:27:55 ID:bPXLbkBf
199 :既にその名前は使われています:2008/07/13(日) 07:22:23 ID:QiCUaC+a
>>195
俺の経験上、退会して2年半以上放置してた2アカがふつーに復帰させれたから、
運が良い(悪い?)といつまででもデータ残ってるよ
2アカは復活する可能性が比較的高いだろうから、優先的に残されてたのかもしれんが
俺の経験上、退会して2年半以上放置してた2アカがふつーに復帰させれたから、
運が良い(悪い?)といつまででもデータ残ってるよ
2アカは復活する可能性が比較的高いだろうから、優先的に残されてたのかもしれんが
200 :既にその名前は使われています:2008/07/13(日) 07:31:58 ID:QiCUaC+a
201 :既にその名前は使われています:2008/07/13(日) 07:35:37 ID:QiCUaC+a
あぁ、自動で読み込んだリストの中に、許可したいIPがあったら困るからか
ますます>>65が無意味…
ますます>>65が無意味…
202 :既にその名前は使われています:2008/07/13(日) 07:44:56 ID:4aCMT4b9
PG2のP2Pリスト入れると、そのIPはじくので許可の出し方じゃなかったっけそれ
203 :既にその名前は使われています:2008/07/13(日) 07:51:40 ID:lA3khJBk
>>202
阿呆をいちいち相手する必要ないぞ
阿呆をいちいち相手する必要ないぞ
204 :既にその名前は使われています:2008/07/13(日) 07:54:29 ID:0XELpq6b
ニムダやクレズが可愛く思えてくるはw
あれは基本的に破壊するためだけのものだったからな・・・
あれは基本的に破壊するためだけのものだったからな・・・
205 :既にその名前は使われています:2008/07/13(日) 08:02:45 ID:ffyV8DnO
試しにPG2のP2Pの項目にチェックしてFFつないでみ?
繋がらないから
だから、P2Pの項目にチェックしつつ>>65を許可してそれ以外を弾くの
わかった?机上演習ばかりしてないで実際やりなさいww
ベンゾーさんwww
繋がらないから
だから、P2Pの項目にチェックしつつ>>65を許可してそれ以外を弾くの
わかった?机上演習ばかりしてないで実際やりなさいww
ベンゾーさんwww
206 :既にその名前は使われています:2008/07/13(日) 08:18:56 ID:gEExB3Z1
報告 今GMとお話してキャラを凍結してもらった。
んで、本人確認の書類が届き次第順番待って復旧作業して
終わったら書類に書いたこっちの連絡用メアドに「終わったよーん」
ってメールが来る。
がいしゅつかもしれないけど、いちお報告。
GM>凍結(ログイン制限)>書類送る>待つ>作業完了メールくる>復帰
こんな流れ。
んで、本人確認の書類が届き次第順番待って復旧作業して
終わったら書類に書いたこっちの連絡用メアドに「終わったよーん」
ってメールが来る。
がいしゅつかもしれないけど、いちお報告。
GM>凍結(ログイン制限)>書類送る>待つ>作業完了メールくる>復帰
こんな流れ。
207 :既にその名前は使われています:2008/07/13(日) 09:16:41 ID:tQUH6hFu
ざっとスレ読むと復旧作業に必要な時間に個人差があるのかな。
2週間の間に他のゲームにハマってどうでもよくなってきたから困る。
2週間の間に他のゲームにハマってどうでもよくなってきたから困る。
208 :既にその名前は使われています:2008/07/13(日) 09:27:52 ID:hTH2CyE6
>>207
FFが仕事じゃ無いなら楽しいことやりゃいいじゃん
FFが仕事じゃ無いなら楽しいことやりゃいいじゃん
209 :既にその名前は使われています:2008/07/13(日) 09:41:46 ID:MFbyOcj4
windows update開くと重いんだけど、これってやばいんだっけ?
あと更新しようとしてもエラーでてできないんだけど、【どうすればいいですか?】
あと更新しようとしてもエラーでてできないんだけど、【どうすればいいですか?】
210 :既にその名前は使われています:2008/07/13(日) 09:44:24 ID:+8lINgve
スレ読めば理解できるだろ・・・
211 :既にその名前は使われています:2008/07/13(日) 09:58:11 ID:hRo9L5OU
知り合いがアカハックにあったんだが、ちょっと聞いてくれ
箇条書きで行く
・家族(2人)でFFをしている、1人はPC、1人はPS2
・PCがウィルスに感染しアカハックされる
・PS2の人がGMを呼び出しPCのキャラをアカ停止
・念のためPS2アカのパスワードを変更しておく
・3時間くらいしてPS2の人がログインしようとしたらログインできず
・PS2の人もアカハック被害
もちろんPS2の人は感染の疑いがあるPCでログインなぞしていないし、変更した
パスワードはかなり意味の無い記号羅列らしい
それで想像なんだが、仕込まれたトロイが同一ネットワーク上にあるPS2やPCの
アカウントを盗むようにできてたりしないかな
PS2のプログラムがどうなってるか知らないが、今回の出来事は結構衝撃だわ
PS2でログインパスワード保存してなければ回避できたかもしれんが…
箇条書きで行く
・家族(2人)でFFをしている、1人はPC、1人はPS2
・PCがウィルスに感染しアカハックされる
・PS2の人がGMを呼び出しPCのキャラをアカ停止
・念のためPS2アカのパスワードを変更しておく
・3時間くらいしてPS2の人がログインしようとしたらログインできず
・PS2の人もアカハック被害
もちろんPS2の人は感染の疑いがあるPCでログインなぞしていないし、変更した
パスワードはかなり意味の無い記号羅列らしい
それで想像なんだが、仕込まれたトロイが同一ネットワーク上にあるPS2やPCの
アカウントを盗むようにできてたりしないかな
PS2のプログラムがどうなってるか知らないが、今回の出来事は結構衝撃だわ
PS2でログインパスワード保存してなければ回避できたかもしれんが…
212 :既にその名前は使われています:2008/07/13(日) 09:59:56 ID:RYc2VP/m
パスワード間違ってるだけじゃあ
213 :既にその名前は使われています:2008/07/13(日) 10:03:37 ID:kLSaZth3
被害妄想乙って感じ
理論と実践は違う
パスを変えたというのが本当にPOLのログインパスだったのか?
(過去にPOLのメンバーパスと勘違いしていた人もいる
パスを変えた後にPCで本当にログインしていないのか?
理論と実践は違う
パスを変えたというのが本当にPOLのログインパスだったのか?
(過去にPOLのメンバーパスと勘違いしていた人もいる
パスを変えた後にPCで本当にログインしていないのか?
214 :既にその名前は使われています:2008/07/13(日) 10:04:26 ID:+8lINgve
PS2でパス変更しての被害はないしな
パス間違ってるだけだろ
パス間違ってるだけだろ
215 :既にその名前は使われています:2008/07/13(日) 10:05:34 ID:kLSaZth3
パスワードかえたあとに昼寝してしまって変えたパスを忘れたときは焦ったなーw
216 :既にその名前は使われています:2008/07/13(日) 10:05:44 ID:zL0pSSUg
理論的に出来ないことはないが、コストに対してリターンが少なすぎる
パスワードが間違ってるだけな気がする
パスワードが間違ってるだけな気がする
217 :既にその名前は使われています:2008/07/13(日) 10:12:27 ID:Sni935nv
218 :既にその名前は使われています:2008/07/13(日) 10:13:03 ID:Prvr+t76
PCにPS2のアカウントを登録してんじゃ?w
219 :既にその名前は使われています:2008/07/13(日) 11:06:45 ID:pTYnM/xI
220 :既にその名前は使われています:2008/07/13(日) 11:08:10 ID:+NM+HKZU
>>218
アカウントは全プラットフォーム共通だよ、はとこの子の玄孫よ
アカウントは全プラットフォーム共通だよ、はとこの子の玄孫よ
221 :既にその名前は使われています:2008/07/13(日) 11:09:55 ID:zL0pSSUg
>>218
あと考えられる可能性は、■eがPS2アカウントの方を勝手にアカ停にした
あと考えられる可能性は、■eがPS2アカウントの方を勝手にアカ停にした
222 :既にその名前は使われています:2008/07/13(日) 11:20:50 ID:BqhwV+rk
PS2でパス取られたとか、ビニール傘をアロンアルファで補強したら空を飛べるってくらい
胡散臭い話も、基本的な理解が無い人にとっては信じられる話な訳ですよ
胡散臭い話も、基本的な理解が無い人にとっては信じられる話な訳ですよ
223 :既にその名前は使われています:2008/07/13(日) 11:41:48 ID:acFlpEi4
PCにグリッドマンをインストールしてない人が集うスレはここですか?
224 :既にその名前は使われています:2008/07/13(日) 11:44:01 ID:YfKnezUC
ピィスィ( ゚Д゚)
225 :既にその名前は使われています:2008/07/13(日) 11:56:27 ID:rMm+8+jy
226 :既にその名前は使われています:2008/07/13(日) 12:11:20 ID:NVAwxVT0
今さらなんだが、カスペがもてはやされる理由は何?
NODの価格.com事件で真っ先に検出みたいな
人気になったりシェア伸ばしたりする理由はないの?
NODの価格.com事件で真っ先に検出みたいな
人気になったりシェア伸ばしたりする理由はないの?
227 :既にその名前は使われています:2008/07/13(日) 12:12:25 ID:rPB6UH67
うちの鯖の中華スシマシーンとネツラーは既に戻ってきた
明日の被害報告を楽しみます
明日の被害報告を楽しみます
228 :既にその名前は使われています:2008/07/13(日) 12:13:20 ID:xfHKwfw9
229 :既にその名前は使われています:2008/07/13(日) 12:15:26 ID:kLSaZth3
230 :既にその名前は使われています:2008/07/13(日) 12:17:01 ID:NVAwxVT0
231 :既にその名前は使われています:2008/07/13(日) 12:19:04 ID:rPB6UH67
232 :既にその名前は使われています:2008/07/13(日) 12:24:45 ID:aGt8EsWk
>>76
順番待ち
順番待ち
233 :既にその名前は使われています:2008/07/13(日) 12:25:54 ID:kLSaZth3
パーフェクトな対策ソフトはないよ
特定のソフトがその時期は良かったという認識のほうがいい
特定のソフトがその時期は良かったという認識のほうがいい
234 :既にその名前は使われています:2008/07/13(日) 12:26:52 ID:r1GzBgRu
FFAHって結局なんだったの?中華の刺客だったの?
235 :既にその名前は使われています:2008/07/13(日) 12:27:28 ID:9H1cwP/D
ウイルスVSアンチウイルスは、かならずウイルス側が先手を取るからねぇ
後手のアンチウイルスが対策を講じるまでに引っかかったらアウト
後手のアンチウイルスが対策を講じるまでに引っかかったらアウト
236 :既にその名前は使われています:2008/07/13(日) 12:27:50 ID:BsaeBhnA
>>226
カスペルスキーって定義ファイルの更新が他のウィルス対策ソフトより頻繁なんです。
カスペルスキーって定義ファイルの更新が他のウィルス対策ソフトより頻繁なんです。
237 :既にその名前は使われています:2008/07/13(日) 12:39:23 ID:8ZihgPXR
238 :既にその名前は使われています:2008/07/13(日) 12:40:29 ID:krg2u1zQ
>>234
だから悪いのはAHじゃなく広告だと何度言ったら(´・ω・`)
改竄されたサイトが2万とか言われてるのにAHばっか
目の敵にしてるとノーマークのところからサクッと
やられるよ?
AHなんて対策していれば全く怖くないよ。
だから悪いのはAHじゃなく広告だと何度言ったら(´・ω・`)
改竄されたサイトが2万とか言われてるのにAHばっか
目の敵にしてるとノーマークのところからサクッと
やられるよ?
AHなんて対策していれば全く怖くないよ。
239 :既にその名前は使われています:2008/07/13(日) 12:41:19 ID:krg2u1zQ
240 :既にその名前は使われています:2008/07/13(日) 12:42:38 ID:krg2u1zQ
>>238
全くというのは語弊があるね。訂正してお詫びいたします。
全くというのは語弊があるね。訂正してお詫びいたします。
241 :既にその名前は使われています:2008/07/13(日) 12:43:53 ID:BsaeBhnA
>>237
それは無理だと思います。軽く設定覗いてみたかぎりでは
それは無理だと思います。軽く設定覗いてみたかぎりでは
242 :既にその名前は使われています:2008/07/13(日) 12:44:08 ID:OzL1Vn4m
AHって一回悪質な広告系の苦情が多くて広告少なくしたら
赤字になったってんでまた元に戻したんじゃなかったっけ?
赤字になったってんでまた元に戻したんじゃなかったっけ?
243 :既にその名前は使われています:2008/07/13(日) 12:45:11 ID:rMm+8+jy
>>237
いまどき、その程度のことができないソフトなんてあるの?
いまどき、その程度のことができないソフトなんてあるの?
244 :既にその名前は使われています:2008/07/13(日) 12:46:20 ID:rMm+8+jy
245 :既にその名前は使われています:2008/07/13(日) 12:48:21 ID:BsaeBhnA
246 :既にその名前は使われています:2008/07/13(日) 12:51:04 ID:xfHKwfw9
247 :既にその名前は使われています:2008/07/13(日) 12:51:05 ID:krg2u1zQ
248 :既にその名前は使われています:2008/07/13(日) 12:51:41 ID:YfKnezUC
というか知らないなら無理に答えないでも。却って混乱するよ。
249 :既にその名前は使われています:2008/07/13(日) 12:59:50 ID:CUxv2ul2
POL起動するとwzcsvbxm.dllの問題でエラーが出るんだが、
同じ問題抱えてる人いるかなぁ?
ちなみにエラー窓放置してるとそのままプレー出来るが、
プレー中でもエラー窓に返答するとPOLクラッシュするw
現在アカハック後、復元待ち中
同じ問題抱えてる人いるかなぁ?
ちなみにエラー窓放置してるとそのままプレー出来るが、
プレー中でもエラー窓に返答するとPOLクラッシュするw
現在アカハック後、復元待ち中
250 :既にその名前は使われています:2008/07/13(日) 13:05:35 ID:xfHKwfw9
251 :既にその名前は使われています:2008/07/13(日) 13:06:22 ID:eW/9iWil
データ復元希望を郵送してハックされた垢でログインすると
GMからのメッセージ着信するまで待機してくださいってあるんだけど
この画面でずっと待ってないと駄目?待ち人数1番目になってるから不安なんだ
GMからのメッセージ着信するまで待機してくださいってあるんだけど
この画面でずっと待ってないと駄目?待ち人数1番目になってるから不安なんだ
252 :既にその名前は使われています:2008/07/13(日) 13:06:32 ID:62Ef0XIb
つーるじゃんw
253 :既にその名前は使われています:2008/07/13(日) 13:09:00 ID:pTYnM/xI
うちのPCはwzcsvc.dllならあるけどwzcsvbxm.dllは無い
wzcsvbxmでググっても4件しか出てこないし、怪しいファイルかもしれない
wzcsvbxmでググっても4件しか出てこないし、怪しいファイルかもしれない
254 :既にその名前は使われています:2008/07/13(日) 13:11:11 ID:9H1cwP/D
255 :既にその名前は使われています:2008/07/13(日) 13:21:47 ID:ZgF0MYiV
>>249
windowerつかってるのかね?
windowerつかってるのかね?
256 :既にその名前は使われています:2008/07/13(日) 13:22:11 ID:CUxv2ul2
以前「FFWindower改斬 for PC版」ってのを使ってたんだが、
現在未使用で、公式窓orフルスクリーンにしてるがそれでもエラーするのよ
「wzcsvbxm.dll」はPC内検索しても出てこないんだよなぁ
現在未使用で、公式窓orフルスクリーンにしてるがそれでもエラーするのよ
「wzcsvbxm.dll」はPC内検索しても出てこないんだよなぁ
257 :既にその名前は使われています:2008/07/13(日) 13:23:43 ID:ZgF0MYiV
なんてエラーでおちるか書き出してみてほしいかねw
258 :既にその名前は使われています:2008/07/13(日) 13:24:59 ID:NVAwxVT0
ツーラーに答える奴なんているのかねえw
259 :既にその名前は使われています:2008/07/13(日) 13:27:58 ID:YZmKQRd5
>>249 はツーラーなのでスルーで。
ツーラーが罠ツール踏んでハクられたら少しはヴァナも綺麗になるさ。
ツーラーが罠ツール踏んでハクられたら少しはヴァナも綺麗になるさ。
260 :既にその名前は使われています:2008/07/13(日) 13:30:16 ID:ZgF0MYiV
レジストリキーでそのdllの読み出しされてて、dllが存在しない場合エラーになるんだが。
改斬でそんなdllの登録はされないんだなー。
POLのレジストリ書き換えることもないしなあ。
改斬でそんなdllの登録はされないんだなー。
POLのレジストリ書き換えることもないしなあ。
261 :既にその名前は使われています:2008/07/13(日) 13:31:42 ID:CyS7VFlA
本家のほうにあるんじゃね?
262 :既にその名前は使われています:2008/07/13(日) 13:33:12 ID:ZgF0MYiV
本家はつかったことないからわからないんだけど、間違いなく本家はつかってないんだよな?w
263 :既にその名前は使われています:2008/07/13(日) 13:33:58 ID:62Ef0XIb
>>259
ヒント:キャラ復活サービス
ヒント:キャラ復活サービス
264 :既にその名前は使われています:2008/07/13(日) 13:36:10 ID:CUxv2ul2
公式窓は色あいが酷くて見づらかったので「改斬」を使ってた。
windowerの本家(英語版?)は使ったこといっす。
windowerの本家(英語版?)は使ったこといっす。
265 :既にその名前は使われています:2008/07/13(日) 13:38:56 ID:CUxv2ul2
266 :既にその名前は使われています:2008/07/13(日) 13:39:22 ID:ZgF0MYiV
エラー出るタイミングはどこだろう。POL起動時かそれともFF動いてからか。
267 :既にその名前は使われています:2008/07/13(日) 13:40:05 ID:011kEVK8
wzcsvbxm.dllはwindowerと関係ないぞ
つーかそれがウィルスの正体と思われる
つーかそれがウィルスの正体と思われる
268 :既にその名前は使われています:2008/07/13(日) 13:41:37 ID:CUxv2ul2
>>266
POL起動時にスプラッシュ画面が出て、次のアカウント表示させる画面あたりで発生します。
エラー窓にて詳細を表示すると下記のメッセージが出ます。
AppName: pol.exe AppVer: 1.18.7.0 ModName: wzcsvbxm.dll
ModVer: 0.0.0.0 Offset: 00002d60
POL起動時にスプラッシュ画面が出て、次のアカウント表示させる画面あたりで発生します。
エラー窓にて詳細を表示すると下記のメッセージが出ます。
AppName: pol.exe AppVer: 1.18.7.0 ModName: wzcsvbxm.dll
ModVer: 0.0.0.0 Offset: 00002d60
269 :既にその名前は使われています:2008/07/13(日) 13:46:24 ID:xfHKwfw9
270 :既にその名前は使われています:2008/07/13(日) 13:48:56 ID:CUxv2ul2
271 :既にその名前は使われています:2008/07/13(日) 13:51:26 ID:NVAwxVT0
なるほど、窓化ソフトのDLLと同じ名前を使うことで
発覚を防いでるっつーわけか。
でもFFWindower改斬 for PC版っていうのもツールだろ?
発覚を防いでるっつーわけか。
でもFFWindower改斬 for PC版っていうのもツールだろ?
272 :既にその名前は使われています:2008/07/13(日) 13:53:12 ID:pTYnM/xI
273 :既にその名前は使われています:2008/07/13(日) 13:55:56 ID:BIvn1zQ1
274 :既にその名前は使われています:2008/07/13(日) 13:56:12 ID:ZgF0MYiV
真っ当なプログラム開発しててModVer: 0.0.0.0はネーワな
windowerでも改ざんでもw
それに正規POL起動してもエラーでるならPOLのレジストリの中に変なエントリ埋め込まれてる可能性が高いと思うし。
POL自体書き換えられてる可能性も以前住人でハッシュチェックしたところ書き換えられているようでもなかったしなー。
windowerでも改ざんでもw
それに正規POL起動してもエラーでるならPOLのレジストリの中に変なエントリ埋め込まれてる可能性が高いと思うし。
POL自体書き換えられてる可能性も以前住人でハッシュチェックしたところ書き換えられているようでもなかったしなー。
275 :既にその名前は使われています:2008/07/13(日) 13:57:03 ID:lsp2xTWG
窓化ツールはwzcsvbxm.dllなんて使わない
wzcsvbxm.dllが見つからないならPOL起動時にwzcsvbxm.dllを一時的に生成するウィルス本体がいるはず
wzcsvbxm.dllが見つからないならPOL起動時にwzcsvbxm.dllを一時的に生成するウィルス本体がいるはず
276 :既にその名前は使われています:2008/07/13(日) 13:57:35 ID:hZL0tiQy
おいィ?sourceforge繋がりにく過ぎでしょう?
277 :既にその名前は使われています:2008/07/13(日) 13:57:53 ID:ZgF0MYiV
ツールの是非はこのスレには関係ないw
ちなみに今落としてきたけど改ざんに上記dllもないw
ちなみに今落としてきたけど改ざんに上記dllもないw
278 :既にその名前は使われています:2008/07/13(日) 13:58:22 ID:9H1cwP/D
Windowerのフォーラム見る限り、ハッキング被害者の報告で名前が出てるな。
一応場所は
located in:
c:\documen~1\mike\locals1~\temp\42cf_appcompat.txt
とある。多分
documents and settings\ユーザー名\Local Settings\temp
だと思う
一応場所は
located in:
c:\documen~1\mike\locals1~\temp\42cf_appcompat.txt
とある。多分
documents and settings\ユーザー名\Local Settings\temp
だと思う
279 :既にその名前は使われています:2008/07/13(日) 13:59:54 ID:xfHKwfw9
>>270
検索する前にこの設定をしているか確認した方が良い
>http://support.microsoft.com/kb/309173/ja
1. [スタート] ボタンをクリックし、[検索] をクリックします (または [検索] をポイントして [ファイルやフォルダ] をクリックします)。
2. [設定を変更する] をクリックし、[インデックス サービスを使う (ローカル検索を速くする)] をクリックします。
3. [インデックス サービスの設定を変更する (詳細)] をクリックします。インデックス サービスを有効にする必要はありません。
4. ツール バーで、[コンソール ツリーの表示/非表示] ボタンをクリックします。
5. 左側のウインドウで、[インデックス サービス - ローカル コンピュータ] を右クリックし、[プロパティ] をクリックします。
6. [生成] タブで、[未登録の拡張子のファイルにインデックスを付ける] チェック ボックスをオンにし、[OK] をクリックします。
7. インデックス サービス コンソールを閉じます。
後、海外サイトではflash player系で感染したんじゃないか?みたいな話題が出ている。
OSのファイルで無い以上、リネームするなり削除するなり対策した方が無難っぽいね
検索する前にこの設定をしているか確認した方が良い
>http://support.microsoft.com/kb/309173/ja
1. [スタート] ボタンをクリックし、[検索] をクリックします (または [検索] をポイントして [ファイルやフォルダ] をクリックします)。
2. [設定を変更する] をクリックし、[インデックス サービスを使う (ローカル検索を速くする)] をクリックします。
3. [インデックス サービスの設定を変更する (詳細)] をクリックします。インデックス サービスを有効にする必要はありません。
4. ツール バーで、[コンソール ツリーの表示/非表示] ボタンをクリックします。
5. 左側のウインドウで、[インデックス サービス - ローカル コンピュータ] を右クリックし、[プロパティ] をクリックします。
6. [生成] タブで、[未登録の拡張子のファイルにインデックスを付ける] チェック ボックスをオンにし、[OK] をクリックします。
7. インデックス サービス コンソールを閉じます。
後、海外サイトではflash player系で感染したんじゃないか?みたいな話題が出ている。
OSのファイルで無い以上、リネームするなり削除するなり対策した方が無難っぽいね
280 :既にその名前は使われています:2008/07/13(日) 14:02:31 ID:CUxv2ul2
>>272
はい。
隠しファイルも表示するようになってます。
今レジストリ検索掛けて見たところ・・・
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parameters の中の
「ServiceDll」→「REG_EXPAND_SZ(種類)」に%SystemRoot%\System32\wzcsvbxm.dllって値が割り当てられてます。
うーむ・・・これは消していいものなのどうなのか・・・。
はい。
隠しファイルも表示するようになってます。
今レジストリ検索掛けて見たところ・・・
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parameters の中の
「ServiceDll」→「REG_EXPAND_SZ(種類)」に%SystemRoot%\System32\wzcsvbxm.dllって値が割り当てられてます。
うーむ・・・これは消していいものなのどうなのか・・・。
281 :既にその名前は使われています:2008/07/13(日) 14:05:19 ID:N/8Oh9UF
お、一気に核心に近づいた予感
282 :既にその名前は使われています:2008/07/13(日) 14:05:59 ID:ZgF0MYiV
これは可能性の話。
wzcsvbxm.dllを検索してもいないというなら自己消滅するような仕組みがなされていると考えられる。
そのようなマルウェアを使う場合、仕様上一回こっきりしかつかえないわけだけど
wzcsvbxm.dllを自己生成するプログラムがある、またはPC起動時に本体をDLしてくるようなプログラムをOSに仕込んでいる可能性。
wzcsvbxm.dllを検索してもいないというなら自己消滅するような仕組みがなされていると考えられる。
そのようなマルウェアを使う場合、仕様上一回こっきりしかつかえないわけだけど
wzcsvbxm.dllを自己生成するプログラムがある、またはPC起動時に本体をDLしてくるようなプログラムをOSに仕込んでいる可能性。
283 :既にその名前は使われています:2008/07/13(日) 14:06:02 ID:pTYnM/xI
>>280
うちのPCはD:\WINDOWS\system32\wuauserv.dllってなってる
うちのPCはD:\WINDOWS\system32\wuauserv.dllってなってる
284 :既にその名前は使われています:2008/07/13(日) 14:07:04 ID:fFi79L18
たった今、アカウントハックの被害を確認。
倉庫専用アカウント(キャラ)が所持していたメインアカウントの移動可能アイテムの中で、
高額アイテムをピンポイントで抜き取り。
ギルはほとんど持ってなかったけど、競売で売れたデモクロの代金(460K)は手付かず。
3キャラいるんだが全てに3国の礼服を着せてたんだけど、今ログインしたところ裸だった。
もしや…!と思い青くなってログインしたけど、なんだかな〜;;
セキィリティソフトは以前は入れてたんだけど、ゲーム中にポップアップウィンドウで全画面
終了されるのがウザくてアンインストール済み;;
FFAHも結構頻繁に利用してました;;
最近は垢ハックが騒がれてたから、つい最近カスペルスキー?のオンラインウィルススキャン
実行したばかりなんですが、やっぱそれじゃ不十分だったかな;
メインキャラのほうはゲーム専用マシンと化しているPCでやってて、ネットサーフィンそのもの
利用が無かったから無事だったのかな。。。
(PC2台でメイン+倉庫と使い分け、IDやパスの登録情報の共有も無し)
むーん…困ったな。前回ログイン時間(ハックされた時間)が昨日の深夜02:27なんだけど、
夜勤組みの俺はどうやってもその時間ログイン不可ですww
倉庫専用アカウント(キャラ)が所持していたメインアカウントの移動可能アイテムの中で、
高額アイテムをピンポイントで抜き取り。
ギルはほとんど持ってなかったけど、競売で売れたデモクロの代金(460K)は手付かず。
3キャラいるんだが全てに3国の礼服を着せてたんだけど、今ログインしたところ裸だった。
もしや…!と思い青くなってログインしたけど、なんだかな〜;;
セキィリティソフトは以前は入れてたんだけど、ゲーム中にポップアップウィンドウで全画面
終了されるのがウザくてアンインストール済み;;
FFAHも結構頻繁に利用してました;;
最近は垢ハックが騒がれてたから、つい最近カスペルスキー?のオンラインウィルススキャン
実行したばかりなんですが、やっぱそれじゃ不十分だったかな;
メインキャラのほうはゲーム専用マシンと化しているPCでやってて、ネットサーフィンそのもの
利用が無かったから無事だったのかな。。。
(PC2台でメイン+倉庫と使い分け、IDやパスの登録情報の共有も無し)
むーん…困ったな。前回ログイン時間(ハックされた時間)が昨日の深夜02:27なんだけど、
夜勤組みの俺はどうやってもその時間ログイン不可ですww
285 :既にその名前は使われています:2008/07/13(日) 14:07:58 ID:ZgF0MYiV
\wuauserv これってウィンドウズウpデトだよねえ。
なるへそ・・・
なるへそ・・・
286 :既にその名前は使われています:2008/07/13(日) 14:08:42 ID:9H1cwP/D
287 :既にその名前は使われています:2008/07/13(日) 14:10:17 ID:HTNTDv+Z
過剰に警戒心を煽るため捏造報告が多数あることも考慮しような
288 :既にその名前は使われています:2008/07/13(日) 14:10:45 ID:ZgF0MYiV
たしか前スレか前々スレかで、svchostの親がwuauservだったって報告あったよねえ。
これじゃね?
これじゃね?
289 :既にその名前は使われています:2008/07/13(日) 14:10:45 ID:wpvXx2VB
>>280
今回のやつがやっと出てきたかな
そのキーには本来、
C:\WINDOWS\system32\wuauserv.dll
が設定されている
これはAutomatic Updatesサービス(自動更新)ね
Windows Updateが使えなくなる、POLを立ち上げるとsvchost.exeがpol.exeに
云々というのもこれが原因かな
今回のやつがやっと出てきたかな
そのキーには本来、
C:\WINDOWS\system32\wuauserv.dll
が設定されている
これはAutomatic Updatesサービス(自動更新)ね
Windows Updateが使えなくなる、POLを立ち上げるとsvchost.exeがpol.exeに
云々というのもこれが原因かな
290 :既にその名前は使われています:2008/07/13(日) 14:13:07 ID:xfHKwfw9
291 :既にその名前は使われています:2008/07/13(日) 14:13:44 ID:fGdMIQNS
■eやアンチウィルスソフト社員が小躍りして喜んでるぞ今頃w
292 :既にその名前は使われています:2008/07/13(日) 14:13:59 ID:62Ef0XIb
被害にあったのになんでログインできたの。
嘘報告?
嘘報告?
293 :既にその名前は使われています:2008/07/13(日) 14:15:25 ID:9H1cwP/D
>>292
パスを変更せずに金目のものだけ盗む手口もある
パスを変更せずに金目のものだけ盗む手口もある
294 :既にその名前は使われています:2008/07/13(日) 14:17:08 ID:BIvn1zQ1
295 :既にその名前は使われています:2008/07/13(日) 14:18:44 ID:ZgF0MYiV
クリンスコは必要だけど、もうちょっと付き合ってほしいww
296 :既にその名前は使われています:2008/07/13(日) 14:18:44 ID:DsXei056
>>291
□やAVはわれわれの敵じゃないからな。敵はあくまでウイルス開発者と業者。
□やAVはわれわれの敵じゃないからな。敵はあくまでウイルス開発者と業者。
297 :既にその名前は使われています:2008/07/13(日) 14:19:48 ID:wpvXx2VB
まずは、PS2か感染してないPCなど安全な環境でPOLパスワードを変更お勧め
298 :既にその名前は使われています:2008/07/13(日) 14:21:05 ID:rMm+8+jy
いったん元の値に書き直して、何回かwinを再起動したりPOL起動したり
してみるといいかもね。
それでまた書き換えられてたら、どの段階で書き換えられるのか、はっきりするだろうし。
してみるといいかもね。
それでまた書き換えられてたら、どの段階で書き換えられるのか、はっきりするだろうし。
299 :既にその名前は使われています:2008/07/13(日) 14:21:45 ID:ZgF0MYiV
あとは本体見つけられれば検体だせるし、最高なんだけどなあ。
エントリ変えられててdllがない。うーん。
ID:CUxv2ul2はPOL起動時毎回エラーでるの?
エントリ変えられててdllがない。うーん。
ID:CUxv2ul2はPOL起動時毎回エラーでるの?
300 :既にその名前は使われています:2008/07/13(日) 14:21:52 ID:x9dil7U4
>>296
アブソリュート ヴァーチューですね^^
アブソリュート ヴァーチューですね^^
301 :既にその名前は使われています:2008/07/13(日) 14:22:33 ID:N9+lFeZX
しかし、そこが書き換わってるのに、カスペで検出できないのはおかしいな。
「HKLM\System\ControlSet???\Services\*\Parameters」は
プロアクティブディフェンスのレジストリガードで保護対象になってる。
ウィルス本体は検出できなくても、レジストリ書き換えの時の警告が出るはずなんだが…
当然、オンラインスキャンじゃ見つからないけど、カスペをインストールしている人ならどこかで必ず警告が出ているはず。
「HKLM\System\ControlSet???\Services\*\Parameters」は
プロアクティブディフェンスのレジストリガードで保護対象になってる。
ウィルス本体は検出できなくても、レジストリ書き換えの時の警告が出るはずなんだが…
当然、オンラインスキャンじゃ見つからないけど、カスペをインストールしている人ならどこかで必ず警告が出ているはず。
302 :既にその名前は使われています:2008/07/13(日) 14:23:42 ID:62Ef0XIb
デフォだとレジストリガード無効じゃね?
ちがったっけ。
ちがったっけ。
レジストリを本来の値に変更した所、直ぐにカスペのプロアクティブディフェンスが作動。
「許可」するとレジストリがまた書き換えられて
%SystemRoot%\System32\wzcsvbxm.dll に戻ってしまいます。
「拒否」しても直ぐにディフェンスが作動。
ディフェンス状態で放置したまま再度レジストリ見てみると、
自分で変更した正規の値になったままです。
変更しようとしているプロセスは物議醸してる例のコレ。
C:\WINDOWS\System32\svchost.exe
「許可」するとレジストリがまた書き換えられて
%SystemRoot%\System32\wzcsvbxm.dll に戻ってしまいます。
「拒否」しても直ぐにディフェンスが作動。
ディフェンス状態で放置したまま再度レジストリ見てみると、
自分で変更した正規の値になったままです。
変更しようとしているプロセスは物議醸してる例のコレ。
C:\WINDOWS\System32\svchost.exe
304 :既にその名前は使われています:2008/07/13(日) 14:27:31 ID:YZmKQRd5
305 :既にその名前は使われています:2008/07/13(日) 14:29:09 ID:N9+lFeZX
インストール時に有効にするか無効にするか選択が出たかもしれない。
アプリケーションインテグリティコントローラはさすがに使い方が難しいが、
アクティビティアナライザとレジストリガードは個人的にONを推奨したい。
>>303
ついに来たか!?
出来れば検体提出を。
アプリケーションインテグリティコントローラはさすがに使い方が難しいが、
アクティビティアナライザとレジストリガードは個人的にONを推奨したい。
>>303
ついに来たか!?
出来れば検体提出を。
306 :既にその名前は使われています:2008/07/13(日) 14:29:36 ID:ZgF0MYiV
307 :既にその名前は使われています:2008/07/13(日) 14:33:55 ID:ZgF0MYiV
>>306
あとwindowsupdateの状態は今どーなってるかな。有効か無効か。
あとwindowsupdateの状態は今どーなってるかな。有効か無効か。
>>307
自動更新が有効になってます。
Update自体はアカハックにあった他のユーザーさんと同じで、
エラーでコケますけれども。
●ディフェンス状態 〜その後〜
@svchost.exeを停止するべくタスクマネージャー起動。
A起動後svchost.exeをモニタしながらディフェンスに「拒否」返答。
B6つ存在するsvchost.exeの内、1つにCPU使用率の変化あり。
C変化のあるsvchost.exeをプロセス強制終了
Dプロセス停止後、いくつか新規モジュールをロードしようとするもカスペディフェンスで「拒否」し続ける。
Eそして静かになった・・・・
レジストリは今のところ自分で変更した本来の「wuauserv.dll」です。
自動更新が有効になってます。
Update自体はアカハックにあった他のユーザーさんと同じで、
エラーでコケますけれども。
●ディフェンス状態 〜その後〜
@svchost.exeを停止するべくタスクマネージャー起動。
A起動後svchost.exeをモニタしながらディフェンスに「拒否」返答。
B6つ存在するsvchost.exeの内、1つにCPU使用率の変化あり。
C変化のあるsvchost.exeをプロセス強制終了
Dプロセス停止後、いくつか新規モジュールをロードしようとするもカスペディフェンスで「拒否」し続ける。
Eそして静かになった・・・・
レジストリは今のところ自分で変更した本来の「wuauserv.dll」です。
309 :既にその名前は使われています:2008/07/13(日) 14:44:37 ID:aDq0XTDD
被害にあったPC放置してたんだが、今確認したら249氏と同じ状況になってた。
dllファイルをノートパッドで開いたら、
h t t p : / / 2 0 4 . 1 3 . 6 9 . 1 2 / f g / p o s t . a s p
って文字列がある。
ビンゴ?
dllファイルをノートパッドで開いたら、
h t t p : / / 2 0 4 . 1 3 . 6 9 . 1 2 / f g / p o s t . a s p
って文字列がある。
ビンゴ?
310 :既にその名前は使われています:2008/07/13(日) 14:48:05 ID:ZgF0MYiV
>>309
>>308
おまいらはなんてエロイ子なんだ・・・
>>309はdllがあるの?だったらそれの検体を提出してほしい。
>>308はそのままウィンアップデートを無効にして再起動してレジストリが書き換わるか見て欲しい。
>>308
おまいらはなんてエロイ子なんだ・・・
>>309はdllがあるの?だったらそれの検体を提出してほしい。
>>308はそのままウィンアップデートを無効にして再起動してレジストリが書き換わるか見て欲しい。
311 :既にその名前は使われています:2008/07/13(日) 14:48:09 ID:9H1cwP/D
>>309
ビンゴくせー
ビンゴくせー
312 :既にその名前は使われています:2008/07/13(日) 14:48:50 ID:pTYnM/xI
>>309
そのアドレスは危険なアドレスだから当たりかも
そのアドレスは危険なアドレスだから当たりかも
313 :既にその名前は使われています:2008/07/13(日) 14:49:02 ID:wpvXx2VB
>>309
あたりだね。pol.exeがHTTPリクエストを投げようとしたと
報告されていた送信先IPアドレスと同じ
できれば、そのDLLをVirusTotalに送信して、調査結果ページのURLを貼ってほしいなあ
ttp://www.virustotal.com/
あたりだね。pol.exeがHTTPリクエストを投げようとしたと
報告されていた送信先IPアドレスと同じ
できれば、そのDLLをVirusTotalに送信して、調査結果ページのURLを貼ってほしいなあ
ttp://www.virustotal.com/
314 :既にその名前は使われています:2008/07/13(日) 14:49:11 ID:BIvn1zQ1
315 :既にその名前は使われています:2008/07/13(日) 14:49:47 ID:9H1cwP/D
116 名前:既にその名前は使われています[] 投稿日:2008/07/11(金) 02:19:43 ID:rXnyWkMU
PG2で204.13.69.12をブロックする設定方法
1. メモ帳かテキストエディタを起動して、次の1行をコピペ
wowinterfcae_com:204.13.69.12-204.13.69.12
2. PG2のフォルダの下にあるlistsフォルダに“deny.txt”という名前で保存
(通常は C:\Program Files\PeerGuardian2\lists\deny.txt になる)
3. PG2の[リスト管理]ボタンを押す
4. [追加(A)]ボタンを押す
5. 「説明」のテキストボックスに“deny”(半角英数ならなんでもいい)と入力する
6. 「場所」の[ファイル]ラジオボタンを選んだまま[参照]ボタンを押す
7. さっき保存した“deny.txt”を選んで[開く(O)]ボタンを押す
8. 「種類」の[ブロック]ラジオボタンが選択されていることを確認して[OK]ボタンを押す
9. リスト管理のウィンドウを閉じる
コマンドプロンプトを開いて、“ping 204.13.69.12”を実行して、
“Destination host unreachable”.と表示され、PG2にはブロックログが表示されればおk
注意: 決してWebブラウザで204.13.69.12につなごうとしちゃダメだぞ
PG2で204.13.69.12をブロックする設定方法
1. メモ帳かテキストエディタを起動して、次の1行をコピペ
wowinterfcae_com:204.13.69.12-204.13.69.12
2. PG2のフォルダの下にあるlistsフォルダに“deny.txt”という名前で保存
(通常は C:\Program Files\PeerGuardian2\lists\deny.txt になる)
3. PG2の[リスト管理]ボタンを押す
4. [追加(A)]ボタンを押す
5. 「説明」のテキストボックスに“deny”(半角英数ならなんでもいい)と入力する
6. 「場所」の[ファイル]ラジオボタンを選んだまま[参照]ボタンを押す
7. さっき保存した“deny.txt”を選んで[開く(O)]ボタンを押す
8. 「種類」の[ブロック]ラジオボタンが選択されていることを確認して[OK]ボタンを押す
9. リスト管理のウィンドウを閉じる
コマンドプロンプトを開いて、“ping 204.13.69.12”を実行して、
“Destination host unreachable”.と表示され、PG2にはブロックログが表示されればおk
注意: 決してWebブラウザで204.13.69.12につなごうとしちゃダメだぞ
316 :既にその名前は使われています:2008/07/13(日) 14:49:53 ID:BIvn1zQ1
317 :既にその名前は使われています:2008/07/13(日) 14:50:19 ID:ZgF0MYiV
318 :既にその名前は使われています:2008/07/13(日) 14:50:53 ID:9H1cwP/D
319 :既にその名前は使われています:2008/07/13(日) 14:52:05 ID:ZgF0MYiV
WindowsUpdateを名乗って常駐して、POLの起動監視してるのかなーと予測。
320 :既にその名前は使われています:2008/07/13(日) 14:54:11 ID:Prvr+t76
321 :既にその名前は使われています:2008/07/13(日) 14:55:41 ID:aDq0XTDD
322 :既にその名前は使われています:2008/07/13(日) 14:57:08 ID:wpvXx2VB
>>321
ありがとう。やはり、ほぼ全滅状態なのか。
ありがとう。やはり、ほぼ全滅状態なのか。
323 :既にその名前は使われています:2008/07/13(日) 14:59:02 ID:9H1cwP/D
>>320
ユーザーからの要請では出してくれないから、警察権力で要請してもらうしかない
ユーザーからの要請では出してくれないから、警察権力で要請してもらうしかない
324 :既にその名前は使われています:2008/07/13(日) 14:59:17 ID:ZgF0MYiV
325 :既にその名前は使われています:2008/07/13(日) 15:00:45 ID:QbFq9U4R
どこで踏んだんだろうね
326 :既にその名前は使われています:2008/07/13(日) 15:01:06 ID:pTYnM/xI
>>321
Prevx1ってのが1つだけ対応してるのかw
Prevx1ってのが1つだけ対応してるのかw
327 :既にその名前は使われています:2008/07/13(日) 15:02:30 ID:Prvr+t76
http://www.kokusen.go.jp/ncac_index.html
ここにも相談しないとな・・
ここにも相談しないとな・・
328 :既にその名前は使われています:2008/07/13(日) 15:06:17 ID:YfKnezUC
【鑑定目的禁止】検出可否報告スレ6
http://pc11.2ch.net/test/read.cgi/sec/1205329452/
さすがにあちこちのベンダーに検体提出汁とまではいえないので、↑のスレ
で1にあるろだ使って報告してくれるとかなり有り難い。
http://pc11.2ch.net/test/read.cgi/sec/1205329452/
さすがにあちこちのベンダーに検体提出汁とまではいえないので、↑のスレ
で1にあるろだ使って報告してくれるとかなり有り難い。
329 :既にその名前は使われています:2008/07/13(日) 15:06:28 ID:asjr1CDN
PG2で204.13.69.12をブロックしてpol起動しても何もログに出てないってことは
今回のは感染してないって認識でおk?
今回のは感染してないって認識でおk?
330 :既にその名前は使われています:2008/07/13(日) 15:14:35 ID:ZgF0MYiV
>>328
そっちのがいいねw
そっちのがいいねw
331 :既にその名前は使われています:2008/07/13(日) 15:19:25 ID:BIvn1zQ1
>>318
なるほど、それでリネージュのほうには無いのか
>>317
そこのPG2リストも追加したら、ブロックしまくりで見れないところ多すぎ
とりあえず204.13.69.12を個人用のリストに追加っと
なるほど、それでリネージュのほうには無いのか
>>317
そこのPG2リストも追加したら、ブロックしまくりで見れないところ多すぎ
とりあえず204.13.69.12を個人用のリストに追加っと
332 :既にその名前は使われています:2008/07/13(日) 15:21:09 ID:YZmKQRd5
333 :既にその名前は使われています:2008/07/13(日) 15:23:06 ID:YZmKQRd5
334 :既にその名前は使われています:2008/07/13(日) 15:25:47 ID:fGdMIQNS
お前ら偉い!
335 :既にその名前は使われています:2008/07/13(日) 15:27:12 ID:hZL0tiQy
きた!メイン検体きた!これでかつる!
336 :既にその名前は使われています:2008/07/13(日) 15:28:17 ID:auf+BDWj
wzcsvbxm.dllをノートパッドで開くと色々面白い事が書いてあるなw
337 :既にその名前は使われています:2008/07/13(日) 15:29:00 ID:YZmKQRd5
ただ別な(ウイルス本体の)exeから正規のファイル(svchostとか)に注入する奴だと
後者じゃなくて前者も欲しいなぁ。どこでどれを踏んだかわからんけど。
後者じゃなくて前者も欲しいなぁ。どこでどれを踏んだかわからんけど。
338 :既にその名前は使われています:2008/07/13(日) 15:29:53 ID:YZmKQRd5
>>336
面白がってないでアップするんだ!
面白がってないでアップするんだ!
339 :既にその名前は使われています:2008/07/13(日) 15:33:48 ID:7lZNjsl6
クリーンインスコ終了!
なに入れてたとか全然覚えてねぇよ・・・
なに入れてたとか全然覚えてねぇよ・・・
340 :既にその名前は使われています:2008/07/13(日) 15:34:59 ID:NVAwxVT0
メシ食って買い物して帰ってきたらだいぶ話が進んでいてワロタ
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=39
infected
↓ここに載ってるメアド一覧とSymantecには提出した。
http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
McAfeeみたいなアカ取得が必要なとこには出してない。
infected
↓ここに載ってるメアド一覧とSymantecには提出した。
http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
McAfeeみたいなアカ取得が必要なとこには出してない。
342 :既にその名前は使われています:2008/07/13(日) 15:37:27 ID:ZgF0MYiV
>>341
GJ
GJ
343 :既にその名前は使われています:2008/07/13(日) 15:38:48 ID:wpvXx2VB
344 :既にその名前は使われています:2008/07/13(日) 15:40:20 ID:9H1cwP/D
345 :既にその名前は使われています:2008/07/13(日) 15:43:01 ID:rMm+8+jy
>>341
お疲れ様でした。こういうのは、ほんとに助かります。
お疲れ様でした。こういうのは、ほんとに助かります。
346 :既にその名前は使われています:2008/07/13(日) 15:44:22 ID:WH0Big0W
>>331
そこのPG2リストってどこにある?
そこのPG2リストってどこにある?
347 :既にその名前は使われています:2008/07/13(日) 15:45:54 ID:BIvn1zQ1
348 :既にその名前は使われています:2008/07/13(日) 15:49:40 ID:WH0Big0W
349 :既にその名前は使われています:2008/07/13(日) 15:55:42 ID:oX9KF7bl
おまいらすげええええええええええええええええええええええ
リロードしまくって興奮しまくりだZE!!!!!!!!!!!!!!
リロードしまくって興奮しまくりだZE!!!!!!!!!!!!!!
350 :既にその名前は使われています:2008/07/13(日) 15:56:06 ID:HBv2gWGX
お前らほんとすごいな!!
よくやった!
よくやった!
351 :既にその名前は使われています:2008/07/13(日) 15:57:37 ID:YZmKQRd5
>>341
フォーム経由のとこ(バスターとか)送った。
ちなみにNormanの砂箱の返答
wzcsvbxm.exe : Not detected by Sandbox (Signature: NO_VIRUS)
[ DetectionInfo ]
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS
* Compressed: NO
* TLS hooks: NO
* Executable type: Library(DLL)
* Executable file structure: OK
[ General information ]
* File length: 15872 bytes.
* MD5 hash: 2d58d90e5d2bf22f7f7689751ad60d35.
フォーム経由のとこ(バスターとか)送った。
ちなみにNormanの砂箱の返答
wzcsvbxm.exe : Not detected by Sandbox (Signature: NO_VIRUS)
[ DetectionInfo ]
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS
* Compressed: NO
* TLS hooks: NO
* Executable type: Library(DLL)
* Executable file structure: OK
[ General information ]
* File length: 15872 bytes.
* MD5 hash: 2d58d90e5d2bf22f7f7689751ad60d35.
352 :既にその名前は使われています:2008/07/13(日) 15:58:49 ID:j91S+/YO
見つけるのに2週間以上もかかってんのかよ
やっぱり感染してんのは雑魚だけだな
やっぱり感染してんのは雑魚だけだな
353 :既にその名前は使われています:2008/07/13(日) 15:59:53 ID:s5gE3y+N
みんなよくやった!感動したぞ!
354 :既にその名前は使われています:2008/07/13(日) 16:00:49 ID:4W6gHllj
この一連の流れをまとめてテンプレに入れるしかないな。
355 :既にその名前は使われています:2008/07/13(日) 16:02:19 ID:YZmKQRd5
FFXIService.dll
これはツールくさいな。ツールの偽装なのか?
これはツールくさいな。ツールの偽装なのか?
356 :既にその名前は使われています:2008/07/13(日) 16:02:20 ID:krg2u1zQ
よく見つけてくれましたGJ
ここはすぐクリーンインスコしろ言うからな。
検体分離の一番の障害はぶっちゃけこれ。
ここはすぐクリーンインスコしろ言うからな。
検体分離の一番の障害はぶっちゃけこれ。
357 :既にその名前は使われています:2008/07/13(日) 16:02:37 ID:hZL0tiQy
>>352
ミジンコは調子に乗ってると病院食を喰うハメになる
ミジンコは調子に乗ってると病院食を喰うハメになる
358 :既にその名前は使われています:2008/07/13(日) 16:03:00 ID:9TocD76h
いやいや
感染源特定しないと何の解決にもなってないだろw
感染源特定しないと何の解決にもなってないだろw
359 :既にその名前は使われています:2008/07/13(日) 16:04:28 ID:fGdMIQNS
対応してるソフトをググったらぞんざいな云われ方してて泣いた
360 :既にその名前は使われています:2008/07/13(日) 16:05:02 ID:EGnZWTBk
特定できるスキル持ちにクリーンインスコしろよって言わないよ。
361 :既にその名前は使われています:2008/07/13(日) 16:05:43 ID:7AwSjjNN
>>344
予想通りすぎてフイタ
予想通りすぎてフイタ
362 :既にその名前は使われています:2008/07/13(日) 16:05:53 ID:YZmKQRd5
363 :既にその名前は使われています:2008/07/13(日) 16:07:06 ID:VpD4/Ezn
ネ実も捨てたもんじゃないな!
364 :既にその名前は使われています:2008/07/13(日) 16:07:30 ID:9TocD76h
感染した人でwzcsvbxm.dllがある人と無い人がいる時点でそれが本体では無い
365 :既にその名前は使われています:2008/07/13(日) 16:07:33 ID:F9JK0Irr
ウィルス特定?できたのか
それ弾く方法はウィルスソフトの内容更新待つしかないのかな
それ弾く方法はウィルスソフトの内容更新待つしかないのかな
366 :既にその名前は使われています:2008/07/13(日) 16:07:57 ID:YZmKQRd5
Normanの砂箱の続きが来た。
ttp://research.sunbelt-software.com:80/ViewMalware.aspx?id=5011061
まーアカウントハッカーのサーバにpostするだけだからあまり参考にはならんね。
ttp://research.sunbelt-software.com:80/ViewMalware.aspx?id=5011061
まーアカウントハッカーのサーバにpostするだけだからあまり参考にはならんね。
367 :既にその名前は使われています:2008/07/13(日) 16:09:08 ID:YZmKQRd5
368 :既にその名前は使われています:2008/07/13(日) 16:10:15 ID:9TocD76h
末端の下働き捕まえただけで喜ぶな
369 :既にその名前は使われています:2008/07/13(日) 16:11:41 ID:9TocD76h
これで安全になったと思う馬鹿が沸くのが一番怖いな
370 :既にその名前は使われています:2008/07/13(日) 16:13:31 ID:YfKnezUC
おい。元締めID:9TocD76hがお怒りだぞ。
371 :既にその名前は使われています:2008/07/13(日) 16:14:08 ID:hZL0tiQy
おお怖い怖い
372 :既にその名前は使われています:2008/07/13(日) 16:15:09 ID:YZmKQRd5
Normanじゃなかった、Sunbeltだった。
373 :既にその名前は使われています:2008/07/13(日) 16:15:38 ID:Vjdz9b+Q
9TocD76h = 何もしてない(いやむしろ何もできないか)口だけの人
いるよね。こういう奴wどこにでもw
いるよね。こういう奴wどこにでもw
374 :既にその名前は使われています:2008/07/13(日) 16:16:04 ID:uq+IWFiT
>>373
お前の事だな^^
お前の事だな^^
375 :既にその名前は使われています:2008/07/13(日) 16:17:10 ID:ietLqkwL
次々に変なのが作られるわけで、これで全面解決!ってわけではないさ
でも1個ぁゃιぃゃっが発見されたのは進歩だと思うよ
このスレ眺めてると、それなりに知識がないとPC版は危ないんだなぁってことがよくわかる・・・PS2でよかった
でも1個ぁゃιぃゃっが発見されたのは進歩だと思うよ
このスレ眺めてると、それなりに知識がないとPC版は危ないんだなぁってことがよくわかる・・・PS2でよかった
376 :既にその名前は使われています:2008/07/13(日) 16:17:18 ID:ZgF0MYiV
>>249が感染していて、何故かwzcsvbxm.dllがPC内に存在しない状態になってて、
それが原因でエラー吐き出してたのが特定の鍵になっただけだからね。
まだ全てがわかったわけじゃないから注意なーおまいら。
それが原因でエラー吐き出してたのが特定の鍵になっただけだからね。
まだ全てがわかったわけじゃないから注意なーおまいら。
377 :既にその名前は使われています:2008/07/13(日) 16:17:47 ID:0Nm/S0Vu
wzcsvbxm.dllが作られたルートを特定しろよ
378 :既にその名前は使われています:2008/07/13(日) 16:19:45 ID:9H1cwP/D
ここが技術者の集まりかなんかと思ってる人がいるな
有志がタダでやってくれてるってのに
有志がタダでやってくれてるってのに
379 :既にその名前は使われています:2008/07/13(日) 16:22:27 ID:GPQxW9RM
そうやって雰囲気壊して、調べてくれてる人のやる気を削ぐのが目的の業者だろ。
東ア板なんかによくいるよなw
東ア板なんかによくいるよなw
380 :既にその名前は使われています:2008/07/13(日) 16:23:51 ID:ZaFd52nN
リアルタイムで流れを見てた。
この興奮は、一昨年(だっけか?)、中華のサイトにクラックをかけた、
伝説のハッカーが降臨した時以来だな!w
この興奮は、一昨年(だっけか?)、中華のサイトにクラックをかけた、
伝説のハッカーが降臨した時以来だな!w
381 :既にその名前は使われています:2008/07/13(日) 16:24:22 ID:vBWWGx8L
wzcsvbxm.dll
wuauserv.dll
svcchost.exe
の作成日とMD5
wzcsvbxm.dllが作られた日に踏んだURLとキャッシュ
被害者でこれらの情報出して欲しい
wuauserv.dll
svcchost.exe
の作成日とMD5
wzcsvbxm.dllが作られた日に踏んだURLとキャッシュ
被害者でこれらの情報出して欲しい
382 :既にその名前は使われています:2008/07/13(日) 16:26:42 ID:YZmKQRd5
あれ、これ送信先のASP消えてるな。
383 :既にその名前は使われています:2008/07/13(日) 16:27:39 ID:YZmKQRd5
>>380
2005年11月だね。花の雫。
2005年11月だね。花の雫。
384 :既にその名前は使われています:2008/07/13(日) 16:27:55 ID:hPxhIBfQ
ほんと雑魚しかいないな
こんな奴らのサポートしてるスクエニの中の人に同情するわー
こんな奴らのサポートしてるスクエニの中の人に同情するわー
385 :既にその名前は使われています:2008/07/13(日) 16:31:07 ID:xSV4i07B
パス抜かれてシャットダウン遅延が未だに起きてるけどwzcsvbxm.dllなんて見つからないしレジストリにも書かれて無いぞ・・・
386 :既にその名前は使われています:2008/07/13(日) 16:32:18 ID:xfHKwfw9
>>385
怪しいサービスが動いてないかチェックしてみたら?
怪しいサービスが動いてないかチェックしてみたら?
387 :既にその名前は使われています:2008/07/13(日) 16:33:14 ID:9H1cwP/D
388 :既にその名前は使われています:2008/07/13(日) 16:33:20 ID:2wniQGFu
なみだめな業者がいると聞いて来ました
389 :既にその名前は使われています:2008/07/13(日) 16:33:39 ID:XRQVjDRs
390 :既にその名前は使われています:2008/07/13(日) 16:35:24 ID:xSV4i07B
391 :既にその名前は使われています:2008/07/13(日) 16:36:30 ID:Vjdz9b+Q
隠しファイル属性も検索対象にしてる?
392 :既にその名前は使われています:2008/07/13(日) 16:36:47 ID:hZL0tiQy
>>384
ageてくれるなら業者でも良いよ!
ageてくれるなら業者でも良いよ!
393 :既にその名前は使われています:2008/07/13(日) 16:38:35 ID:xSV4i07B
>>391
ある程度知識はあるからその辺はぬかりない
ある程度知識はあるからその辺はぬかりない
394 :既にその名前は使われています:2008/07/13(日) 16:38:40 ID:TtG61Aev
俺もハックされてからクリーンインスコしてないけどwzcsvbxm.dllは出てこない
395 :既にその名前は使われています:2008/07/13(日) 16:40:37 ID:Vjdz9b+Q
WindowsUpdateは可能な状態なんかな?
396 :既にその名前は使われています:2008/07/13(日) 16:41:03 ID:BIvn1zQ1
まぁまだ他もあるってことだ
397 :既にその名前は使われています:2008/07/13(日) 16:41:09 ID:ietLqkwL
問題の物体と同じよーな【カモフラージュ】を使い手がどこかにいるんだろうねぇ・・・
398 :既にその名前は使われています:2008/07/13(日) 16:41:10 ID:NVAwxVT0
399 :既にその名前は使われています:2008/07/13(日) 16:43:17 ID:xSV4i07B
POLは2週間くらい前に初回起動だけ落ちてたけどいつのまにか直ったな
抜いたら完全消滅するのか?
抜いたら完全消滅するのか?
400 :既にその名前は使われています:2008/07/13(日) 16:44:21 ID:ZgF0MYiV
とりあえず現時点での整理。
wzcsvbxm.dllが起動時にWindowsUpdateを名乗って常駐しているようだ。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parameters
「ServiceDll」→「REG_EXPAND_SZ(種類)」に%SystemRoot%\System32\wzcsvbxm.dll
本来は
C:\WINDOWS\system32\wuauserv.dll
で、>>303でレジストリを正規のものに戻しても再度svchostが書き戻しにくる。
これについてはwzcsvbxm.dll自体が監視しているのかどうかは不明。
wzcsvbxm.dllが起動時にWindowsUpdateを名乗って常駐しているようだ。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parameters
「ServiceDll」→「REG_EXPAND_SZ(種類)」に%SystemRoot%\System32\wzcsvbxm.dll
本来は
C:\WINDOWS\system32\wuauserv.dll
で、>>303でレジストリを正規のものに戻しても再度svchostが書き戻しにくる。
これについてはwzcsvbxm.dll自体が監視しているのかどうかは不明。
401 :既にその名前は使われています:2008/07/13(日) 16:44:35 ID:xSV4i07B
C:\WINDOWS\system32\wuauserv.dllだな
spybot常駐してるから許可なしにレジストリ弄られる事は無いと思うんだが
spybot常駐してるから許可なしにレジストリ弄られる事は無いと思うんだが
402 :既にその名前は使われています:2008/07/13(日) 16:47:16 ID:ZgF0MYiV
POLに介入して接続先を業者鯖にしてしまうのはおそらくwzcsvbxm.dllではあると思う。
あとはどの時点でレジストリの変更が行われたのか、どいつが書き換えたのか。
が解ればある程度はひと段落かねえ?
あとはどの時点でレジストリの変更が行われたのか、どいつが書き換えたのか。
が解ればある程度はひと段落かねえ?
403 :既にその名前は使われています:2008/07/13(日) 16:47:20 ID:wpvXx2VB
wzcsvbxm.dllはユーザー、パスワード、NICのMACアドレス、現在の日時を
盗っていくように見える。
盗っていくように見える。
404 :既にその名前は使われています:2008/07/13(日) 16:50:18 ID:Vjdz9b+Q
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parameters
%SystemRoot%\System32\wzcsvbxm.dll
とあるからWSUS(自動更新)が起動トリガーになってそうだけど。
こいつの設定過程が見えてないね。大元の脆弱性もだけど。
%SystemRoot%\System32\wzcsvbxm.dll
とあるからWSUS(自動更新)が起動トリガーになってそうだけど。
こいつの設定過程が見えてないね。大元の脆弱性もだけど。
405 :既にその名前は使われています:2008/07/13(日) 16:56:28 ID:KFDmrNbL
>>404
お前も口だけだな(笑)
お前も口だけだな(笑)
406 :既にその名前は使われています:2008/07/13(日) 16:59:13 ID:ZgF0MYiV
FPの脆弱性ではマルウェアをDLさせることはできてもレジストリ変更かけることはできないからなあ。
wzcsvbxm.dllがパスぬきの原因だとしても、他のもいると考えたほうがいいね。
wzcsvbxm.dllがパスぬきの原因だとしても、他のもいると考えたほうがいいね。
407 :既にその名前は使われています:2008/07/13(日) 17:01:54 ID:5h0rQUV/
久々に来たらすげえ進展したっぽい?
俺もWindowsUpdateの失敗やシャットダウンの遅延の症状が出てるんだけど
C:\WINDOWS\SYSTEM32\wzcsvbxm.dllあったよ
中覗いてみたらh t t p : / / g o o g l e s y d i t i o n . c o m / 4 f h 7 c / p o s t . a s pってあった
aguseで見るとアメリカなんだけど、逆引きホスト見てくと中国に行きつく
俺もWindowsUpdateの失敗やシャットダウンの遅延の症状が出てるんだけど
C:\WINDOWS\SYSTEM32\wzcsvbxm.dllあったよ
中覗いてみたらh t t p : / / g o o g l e s y d i t i o n . c o m / 4 f h 7 c / p o s t . a s pってあった
aguseで見るとアメリカなんだけど、逆引きホスト見てくと中国に行きつく
408 :既にその名前は使われています:2008/07/13(日) 17:02:45 ID:xSV4i07B
わかんねぇ
俺のは違う種類なのか
俺のは違う種類なのか
409 :既にその名前は使われています:2008/07/13(日) 17:03:06 ID:EGGQizdT
410 :既にその名前は使われています:2008/07/13(日) 17:03:22 ID:gEExB3Z1
PCにビデオカード差し込んでそこにPS2指せば
PCの画面でテレビの状態になるからそっからFF11できるんじゃね??
俺頭よくね??
PCの画面でテレビの状態になるからそっからFF11できるんじゃね??
俺頭よくね??
411 :既にその名前は使われています:2008/07/13(日) 17:06:07 ID:NVAwxVT0
>>408
違う種類だろうね。いろいろ工夫してるんだと思う、やつらも
違う種類だろうね。いろいろ工夫してるんだと思う、やつらも
412 :既にその名前は使われています:2008/07/13(日) 17:06:23 ID:ZgF0MYiV
413 :既にその名前は使われています:2008/07/13(日) 17:06:31 ID:xSV4i07B
414 :既にその名前は使われています:2008/07/13(日) 17:06:45 ID:7j0/vf20
>>410
お前は世界一のバカだw
お前は世界一のバカだw
415 :既にその名前は使われています:2008/07/13(日) 17:07:52 ID:gEExB3Z1
416 :既にその名前は使われています:2008/07/13(日) 17:09:18 ID:VpD4/Ezn
PCにつないだってグラフィック描写はPS2のグラフィックチップ依存だろw
417 :既にその名前は使われています:2008/07/13(日) 17:09:22 ID:EGGQizdT
418 :既にその名前は使われています:2008/07/13(日) 17:10:14 ID:gEExB3Z1
>>416
いや、そりゃそうだけどできることはできるよね?w
いや、そりゃそうだけどできることはできるよね?w
419 :既にその名前は使われています:2008/07/13(日) 17:11:51 ID:JfKMqo0s
>>418
できるけど、テレビに繋ぐのとかわんないじゃんw
できるけど、テレビに繋ぐのとかわんないじゃんw
420 :既にその名前は使われています:2008/07/13(日) 17:12:19 ID:oX9KF7bl
>>418
テレビを修理する金ないやつ乙
テレビを修理する金ないやつ乙
421 :既にその名前は使われています:2008/07/13(日) 17:12:27 ID:TtG61Aev
>>417
お前みたいなアフォがいる限りハッカーも安泰だ
お前みたいなアフォがいる限りハッカーも安泰だ
422 :既にその名前は使われています:2008/07/13(日) 17:12:56 ID:QbFq9U4R
このスレ落差が激しすぎる
423 :既にその名前は使われています:2008/07/13(日) 17:12:57 ID:gEExB3Z1
>>419
うちテレビないんだよ。。。。
うちテレビないんだよ。。。。
424 :既にその名前は使われています:2008/07/13(日) 17:13:59 ID:5h0rQUV/
425 :既にその名前は使われています:2008/07/13(日) 17:14:21 ID:7j0/vf20
426 :既にその名前は使われています:2008/07/13(日) 17:18:15 ID:YfKnezUC
>>423
(´;ω;`)ブワッ
(´;ω;`)ブワッ
427 :既にその名前は使われています:2008/07/13(日) 17:18:32 ID:gEExB3Z1
よし、あんがと!
USBのビデオのやつ買ってくるwww
USBのビデオのやつ買ってくるwww
428 :既にその名前は使われています:2008/07/13(日) 17:21:14 ID:ZgF0MYiV
>>424
もっかいそいつをttp://www.virustotal.com/に投下。結果URL張ってくだちい。
それじゃあカスペルさん体験版落としてきて回線抜いてインスコ。
AVGと入れ替えてほしい。
そんで入れ替え後回線つないでカスペルVU.
プロアクティブディフェンスをオンにしてレジストリを正規の値に戻す。
そうすると多分svchostが書き戻しに来ると思うから、そのサービス名をプロセスエクスプローラで確認。
あと、WindowsUpdateを無効にして再起動↑試してみて同じ挙動なるか確認。
もっかいそいつをttp://www.virustotal.com/に投下。結果URL張ってくだちい。
それじゃあカスペルさん体験版落としてきて回線抜いてインスコ。
AVGと入れ替えてほしい。
そんで入れ替え後回線つないでカスペルVU.
プロアクティブディフェンスをオンにしてレジストリを正規の値に戻す。
そうすると多分svchostが書き戻しに来ると思うから、そのサービス名をプロセスエクスプローラで確認。
あと、WindowsUpdateを無効にして再起動↑試してみて同じ挙動なるか確認。
429 :既にその名前は使われています:2008/07/13(日) 17:22:34 ID:cu6AdjP8
POLGMに聞きたいことがあったけどテンプレで返ってきて
テンプレの返答+聞きたいことがあるっていったら
ログイン制限しましたあとはサポセンに詳しいことを聞いてくださいってメールっぽいのでおわった
かなり忙しいんかねえ・・・土日サポセンやってねえっつうの・・・
テンプレの返答+聞きたいことがあるっていったら
ログイン制限しましたあとはサポセンに詳しいことを聞いてくださいってメールっぽいのでおわった
かなり忙しいんかねえ・・・土日サポセンやってねえっつうの・・・
430 :既にその名前は使われています:2008/07/13(日) 17:22:38 ID:EGGQizdT
IP制限喰らったあげくに、ウイルスまで特定されちゃって、業者ちゃん涙目www
431 :既にその名前は使われています:2008/07/13(日) 17:23:01 ID:ZgF0MYiV
書き戻しにくるsvchostの親が違うウィンドウズアップデート以外だったらそいつも一味の可能性が高いね。
432 :既にその名前は使われています:2008/07/13(日) 17:23:37 ID:ZgF0MYiV
>>431
いやほんと、我ながら日本語でおk。
いやほんと、我ながら日本語でおk。
433 :既にその名前は使われています:2008/07/13(日) 17:25:23 ID:5h0rQUV/
434 :既にその名前は使われています:2008/07/13(日) 17:26:39 ID:ZgF0MYiV
ああでもスパイボットつかったら、レジストリ改変時アラートでるんかな?
Comodo+Deffence+でしかやってないから解らないが・・レジストリ変更アラートでるならそのままでもいいw
Comodo+Deffence+でしかやってないから解らないが・・レジストリ変更アラートでるならそのままでもいいw
435 :既にその名前は使われています:2008/07/13(日) 17:28:47 ID:ZgF0MYiV
436 :既にその名前は使われています:2008/07/13(日) 17:28:55 ID:+c1DTQD8
カスペで被害者いるし素人がデフォでオンになってるプロアクティブディフェンスをオフで使ってるとも考えにくい
それで感染してるってのが合点がいかんな
それで感染してるってのが合点がいかんな
437 :既にその名前は使われています:2008/07/13(日) 17:30:19 ID:Vjdz9b+Q
レジストリーガードはデフォで”オフ”じゃね?
438 :既にその名前は使われています:2008/07/13(日) 17:32:08 ID:wpvXx2VB
>>433
乙です。亜種のようですな。
googlesydition●comは6/20に中華が取得したドメイン。
同名ホスト(74.86.185.101)の所在地は米国。
wzcsvbxm.dllが見つかった方、Windowsのサービス一覧で、
Automatic Updateの説明が日本語か英語か教えてくださいな。
通常は日本語で、
「Windows の更新のダウンロードとインストールを有効にします。
このサービスを無効にしている場合は、このコンピュータでは
自動更新機能と Windows Update の Web サイトを使用できません。」
と表示されるはずですが……英語になってます?
乙です。亜種のようですな。
googlesydition●comは6/20に中華が取得したドメイン。
同名ホスト(74.86.185.101)の所在地は米国。
wzcsvbxm.dllが見つかった方、Windowsのサービス一覧で、
Automatic Updateの説明が日本語か英語か教えてくださいな。
通常は日本語で、
「Windows の更新のダウンロードとインストールを有効にします。
このサービスを無効にしている場合は、このコンピュータでは
自動更新機能と Windows Update の Web サイトを使用できません。」
と表示されるはずですが……英語になってます?
439 :既にその名前は使われています:2008/07/13(日) 17:32:40 ID:D0t1pKDj
そういやあspybot1.6になってたな
440 :既にその名前は使われています:2008/07/13(日) 17:34:38 ID:EGnZWTBk
441 :既にその名前は使われています:2008/07/13(日) 17:38:03 ID:iGx4SBUS
質問ですが、自分もアカハック食らってパス再発行してもらったんですが、その後ログインしてからクリーンインストールしました。そしてパスを変更したんですが、クリーンインストールした時点でトロイはいなくなったから変更後のパスはもうばれないんでしょうか?
442 :既にその名前は使われています:2008/07/13(日) 17:39:45 ID:ZgF0MYiV
とりあえず、Romの人もいるだろうし。wzcsvbxm.dll関係の感染チェック。
スタート>ファイル名を指定して実行>regeditでレジストリエディタ起動
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parametersに移動。
そこの値が
C:\WINDOWS\system32\wuauserv.dll
以外であればなにかしら感染してる可能性があるので見てみるとよろしいカーモメー。
スタート>ファイル名を指定して実行>regeditでレジストリエディタ起動
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parametersに移動。
そこの値が
C:\WINDOWS\system32\wuauserv.dll
以外であればなにかしら感染してる可能性があるので見てみるとよろしいカーモメー。
443 :既にその名前は使われています:2008/07/13(日) 17:41:07 ID:ZgF0MYiV
レジストリ変更はOS壊れる危険性もあるので、変更されてない場合には何もしないで終了してねー。
444 :既にその名前は使われています:2008/07/13(日) 17:41:50 ID:VpD4/Ezn
>>441
セキュリティ環境を見直さない限りクリーンインストールしてもまた感染して抜かれる可能性が高い
家にカギをかけたので泥棒は入れない^^
↓
窓が開いてたのでそこから泥棒が侵入してウマーwwww
↓
カギかけてたのに泥棒に入られた;;
でも新しいカギにしてもらったからもう安心^^
↓
窓まだ開けっ放しwwwwまた進入ウマーwwwwwww
セキュリティ環境を見直さない限りクリーンインストールしてもまた感染して抜かれる可能性が高い
家にカギをかけたので泥棒は入れない^^
↓
窓が開いてたのでそこから泥棒が侵入してウマーwwww
↓
カギかけてたのに泥棒に入られた;;
でも新しいカギにしてもらったからもう安心^^
↓
窓まだ開けっ放しwwwwまた進入ウマーwwwwwww
445 :既にその名前は使われています:2008/07/13(日) 17:46:06 ID:iGx4SBUS
>>444
つまり、もう感染しないようにFFのサイトに行かなかったりアップデートたウイルスソフトを
怠らないようにするってことですね^^
原因はFFの関連サイトに行ってURLをクリックしたことなんですよね?
つまり、もう感染しないようにFFのサイトに行かなかったりアップデートたウイルスソフトを
怠らないようにするってことですね^^
原因はFFの関連サイトに行ってURLをクリックしたことなんですよね?
446 :既にその名前は使われています:2008/07/13(日) 17:48:00 ID:TYp198Js
おー進展してる。
おれのPCもFF起動しようとするとwzcsvbxm.dllのエラーが出てた。
レジストリの値も%SystemRoot%\System32\wzcsvbxm.dllになってる。
でもPC内にこのDLLは見つからないなー。POLあげようとした瞬間に作成されるんかな。
>>438 が言うAutomatic Updateの説明も日本語だった。
おれのPCもFF起動しようとするとwzcsvbxm.dllのエラーが出てた。
レジストリの値も%SystemRoot%\System32\wzcsvbxm.dllになってる。
でもPC内にこのDLLは見つからないなー。POLあげようとした瞬間に作成されるんかな。
>>438 が言うAutomatic Updateの説明も日本語だった。
447 :既にその名前は使われています:2008/07/13(日) 17:48:03 ID:7lM1Ula6
今北産業
448 :既にその名前は使われています:2008/07/13(日) 17:48:08 ID:CyS7VFlA
とりあえずセキュリティホールをふさげ といわれてるのにわかってねぇw
あと原因は1つとは限らん 今回はある会社のサーバー使っているサイトならどこでも引っかかる状況だった。
FF関連のHP見てないから安心! なんて時代はもう終わったんだよ
あと原因は1つとは限らん 今回はある会社のサーバー使っているサイトならどこでも引っかかる状況だった。
FF関連のHP見てないから安心! なんて時代はもう終わったんだよ
449 :既にその名前は使われています:2008/07/13(日) 17:48:55 ID:VpD4/Ezn
>>445
そのへんの原因やウィルス本体がいまいち明らかになってないのでこのスレ住民が解析を進めている
少なくともソフトウェアのアップデートだけしていれば安心、という状況ではない
今後もこまめにスレ見て新たな情報や被害報告が出てないかチェックして
情報収集を怠らず現在進行形で対策を進めるとよい
新たな被害や新たな対策法が見つかったりするからね
そのへんの原因やウィルス本体がいまいち明らかになってないのでこのスレ住民が解析を進めている
少なくともソフトウェアのアップデートだけしていれば安心、という状況ではない
今後もこまめにスレ見て新たな情報や被害報告が出てないかチェックして
情報収集を怠らず現在進行形で対策を進めるとよい
新たな被害や新たな対策法が見つかったりするからね
450 :既にその名前は使われています:2008/07/13(日) 17:49:10 ID:wpvXx2VB
>>442
ログオンしているユーザーの環境なら、CurrentControlSetのほうがいいかも?
内容表示は、コマンド プロンプトでregコマンドを使う方法もある。
実行するコマンド:
reg query HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
----
期待される結果:
C:\>reg query HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
ServiceDll REG_EXPAND_SZ C:\WINDOWS\system32\wuauserv.dll
ログオンしているユーザーの環境なら、CurrentControlSetのほうがいいかも?
内容表示は、コマンド プロンプトでregコマンドを使う方法もある。
実行するコマンド:
reg query HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
----
期待される結果:
C:\>reg query HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
ServiceDll REG_EXPAND_SZ C:\WINDOWS\system32\wuauserv.dll
451 :既にその名前は使われています:2008/07/13(日) 17:50:01 ID:E6GKQGAd
パソ二台用意して片方はFFのみ、片方でネットをする予定。
ルーターもいじっておいたほうがよい?本体だけ対策しておけばおk?
ルーターもいじっておいたほうがよい?本体だけ対策しておけばおk?
452 :既にその名前は使われています:2008/07/13(日) 17:50:16 ID:iGx4SBUS
453 :既にその名前は使われています:2008/07/13(日) 17:50:35 ID:ZgF0MYiV
>>445
そうとも限らないのです。
業者鯖にヤフーブログ、ニコ動、FC2、Mixiなどのパスをぬくマルウェアが確認されているし。
そうやって抜いたアカウントを改ざんしてFF11ROリネWoWなどへの罠を置くつもりなんだろう。
FF11に関係ないサイトやBlogにも仕掛けられてくると考えたほうがいい。
そうとも限らないのです。
業者鯖にヤフーブログ、ニコ動、FC2、Mixiなどのパスをぬくマルウェアが確認されているし。
そうやって抜いたアカウントを改ざんしてFF11ROリネWoWなどへの罠を置くつもりなんだろう。
FF11に関係ないサイトやBlogにも仕掛けられてくると考えたほうがいい。
454 :既にその名前は使われています:2008/07/13(日) 17:52:18 ID:YfKnezUC
455 :既にその名前は使われています:2008/07/13(日) 17:53:34 ID:iGx4SBUS
456 :既にその名前は使われています:2008/07/13(日) 17:54:47 ID:1hGp6/Ff
>>454
クリーンインストール後にパス変更したって書いてあるような・・・?
>>455
そう っていうかもうFF関連サイトがどうとかの問題じゃない
FFAH見ててひっかかったって人も多かったけど あれもHP自体の問題ではないし
クリーンインストール後にパス変更したって書いてあるような・・・?
>>455
そう っていうかもうFF関連サイトがどうとかの問題じゃない
FFAH見ててひっかかったって人も多かったけど あれもHP自体の問題ではないし
457 :既にその名前は使われています:2008/07/13(日) 17:55:27 ID:iGx4SBUS
458 :446:2008/07/13(日) 17:56:20 ID:TYp198Js
で、レジストリの値を wuauserv.dll に修正してみたけど、
カスペいれてないから即wzcsvbxm.dllに戻されるw
このレジストリ書き換え、カスペなしでウィンドウズの設定だけでガードできないんすかね。
ちなみに使ってるセキュリティソフトはマカフィー。
カスペいれてないから即wzcsvbxm.dllに戻されるw
このレジストリ書き換え、カスペなしでウィンドウズの設定だけでガードできないんすかね。
ちなみに使ってるセキュリティソフトはマカフィー。
459 :既にその名前は使われています:2008/07/13(日) 17:56:28 ID:YfKnezUC
460 :既にその名前は使われています:2008/07/13(日) 17:57:44 ID:1hGp6/Ff
>>459
その後に そしてパスを変更したんですが って書いてあるぞ?
その後に そしてパスを変更したんですが って書いてあるぞ?
461 :既にその名前は使われています:2008/07/13(日) 17:58:30 ID:YfKnezUC
>>460
正直スマンカッタ
正直スマンカッタ
462 :既にその名前は使われています:2008/07/13(日) 17:59:09 ID:1hGp6/Ff
463 :既にその名前は使われています:2008/07/13(日) 17:59:29 ID:iGx4SBUS
464 :既にその名前は使われています:2008/07/13(日) 18:00:35 ID:ZgF0MYiV
この手の手法を特定する手段として。
常日頃、プロアクティブデフィエンスやレジストリ保護してくれるセキュリティソフトを導入しておくこと。
POLにsvchostなどサービスが介入してくることはまずないので、アラートが出たらプロセスエクスプローラなりで介入してくるサービスを特定。
介入してきたサービスのレジストリエントリを確認、正規の値と比較する。
である程度みえてくるかなー?今後似たような手法使ってくると思うし、どこか穴あったら指摘よろしこw
常日頃、プロアクティブデフィエンスやレジストリ保護してくれるセキュリティソフトを導入しておくこと。
POLにsvchostなどサービスが介入してくることはまずないので、アラートが出たらプロセスエクスプローラなりで介入してくるサービスを特定。
介入してきたサービスのレジストリエントリを確認、正規の値と比較する。
である程度みえてくるかなー?今後似たような手法使ってくると思うし、どこか穴あったら指摘よろしこw
465 :既にその名前は使われています:2008/07/13(日) 18:02:06 ID:ZgF0MYiV
466 :既にその名前は使われています:2008/07/13(日) 18:02:27 ID:1hGp6/Ff
あれ なんかPG2更新しようとしたら
例外が発生しました!
この問題は自動的にMethlabsへ報告されます。この報告には以下の内容が含まれています。
ビルド番号:2050918
ファイル:updatelists.cpp
行:491
種類: class path_error
メッセージ: DeleteFile: ・v( 意味のない中点とアルファベット、記号が続く
PeerGuadianの改良をお手伝い頂き有り難う御座います!
とか出てきたんだけど これはなんだろう
例外が発生しました!
この問題は自動的にMethlabsへ報告されます。この報告には以下の内容が含まれています。
ビルド番号:2050918
ファイル:updatelists.cpp
行:491
種類: class path_error
メッセージ: DeleteFile: ・v( 意味のない中点とアルファベット、記号が続く
PeerGuadianの改良をお手伝い頂き有り難う御座います!
とか出てきたんだけど これはなんだろう
467 :既にその名前は使われています:2008/07/13(日) 18:05:33 ID:c29nevBz
馬鹿ばっかりで助かる( ^▽^)
468 :既にその名前は使われています:2008/07/13(日) 18:05:39 ID:TYp198Js
469 :既にその名前は使われています:2008/07/13(日) 18:05:43 ID:wpvXx2VB
470 :既にその名前は使われています:2008/07/13(日) 18:06:30 ID:YZmKQRd5
>>458
一度サービスでAutomatic Updates(自動更新)を停止してから書き換えれ。
一度サービスでAutomatic Updates(自動更新)を停止してから書き換えれ。
471 :既にその名前は使われています:2008/07/13(日) 18:09:22 ID:hZL0tiQy
と言いつつageてくれる業者の>>467は本能的に長寿タイプ
472 :既にその名前は使われています:2008/07/13(日) 18:09:56 ID:HnTKtFya
dion規制されているので携帯から。
カスペにも提出しておいた
カスペにも提出しておいた
473 :既にその名前は使われています:2008/07/13(日) 18:11:12 ID:TrTsULmn
474 :既にその名前は使われています:2008/07/13(日) 18:14:18 ID:ZgF0MYiV
もっかいwzcsvbxm.dll関係整理。
>>309
http://www.virustotal.com/analisis/4476101f3d30511857af1c2a441a3a88
>>407
http://www.virustotal.com/analisis/a0d051a2321f2261ba94ca6c6cf65d47
亜種というかバージョン違いだと考えられる。>>302の指摘の通り>>309の送信先は消えているようだ。
感染時期によって違うかなあ?
>>446もwzcsvbxm.dllをttp://www.virustotal.com/に投下。結果URL張ってくだちい。
>>309
http://www.virustotal.com/analisis/4476101f3d30511857af1c2a441a3a88
>>407
http://www.virustotal.com/analisis/a0d051a2321f2261ba94ca6c6cf65d47
亜種というかバージョン違いだと考えられる。>>302の指摘の通り>>309の送信先は消えているようだ。
感染時期によって違うかなあ?
>>446もwzcsvbxm.dllをttp://www.virustotal.com/に投下。結果URL張ってくだちい。
475 :458:2008/07/13(日) 18:14:30 ID:TYp198Js
サービスから、Automatic Updates の設定自体が変更(開始→停止)できませんでした。
「ローカルコンピューターの Automatic Updates サービスを停止できません。
エラー1053:そのサービスは指定時間内に制御要求に応答しませんでした。」
とかなんとか。スタートアップの種類(自動)も変更できず。
(無効や手動にしても、即「自動」になる)
「ローカルコンピューターの Automatic Updates サービスを停止できません。
エラー1053:そのサービスは指定時間内に制御要求に応答しませんでした。」
とかなんとか。スタートアップの種類(自動)も変更できず。
(無効や手動にしても、即「自動」になる)
476 :既にその名前は使われています:2008/07/13(日) 18:18:40 ID:pTYnM/xI
>>473
(既定)の下にServiceDllってのがあるはずだからそれを見て
(既定)の下にServiceDllってのがあるはずだからそれを見て
477 :既にその名前は使われています:2008/07/13(日) 18:21:01 ID:TYp198Js
>>474
wzcsvbxm.dll自体が見つからないんだ。
wzcsvbxm.dll自体が見つからないんだ。
478 :既にその名前は使われています:2008/07/13(日) 18:21:31 ID:TrTsULmn
479 :既にその名前は使われています:2008/07/13(日) 18:21:33 ID:ZgF0MYiV
>>477
無いのか、スマンコw
無いのか、スマンコw
480 :既にその名前は使われています:2008/07/13(日) 18:22:49 ID:ZgF0MYiV
481 :既にその名前は使われています:2008/07/13(日) 18:25:59 ID:ZgF0MYiV
あ、ちょっとまてよ。
wzcsvbxm.dll自体がないのなら、レジストリ書き戻そうとしてるのはwzcsvbxm.dll以外か?
アラートで引っかかるなら、そのサービス絞り込んでそのサービスのエントリみれば何か解るかもーだが、ひっかからないとなるとー・・
wzcsvbxm.dll自体がないのなら、レジストリ書き戻そうとしてるのはwzcsvbxm.dll以外か?
アラートで引っかかるなら、そのサービス絞り込んでそのサービスのエントリみれば何か解るかもーだが、ひっかからないとなるとー・・
482 :既にその名前は使われています:2008/07/13(日) 18:27:29 ID:ssCTNHtr
垢ハックとかされるのはアフォだけ
俺達が楽しんでるFF11に水刺さないでくれよ
黙って己の無知を悔いてろ
俺達が楽しんでるFF11に水刺さないでくれよ
黙って己の無知を悔いてろ
483 :既にその名前は使われています:2008/07/13(日) 18:29:00 ID:BIvn1zQ1
1個ばれただけで業者が増加したなw
484 :既にその名前は使われています:2008/07/13(日) 18:29:49 ID:TrTsULmn
何度もすまん
ServiceDllのデータはC:\WINDOWS\system32\wuauserv.dll
だから俺のは正常だと思う
ServiceDllのデータはC:\WINDOWS\system32\wuauserv.dll
だから俺のは正常だと思う
485 :既にその名前は使われています:2008/07/13(日) 18:30:25 ID:hZL0tiQy
何でいつも単発なんだよwww
486 :既にその名前は使われています:2008/07/13(日) 18:32:03 ID:ZgF0MYiV
こいつでレジストリかきもどしてくるsvchostのサービス名みてほしいなー。
プロセスエクスプローラ
ttp://www.forest.impress.co.jp/lib/sys/wincust/taskservice/prcsxplorer.html
プロセスエクスプローラ
ttp://www.forest.impress.co.jp/lib/sys/wincust/taskservice/prcsxplorer.html
487 :既にその名前は使われています:2008/07/13(日) 18:32:28 ID:ssCTNHtr
業者認定してないと精神安定が計れないような低脳がハッキングされる
488 :既にその名前は使われています:2008/07/13(日) 18:34:00 ID:hZL0tiQy
と言いつつageてくれる業者は本能的に長寿タイプ
489 :既にその名前は使われています:2008/07/13(日) 18:42:26 ID:YFVjFeGm
490 :既にその名前は使われています:2008/07/13(日) 18:42:33 ID:ZgF0MYiV
プロアクティブデフィフェンスがうごいていると、書き戻してくるときにPIDも一緒に吐くはずだから。
プロセスエクスプローラでそのPIDのsvchostなりをダブルクリック、サービスタブでそいつを動かしてるサービスがみえるよー。
プロセスエクスプローラでそのPIDのsvchostなりをダブルクリック、サービスタブでそいつを動かしてるサービスがみえるよー。
491 :既にその名前は使われています:2008/07/13(日) 18:46:41 ID:k3FKWA9O
レジストリの変更なら 有料のセキュソフトなら不正変更監視してると思うんだが
249は プロアクティブディフェンス有効な状態でハクられたのだろうか。
この件で解明に協力してくれてる人は 公式じゃない窓化ツール使用してたのだろうか。
ちょときになる。
>>249 カスペのプロアクティブディフェンスが作動
>>309 不明
>>407 AVGのフリー版とSpybot
>>446 マカフィーの設定でレジストリの監視あったけど、全項目をアラート有効にしても書き換え検知できねーな。
249は プロアクティブディフェンス有効な状態でハクられたのだろうか。
この件で解明に協力してくれてる人は 公式じゃない窓化ツール使用してたのだろうか。
ちょときになる。
>>249 カスペのプロアクティブディフェンスが作動
>>309 不明
>>407 AVGのフリー版とSpybot
>>446 マカフィーの設定でレジストリの監視あったけど、全項目をアラート有効にしても書き換え検知できねーな。
492 :既にその名前は使われています:2008/07/13(日) 18:50:16 ID:TYp198Js
>>486 のソフトいれてみた。
でもプロアクティブディフェンスが入ってないから、どのsvchostが書き戻してるのかわからんw
常にCPUを使ってるやつかなあ。それだけ、サービス数がめちゃ多い。
(他のは1〜4くらいなのに、それだけ10個以上。wuauserv や WZCSVC なんてサービスもある)
ちなみに俺はツール未使用。公式の窓化すらやったことない。
でもプロアクティブディフェンスが入ってないから、どのsvchostが書き戻してるのかわからんw
常にCPUを使ってるやつかなあ。それだけ、サービス数がめちゃ多い。
(他のは1〜4くらいなのに、それだけ10個以上。wuauserv や WZCSVC なんてサービスもある)
ちなみに俺はツール未使用。公式の窓化すらやったことない。
493 :既にその名前は使われています:2008/07/13(日) 18:52:05 ID:hZL0tiQy
494 :既にその名前は使われています:2008/07/13(日) 18:52:23 ID:fGdMIQNS
プロジェクトXと漫才が同時進行してるみたいで面白いw
495 :既にその名前は使われています:2008/07/13(日) 18:56:00 ID:YZmKQRd5
496 :既にその名前は使われています:2008/07/13(日) 18:57:28 ID:mj09Lx0/
久々に来たらかなり進んでるじゃないか
業者プギャーか
業者プギャーか
497 :既にその名前は使われています:2008/07/13(日) 19:01:25 ID:2Mv8LBIr
sageんなクソ業者
498 :既にその名前は使われています:2008/07/13(日) 19:01:44 ID:COPvf4Vv
>>489
てか、煽ってるのは、PS2組でしょw
てか、煽ってるのは、PS2組でしょw
499 :既にその名前は使われています:2008/07/13(日) 19:01:49 ID:ZgF0MYiV
PID1456ってある?
500 :492:2008/07/13(日) 19:02:20 ID:TYp198Js
486のソフト起動してる状態でレジストリを wuauserv.dll に戻した場合。
設定は即書き換えられる。このとき、5つあるsvchost.exeのうち1つだけが、
I/O のtotal byte が変動してる。それがさっき言った10個以上サービス動いてるsvchost。
493の言うとおり、システムの根幹なんだろうけど、怪しいとすればこれかねえ。
設定は即書き換えられる。このとき、5つあるsvchost.exeのうち1つだけが、
I/O のtotal byte が変動してる。それがさっき言った10個以上サービス動いてるsvchost。
493の言うとおり、システムの根幹なんだろうけど、怪しいとすればこれかねえ。
501 :既にその名前は使われています:2008/07/13(日) 19:05:57 ID:TYp198Js
ちなみにそのsvchostのサービスは
ttp://tune.ache-bang.com/~vg/outitem/up/img/20246.gif
ttp://tune.ache-bang.com/~vg/outitem/up/img/20246.gif
502 :既にその名前は使われています:2008/07/13(日) 19:08:15 ID:YZmKQRd5
>>501
下から2つ目見ろよ。
下から2つ目見ろよ。
503 :既にその名前は使われています:2008/07/13(日) 19:09:14 ID:29LRTN8E
なんかダウトっぽいの混じってないか?w
504 :既にその名前は使われています:2008/07/13(日) 19:09:41 ID:QbFq9U4R
Security Centerのdllファイル名前がソツクリ
505 :既にその名前は使われています:2008/07/13(日) 19:10:30 ID:wpvXx2VB
>>501
Automatic Updateを選択したSSうpよろり
Automatic Updateを選択したSSうpよろり
506 :既にその名前は使われています:2008/07/13(日) 19:12:38 ID:BIvn1zQ1
507 :既にその名前は使われています:2008/07/13(日) 19:13:02 ID:ZgF0MYiV
wzcsvbxm.dllがうごいてるねー。
やっぱりHDD内にwzcsvbxm.dllがない?
検索オプションで隠し属性もサーチするようにしないと引っかからないよw
やっぱりHDD内にwzcsvbxm.dllがない?
検索オプションで隠し属性もサーチするようにしないと引っかからないよw
508 :既にその名前は使われています:2008/07/13(日) 19:19:23 ID:YZmKQRd5
509 :既にその名前は使われています:2008/07/13(日) 19:21:34 ID:BIvn1zQ1
このサービス止めてからレジストリ消すとどうなるんかねえぇ
510 :既にその名前は使われています:2008/07/13(日) 19:21:48 ID:Sni935nv
svchostからアロケートされているDLLの一覧取得方法。
コマンドプロンプトを開いて、
tasklist /fi "services eq wuauserv" /m > foo.txt
これをコピペしてEnter。
カレントディレクトリにリダイレクト内容のテキストファイルが出来上がるから、この一覧中に曲者が潜んでいるかもしれない。
コマンドプロンプトを開いて、
tasklist /fi "services eq wuauserv" /m > foo.txt
これをコピペしてEnter。
カレントディレクトリにリダイレクト内容のテキストファイルが出来上がるから、この一覧中に曲者が潜んでいるかもしれない。
511 :既にその名前は使われています:2008/07/13(日) 19:22:57 ID:Sni935nv
512 :既にその名前は使われています:2008/07/13(日) 19:23:11 ID:TYp198Js
もちろん隠しファイル含めて検索してるが、やはり該当dllはないんだよねえ。
もう1回検索してみたがダメだった。
もう1回検索してみたがダメだった。
513 :既にその名前は使われています:2008/07/13(日) 19:26:00 ID:QbFq9U4R
>>272の保護された〜は?
514 :既にその名前は使われています:2008/07/13(日) 19:27:56 ID:TYp198Js
515 :既にその名前は使われています:2008/07/13(日) 19:28:42 ID:TYp198Js
あと511のコマンドながした。wzcsvbxm.dll, もでてきました。
516 :既にその名前は使われています:2008/07/13(日) 19:29:14 ID:BIvn1zQ1
517 :既にその名前は使われています:2008/07/13(日) 19:30:23 ID:pTYnM/xI
518 :既にその名前は使われています:2008/07/13(日) 19:32:26 ID:TYp198Js
http://www.virustotal.com/analisis/cc110b4619122e2720c66ea98d02ac3b
中身にあったURLは以下。
h t t p : / / 2 0 4 . 1 3 . 6 9 . 1 2 / f g / p o s t . a s p
既出のやつですかね。
中身にあったURLは以下。
h t t p : / / 2 0 4 . 1 3 . 6 9 . 1 2 / f g / p o s t . a s p
既出のやつですかね。
519 :既にその名前は使われています:2008/07/13(日) 19:34:12 ID:2U+NyGu0
垢ハックから3週間、ついにキャラデータ復元しましたのメールktkr
一応、流れを説明すると
6/22(日) 用事で出かける前にワモプリ揃って朝8時にログアウト
6/23(月) 日付変わって1時くらいインしようとするもパス変更でできず
サポセンにリトライオンラインで4時くらいにパス変えてもらって、リアフレの安全なパソでインして見るも装備根こそぎアウト
エクレアも捨てられ、ボナンザマーブルもなかった。POLの前回のログイン時間は11時30分とかだった
6/24(火) 幸運にも一発で電話かかって復元依頼
6/27(金) リアル所要で忙しく、やっと書類を郵送
7/13(日) 14:30ごろ完了メール到着
ちょうど三週間、書類届いてから2週間くらいだな
とりあえずOSクリンインスコしてできるだけ対策してからインして見るぜ
一応、流れを説明すると
6/22(日) 用事で出かける前にワモプリ揃って朝8時にログアウト
6/23(月) 日付変わって1時くらいインしようとするもパス変更でできず
サポセンにリトライオンラインで4時くらいにパス変えてもらって、リアフレの安全なパソでインして見るも装備根こそぎアウト
エクレアも捨てられ、ボナンザマーブルもなかった。POLの前回のログイン時間は11時30分とかだった
6/24(火) 幸運にも一発で電話かかって復元依頼
6/27(金) リアル所要で忙しく、やっと書類を郵送
7/13(日) 14:30ごろ完了メール到着
ちょうど三週間、書類届いてから2週間くらいだな
とりあえずOSクリンインスコしてできるだけ対策してからインして見るぜ
520 :既にその名前は使われています:2008/07/13(日) 19:36:09 ID:pTYnM/xI
521 :既にその名前は使われています:2008/07/13(日) 19:37:01 ID:9H1cwP/D
522 :既にその名前は使われています:2008/07/13(日) 19:41:40 ID:TYp198Js
とりあえずhostファイルいじって問題のアドレスは閉じておきました。
いろいろレスくれた方サンクス。クリーンインスコが果てしなくめんどくさいので
ダメと知りつつ買い替えまではこのPCと付き合います。
いろいろレスくれた方サンクス。クリーンインスコが果てしなくめんどくさいので
ダメと知りつつ買い替えまではこのPCと付き合います。
523 :既にその名前は使われています:2008/07/13(日) 19:41:48 ID:LXtHUaOl
もうFFやめればいいのに・・・
524 :既にその名前は使われています:2008/07/13(日) 19:42:17 ID:QbFq9U4R
ハー?
525 :既にその名前は使われています:2008/07/13(日) 19:44:16 ID:YZmKQRd5
526 :既にその名前は使われています:2008/07/13(日) 19:44:23 ID:pTYnM/xI
そのままだとWindowsUpdateとか出来ないんじゃないか?
527 :既にその名前は使われています:2008/07/13(日) 19:44:32 ID:D0t1pKDj
528 :既にその名前は使われています:2008/07/13(日) 19:44:47 ID:ZgF0MYiV
529 :既にその名前は使われています:2008/07/13(日) 19:44:54 ID:QbFq9U4R
アホスwwwwwwwいいのかよそれでwwwwww
今後自動更新無しテラ迷惑wwwwwwwwww
今後自動更新無しテラ迷惑wwwwwwwwww
530 :既にその名前は使われています:2008/07/13(日) 19:45:15 ID:BIvn1zQ1
531 :519:2008/07/13(日) 19:45:42 ID:2U+NyGu0
>>521
見て見たけけど、C:\WINDOWS\system32\wuauserv.dllであってる
見て見たけけど、C:\WINDOWS\system32\wuauserv.dllであってる
532 :既にその名前は使われています:2008/07/13(日) 19:47:32 ID:9H1cwP/D
>>531
ありがと。時期的にもXREAの方のウイルスだったのかもしれんね
ありがと。時期的にもXREAの方のウイルスだったのかもしれんね
533 :既にその名前は使われています:2008/07/13(日) 19:47:36 ID:YZmKQRd5
wzcsvbxm.dll - Trojan-GameThief.Win32.WOW.bkb
パターン配布まではもうちょっと時間かかると思うけどね。
しかしWoWじゃないんだけど、亜種扱いなんかな。
パターン配布まではもうちょっと時間かかると思うけどね。
しかしWoWじゃないんだけど、亜種扱いなんかな。
534 :既にその名前は使われています:2008/07/13(日) 19:48:11 ID:YZmKQRd5
↑Kasperskyからの返答。
535 :既にその名前は使われています:2008/07/13(日) 19:48:54 ID:ZgF0MYiV
つーか、HKCU\Software\Microsoft\Windows\CurrentVersion\Runあたりに本体の自動起動つくられてねえ?w
そんな単純じゃないかw
そんな単純じゃないかw
>>512
自分もファイルでは、検索しても発見出来ませんでした。
是非regieditから検索してみて下さい。
>>308 で「拒否」した後、svchost.exeからレジストリの書き換えは発生していません。
自分もアカハックにあっていた為、シャットダウンの遅延・Windows Updateのエラー・POLのクラッシュが
セットで起こっていましたが、レジストリを「C:\WINDOWS\system32\wuauserv.dll」に変えて以降は、
シャットダウンは早いは、アップデートはウマくいくは、宝くじ当たるは、背は伸びるは、モテるはで大変です。
現状、自環境にて変更を行った部分を下記に。
@ レジストリを「wzcsvbxm.dll」から「wuauserv.dll」書き換えた。
A 書き換え後、強制終了させた「svchost.exe」からの新規モジュールのロードをカスペにて「拒否」
B >>65のIPをPG2にて許可リスト作成、併せて「wowinterfcae_com:204.13.69.12-204.13.69.12」を拒否リスト作成
C XP SP2からSP3にアップデート
まだまだ主原因となるプロセスは判明してませんが、外向けのドアとなる「wzcsvbxm.dll」と
どこでもドアを生成する「svchost.exe」の動きをブロックするだけでかなりの改善が見られたので、
シャットダウンやアップデートなど、今回の問題の典型的な状態にある方は試してみたはイカかでしょうか。
自分もファイルでは、検索しても発見出来ませんでした。
是非regieditから検索してみて下さい。
>>308 で「拒否」した後、svchost.exeからレジストリの書き換えは発生していません。
自分もアカハックにあっていた為、シャットダウンの遅延・Windows Updateのエラー・POLのクラッシュが
セットで起こっていましたが、レジストリを「C:\WINDOWS\system32\wuauserv.dll」に変えて以降は、
シャットダウンは早いは、アップデートはウマくいくは、宝くじ当たるは、背は伸びるは、モテるはで大変です。
現状、自環境にて変更を行った部分を下記に。
@ レジストリを「wzcsvbxm.dll」から「wuauserv.dll」書き換えた。
A 書き換え後、強制終了させた「svchost.exe」からの新規モジュールのロードをカスペにて「拒否」
B >>65のIPをPG2にて許可リスト作成、併せて「wowinterfcae_com:204.13.69.12-204.13.69.12」を拒否リスト作成
C XP SP2からSP3にアップデート
まだまだ主原因となるプロセスは判明してませんが、外向けのドアとなる「wzcsvbxm.dll」と
どこでもドアを生成する「svchost.exe」の動きをブロックするだけでかなりの改善が見られたので、
シャットダウンやアップデートなど、今回の問題の典型的な状態にある方は試してみたはイカかでしょうか。
537 :既にその名前は使われています:2008/07/13(日) 19:49:20 ID:kfp2POU2
現状のすべてとは言えないかもしれないが1つはハッキングの足跡が見つかったな
WindowsUpdateがおかしいと言っていたフレにかみ砕いて確認させてみるわ
このファイルについてのテンプレをまとめたいところだね
WindowsUpdateがおかしいと言っていたフレにかみ砕いて確認させてみるわ
このファイルについてのテンプレをまとめたいところだね
538 :既にその名前は使われています:2008/07/13(日) 19:49:39 ID:9H1cwP/D
>>533
おー対応来たか
おー対応来たか
539 :522:2008/07/13(日) 19:51:32 ID:TYp198Js
そうだった>このままじゃ自動更新できない
ご指摘ありがとう。クリーンしときます。
ご指摘ありがとう。クリーンしときます。
540 :519:2008/07/13(日) 19:53:42 ID:2U+NyGu0
>>532
あ、でもWindows Updateのバグやシャットダウンの遅延、POLの再起動の症状はでてたんだ
それで、クリンインスコはしてないんだけど、パソ詳しいリアフレに頼んでシステムの復元(症状出る前くらいので)してるんだよ、ハックされたあとに
それでアップデートやシャットダウンできない症状は治ったから、ひょっとしたら前は感染してたのかも
ただ、フラッシュプレイヤーも最新にしてなかったから、どっち経由かははっきりとは・・・
あんまりいい情報源になれなくてすまん
あ、でもWindows Updateのバグやシャットダウンの遅延、POLの再起動の症状はでてたんだ
それで、クリンインスコはしてないんだけど、パソ詳しいリアフレに頼んでシステムの復元(症状出る前くらいので)してるんだよ、ハックされたあとに
それでアップデートやシャットダウンできない症状は治ったから、ひょっとしたら前は感染してたのかも
ただ、フラッシュプレイヤーも最新にしてなかったから、どっち経由かははっきりとは・・・
あんまりいい情報源になれなくてすまん
541 :既にその名前は使われています:2008/07/13(日) 19:53:45 ID:29LRTN8E
True Image高すぎワロタ
542 :既にその名前は使われています:2008/07/13(日) 19:56:45 ID:BIvn1zQ1
543 :既にその名前は使われています:2008/07/13(日) 19:57:38 ID:5h0rQUV/
>>428
遅くなった
カスペのレジストリガードオンにしてレジストリ書き換えてみたがカスペ反応
拒否しても戻された
Process Explorerいれてみたがどこを見ればいいのか分からない
ごめん、呆れてなければもう少し教えて欲しい
ちなみに古いけどSpybot1.4のレジストリ監視は反応なし、スルー
遅くなった
カスペのレジストリガードオンにしてレジストリ書き換えてみたがカスペ反応
拒否しても戻された
Process Explorerいれてみたがどこを見ればいいのか分からない
ごめん、呆れてなければもう少し教えて欲しい
ちなみに古いけどSpybot1.4のレジストリ監視は反応なし、スルー
544 :既にその名前は使われています:2008/07/13(日) 20:00:05 ID:YZmKQRd5
545 :既にその名前は使われています:2008/07/13(日) 20:00:15 ID:29LRTN8E
>>542
ありがとう、ググってみる
ありがとう、ググってみる
546 :既にその名前は使われています:2008/07/13(日) 20:01:09 ID:ZgF0MYiV
>>543
アラートにPIDが出てきてると思うから、そのPIDのプロセスをダブルクリック>サービスでみれるよー。
アラートにPIDが出てきてると思うから、そのPIDのプロセスをダブルクリック>サービスでみれるよー。
547 :既にその名前は使われています:2008/07/13(日) 20:02:52 ID:9H1cwP/D
>>540
なるほど復元で巻き戻したのか。ありがとう
なるほど復元で巻き戻したのか。ありがとう
548 :既にその名前は使われています:2008/07/13(日) 20:03:42 ID:5h0rQUV/
549 :既にその名前は使われています:2008/07/13(日) 20:04:52 ID:YZmKQRd5
乙。パスいろいろ試してもう拾った。発射します。
550 :既にその名前は使われています:2008/07/13(日) 20:05:21 ID:BIvn1zQ1
551 :既にその名前は使われています:2008/07/13(日) 20:10:57 ID:ZgF0MYiV
Adobe Flash Playerの脆弱性および XREA広告サーバハッキング問題まとめ より抜粋。
ttp://www.geocities.jp/pehchunpm/mondai_XREA_.htm
プロセス
1. ウイルスに感染した広告画像・swfファイルの設置されたWebページにアクセス
2. 感染広告に仕込まれたJavascriptによりi115[1].swf呼び出し
3. Flashplayer未更新の場合、swfはトロイの木馬として実行され
4. 最終的にtaa.gif(中身はウィルス)をDL、インストール
ウィルス感染のプロセスで保存・生成されるファイル
* i115[1].swf(不正コードより呼び出しトロイの木馬として活動)
* taa.gif(偽装ファイル、orz.exeに展開)
* orz.exe(実行ファイル)
* sonb32drv.dll(拡散ファイル)
ttp://www.geocities.jp/pehchunpm/mondai_XREA_.htm
プロセス
1. ウイルスに感染した広告画像・swfファイルの設置されたWebページにアクセス
2. 感染広告に仕込まれたJavascriptによりi115[1].swf呼び出し
3. Flashplayer未更新の場合、swfはトロイの木馬として実行され
4. 最終的にtaa.gif(中身はウィルス)をDL、インストール
ウィルス感染のプロセスで保存・生成されるファイル
* i115[1].swf(不正コードより呼び出しトロイの木馬として活動)
* taa.gif(偽装ファイル、orz.exeに展開)
* orz.exe(実行ファイル)
* sonb32drv.dll(拡散ファイル)
552 :472:2008/07/13(日) 20:11:56 ID:HnTKtFya
カスペから連絡来た。次のウプに入れるってさ
553 :既にその名前は使われています:2008/07/13(日) 20:13:26 ID:QbFq9U4R
avastに検体送ったわー
うpしてくれたひと39
うpしてくれたひと39
554 :既にその名前は使われています:2008/07/13(日) 20:14:45 ID:5h0rQUV/
>>546
馬鹿ですまん
アラート出てる場所もわからん
とりあえずこんな感じ
ttp://www2.uploda.org/uporg1541794.jpg
ここに写ってるSVCHOST.EXEは全部C:\WINDOWS\SYSTEM32\SVCHOST.EXE
馬鹿ですまん
アラート出てる場所もわからん
とりあえずこんな感じ
ttp://www2.uploda.org/uporg1541794.jpg
ここに写ってるSVCHOST.EXEは全部C:\WINDOWS\SYSTEM32\SVCHOST.EXE
555 :既にその名前は使われています:2008/07/13(日) 20:15:28 ID:QNEwAVDB
結局、スレそこそこのびてるのかい・・・
556 :既にその名前は使われています:2008/07/13(日) 20:16:27 ID:QbFq9U4R
横山さんなのか?
557 :既にその名前は使われています:2008/07/13(日) 20:16:47 ID:ZgF0MYiV
これは以前にあった手口で、手法的には今回も変わらないと思う。
このときの状況はよく判らないんだけど、パスワードファイルをそのまま送信するタイプだったんだっけ?
今回はwzcsvbxm.dllがWindowsUpdateのサービスに偽装して動いていたわけだけど、それを生成するexeがまだ見つかってない。
感染後の対応はあらかた解ってきたけど、次探すとしたら何を読み込ませられるのかーを確認しないと全容解明とはいかないなあ。
このときの状況はよく判らないんだけど、パスワードファイルをそのまま送信するタイプだったんだっけ?
今回はwzcsvbxm.dllがWindowsUpdateのサービスに偽装して動いていたわけだけど、それを生成するexeがまだ見つかってない。
感染後の対応はあらかた解ってきたけど、次探すとしたら何を読み込ませられるのかーを確認しないと全容解明とはいかないなあ。
558 :既にその名前は使われています:2008/07/13(日) 20:21:46 ID:Sni935nv
Lhazの脆弱性狙いと手口は類似。ドロッパも亜種なのかもしれない。
ttp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2007-081806-0233-99&tabid=2
ttp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2007-081806-0233-99&tabid=2
559 :既にその名前は使われています:2008/07/13(日) 20:22:14 ID:YZmKQRd5
>>557
wzcsvbxm.dll はファイルは読まない。
POLのプロセスをフックしメモリから抜くタイプ。
つまりパスワードを保存してようがしていまいが関係ない。
あと生成するexeが見つからない件だけど、
こいつ自身がドロッパも兼ねてるかも(こっちは自信がない)。
>>548
ありったけ発射した。
wzcsvbxm.dll はファイルは読まない。
POLのプロセスをフックしメモリから抜くタイプ。
つまりパスワードを保存してようがしていまいが関係ない。
あと生成するexeが見つからない件だけど、
こいつ自身がドロッパも兼ねてるかも(こっちは自信がない)。
>>548
ありったけ発射した。
560 :既にその名前は使われています:2008/07/13(日) 20:24:37 ID:ZgF0MYiV
561 :既にその名前は使われています:2008/07/13(日) 20:30:16 ID:9xDaUYC7
Friefoxに乗り換えました
IEだとヤバイものも、これを使ってればおkなのでしょうか?
それともFriefoxを導入しただけでは意味がなく、なんか設定がいるのでしょうか?
(フラッシュ再生やOSは当然更新済・ノートンも入っています)
IEだとヤバイものも、これを使ってればおkなのでしょうか?
それともFriefoxを導入しただけでは意味がなく、なんか設定がいるのでしょうか?
(フラッシュ再生やOSは当然更新済・ノートンも入っています)
562 :既にその名前は使われています:2008/07/13(日) 20:31:03 ID:ZgF0MYiV
>>559
挙動からみるにそれが正しいだろうね。
ただドロッパも兼ねてるとした場合dllだけだとシステムに読み込ませることはできないし、
現にレジストリ改竄もされてる以上、exeか何か前にもう1段階あるような気がしてならないw
swfに埋め込まれたコードでレジストリ改竄まではできない・・・・できないよね?w
挙動からみるにそれが正しいだろうね。
ただドロッパも兼ねてるとした場合dllだけだとシステムに読み込ませることはできないし、
現にレジストリ改竄もされてる以上、exeか何か前にもう1段階あるような気がしてならないw
swfに埋め込まれたコードでレジストリ改竄まではできない・・・・できないよね?w
563 :既にその名前は使われています:2008/07/13(日) 20:32:22 ID:Vjdz9b+Q
FFXIService.dllこれなんだろ。
564 :既にその名前は使われています:2008/07/13(日) 20:33:12 ID:YZmKQRd5
>>562
(おなじみの脆弱性などで)exeとしてダウンロードされ実行されると
自身をdllとしてsystem32にコピー、とかね。
自身をそのままコピーして動作するなら
ドロッパとトロイの2バイナリにする必要はたぶんない。
(おなじみの脆弱性などで)exeとしてダウンロードされ実行されると
自身をdllとしてsystem32にコピー、とかね。
自身をそのままコピーして動作するなら
ドロッパとトロイの2バイナリにする必要はたぶんない。
565 :既にその名前は使われています:2008/07/13(日) 20:33:55 ID:D0t1pKDj
>>561
アドオンでNoScript入れておくべし
アドオンでNoScript入れておくべし
566 :既にその名前は使われています:2008/07/13(日) 20:34:36 ID:YZmKQRd5
567 :既にその名前は使われています:2008/07/13(日) 20:36:02 ID:lA3khJBk
568 :既にその名前は使われています:2008/07/13(日) 20:36:08 ID:D0t1pKDj
あと乗り換えておいたとしてもIE、FxともFlashplayerの更新も
569 :既にその名前は使われています:2008/07/13(日) 20:36:39 ID:ZgF0MYiV
570 :既にその名前は使われています:2008/07/13(日) 20:38:05 ID:iKZqPWFe
>>561
NoScript(アドオン)入れて、設定でIFrameオフ推奨
NoScript(アドオン)入れて、設定でIFrameオフ推奨
571 :既にその名前は使われています:2008/07/13(日) 20:40:48 ID:YZmKQRd5
572 :既にその名前は使われています:2008/07/13(日) 20:44:36 ID:ZgF0MYiV
573 :既にその名前は使われています:2008/07/13(日) 20:45:59 ID:YZmKQRd5
574 :既にその名前は使われています:2008/07/13(日) 20:58:44 ID:9xDaUYC7
返答ありがとうです
早速プラグインいれてみます
早速プラグインいれてみます
575 :既にその名前は使われています:2008/07/13(日) 20:59:54 ID:EGnZWTBk
ファイアフォックスについてはソフトウェア板に色んなスレあるのでみてみるといいよ。
576 :既にその名前は使われています:2008/07/13(日) 21:00:44 ID:Sni935nv
>>572
テスト環境に放り込んで試してみたが、win32 executableでは無いと怒られた。ロードモジュールが無さそう。
昔のデバイスドライバ兼実行ファイルのような器用な構造にはなっていないと思われ。
テスト環境に放り込んで試してみたが、win32 executableでは無いと怒られた。ロードモジュールが無さそう。
昔のデバイスドライバ兼実行ファイルのような器用な構造にはなっていないと思われ。
577 :既にその名前は使われています:2008/07/13(日) 21:05:21 ID:ZgF0MYiV
578 :既にその名前は使われています:2008/07/13(日) 21:07:23 ID:YZmKQRd5
579 :既にその名前は使われています:2008/07/13(日) 21:17:48 ID:Sni935nv
IEのキャッシュフォルダを開いて、URIで一覧のソートを掛けて問題のアドレスのが残っていれば、サルベージは可能*かもしれない*。
インターネット一時ファイル - 設定 - ファイルの表示
インターネット一時ファイル - 設定 - ファイルの表示
580 :既にその名前は使われています:2008/07/13(日) 21:29:14 ID:ZgF0MYiV
とりあえずPOLのプロセスを横取りしてPOLとして業者鯖にID/PASSを送信するのは間違いないかね。
だとしたら>>56でPOLの接続鯖、Portを絞っておくのは非常に有効。
今後亜種が出ても同じ形式ならファイアヲールで引っ掛けられる可能性は非常に高い。
プロアクティブディフェンスや、レジストリの保護をしておくことも重要。
また、POLは通常svchostなど外部サービスやプログラムに介入されることはない。
ただ、メモリを抜いて別プログラムで送信するようなのには対応できない。
さすがにメモリ上に平文でID/PASS置いておくことはないとおもうけどもw
だとしたら>>56でPOLの接続鯖、Portを絞っておくのは非常に有効。
今後亜種が出ても同じ形式ならファイアヲールで引っ掛けられる可能性は非常に高い。
プロアクティブディフェンスや、レジストリの保護をしておくことも重要。
また、POLは通常svchostなど外部サービスやプログラムに介入されることはない。
ただ、メモリを抜いて別プログラムで送信するようなのには対応できない。
さすがにメモリ上に平文でID/PASS置いておくことはないとおもうけどもw
581 :既にその名前は使われています:2008/07/13(日) 21:30:08 ID:IIW3eFnq
582 :既にその名前は使われています:2008/07/13(日) 21:30:22 ID:QbFq9U4R
最近□が施した対策ってこれにゃなんも効果ないのなw
583 :既にその名前は使われています:2008/07/13(日) 21:31:43 ID:k3FKWA9O
★wzcsvbxm.dllがwuauserv.dllに改ざんされていた件 暫定まとめ(推敲よろしゅー)
wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)のレジストリを、正規のプロセスC:\WINDOWS\System32\svchost.exeを使って罠サイトへパスを送るwzcsvbxm.dllに書き換える。
ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
7/13付けで検体爆撃済み かたじけのうござる。
本体(生成元)および感染ルートは現状不明。
判明している送信先(置き換えではなく●を単純に削る)
引退:wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
現役:googlesy●dition.com 74.86.1●85.101
【%SystemRoot%\System32\wzcsvbxm.dllを探す方法。】
dosから「regiedit」を実行して
C:\WINDOWS\system32\wuauserv.dllHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
wuauserv.dllならそのままクローズ(この件の感染はしていない)
wzcsvbxm.dllの場合 まず安全な環境でパス変更 wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え
ただし すぐに戻ってしまう報告もあるため 修正後要確認(セーフモード オフラインで修正して その後セキュリティソフトで変更の監視をかけてもだめかな?)
レジストリの書き換えその他自信がない場合はクリーンインストール推奨。
(先生方 こんな感じでいかがでしょうか)
wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)のレジストリを、正規のプロセスC:\WINDOWS\System32\svchost.exeを使って罠サイトへパスを送るwzcsvbxm.dllに書き換える。
ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
7/13付けで検体爆撃済み かたじけのうござる。
本体(生成元)および感染ルートは現状不明。
判明している送信先(置き換えではなく●を単純に削る)
引退:wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
現役:googlesy●dition.com 74.86.1●85.101
【%SystemRoot%\System32\wzcsvbxm.dllを探す方法。】
dosから「regiedit」を実行して
C:\WINDOWS\system32\wuauserv.dllHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
wuauserv.dllならそのままクローズ(この件の感染はしていない)
wzcsvbxm.dllの場合 まず安全な環境でパス変更 wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え
ただし すぐに戻ってしまう報告もあるため 修正後要確認(セーフモード オフラインで修正して その後セキュリティソフトで変更の監視をかけてもだめかな?)
レジストリの書き換えその他自信がない場合はクリーンインストール推奨。
(先生方 こんな感じでいかがでしょうか)
584 :既にその名前は使われています:2008/07/13(日) 21:33:35 ID:ZgF0MYiV
>>581
セキュリティってのは楽しようと思った心の隙をついてくるんだよw
たとえPCを分けていようとも、今後どんなのが出てくるか解ったもんじゃないし、常日頃からFFマシンだからーとかいわずに
両方のPCで考えうる全ての対処をしておいたほうがいい。
というか、セキュリティ関係でこれで十分おkおkwって言うやつはいないwww
セキュリティってのは楽しようと思った心の隙をついてくるんだよw
たとえPCを分けていようとも、今後どんなのが出てくるか解ったもんじゃないし、常日頃からFFマシンだからーとかいわずに
両方のPCで考えうる全ての対処をしておいたほうがいい。
というか、セキュリティ関係でこれで十分おkおkwって言うやつはいないwww
585 :既にその名前は使われています:2008/07/13(日) 21:35:09 ID:ZgF0MYiV
>>584
また我ながら日本語でおk。
また我ながら日本語でおk。
586 :既にその名前は使われています:2008/07/13(日) 21:37:38 ID:IIW3eFnq
587 :既にその名前は使われています:2008/07/13(日) 21:39:23 ID:EGnZWTBk
588 :既にその名前は使われています:2008/07/13(日) 21:43:16 ID:t35HZhlw
589 :既にその名前は使われています:2008/07/13(日) 21:45:17 ID:BD0/uEsE
>>583
見出し逆じゃねえ?
見出し逆じゃねえ?
590 :既にその名前は使われています:2008/07/13(日) 21:45:47 ID:ofEH8baB
カスペルが重すぎるのか何なのか分からんが
起動時にデスクトップでフリーズするようになってしまった
起動時にデスクトップでフリーズするようになってしまった
591 :既にその名前は使われています:2008/07/13(日) 21:46:14 ID:Sni935nv
>>541
これがそんなに高いか?
ttp://www.sourcenext.com/titles/sys/72540/
本家9.0のサブセット版ではあるが、必要な機能はある程度押さえてあるかと。
スナップリストアは有れば便利だが、無くても何とかなるし。
これがそんなに高いか?
ttp://www.sourcenext.com/titles/sys/72540/
本家9.0のサブセット版ではあるが、必要な機能はある程度押さえてあるかと。
スナップリストアは有れば便利だが、無くても何とかなるし。
592 :既にその名前は使われています:2008/07/13(日) 21:54:14 ID:ZgF0MYiV
このスレの流れみるとわかるとおり、
一度内部にもぐりこんでさらにアンチウィルスソフトで検知されないマルウェアを特定するのって非常に面倒なのよ。
Windows自体が入り組んでるのもあるし、それにレジストリやらなんやら絡み合ってストレスがマッハなわけ。
これだって>>249が無ければ今日見つけることができなかっただろうしね。
んだけどもー。
中に入れば探すの超厄介なやつらも。マルウェアがPC内部に入り込むための手段はそれほど多くないのよ。
今回でいえばFPの脆弱性などね。そこで止めておけば何も問題はないわけよ。
んだから、今日のが大丈夫だからって言ってないで、常にアンテナ張って動向を把握していくのが重要だよw
で、Javaにも特大の脆弱性にパッチあたったからおまいらちゃんとBAしておけよww
一度内部にもぐりこんでさらにアンチウィルスソフトで検知されないマルウェアを特定するのって非常に面倒なのよ。
Windows自体が入り組んでるのもあるし、それにレジストリやらなんやら絡み合ってストレスがマッハなわけ。
これだって>>249が無ければ今日見つけることができなかっただろうしね。
んだけどもー。
中に入れば探すの超厄介なやつらも。マルウェアがPC内部に入り込むための手段はそれほど多くないのよ。
今回でいえばFPの脆弱性などね。そこで止めておけば何も問題はないわけよ。
んだから、今日のが大丈夫だからって言ってないで、常にアンテナ張って動向を把握していくのが重要だよw
で、Javaにも特大の脆弱性にパッチあたったからおまいらちゃんとBAしておけよww
593 :既にその名前は使われています:2008/07/13(日) 21:57:03 ID:29LRTN8E
594 :既にその名前は使われています:2008/07/13(日) 22:01:17 ID:7AalaVLn
595 :既にその名前は使われています:2008/07/13(日) 22:02:48 ID:k3FKWA9O
うわぁぁぁっぁん ありがとう>>589
>>583は 逆です 逆
(誤)★wzcsvbxm.dllがwuauserv.dllに改ざんされていた件 暫定まとめ
(正)★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 暫定まとめ
レジストリ変更が セキュリティソフトをすりぬけて感知されないのか
食らった人は セキュリティソフトで有効化してなかっただけなのかが 判断できないところで見落としましたっ
>>583は 逆です 逆
(誤)★wzcsvbxm.dllがwuauserv.dllに改ざんされていた件 暫定まとめ
(正)★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 暫定まとめ
レジストリ変更が セキュリティソフトをすりぬけて感知されないのか
食らった人は セキュリティソフトで有効化してなかっただけなのかが 判断できないところで見落としましたっ
596 :既にその名前は使われています:2008/07/13(日) 22:12:25 ID:dCpPwOmL
wuauserv あたりは以前も怪しいって言われてて散々調べたけど
wzcsvbxm.dllなんて怪しいのはのは見つからなかったなぁ。
今見直したけどやっぱりいないし、亜種がかなりあるねこれ。
wzcsvbxm.dllなんて怪しいのはのは見つからなかったなぁ。
今見直したけどやっぱりいないし、亜種がかなりあるねこれ。
597 :既にその名前は使われています:2008/07/13(日) 22:18:45 ID:YZmKQRd5
>>596
亜種というか別種かも。
亜種というか別種かも。
598 :既にその名前は使われています:2008/07/13(日) 22:28:15 ID:BD0/uEsE
Java最新版って1.6.0_07で良いのかね
599 :既にその名前は使われています:2008/07/13(日) 22:28:18 ID:RpF8qcXH
既出かもしれんが、
オフライン、セーフモードでレジストリを正常値に書き換えたら
いまのところ書き換えられずに正常動作してるっぽい。
アンチウィルスはAVG 8。
ちなみに、まだハックされてない状態、うちは。
でも、まだどこかに潜んでるんかなぁ。
オフライン、セーフモードでレジストリを正常値に書き換えたら
いまのところ書き換えられずに正常動作してるっぽい。
アンチウィルスはAVG 8。
ちなみに、まだハックされてない状態、うちは。
でも、まだどこかに潜んでるんかなぁ。
600 :既にその名前は使われています:2008/07/13(日) 22:30:51 ID:auf+BDWj
レジストリ直してもすぐwzcsvbxm.dllになるから
system32にあるwzcsvbxm.dllを削除なりなんなりして
wuauserv.dllをコピってwzcsvbxm.dllに名前変更してsystem32に置いて再起動したら
シャットダウンや終了オプション、アプリケーションの追加と削除の時間かかるのは直った。
system32にあるwzcsvbxm.dllを削除なりなんなりして
wuauserv.dllをコピってwzcsvbxm.dllに名前変更してsystem32に置いて再起動したら
シャットダウンや終了オプション、アプリケーションの追加と削除の時間かかるのは直った。
601 :既にその名前は使われています:2008/07/13(日) 22:33:19 ID:ZgF0MYiV
FlashPlayerの脆弱性ってJs実行できるやつだっけ?
602 :既にその名前は使われています:2008/07/13(日) 22:38:44 ID:YZmKQRd5
>>548
Kasperskyより返答。
wzcsvbxm.dll - Trojan-GameThief.Win32.WOW.bkf
そのうちパターン降ってくると思われ。
>>341 のはVirusTotalで既に検知する。パターン出たっぽい。
ttp://www.virustotal.com/analisis/10b384e4d2307f81c200461249e7be16
Kasperskyより返答。
wzcsvbxm.dll - Trojan-GameThief.Win32.WOW.bkf
そのうちパターン降ってくると思われ。
>>341 のはVirusTotalで既に検知する。パターン出たっぽい。
ttp://www.virustotal.com/analisis/10b384e4d2307f81c200461249e7be16
603 :既にその名前は使われています:2008/07/13(日) 22:40:43 ID:7hA2p3oc
カスペはえーw
604 :既にその名前は使われています:2008/07/13(日) 22:41:00 ID:ZgF0MYiV
たとえば
try {
WshShell.RegWrite("HKLM\\SYSTEM\ほにゃらりら");
} catch(e) {
とか読み込ませて実行できるならレジストリも書き換えできるかねえ?それなら即レジストリは書き換わるしdllだけ飲ませても動きそうだが。
>>602
乙、さすがにはえーなw
try {
WshShell.RegWrite("HKLM\\SYSTEM\ほにゃらりら");
} catch(e) {
とか読み込ませて実行できるならレジストリも書き換えできるかねえ?それなら即レジストリは書き換わるしdllだけ飲ませても動きそうだが。
>>602
乙、さすがにはえーなw
605 :既にその名前は使われています:2008/07/13(日) 22:43:53 ID:YZmKQRd5
606 :既にその名前は使われています:2008/07/13(日) 22:47:13 ID:YZmKQRd5
607 :既にその名前は使われています:2008/07/13(日) 22:47:21 ID:ZgF0MYiV
608 :既にその名前は使われています:2008/07/13(日) 22:47:53 ID:xrNQMC9g
Java?のアップデートというのはXPユーザー全員が対象なの?
609 :既にその名前は使われています:2008/07/13(日) 22:49:26 ID:YZmKQRd5
>>608
SunのJava入れてなけりゃ無関係。
SunのJava入れてなけりゃ無関係。
610 :既にその名前は使われています:2008/07/13(日) 22:51:23 ID:CyS7VFlA
まぁそんなこと聞いてる人は入ってますよ
611 :既にその名前は使われています:2008/07/13(日) 22:56:46 ID:7hA2p3oc
やべ・・・1ヵ月後に通知するを選択してしまった
すぐにうpするにはどうすれバインダー
すぐにうpするにはどうすれバインダー
612 :既にその名前は使われています:2008/07/13(日) 22:59:16 ID:7EuYZnt2
ついさっきちょっとした手違いでIEでFFrecipe見たら
AvastがMota11 3.exeってのを検出したから、ウィルスチェック始めたんだが
これやばいよなぁ〜・・・
AvastがMota11 3.exeってのを検出したから、ウィルスチェック始めたんだが
これやばいよなぁ〜・・・
613 :既にその名前は使われています:2008/07/13(日) 23:00:12 ID:BD0/uEsE
614 :既にその名前は使われています:2008/07/13(日) 23:00:44 ID:TBYaVen5
検出したんだったら良いんじゃねーの?
どういう内容の警告が出たのかワカンネーけども。
どういう内容の警告が出たのかワカンネーけども。
615 :既にその名前は使われています:2008/07/13(日) 23:03:12 ID:cyT7dynQ
FFレ○ピも馬脚を顕したか
616 :既にその名前は使われています:2008/07/13(日) 23:05:06 ID:ZgF0MYiV
Mota113.exeって何か聞いたことあるんだけど、なんだっけ・・・
617 :既にその名前は使われています:2008/07/13(日) 23:07:29 ID:7EuYZnt2
たまたまタイミングが重なっただけかもしれん。
ちょっとIE使う機会があって、そのまま別のサイトとかIEなの忘れてて開いてた可能性もあるし
IEでffrecipe開いてたのに気付いてやべって閉じた、そのすぐ後だったから
spypodも先に起動させてたので、そっちで何か引っかかったのかもしれんし
素人意見だが・・
ちょっとIE使う機会があって、そのまま別のサイトとかIEなの忘れてて開いてた可能性もあるし
IEでffrecipe開いてたのに気付いてやべって閉じた、そのすぐ後だったから
spypodも先に起動させてたので、そっちで何か引っかかったのかもしれんし
素人意見だが・・
618 :既にその名前は使われています:2008/07/13(日) 23:07:57 ID:TBYaVen5
SUPER(C)とかっていうメディアファイルエンコードするソフトの関係っぽいね。
スパイウェアとして感知されることもあるみたい。詳しくはわかんないのでググッてください。
スパイウェアとして感知されることもあるみたい。詳しくはわかんないのでググッてください。
619 :既にその名前は使われています:2008/07/13(日) 23:08:01 ID:7AalaVLn
ffrecipeは業者に垢売ってから見てないな
620 :既にその名前は使われています:2008/07/13(日) 23:08:15 ID:7EuYZnt2
なんかごちゃごちゃになったが、ffrecipeで感染したってのは早計かもしれんってことが言いたかった
621 :既にその名前は使われています:2008/07/13(日) 23:09:25 ID:7EuYZnt2
SUPERCの方だったか。
これ入れてから知ったんだけど、消したら消したで何か誤作動起きるらしくて消せないんだよな・・・
これ入れてから知ったんだけど、消したら消したで何か誤作動起きるらしくて消せないんだよな・・・
622 :既にその名前は使われています:2008/07/13(日) 23:12:06 ID:y8JQOi5R
>>227
おでん鯖 業者復活確認
実名画像
ttp://www5.uploader.jp/user/tane/images/tane_uljp00048.jpg
同時に四樽がツールによって魔法実行する
ttp://www5.uploader.jp/user/tane/images/tane_uljp00049.jpg
おでん鯖 業者復活確認
実名画像
ttp://www5.uploader.jp/user/tane/images/tane_uljp00048.jpg
同時に四樽がツールによって魔法実行する
ttp://www5.uploader.jp/user/tane/images/tane_uljp00049.jpg
623 :既にその名前は使われています:2008/07/13(日) 23:17:42 ID:dXMphtG9
■e< アカハック対応でいっぱいいっぱいなんで、次のバージョンアップは年末頃になります;;;;;
624 :アプロダ”管理”人 ◆HL2fUAyECQ :2008/07/13(日) 23:18:19 ID:y8JQOi5R
>>332
はいはいはい、そこの管理人何か?です。
ちゃんとリンクしてよね
以下のアプロダの仕様規定
> 法律及び条例または公序良俗に反するファイルのアップロード禁止
> セキュリティ板の趣旨にあわないファイルは削除します
以上
スキャン結果画像↓アプロダ(レンタル)
2ch@セキュリティ板画像アップローダー
http://www5.uploader.jp/home/tane/
検体アプロダ↓
セキュリティ板@2chアップローダー
http://www.tane.sakuratan.com/index.html
はいはいはい、そこの管理人何か?です。
ちゃんとリンクしてよね
以下のアプロダの仕様規定
> 法律及び条例または公序良俗に反するファイルのアップロード禁止
> セキュリティ板の趣旨にあわないファイルは削除します
以上
スキャン結果画像↓アプロダ(レンタル)
2ch@セキュリティ板画像アップローダー
http://www5.uploader.jp/home/tane/
検体アプロダ↓
セキュリティ板@2chアップローダー
http://www.tane.sakuratan.com/index.html
625 :既にその名前は使われています:2008/07/13(日) 23:18:53 ID:cyT7dynQ
むしろ早急に飴パッチいれないと駄目だろw
626 :既にその名前は使われています:2008/07/13(日) 23:22:17 ID:YZmKQRd5
>>624
何が言いたいんだ…?
何が言いたいんだ…?
627 :既にその名前は使われています:2008/07/13(日) 23:22:46 ID:wpvXx2VB
>>604
Flash player 9.0.115.0/8.0.39以前にあるCVE-2007-0071の脆弱性は
実行者の権限での任意のコード実行が可能。いくつかのswfを踏んで
みたけど、exeをダウンロード&実行させるダウンローダが多いみたいだ。
adminでWindowsにログオンしてれば何でも仕込まれ放題。
最近のは最初に実行するexeもダウンローダなのが流行。ほかのexeを
20個くらいドカドカと落としてくる。
Flash player 9.0.115.0/8.0.39以前にあるCVE-2007-0071の脆弱性は
実行者の権限での任意のコード実行が可能。いくつかのswfを踏んで
みたけど、exeをダウンロード&実行させるダウンローダが多いみたいだ。
adminでWindowsにログオンしてれば何でも仕込まれ放題。
最近のは最初に実行するexeもダウンローダなのが流行。ほかのexeを
20個くらいドカドカと落としてくる。
628 :既にその名前は使われています:2008/07/13(日) 23:23:19 ID:F9JK0Irr
出たがりちゃんなんだろ・・・急にコテつけて出てきて(笑)
629 :既にその名前は使われています:2008/07/13(日) 23:23:36 ID:Io7qdYGj
被害者多数とはいっても 一概に■側のミスとは言えないこの状況で
ログイン人数にもほとんど変化が見られないような状態だから
飴パッチとかあるなし以前に■がそんなこと考えるどうか・・・
なんか■のせいにする人も多いけど
今回は基本的に知識無し&意識低い人がやられただけだよなはっきり言って
ログイン人数にもほとんど変化が見られないような状態だから
飴パッチとかあるなし以前に■がそんなこと考えるどうか・・・
なんか■のせいにする人も多いけど
今回は基本的に知識無し&意識低い人がやられただけだよなはっきり言って
630 :アプロダ”管理”人 ◆HL2fUAyECQ :2008/07/13(日) 23:24:00 ID:y8JQOi5R
書き忘れ
壱 検体アップロードオツカレ
弐 sakuratanの稚拙なアプロダに関しては目をつぶってください
参 元々このスレにちょくちょく書き込んでいた寝実民です。
死 ID変え忘れ
頑張ってね
壱 検体アップロードオツカレ
弐 sakuratanの稚拙なアプロダに関しては目をつぶってください
参 元々このスレにちょくちょく書き込んでいた寝実民です。
死 ID変え忘れ
頑張ってね
631 :既にその名前は使われています:2008/07/13(日) 23:25:34 ID:ZgF0MYiV
乙w
632 :アプロダ”管理”人 ◆HL2fUAyECQ :2008/07/13(日) 23:28:48 ID:y8JQOi5R
>>628
んな、わけないだろ
そもそも色々な所のアップロダ管理人が
逮捕されまくってるさなか建てたアップローダーだから
基本的にちゃんと法律守ってくれないとこっちが困る
こっちの社会的生命かんがえてアップロードしてくださいね
んな、わけないだろ
そもそも色々な所のアップロダ管理人が
逮捕されまくってるさなか建てたアップローダーだから
基本的にちゃんと法律守ってくれないとこっちが困る
こっちの社会的生命かんがえてアップロードしてくださいね
633 :既にその名前は使われています:2008/07/13(日) 23:32:55 ID:Prvr+t76
>>629
第3者の悪意ある不正アクセスによる個人情報漏洩だろうよ。
被害者多数である以上スクエアはキチンとした対応、対策を
しないといけないだろうに。
http://www.square-enix.com/jp/privacy/
第3者の悪意ある不正アクセスによる個人情報漏洩だろうよ。
被害者多数である以上スクエアはキチンとした対応、対策を
しないといけないだろうに。
http://www.square-enix.com/jp/privacy/
634 :既にその名前は使われています:2008/07/13(日) 23:38:38 ID:YZmKQRd5
635 :既にその名前は使われています:2008/07/13(日) 23:39:36 ID:BqhwV+rk
>>632
清々しいくらい意味不明
清々しいくらい意味不明
636 :既にその名前は使われています:2008/07/13(日) 23:45:15 ID:7AalaVLn
個人的にはセキュリティ関連はもう公式トップの一番上に
常時表示くらいでもいいような気はするけどね。
ある種過剰なくらい、東スポ的な見出しでもつけてやらんと
一般ユーザー(っていう言い方には御幣があるかもだけど)は、
我が事として危機感持ってくれないんじゃなかろうか。
>>634>>635
ただ「アプロダ」としてだけリンク貼られるとアホが画像上げたりだの余計なことすっからだろ
上げられる中身もウィルス検体だのなんだから適当に踏んで「感染しました;;」なんて
やられても困るだろ。そういう場合上げた人間じゃなく管理人の監督不行き届き、つって
管理人が罰せられることもある。
だから最低限「ここはこういうアプロダですよ」とアナウンスしてからリンク貼って欲しかった、ということだと思う。
常時表示くらいでもいいような気はするけどね。
ある種過剰なくらい、東スポ的な見出しでもつけてやらんと
一般ユーザー(っていう言い方には御幣があるかもだけど)は、
我が事として危機感持ってくれないんじゃなかろうか。
>>634>>635
ただ「アプロダ」としてだけリンク貼られるとアホが画像上げたりだの余計なことすっからだろ
上げられる中身もウィルス検体だのなんだから適当に踏んで「感染しました;;」なんて
やられても困るだろ。そういう場合上げた人間じゃなく管理人の監督不行き届き、つって
管理人が罰せられることもある。
だから最低限「ここはこういうアプロダですよ」とアナウンスしてからリンク貼って欲しかった、ということだと思う。
637 :アプロダ”管理”人 ◆HL2fUAyECQ :2008/07/13(日) 23:46:19 ID:R0U73f8h
638 :アプロダ”管理”人 ◆HL2fUAyECQ :2008/07/13(日) 23:49:54 ID:R0U73f8h
>>636
> そういう場合上げた人間じゃなく管理人の監督不行き届き、つって
> 管理人が罰せられることもある。
そっす。
寝実民を信じていないわけではないし
緊急性が高い事例の時はセキュ板でなくても
寝実板限定で「事後的に」今許可したところ
んだから、検出力スレで中身を見てもらえるカモメ
これ以上、出没するとウザイ杉るので逝ってきます
> そういう場合上げた人間じゃなく管理人の監督不行き届き、つって
> 管理人が罰せられることもある。
そっす。
寝実民を信じていないわけではないし
緊急性が高い事例の時はセキュ板でなくても
寝実板限定で「事後的に」今許可したところ
んだから、検出力スレで中身を見てもらえるカモメ
これ以上、出没するとウザイ杉るので逝ってきます
639 :既にその名前は使われています:2008/07/13(日) 23:51:00 ID:YZmKQRd5
640 :既にその名前は使われています:2008/07/14(月) 00:00:09 ID:k9CSZWs9
最新のPG2リストは>>65を入れなくても大丈夫ぽい
最新はbluetackにあるぞ。
リスト管理でP2Pのとこを
http://www.bluetack.co.uk/config/level1.gz
にしてアップデートすればおk
最新はbluetackにあるぞ。
リスト管理でP2Pのとこを
http://www.bluetack.co.uk/config/level1.gz
にしてアップデートすればおk
641 :既にその名前は使われています:2008/07/14(月) 00:03:07 ID:Weg+DG2Z
642 :既にその名前は使われています:2008/07/14(月) 00:04:48 ID:BgvmEWA2
冗談は>>65だけでやめとけ
643 :既にその名前は使われています:2008/07/14(月) 00:05:30 ID:/a030qt5
>>615
どの道、業者に売ったサイトだからまともな人は利用しない。
どの道、業者に売ったサイトだからまともな人は利用しない。
644 :既にその名前は使われています:2008/07/14(月) 00:10:07 ID:Weg+DG2Z
>>640-641
忘れてくれ。
忘れてくれ。
645 :既にその名前は使われています:2008/07/14(月) 00:22:54 ID:zUc3Mc18
あれ?被害落ち着いたのか?
646 :既にその名前は使われています:2008/07/14(月) 00:25:09 ID:AwMgjuaY
647 :既にその名前は使われています:2008/07/14(月) 00:56:33 ID:fwCR3mTL
しかし今回のwzcsvbxm、仮にFFXIAHのだとしたら
検出し始めたら踏みまくりのNA大騒ぎだろうなぁ。
検出し始めたら踏みまくりのNA大騒ぎだろうなぁ。
648 :既にその名前は使われています:2008/07/14(月) 01:01:56 ID:AwMgjuaY
そういえば
NAのほうでも分析がんばってたりするのかね
被害報告は何度か見たことあるが
NAのほうでも分析がんばってたりするのかね
被害報告は何度か見たことあるが
649 :既にその名前は使われています:2008/07/14(月) 01:03:22 ID:giiOkMcF
NAも業者毛嫌いしてるの多かったからいるだろうね
650 :既にその名前は使われています:2008/07/14(月) 01:06:31 ID:TUQQJhCc
つーか先に見つけたのはNAなんだけどな
651 :既にその名前は使われています:2008/07/14(月) 01:09:23 ID:TUQQJhCc
wzcsvbxm.dllは
Jun 17 2008, 04:16 PMの時点でWindowerのコミュニティでウィルスとして報告されてる
Jun 17 2008, 04:16 PMの時点でWindowerのコミュニティでウィルスとして報告されてる
652 :既にその名前は使われています:2008/07/14(月) 01:14:51 ID:BgvmEWA2
NAもかなり被害に遭ってて、フォーラムで騒いでるな
このスレで報告されているだけでも、wzcsvbxm.dllには1つの亜種がある
TimeStamp: 48415D33 Sat May 31 23:14:11 2008
TimeStamp: 485CE8AB Sat Jun 21 20:40:27 2008
どちらも有志がウイルス対策ソフトメーカーに報告してくれたから、
騒ぎが拡大しつつも被害報告は減るだろ
このスレも流れが速くなっただけで被害者はそんなに増えてないし
このスレで報告されているだけでも、wzcsvbxm.dllには1つの亜種がある
TimeStamp: 48415D33 Sat May 31 23:14:11 2008
TimeStamp: 485CE8AB Sat Jun 21 20:40:27 2008
どちらも有志がウイルス対策ソフトメーカーに報告してくれたから、
騒ぎが拡大しつつも被害報告は減るだろ
このスレも流れが速くなっただけで被害者はそんなに増えてないし
653 :既にその名前は使われています:2008/07/14(月) 01:19:53 ID:oJ5ZjA3o
★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 暫定まとめ改訂案(推敲よろしゅー)
wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)のレジストリを、正規のプロセスC:\WINDOWS\System32\svchost.exeを使って罠サイトへパスを送るwzcsvbxm.dllに書き換える。
ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
7/13付けで検体爆撃済み かたじけのうござる。
判明している送信先(置き換えではなく●を単純に削る)
引退:wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
現役:googlesy●dition.com 74.86.1●85.101
【%SystemRoot%\System32\wzcsvbxm.dllを探す方法。】
スタート→ファイル名を指定して実行→regedit
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx(xxxは数字)\Services\wuauserv\Parametersと
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
C:\WINDOWS\system32\wuauserv.dllならそのままクローズ(この件の感染はしていない)
C:\WINDOWS\system32\wzcsvbxm.dllなど上記以外のファイルが登録されていた場合、感染している可能性が極めて大 まず安全な環境でパス変更 wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え 等の対策をする。
ただし すぐに戻ってしまう報告もあるため 修正後要確認。
本体(生成元)および感染ルートは現状不明なため、上記の修正をしたとしても完全に駆除されているか分かりませんので、感染が確認された場合は『クリーンインストール推奨』。
wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)のレジストリを、正規のプロセスC:\WINDOWS\System32\svchost.exeを使って罠サイトへパスを送るwzcsvbxm.dllに書き換える。
ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
7/13付けで検体爆撃済み かたじけのうござる。
判明している送信先(置き換えではなく●を単純に削る)
引退:wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
現役:googlesy●dition.com 74.86.1●85.101
【%SystemRoot%\System32\wzcsvbxm.dllを探す方法。】
スタート→ファイル名を指定して実行→regedit
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx(xxxは数字)\Services\wuauserv\Parametersと
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
C:\WINDOWS\system32\wuauserv.dllならそのままクローズ(この件の感染はしていない)
C:\WINDOWS\system32\wzcsvbxm.dllなど上記以外のファイルが登録されていた場合、感染している可能性が極めて大 まず安全な環境でパス変更 wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え 等の対策をする。
ただし すぐに戻ってしまう報告もあるため 修正後要確認。
本体(生成元)および感染ルートは現状不明なため、上記の修正をしたとしても完全に駆除されているか分かりませんので、感染が確認された場合は『クリーンインストール推奨』。
654 :既にその名前は使われています:2008/07/14(月) 01:24:14 ID:dg0cuPEd
ウイルス対策ソフトは何がいいのかなと思いつつAVG使ってたけど
対応の早さを考えただけでも、今はカスペルスキーがいいのかな?
なんか在庫ある店があんまり無さそうだけど・・・・
あ、期限切れたバスター持ってても、優待は無理ですか?
対応の早さを考えただけでも、今はカスペルスキーがいいのかな?
なんか在庫ある店があんまり無さそうだけど・・・・
あ、期限切れたバスター持ってても、優待は無理ですか?
655 :既にその名前は使われています:2008/07/14(月) 01:26:30 ID:4BA56cxx
>>654
とりあえず試用版いれてみたら?
とりあえず試用版いれてみたら?
656 :既にその名前は使われています:2008/07/14(月) 01:26:44 ID:h+/3klxs
何でも一緒
657 :既にその名前は使われています:2008/07/14(月) 01:27:58 ID:fwCR3mTL
>>651
ウイルスとしては報告されていないね。
「Windower動かねーんだけどなんぞこれ」みたいな感じだぞ。
つーかNAから検体が送られてるならノートンくらい引っ掛けてもいいんだが。
BlueGartrlsのフォーラムにはそれっぽい書き込みがあったようだけど
dat落ちみたいに消えちゃうのか既に404。
ウイルスとしては報告されていないね。
「Windower動かねーんだけどなんぞこれ」みたいな感じだぞ。
つーかNAから検体が送られてるならノートンくらい引っ掛けてもいいんだが。
BlueGartrlsのフォーラムにはそれっぽい書き込みがあったようだけど
dat落ちみたいに消えちゃうのか既に404。
658 :既にその名前は使われています:2008/07/14(月) 01:28:56 ID:pREJ+Ffm
優待版って別に何のチェックも無いとオモタが
659 :既にその名前は使われています:2008/07/14(月) 01:30:36 ID:dg0cuPEd
あ、よく見たら試用版から製品化キーの方が安いんですね。
試用版入れてから寝ます〜
試用版入れてから寝ます〜
660 :既にその名前は使われています:2008/07/14(月) 01:32:23 ID:BjU4T3eZ
>>591
まぁ11の方はセキュアゾーン+差分バックアップが激しく便利なんだがな
USB-HDDとかに初期イメージをバックアップするなら
Bootイメージも作れるしそれでいいと思う
ちなみ11もダウンロード版なら6Kと1Kほどパッケージ版より安い
まぁ11の方はセキュアゾーン+差分バックアップが激しく便利なんだがな
USB-HDDとかに初期イメージをバックアップするなら
Bootイメージも作れるしそれでいいと思う
ちなみ11もダウンロード版なら6Kと1Kほどパッケージ版より安い
661 :既にその名前は使われています:2008/07/14(月) 01:34:52 ID:hrrTufG9
ハックとかマジでされたのかwアフォじゃねぇのw
ダサすぎて俺なら自殺するわw
ダサすぎて俺なら自殺するわw
662 :既にその名前は使われています:2008/07/14(月) 01:39:23 ID:iN6hAhT9
663 :既にその名前は使われています:2008/07/14(月) 01:40:27 ID:eV2eKREs
>>661
とかいいつつ既にPCにウィルス潜ませててたらとんだお笑い種だお(^ω^)
とかいいつつ既にPCにウィルス潜ませててたらとんだお笑い種だお(^ω^)
664 :既にその名前は使われています:2008/07/14(月) 01:40:39 ID:BbTIMT1F
>>662
ウイルスのファイル開くってどんだけまぬけやねん
ウイルスのファイル開くってどんだけまぬけやねん
665 :既にその名前は使われています:2008/07/14(月) 01:43:25 ID:oJ5ZjA3o
>>662
カスペルは2つのうち1つはすでに対応済みらしいから警告出るんじゃない?
カスペルは2つのうち1つはすでに対応済みらしいから警告出るんじゃない?
666 :既にその名前は使われています:2008/07/14(月) 01:53:18 ID:AwMgjuaY
667 :既にその名前は使われています:2008/07/14(月) 01:56:26 ID:jigQHUur
面白いのがたくさん湧いてるなー
よほど見つかったのが悔しいみたいだね。
業者なみだ目でザマーだけど、こっちも気
を緩めないようにしないとな。
しかしフレのフレが2人やられたのは悔しい。
よほど見つかったのが悔しいみたいだね。
業者なみだ目でザマーだけど、こっちも気
を緩めないようにしないとな。
しかしフレのフレが2人やられたのは悔しい。
668 :既にその名前は使われています:2008/07/14(月) 01:58:30 ID:fwCR3mTL
他ベンダからの返事がさっぱり来んのだが…。
669 :既にその名前は使われています:2008/07/14(月) 02:02:36 ID:/lni1rRA
>>621
昨日入れて即警告出て消した俺参上
消して再起動したらキーボードがすごい勢いで誤作動しまくった、a押すとESCキー同時押ししたことになったり
対処しようにもググれないしマジまいったよ
再起動連打やバイオス見てたら勝手に直った、システム復元では直らなかったから焦ったわ
昨日入れて即警告出て消した俺参上
消して再起動したらキーボードがすごい勢いで誤作動しまくった、a押すとESCキー同時押ししたことになったり
対処しようにもググれないしマジまいったよ
再起動連打やバイオス見てたら勝手に直った、システム復元では直らなかったから焦ったわ
670 :既にその名前は使われています:2008/07/14(月) 02:03:04 ID:BjU4T3eZ
671 :既にその名前は使われています:2008/07/14(月) 02:14:03 ID:BbTIMT1F
カスペはウイルスウオッチにTrojan-GameThief.Win32.OnLineGames.で
19:57でsfbz、20:28にsfcaがあるから今日出した二つに対応したかもしれん
19:57でsfbz、20:28にsfcaがあるから今日出した二つに対応したかもしれん
672 :既にその名前は使われています:2008/07/14(月) 02:26:31 ID:lWoG/6V1
カスペルスキー、いいらしいんだけど素人には敷居が高すぎるからなぁ・・・
「シロウトサンニハムキマセン」とかどこかに書いてあったし
せっかく90日試用版当たったんだけどなぁ・・・
まぁ、とりあえずノートンとPG2とSpybotでがんばってみるかー
しかし、カスペルスキーのオンラインスキャンでシマンテックの
フォルダにウィルスとか出たときには(´・ω・`)だった
「シロウトサンニハムキマセン」とかどこかに書いてあったし
せっかく90日試用版当たったんだけどなぁ・・・
まぁ、とりあえずノートンとPG2とSpybotでがんばってみるかー
しかし、カスペルスキーのオンラインスキャンでシマンテックの
フォルダにウィルスとか出たときには(´・ω・`)だった
673 :既にその名前は使われています:2008/07/14(月) 02:27:51 ID:4BA56cxx
いまんとこ最新のパッチが20:21だから、2個目のsfcaの方は対応できてるのか
もしかすると微妙かもしれない。sfbzは検出できるだろうけど。
もしかすると微妙かもしれない。sfbzは検出できるだろうけど。
674 :既にその名前は使われています:2008/07/14(月) 02:30:55 ID:4BA56cxx
675 :既にその名前は使われています:2008/07/14(月) 02:31:53 ID:BbTIMT1F
>>672
以前見つけてチェストだか隔離した奴を引っかけただけじゃね?
以前見つけてチェストだか隔離した奴を引っかけただけじゃね?
676 :既にその名前は使われています:2008/07/14(月) 02:33:45 ID:o4iG2h2H
とりあえずノートンだけはやめとくべきだと思うがなぁ・・・
普通に使うなら良いが、垢ハックウィルスに大しては丸裸同然だぞ?
普通に使うなら良いが、垢ハックウィルスに大しては丸裸同然だぞ?
677 :既にその名前は使われています:2008/07/14(月) 02:35:29 ID:9vQWbFJY
wzcsvbxm.dllは亜種多そうだから対応してもはっきり言って意味無いぞ
自分で検索するしかねぇな
自分で検索するしかねぇな
678 :既にその名前は使われています:2008/07/14(月) 02:37:20 ID:fwCR3mTL
>>673
さっきから何を言っとるのだ?
旧wzcsvbxm.dll
Trojan-GameThief.Win32.WOW.bkb パターンリリース済
ttp://www.virustotal.com/analisis/50e965d38aa499b11982def113b62497
現wzcsvbxm.dll
Trojan-GameThief.Win32.WOW.bkf もうちょっと待ってね
ttp://www.virustotal.com/analisis/6c13e811d846e65c0bce642ee7bcafb2
>>602
さっきから何を言っとるのだ?
旧wzcsvbxm.dll
Trojan-GameThief.Win32.WOW.bkb パターンリリース済
ttp://www.virustotal.com/analisis/50e965d38aa499b11982def113b62497
現wzcsvbxm.dll
Trojan-GameThief.Win32.WOW.bkf もうちょっと待ってね
ttp://www.virustotal.com/analisis/6c13e811d846e65c0bce642ee7bcafb2
>>602
679 :既にその名前は使われています:2008/07/14(月) 02:39:14 ID:9vQWbFJY
>>676
未知のウィルスに対してはどれでも丸裸同然だ
未知のウィルスに対してはどれでも丸裸同然だ
680 :既にその名前は使われています:2008/07/14(月) 02:45:58 ID:KwjQ8SV/
ついにウイルス本体みつけたのか。GJすぎる
まさかここまで手の込んだマジなウイルスとはな。亜種はでるだろうが、オリジナルは抑えた
おまえらかっこいいよ
まさかここまで手の込んだマジなウイルスとはな。亜種はでるだろうが、オリジナルは抑えた
おまえらかっこいいよ
681 :既にその名前は使われています:2008/07/14(月) 02:48:15 ID:eLqe2l62
>>680
本体は見つかってない
本体は見つかってない
682 :既にその名前は使われています:2008/07/14(月) 02:50:29 ID:oJ5ZjA3o
683 :既にその名前は使われています:2008/07/14(月) 02:50:32 ID:KwjQ8SV/
ああ、生成元はまだか
いたって普通のプロセスだったりね。IEとかw
いたって普通のプロセスだったりね。IEとかw
684 :既にその名前は使われています:2008/07/14(月) 02:51:17 ID:r6J+a9o5
マジで、乙、としか言い様がない。
685 :既にその名前は使われています:2008/07/14(月) 03:04:27 ID:yO3QQiYp
>>676
ノートンがダメって言うより、垢ハックに関してはカスペルスキー以外はダメって事だよな。
ノートンがダメって言うより、垢ハックに関してはカスペルスキー以外はダメって事だよな。
686 :既にその名前は使われています:2008/07/14(月) 03:06:45 ID:eUkhDm9l
知識が素人レベルのおいらにはさっぱりだがおまいらかっこいいよ
垢ハックされた奴のためにもがんばれおまいら超がんばれ
垢ハックされた奴のためにもがんばれおまいら超がんばれ
687 :既にその名前は使われています:2008/07/14(月) 03:19:50 ID:3D1jBqcw
カスペル買いたいんだけどどれがいいの?
688 :既にその名前は使われています:2008/07/14(月) 03:25:51 ID:1YBrafwy
ハックされたアフォにはもうヴァナに戻って来て欲しくないな
お前らのせいでGM来るの遅いし物価が狂った解約して償って欲しい
お前らのせいでGM来るの遅いし物価が狂った解約して償って欲しい
689 :既にその名前は使われています:2008/07/14(月) 03:28:13 ID:T1Q5v46o
690 :既にその名前は使われています:2008/07/14(月) 03:31:43 ID:BjU4T3eZ
今回はPG2もだめだったしな、怪しいところは踏まない
セキュリティホールはすぐ埋めるが基本ってところか
セキュリティホールはすぐ埋めるが基本ってところか
691 :既にその名前は使われています:2008/07/14(月) 03:32:13 ID:T1Q5v46o
1ヶ月以上前から広まってるウィルスを今になってやっと被害者からの報告で対応だぞw
しっかり自衛してないとセキュリティソフトなんて意味ねーからw
しっかり自衛してないとセキュリティソフトなんて意味ねーからw
692 :既にその名前は使われています:2008/07/14(月) 03:52:15 ID:3D1jBqcw
ってカスペのサイトからトライアルDLしようとしたらPG2がはじいてるんですけど・・・
693 :既にその名前は使われています:2008/07/14(月) 04:05:58 ID:AwMgjuaY
そこがメインじゃないのはわかってるけど
>>691
でも どこもこの手のは放置気味じゃない?
『広まってる』とはいっても正直一般的じゃないし 全体から見りゃ被害者も少ないし・・・
前もこういうことあったような(ネトゲとかブログとかのパス抜き系は対応激遅orスルー
>>691
でも どこもこの手のは放置気味じゃない?
『広まってる』とはいっても正直一般的じゃないし 全体から見りゃ被害者も少ないし・・・
前もこういうことあったような(ネトゲとかブログとかのパス抜き系は対応激遅orスルー
694 :既にその名前は使われています:2008/07/14(月) 04:19:25 ID:NtbJ6Mx/
つか、テンポラリか何処かにドロッパの痕跡は残ってないか。
自滅型にしても、ファイル復活ツールで戻せたりするかも。
自滅型にしても、ファイル復活ツールで戻せたりするかも。
695 :既にその名前は使われています:2008/07/14(月) 05:34:56 ID:b4ofyeFH
無料ソフトにも負け続きでランク外になったカスペ推奨してるのってここだけじゃね?
それともネットゲームでは強力なのか?
それともネットゲームでは強力なのか?
696 :既にその名前は使われています:2008/07/14(月) 05:59:26 ID:g8+ZC1m8
最近たまたま対応が早かったのでもてはやされている。そんだけ
何入れようが安心なんて無いんだから警戒は絶やしちゃダメだろ
何入れようが安心なんて無いんだから警戒は絶やしちゃダメだろ
697 :既にその名前は使われています:2008/07/14(月) 06:24:54 ID:moU1wFpo
チクサクGMコールあげ
698 :既にその名前は使われています:2008/07/14(月) 06:30:47 ID:CaelPPs0
検知力テスト(2008年7月12日)
Most Effective Antivirus Tools Against New Malware Binaries
ttp://mtc.sri.com/live_data/av_rankings/
Rank Detects Missed Product
1st 96% 85 AntiVir
2nd 96% 96 Webwasher-Gateway
3rd 94% 141 Ikarus
4th 93% 176 BitDefender
5th 92% 194 F-Secure
6th 91% 233 AVG
7th 89% 287 Sophos
8th 89% 300 Kaspersky
9th 89% 300 Avast
10th 88% 303 Norman
Most Effective Antivirus Tools Against New Malware Binaries
ttp://mtc.sri.com/live_data/av_rankings/
Rank Detects Missed Product
1st 96% 85 AntiVir
2nd 96% 96 Webwasher-Gateway
3rd 94% 141 Ikarus
4th 93% 176 BitDefender
5th 92% 194 F-Secure
6th 91% 233 AVG
7th 89% 287 Sophos
8th 89% 300 Kaspersky
9th 89% 300 Avast
10th 88% 303 Norman
699 :既にその名前は使われています:2008/07/14(月) 06:31:27 ID:CaelPPs0
11th 87% 350 CAT-QuickHeal
12th 85% 388 ClamAV
13th 84% 433 DrWeb
14th 83% 441 VirusBuster
15th 83% 455 Microsoft
16th 82% 473 eTrust-Vet
17th 80% 537 F-Prot
18th 80% 545 Rising
19th 79% 557 Fortinet
20th 79% 574 Symantec
700 :既にその名前は使われています:2008/07/14(月) 06:38:08 ID:XWGLn+5O
7/7前後に垢ハックされた。
その2、3週間前からスレで言われてる、シャットダウン遅延、アプリ一覧表示遅延が出てた。SP3も不可。
他にもブラウザが頻繁に固まる、POLからFFに移行する時に3分程放置しないと接続出来ないなどあったが、
後者はグラボがGfo8600なのでグラボのせいかも。ドライバは最新。
Flashバージョンは古かったが、一度新しいのにアップデートしようとしたら弾かれた。
何度か試したら出来たので、こっちのせいかも知れない。
ウィルスバスター使用、ファイアーウォール有効、Sleipnir使用
自動更新は無効にしてある。
スレをざっと読んで、隠しファイル含めCドラ検索でwzcsvbxm.dllは見つからず
レジストリエディタで、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauservを辿って開こうとすると
wuauservを開けません。キーを開こうとしてエラーが発生しました。と出る。
レジストリ検索すると引っかかる serviceDll %systemRoot%\System32\wzcsvbxm.dll ServiceMain
>>450実行すると、エラー:指定されたレジストリ キーまたは値が見つかりませんでした。
問題なさそうならスルーしてくれ。
レジストリ、ウィルス、ウィンドウズシステムに関する知識はあまりない。
その2、3週間前からスレで言われてる、シャットダウン遅延、アプリ一覧表示遅延が出てた。SP3も不可。
他にもブラウザが頻繁に固まる、POLからFFに移行する時に3分程放置しないと接続出来ないなどあったが、
後者はグラボがGfo8600なのでグラボのせいかも。ドライバは最新。
Flashバージョンは古かったが、一度新しいのにアップデートしようとしたら弾かれた。
何度か試したら出来たので、こっちのせいかも知れない。
ウィルスバスター使用、ファイアーウォール有効、Sleipnir使用
自動更新は無効にしてある。
スレをざっと読んで、隠しファイル含めCドラ検索でwzcsvbxm.dllは見つからず
レジストリエディタで、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauservを辿って開こうとすると
wuauservを開けません。キーを開こうとしてエラーが発生しました。と出る。
レジストリ検索すると引っかかる serviceDll %systemRoot%\System32\wzcsvbxm.dll ServiceMain
>>450実行すると、エラー:指定されたレジストリ キーまたは値が見つかりませんでした。
問題なさそうならスルーしてくれ。
レジストリ、ウィルス、ウィンドウズシステムに関する知識はあまりない。
701 :既にその名前は使われています:2008/07/14(月) 06:43:34 ID:g8+ZC1m8
無いならなおさら自動更新オフにするなよw
702 :既にその名前は使われています:2008/07/14(月) 06:51:50 ID:fwCR3mTL
なんかセキュ板から変なのが紛れ込んでるなw >>695-696
703 :既にその名前は使われています:2008/07/14(月) 06:55:24 ID:TOu0sxmL
対応状況更新。
GDataも対応した模様。
Trojan-GameThief.Win32.WOW.bkb
ttp://www.virustotal.com/analisis/50e965d38aa499b11982def113b62497
Trojan-GameThief.Win32.WOW.bkf
ttp://www.virustotal.com/analisis/6c13e811d846e65c0bce642ee7bcafb2
GDataも対応した模様。
Trojan-GameThief.Win32.WOW.bkb
ttp://www.virustotal.com/analisis/50e965d38aa499b11982def113b62497
Trojan-GameThief.Win32.WOW.bkf
ttp://www.virustotal.com/analisis/6c13e811d846e65c0bce642ee7bcafb2
704 :既にその名前は使われています:2008/07/14(月) 06:58:02 ID:TOu0sxmL
bkfはこっちか。
Trojan-GameThief.Win32.WOW.bkf
ttp://www.virustotal.com/analisis/42f9ad37612880f4e27a742490d41b8d
Trojan-GameThief.Win32.WOW.bkf
ttp://www.virustotal.com/analisis/42f9ad37612880f4e27a742490d41b8d
705 :既にその名前は使われています:2008/07/14(月) 07:04:33 ID:fwCR3mTL
GDATAはKasperskyとavastくっつけただけだからすぐパターン回るね。
F-Secureは自社での検証が入るのでちょっと遅れる。
F-Secureは自社での検証が入るのでちょっと遅れる。
706 :既にその名前は使われています:2008/07/14(月) 07:35:01 ID:tr549L/i
707 :既にその名前は使われています:2008/07/14(月) 07:37:50 ID:zM56q/MB
亀鯖の業者の新規販売窓口?
Eachainn
垢ハックしたキャラの高額アイテムを安く売りさばいている気がする。
Eachainn
垢ハックしたキャラの高額アイテムを安く売りさばいている気がする。
708 :既にその名前は使われています:2008/07/14(月) 07:51:10 ID:HSkUXhbX
カスペでwzcsvbxm.dll反応するようになったけど駆除は出来ないんだね
709 :既にその名前は使われています:2008/07/14(月) 07:54:25 ID:tr549L/i
>>708
WindowsUpdateのサービスを騙って常駐してるからね。
セーフモードで起動すれば駆除できると思うけど。
それでも駆除できなかったらセーフモードでレジストリを正規のものに書き換えてからwzcsvbxm.dllをリネーム。
そんで普通に起動かけて駆除してみw
WindowsUpdateのサービスを騙って常駐してるからね。
セーフモードで起動すれば駆除できると思うけど。
それでも駆除できなかったらセーフモードでレジストリを正規のものに書き換えてからwzcsvbxm.dllをリネーム。
そんで普通に起動かけて駆除してみw
710 :既にその名前は使われています:2008/07/14(月) 07:58:09 ID:ZfiL1Iii
カスペは対応早いな
対応は早いが長所は検出できていなかったことを忘れてはいけない
カスペ入れておけば大丈夫と思い込むことが危険
対応は早いが長所は検出できていなかったことを忘れてはいけない
カスペ入れておけば大丈夫と思い込むことが危険
711 :既にその名前は使われています:2008/07/14(月) 08:02:06 ID:SuA7MG6+
検出できないことが長所かwww
712 :既にその名前は使われています:2008/07/14(月) 08:08:50 ID:MI9FBil4
×長所
○長女
○長女
713 :既にその名前は使われています:2008/07/14(月) 08:20:09 ID:IPQlXr23
スクエニ今日も電話つながんないだろうな
714 :既にその名前は使われています:2008/07/14(月) 08:29:14 ID:3D1jBqcw
俺用メモ
--------キャラクター復元サービス申請書類テンプレ---------
去る7月○日、御社にアカウントハッキングの件で連絡させて頂いた○○と申します。
電話対応して頂いた際、復元サービスの説明と申請の方法を伝えて頂きましたのでこのような形で
サービスの申請願いを郵送させて頂きました。
身分証明と共に、公式の内容に同意し下記に記載したキャラクターの復元を申請致します。
ワールドサーバー名○○ 復元申請キャラクター数○ 復元申請キャラクター名○○○
POLID○○○ POL以外のメールアドレス○○○○
【被害の詳細】パス変えられてインできねwwwww入れるようになったらアイテムねえwwwwもうだめぽw
宛先はこちら↓
スクウェア・エニックス インフォメーションセンター
〒151-8544 東京都渋谷区代々木3-22-7 新宿文化クイントビル10F
--------キャラクター復元サービス申請書類テンプレ---------
去る7月○日、御社にアカウントハッキングの件で連絡させて頂いた○○と申します。
電話対応して頂いた際、復元サービスの説明と申請の方法を伝えて頂きましたのでこのような形で
サービスの申請願いを郵送させて頂きました。
身分証明と共に、公式の内容に同意し下記に記載したキャラクターの復元を申請致します。
ワールドサーバー名○○ 復元申請キャラクター数○ 復元申請キャラクター名○○○
POLID○○○ POL以外のメールアドレス○○○○
【被害の詳細】パス変えられてインできねwwwww入れるようになったらアイテムねえwwwwもうだめぽw
宛先はこちら↓
スクウェア・エニックス インフォメーションセンター
〒151-8544 東京都渋谷区代々木3-22-7 新宿文化クイントビル10F
715 :既にその名前は使われています:2008/07/14(月) 08:50:17 ID:tr549L/i
>>710
カスペルさんに限らず、アンチウィルスソフトはインスコ後デフォルトで使ってるとザルだしね。
カスペルさんに限らず、アンチウィルスソフトはインスコ後デフォルトで使ってるとザルだしね。
716 :既にその名前は使われています:2008/07/14(月) 08:57:03 ID:MP5uq74q
avastは何やってもザルだぜ
717 :既にその名前は使われています:2008/07/14(月) 09:17:27 ID:BjU4T3eZ
新種のウィルス&ワームにざるじゃねぇ所なんてどこにもねぇw
やっぱ安全を求めるならブラウザ専用マシン(VPC含む)を用意するしかないだろうねぇ
やっぱ安全を求めるならブラウザ専用マシン(VPC含む)を用意するしかないだろうねぇ
718 :既にその名前は使われています:2008/07/14(月) 09:22:17 ID:Xrlpj2xt
>>716
無料でザルじゃないの教えてください
無料でザルじゃないの教えてください
719 :既にその名前は使われています:2008/07/14(月) 09:32:36 ID:DJFu2WjP
レジストリが書き換わっているにも関わらずwzcsvbxm.dllがない
正規の値にレジストリ書き直したら普通に書き直せた
が、シャットダウンの遅延変わらず、system32\svchost.exeも残ったまま
全然詳しくないんだけど、これってまだ解決してないよね
正規の値にレジストリ書き直したら普通に書き直せた
が、シャットダウンの遅延変わらず、system32\svchost.exeも残ったまま
全然詳しくないんだけど、これってまだ解決してないよね
720 :既にその名前は使われています:2008/07/14(月) 09:33:36 ID:uFxJRDi2
カスペ入れたら下り50Mだったのが10Mまで落ちた
さすがにこれじゃ耐えられん
さすがにこれじゃ耐えられん
721 :既にその名前は使われています:2008/07/14(月) 09:46:55 ID:DLEEgKDQ
>>718
Antivir
Antivir
722 :既にその名前は使われています:2008/07/14(月) 09:54:41 ID:FGTtE03J
NoScriptでgooglesyndicationが引っかかると心臓に悪いな
○googlesyndication(googleのアフィ)
×googlesydition(垢ハックのIDパス送信先)
○googlesyndication(googleのアフィ)
×googlesydition(垢ハックのIDパス送信先)
723 :既にその名前は使われています:2008/07/14(月) 09:59:17 ID:i6OozX3y
>>718
AntiVir ただし英語版しかないのであんまり流行らない
AntiVir ただし英語版しかないのであんまり流行らない
724 :既にその名前は使われています:2008/07/14(月) 10:05:40 ID:9ZURV3I3
Avira AntiVirは日本語の解説サイトがあるので英語でもそんなに困ることはないでしょう。
725 :既にその名前は使われています:2008/07/14(月) 10:08:21 ID:Xw/cO/U/
たかがウィルス対策ソフトで英語版・日本語版ってのに拘る人もいるんだろうか
726 :既にその名前は使われています:2008/07/14(月) 10:08:58 ID:BjU4T3eZ
727 :既にその名前は使われています:2008/07/14(月) 10:11:52 ID:JfOiYFSV
728 :既にその名前は使われています:2008/07/14(月) 10:13:14 ID:tr549L/i
★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 現状まとめ(>>653の挙動周り修正)
【レジストリ】
WindowsUpdateで使用するAutomaticUpdatesサービスのエントリを改竄する。
・キー位置
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx(xxxは数字)\Services\wuauserv\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
・感染時エントリ(値)
%SystemRoot%\system32\wzcsvbxm.dll (未感染Windowsでは%SystemRoot%\system32\wuauserv.dll)
wzcsvbxm.dllはAutomaticUpdatesサービスとしてOS起動時に常駐すると考えられる。
エントリを書き換えた場合、常駐しているwzcsvbxm.dllが再度書き戻しにくるようだ。
【POL】
wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllはsvchost(wuauser)としてPOLのプロセスに介入し処理を乗っ取る。
svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に変更されていると考えられる。
乗っ取ったPOLのプロセスを使用して業者鯖にID/PASSを送信する。送信後異常終了?
そのため、ファイアヲールなどでPOLの接続ルールをアプリケーション単位で許可している場合は検知は難しい。
現時点で確認されている送信先(置き換えではなく●を単純に削る)
・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
・ooglesy●dition.com 74.86.1●85.101
【レジストリ】
WindowsUpdateで使用するAutomaticUpdatesサービスのエントリを改竄する。
・キー位置
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx(xxxは数字)\Services\wuauserv\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
・感染時エントリ(値)
%SystemRoot%\system32\wzcsvbxm.dll (未感染Windowsでは%SystemRoot%\system32\wuauserv.dll)
wzcsvbxm.dllはAutomaticUpdatesサービスとしてOS起動時に常駐すると考えられる。
エントリを書き換えた場合、常駐しているwzcsvbxm.dllが再度書き戻しにくるようだ。
【POL】
wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllはsvchost(wuauser)としてPOLのプロセスに介入し処理を乗っ取る。
svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に変更されていると考えられる。
乗っ取ったPOLのプロセスを使用して業者鯖にID/PASSを送信する。送信後異常終了?
そのため、ファイアヲールなどでPOLの接続ルールをアプリケーション単位で許可している場合は検知は難しい。
現時点で確認されている送信先(置き換えではなく●を単純に削る)
・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
・ooglesy●dition.com 74.86.1●85.101
729 :既にその名前は使われています:2008/07/14(月) 10:16:32 ID:tr549L/i
730 :既にその名前は使われています:2008/07/14(月) 10:28:01 ID:DJFu2WjP
731 :既にその名前は使われています:2008/07/14(月) 10:31:44 ID:tr549L/i
少なくともエントリが%SystemRoot%\system32\wuauserv.dll以外になってる時点で感染してるのはほぼ確実といっていいだろうなー。
%SystemRoot%\ってのは、ほにゃらら:\WINDOWS\って意味ね。
>>730
エクスプローラのツール>フォルダオプション>表示で全てのファイルとフォルダを表示する。 になってる?
%SystemRoot%\ってのは、ほにゃらら:\WINDOWS\って意味ね。
>>730
エクスプローラのツール>フォルダオプション>表示で全てのファイルとフォルダを表示する。 になってる?
732 :既にその名前は使われています:2008/07/14(月) 10:35:41 ID:DJFu2WjP
733 :既にその名前は使われています:2008/07/14(月) 10:37:37 ID:oJ5ZjA3o
保護されたオペレーティング〜
のチェックを外してあるか確認
のチェックを外してあるか確認
734 :既にその名前は使われています:2008/07/14(月) 10:38:47 ID:tr549L/i
735 :既にその名前は使われています:2008/07/14(月) 10:40:22 ID:I97JYoXU
クレジットカード使ってた場合って、もしかしてクレジットの番号まで盗られてますかね・・・?
736 :既にその名前は使われています:2008/07/14(月) 10:41:18 ID:tr549L/i
>>735
クレカは下4桁だかマスクされてるんじゃないっけ。
クレカは下4桁だかマスクされてるんじゃないっけ。
737 :既にその名前は使われています:2008/07/14(月) 10:45:35 ID:Ga0POk/5
738 :既にその名前は使われています:2008/07/14(月) 10:48:57 ID:DJFu2WjP
739 :既にその名前は使われています:2008/07/14(月) 10:52:28 ID:3yI6XHDZ
Trojan-GameThief.Win32.WOW.bkf の駆除はもう少し
時間がかかるって事?
時間がかかるって事?
740 :既にその名前は使われています:2008/07/14(月) 10:56:30 ID:tr549L/i
>>738
んじゃあそのdllを
http://www.virustotal.com/jp/
に投げて結果URLはってね。
>>739
システムサービスとして動いているからアンチウィルスソフトなんかだと検知はできても駆除はできないかも。
セーフモードでレジストリの修正してからなら出来ると思うがw
んだけど、まだドロッパの特定ができてないし>>640のような状況だから大人しくクリンスコしたほうがいいよ。
なに仕込まれてるか解ったもんじゃないしw
んじゃあそのdllを
http://www.virustotal.com/jp/
に投げて結果URLはってね。
>>739
システムサービスとして動いているからアンチウィルスソフトなんかだと検知はできても駆除はできないかも。
セーフモードでレジストリの修正してからなら出来ると思うがw
んだけど、まだドロッパの特定ができてないし>>640のような状況だから大人しくクリンスコしたほうがいいよ。
なに仕込まれてるか解ったもんじゃないしw
741 :既にその名前は使われています:2008/07/14(月) 10:58:03 ID:zHPvtkyP
感染したPCの対象レジストリを開こうとすると
エラーが出て開けない状態の人が前のほうにいたと思いますが
家も同じ状態で
セーフモードからだとレジストリが正常に開けたので
wuauserv.dllに書き直し
wzcsvbxm.dllをリネーム後再起動して削除したところ
終了オプションの表示が遅くなる現象が改善されました。
ちなみにwzcsvbxm.dllの中身のアドレスは下記でした。
h t t p : / / 2 0 4 . 1 3 . 6 9 . 1 2 / f g / p o s t . a s p
エラーが出て開けない状態の人が前のほうにいたと思いますが
家も同じ状態で
セーフモードからだとレジストリが正常に開けたので
wuauserv.dllに書き直し
wzcsvbxm.dllをリネーム後再起動して削除したところ
終了オプションの表示が遅くなる現象が改善されました。
ちなみにwzcsvbxm.dllの中身のアドレスは下記でした。
h t t p : / / 2 0 4 . 1 3 . 6 9 . 1 2 / f g / p o s t . a s p
742 :既にその名前は使われています:2008/07/14(月) 11:01:34 ID:tr549L/i
743 :既にその名前は使われています:2008/07/14(月) 11:03:20 ID:3yI6XHDZ
>740
thx
thx
744 :既にその名前は使われています:2008/07/14(月) 11:06:32 ID:BjU4T3eZ
まぁ、問題解析を優先するんじゃないなら
ウィルス本体も見つかって無い事だし
素直にクリーンインストールをお勧めするよ
>>727
パスワードを安全な環境で(オペさんに変えてもらったってのも含む)
変更後、復旧待ちで解析してみたいってなら
セーフモードで立ち上げてみると該当レジストリ見れるかも
Windows XP を セーフモードで起動する方法
http://support.microsoft.com/kb/880414/ja
ウィルス本体も見つかって無い事だし
素直にクリーンインストールをお勧めするよ
>>727
パスワードを安全な環境で(オペさんに変えてもらったってのも含む)
変更後、復旧待ちで解析してみたいってなら
セーフモードで立ち上げてみると該当レジストリ見れるかも
Windows XP を セーフモードで起動する方法
http://support.microsoft.com/kb/880414/ja
745 :既にその名前は使われています:2008/07/14(月) 11:12:54 ID:DJFu2WjP
746 :既にその名前は使われています:2008/07/14(月) 11:16:40 ID:tr549L/i
通常POLはsvchostなどから介入うけることはまずないと思っていていい。
逆にいえば、介入されたら何かしら問題がおきていると考えれw
ファイアヲールのプロアクティブディフェンス機能を利用したり、
POLのアプリケーションルールを>>56にしておくことが非常に有効だと考えられる。
この手の手法であれば感染してもID/PASS送信前に引っ掛けられる可能性は高いよw
逆にいえば、介入されたら何かしら問題がおきていると考えれw
ファイアヲールのプロアクティブディフェンス機能を利用したり、
POLのアプリケーションルールを>>56にしておくことが非常に有効だと考えられる。
この手の手法であれば感染してもID/PASS送信前に引っ掛けられる可能性は高いよw
747 :既にその名前は使われています:2008/07/14(月) 11:17:51 ID:BQyOSTuY
被害あって復元待ちなのですが、
復元待ちの間用にと「はじめてのFFXI」新規アカウントで、今朝POLログイン中、
急に「別の場所からログインされました」みたいなのが出ました。
すぐにログインし直して様子をみていると、また別の場所からログインされたが出たので、
またかと思いパスワード変えました。(それにしてもタイミングがよすぎる?)
実は、被害後カスペルスキーでTrojan-GameThief.Win32.OnLineGamesというのを検知して駆除したので
安心していたのでしたがダメな様で・・・
クリーンインストールっていうのはOSから入れ直す様なので、ノートパソコンは関係ないのでしょうか?
ノートパソコンをリカバリーしようと思いますが、リカバリー後はXP SP1になってしまいますが、
まず先にWindows UpdataでSP3最新まで更新、Flash最新でしょうか?
それともネットにつなげる前にウイルス対策ソフトのインストールが先なのでしょうか?
復元待ちの間用にと「はじめてのFFXI」新規アカウントで、今朝POLログイン中、
急に「別の場所からログインされました」みたいなのが出ました。
すぐにログインし直して様子をみていると、また別の場所からログインされたが出たので、
またかと思いパスワード変えました。(それにしてもタイミングがよすぎる?)
実は、被害後カスペルスキーでTrojan-GameThief.Win32.OnLineGamesというのを検知して駆除したので
安心していたのでしたがダメな様で・・・
クリーンインストールっていうのはOSから入れ直す様なので、ノートパソコンは関係ないのでしょうか?
ノートパソコンをリカバリーしようと思いますが、リカバリー後はXP SP1になってしまいますが、
まず先にWindows UpdataでSP3最新まで更新、Flash最新でしょうか?
それともネットにつなげる前にウイルス対策ソフトのインストールが先なのでしょうか?
748 :既にその名前は使われています:2008/07/14(月) 11:21:38 ID:tr549L/i
>>745
検知はされてるみたいだけどこれもハッシュちがうなw
亜種ってかバージョン違いかもしれないけど、今後ひっかからない奴組んでくる可能性もあるので。
wzcsvbxm.dlなりみつけたらhttp://www.virustotal.com/jp/に送って確認していくのがいいかもしれないねw
検知はされてるみたいだけどこれもハッシュちがうなw
亜種ってかバージョン違いかもしれないけど、今後ひっかからない奴組んでくる可能性もあるので。
wzcsvbxm.dlなりみつけたらhttp://www.virustotal.com/jp/に送って確認していくのがいいかもしれないねw
749 :既にその名前は使われています:2008/07/14(月) 11:21:56 ID:JXjz5KAA
750 :既にその名前は使われています:2008/07/14(月) 11:26:19 ID:tr549L/i
>>747
SP3やセキュリティソフトなどを先にDLなり用意しておいて、リカバリ後オフラインでそれらインスコしていくのがいいと思うよw
FlashPlayerもアンインスコしてから、WindowsUpdateかければいいんじゃないかなw
SP3やセキュリティソフトなどを先にDLなり用意しておいて、リカバリ後オフラインでそれらインスコしていくのがいいと思うよw
FlashPlayerもアンインスコしてから、WindowsUpdateかければいいんじゃないかなw
751 :既にその名前は使われています:2008/07/14(月) 11:26:29 ID:sK+6PmYQ
wzcsvbxm.dllってカスペルのオンラインスキャンで検出は出来てる?
検出され出来ればPCに詳しくないフレに先に指示出来る
見つかったら即PCを切り離させてレジストリの再確認と駆除方法を検討しようと思ってる
検出され出来ればPCに詳しくないフレに先に指示出来る
見つかったら即PCを切り離させてレジストリの再確認と駆除方法を検討しようと思ってる
752 :既にその名前は使われています:2008/07/14(月) 11:28:56 ID:Ga0POk/5
>>747
どう説明したらいいのやら・・・
カペルスキーだろうが他の何だろうが全部のウィルスを完全に検出して駆除できません
ノートPCであってもデスクトップPCであっても外側の形が違うだけで中の仕組みは同じ
クリーンインストールというのはウィンドウズから全部を消して入れなおすことです
ノートパソコンに付属のマニュアルにしたがって行ってください
クリーンインストールができたらネットに接続する前にウィルス対策ソフトを入れましょう
その後にウィンドウズアップデートやフラッシュプレイヤーの更新を一つ一つ行います
どう説明したらいいのやら・・・
カペルスキーだろうが他の何だろうが全部のウィルスを完全に検出して駆除できません
ノートPCであってもデスクトップPCであっても外側の形が違うだけで中の仕組みは同じ
クリーンインストールというのはウィンドウズから全部を消して入れなおすことです
ノートパソコンに付属のマニュアルにしたがって行ってください
クリーンインストールができたらネットに接続する前にウィルス対策ソフトを入れましょう
その後にウィンドウズアップデートやフラッシュプレイヤーの更新を一つ一つ行います
753 :既にその名前は使われています:2008/07/14(月) 11:29:02 ID:BjU4T3eZ
754 :既にその名前は使われています:2008/07/14(月) 11:33:24 ID:tr549L/i
>>751
現時点でこの3種は検出されるのは確認したよ。
パターンファイルが降ってきてるかどーかはAvira民の俺にはわからないw
wzcsvbxm.dll Trojan-GameThief.Win32.WOW.bkb
MD5: c6af4d4acd8b13e7def1770ac84aec23
wzcsvbxm.dll Trojan-GameThief.Win32.WOW.bkf
MD5: a63ac3af3b8fdab8746767c458b33d10
wzcsvbxm.dll Trojan-GameThief.Win32.WOW.bkf
MD5: 3ada06c88eabf3c2581f482400d924bc
現時点でこの3種は検出されるのは確認したよ。
パターンファイルが降ってきてるかどーかはAvira民の俺にはわからないw
wzcsvbxm.dll Trojan-GameThief.Win32.WOW.bkb
MD5: c6af4d4acd8b13e7def1770ac84aec23
wzcsvbxm.dll Trojan-GameThief.Win32.WOW.bkf
MD5: a63ac3af3b8fdab8746767c458b33d10
wzcsvbxm.dll Trojan-GameThief.Win32.WOW.bkf
MD5: 3ada06c88eabf3c2581f482400d924bc
755 :既にその名前は使われています:2008/07/14(月) 11:35:09 ID:oJ5ZjA3o
756 :既にその名前は使われています:2008/07/14(月) 11:40:00 ID:k1i/gyz+
俺のPC 指摘されてるサイトはもちろん、ほぼありとあらゆるFFサイト見まくってるけど感染してないな
なにが勝因なのか自分でもワカランw
なにが勝因なのか自分でもワカランw
757 :既にその名前は使われています:2008/07/14(月) 11:42:05 ID:JXjz5KAA
758 :既にその名前は使われています:2008/07/14(月) 11:42:55 ID:egmCNGgx
>>756
お前のようなアフォが感染している
お前のようなアフォが感染している
759 :既にその名前は使われています:2008/07/14(月) 11:47:27 ID:sK+6PmYQ
>754
報告ありがとう
解る人なら問題の本質を簡単に説明出来るんだけど
初心者にはかなりかみ砕いて説明しなければいけないだよね
簡単な検出、難しく無い(ミスしない)対応の指示を考えるわ
報告ありがとう
解る人なら問題の本質を簡単に説明出来るんだけど
初心者にはかなりかみ砕いて説明しなければいけないだよね
簡単な検出、難しく無い(ミスしない)対応の指示を考えるわ
760 :既にその名前は使われています:2008/07/14(月) 11:48:14 ID:tr549L/i
>>756
>>592でも言ったんだけど、マルウェアがPC内部に入り込むための手段はそれほど多くないんだよね。
そこらの動向をしっかり把握して、対処してれば感染する可能性はぐっと低くなる。
が。
>なにが勝因なのか自分でもワカランw
つーことだし、今回は単純に運が良かったってだけじゃねw
>>592でも言ったんだけど、マルウェアがPC内部に入り込むための手段はそれほど多くないんだよね。
そこらの動向をしっかり把握して、対処してれば感染する可能性はぐっと低くなる。
が。
>なにが勝因なのか自分でもワカランw
つーことだし、今回は単純に運が良かったってだけじゃねw
761 :既にその名前は使われています:2008/07/14(月) 11:51:29 ID:BQyOSTuY
>>747です
ごめんなさい。もうPS2買ってきます。
本アカウントは復元待ちで凍結中なのですが、
新しく再発行されたパスワードを凍結中でも、サポセンでさらに新しく再発行することはできるでしょうか?
あと再発行されるパスワードって数字4つアルファベット大文字4つの合計8文字ですよね?
単純すぎるのですが、もっと複雑にできるでしょうか?
ごめんなさい。もうPS2買ってきます。
本アカウントは復元待ちで凍結中なのですが、
新しく再発行されたパスワードを凍結中でも、サポセンでさらに新しく再発行することはできるでしょうか?
あと再発行されるパスワードって数字4つアルファベット大文字4つの合計8文字ですよね?
単純すぎるのですが、もっと複雑にできるでしょうか?
762 :既にその名前は使われています:2008/07/14(月) 11:55:47 ID:BjU4T3eZ
>>757
まぁ確かに落ち着くまではPS2なりXBOX360なりに退避してるのが
いいと思うな
特に二回目は復旧してもらえんしな
いまさらそこまでする気はないってならまぁお休みしててもいいと思うが
ついでにそのまま引退できて良いかもしれん...
まぁ確かに落ち着くまではPS2なりXBOX360なりに退避してるのが
いいと思うな
特に二回目は復旧してもらえんしな
いまさらそこまでする気はないってならまぁお休みしててもいいと思うが
ついでにそのまま引退できて良いかもしれん...
763 :既にその名前は使われています:2008/07/14(月) 11:56:51 ID:zPSbCltV
>>747
本気で言ってるなら、あんたパソコンでネトゲやっちゃだめだ。
あまりにも知識が無さ過ぎる。あんたみたいな人がウィルス撒き散らすんだよ。
ノートパソコンだってOS無ければ動かないんだから、
クリーンインストールが関係ないとか、馬鹿でも言わないようなことだぞ?
本気で言ってるなら、あんたパソコンでネトゲやっちゃだめだ。
あまりにも知識が無さ過ぎる。あんたみたいな人がウィルス撒き散らすんだよ。
ノートパソコンだってOS無ければ動かないんだから、
クリーンインストールが関係ないとか、馬鹿でも言わないようなことだぞ?
764 :既にその名前は使われています:2008/07/14(月) 11:59:03 ID:tr549L/i
>>761
へこむなよww
とはいえ>>747の言うとおりPS2なり×箱でやればPCよりは安全だしね。
ただ、PCを使う限り今後もいろんなマルウェアに悩まされていくわけだから、
少しずつでも自分の環境を把握して、セキュリティソフトが一体何をしてるのか理解していくことが重要だよw
8桁以上じゃないっかなー。最大桁数は忘れた。
もう>>747が言ったんだし何度も同じこと言わなくてもいいんじゃねww
へこむなよww
とはいえ>>747の言うとおりPS2なり×箱でやればPCよりは安全だしね。
ただ、PCを使う限り今後もいろんなマルウェアに悩まされていくわけだから、
少しずつでも自分の環境を把握して、セキュリティソフトが一体何をしてるのか理解していくことが重要だよw
8桁以上じゃないっかなー。最大桁数は忘れた。
もう>>747が言ったんだし何度も同じこと言わなくてもいいんじゃねww
765 :既にその名前は使われています:2008/07/14(月) 11:59:08 ID:zPSbCltV
>>761
もっと複雑ってどういう意味?
もっと複雑ってどういう意味?
766 :既にその名前は使われています:2008/07/14(月) 11:59:35 ID:Vb9WTlhz
新しく再発行されたパスワードを凍結中でも、サポセンでさらに新しく再発行することはできるでしょうか?
↑屑エニに聞けw
あと再発行されるパスワードって数字4つアルファベット大文字4つの合計8文字ですよね?
単純すぎるのですが、もっと複雑にできるでしょうか?
↑復元されてから自分の好きなように変更しろw
↑屑エニに聞けw
あと再発行されるパスワードって数字4つアルファベット大文字4つの合計8文字ですよね?
単純すぎるのですが、もっと複雑にできるでしょうか?
↑復元されてから自分の好きなように変更しろw
767 :既にその名前は使われています:2008/07/14(月) 12:01:11 ID:jigQHUur
>>765
オマエは、、、2チャンネルやっちゃダメだw
複雑ってのは英数記号大文字小文字文字数をいろいろ組み合わせていくことを
言ってるんだと気付けよ。その程度がわからないやつが他人にえらそうにすんなよw
オマエは、、、2チャンネルやっちゃダメだw
複雑ってのは英数記号大文字小文字文字数をいろいろ組み合わせていくことを
言ってるんだと気付けよ。その程度がわからないやつが他人にえらそうにすんなよw
768 :既にその名前は使われています:2008/07/14(月) 12:01:53 ID:Vb9WTlhz
>>765 12DAdfgdafe343glete43wtとかにしたいってことじゃね?
769 :既にその名前は使われています:2008/07/14(月) 12:05:27 ID:tr549L/i
770 :既にその名前は使われています:2008/07/14(月) 12:06:43 ID:BQyOSTuY
へこみました・・・
771 :既にその名前は使われています:2008/07/14(月) 12:07:36 ID:WQUx1mer
あたりまえだバカ
772 :既にその名前は使われています:2008/07/14(月) 12:08:41 ID:WQUx1mer
今のあなたのPCってパスないのと変わらんの。
なんで強度の心配とかしてんの?
なんで強度の心配とかしてんの?
773 :既にその名前は使われています:2008/07/14(月) 12:11:01 ID:1Ti6KZbR
まだ今回のアカハック完全に解決してないけどそろそろ送信先わかってるとこには反撃したいとこだ
まぁ 反撃したとこで ウィルス減るわけじゃないけど
うさばらしにはなるかな
まぁ 反撃したとこで ウィルス減るわけじゃないけど
うさばらしにはなるかな
774 :既にその名前は使われています:2008/07/14(月) 12:11:05 ID:oQ/lf3kO
775 :既にその名前は使われています:2008/07/14(月) 12:13:26 ID:WOQ1siHF
>>770
言い方は非常に不親切だが>>766は的確な事を言っているよ。
凍結中にさらにパスワード再発行してくれるかどうかは
サポートセンターに聞かなきゃ分からないし(たぶんしてくれるとは思うけど)、
パスワードは後でいくらでも自分で好きに変更できる。
このスレを面倒でも最初からよく読んで、少しでも知識をつけてね。
巻き戻しは一度きりなんだし、結局自分の身は自分で守るしかないからね。
言い方は非常に不親切だが>>766は的確な事を言っているよ。
凍結中にさらにパスワード再発行してくれるかどうかは
サポートセンターに聞かなきゃ分からないし(たぶんしてくれるとは思うけど)、
パスワードは後でいくらでも自分で好きに変更できる。
このスレを面倒でも最初からよく読んで、少しでも知識をつけてね。
巻き戻しは一度きりなんだし、結局自分の身は自分で守るしかないからね。
776 :既にその名前は使われています:2008/07/14(月) 12:14:34 ID:47YLqBCM
強度の心配することはいいことだ
777 :既にその名前は使われています:2008/07/14(月) 12:15:47 ID:zPSbCltV
>>767
チャンネルとか書いちゃう痛い奴から、どうこう言われる筋合いは無いねw
あの程度の知識しか無いID:BQyOSTuYが
数字4つアルファベット大文字4つ以外を使いたいという意味で
複雑という言葉を使ったわけではないと判断できる材料が、>>761にあるのかよ?w
>英数記号大文字小文字文字数をいろいろ組み合わせていくこと
これって、おまえの都合で勝手に想像しただけだろw
そういうのは「個人的解釈」って言うんだよ。なんでそれが唯一無二の正解みたいに自信持てるんだwww
チャンネルとか書いちゃう痛い奴から、どうこう言われる筋合いは無いねw
あの程度の知識しか無いID:BQyOSTuYが
数字4つアルファベット大文字4つ以外を使いたいという意味で
複雑という言葉を使ったわけではないと判断できる材料が、>>761にあるのかよ?w
>英数記号大文字小文字文字数をいろいろ組み合わせていくこと
これって、おまえの都合で勝手に想像しただけだろw
そういうのは「個人的解釈」って言うんだよ。なんでそれが唯一無二の正解みたいに自信持てるんだwww
778 :既にその名前は使われています:2008/07/14(月) 12:17:20 ID:WQUx1mer
力抜けよ
779 :既にその名前は使われています:2008/07/14(月) 12:19:16 ID:I5xYa5Fi
ハックされてwzcsvbxm.dll探してみても引っかからないんだが…。
これはローカルハックなんかね?
ところで、POLのセキュリティ設定もブっこ抜かれる?
これはローカルハックなんかね?
ところで、POLのセキュリティ設定もブっこ抜かれる?
780 :既にその名前は使われています:2008/07/14(月) 12:21:15 ID:Cd7yQcwk
まあ、あんまり強度の高いパスワードは、往々にして運用面でボロが出たりする
概して覚えづらい、入力しづらいパスワードになるから
個人で使う分には、ソーシャルハッキング(パスワードのメモ書きを見られる等)は
あまり考える必要は無いけれど
概して覚えづらい、入力しづらいパスワードになるから
個人で使う分には、ソーシャルハッキング(パスワードのメモ書きを見られる等)は
あまり考える必要は無いけれど
781 :既にその名前は使われています:2008/07/14(月) 12:22:41 ID:tr549L/i
そういえば、感染PCでPOL.exeは全員エラー落ちするの?
前スレだか前々スレだか前々々スレだかでPOLの接続先が業者鯖になってるっていう報告あったから
>>728でプロセスを乗っ取るとか書いちゃったけど、落ちないでそのままゲームに進めるっていうなら、
POLから発射されるID/PASSを抜き取ってwuauserとして送信することも可能な気がしてきた。
だとしたらPOLの接続鯖絞ってもあまり意味ないんかなあ。
プロアクティブディフェンスを常駐させてれば引っかかるとしても。
前スレだか前々スレだか前々々スレだかでPOLの接続先が業者鯖になってるっていう報告あったから
>>728でプロセスを乗っ取るとか書いちゃったけど、落ちないでそのままゲームに進めるっていうなら、
POLから発射されるID/PASSを抜き取ってwuauserとして送信することも可能な気がしてきた。
だとしたらPOLの接続鯖絞ってもあまり意味ないんかなあ。
プロアクティブディフェンスを常駐させてれば引っかかるとしても。
782 :既にその名前は使われています:2008/07/14(月) 12:25:49 ID:Vb9WTlhz
>>777 御高説たれたところ ぷっw
783 :既にその名前は使われています:2008/07/14(月) 12:25:52 ID:tr549L/i
>>779
これで試してみて無かったらレジストリ確認してみw
>>729
>>734
POLのセキュリティ設定は前にあった手法のパスワードファイルをそのまま盗み出す手口に対応したもので
今回のにはあまり役にたたんよw
これで試してみて無かったらレジストリ確認してみw
>>729
>>734
POLのセキュリティ設定は前にあった手法のパスワードファイルをそのまま盗み出す手口に対応したもので
今回のにはあまり役にたたんよw
784 :既にその名前は使われています:2008/07/14(月) 12:27:56 ID:oJ5ZjA3o
>>779
>ハックされてwzcsvbxm.dll探してみても引っかからないんだが…。
>>728のレジストリを調べて正規ファイルなら別物かと
>ところで、POLのセキュリティ設定もブっこ抜かれる?
POLの通信を乗っ取る手口だから
『保存・セキュリティ設定』とか『保存無・スクリーンキーボード・手打ち』とか関係なく持って行かれると思われる
>ハックされてwzcsvbxm.dll探してみても引っかからないんだが…。
>>728のレジストリを調べて正規ファイルなら別物かと
>ところで、POLのセキュリティ設定もブっこ抜かれる?
POLの通信を乗っ取る手口だから
『保存・セキュリティ設定』とか『保存無・スクリーンキーボード・手打ち』とか関係なく持って行かれると思われる
785 :既にその名前は使われています:2008/07/14(月) 12:29:07 ID:OY0AuQ0V
受付番号もらって、恐らく本日の着で書類送ったんだけど
いつから凍結始まるのかな?やるならさっさとやってくれええ
いつ始まるものかと、ログインしてはアカハク受けた
切ない姿の俺のキャラを見るのは辛いよ(ノД`)
いつから凍結始まるのかな?やるならさっさとやってくれええ
いつ始まるものかと、ログインしてはアカハク受けた
切ない姿の俺のキャラを見るのは辛いよ(ノД`)
786 :既にその名前は使われています:2008/07/14(月) 12:31:11 ID:oJ5ZjA3o
787 :既にその名前は使われています:2008/07/14(月) 12:31:19 ID:I5xYa5Fi
>>783
取りあえず、全部読んで全部試してみた。
System32も隠しファイルも全部確認。
でも親切にありがとな!
POLのセキュリティ設定は話題に上がらないだけあって、やっぱり役にたたんか…
外部のUSBメモリに…ってそれすらもアテにならないよな。
取りあえず、全部読んで全部試してみた。
System32も隠しファイルも全部確認。
でも親切にありがとな!
POLのセキュリティ設定は話題に上がらないだけあって、やっぱり役にたたんか…
外部のUSBメモリに…ってそれすらもアテにならないよな。
788 :既にその名前は使われています:2008/07/14(月) 12:33:52 ID:tr549L/i
789 :既にその名前は使われています:2008/07/14(月) 12:34:58 ID:ApGn707U
790 :既にその名前は使われています:2008/07/14(月) 12:38:00 ID:tr549L/i
>>789
だとしたら、POLの通信をぬいちゃってサービス名乗ってID/PASS送信するバージョンがある可能性もあるわなー。
俺のもってるwzcsvbxm.dllだとPOL自体が繋ぎにいっちゃてるように見えるけど。
だとしたら、POLの通信をぬいちゃってサービス名乗ってID/PASS送信するバージョンがある可能性もあるわなー。
俺のもってるwzcsvbxm.dllだとPOL自体が繋ぎにいっちゃてるように見えるけど。
791 :既にその名前は使われています:2008/07/14(月) 12:41:57 ID:jigQHUur
792 :既にその名前は使われています:2008/07/14(月) 12:43:59 ID:OY0AuQ0V
793 :既にその名前は使われています:2008/07/14(月) 12:45:43 ID:I5xYa5Fi
前兆症状は
・アップデートでフリーズする(二度目から可能)
・POLが途中でシャットダウン
・Winシャットダウン
他に何かあるかな?
一応、前兆症状もまとめておいた方がいいと思うんだが…。
俺はここの住人のお陰で現在は感染していない事が判明。ありがたや。
・アップデートでフリーズする(二度目から可能)
・POLが途中でシャットダウン
・Winシャットダウン
他に何かあるかな?
一応、前兆症状もまとめておいた方がいいと思うんだが…。
俺はここの住人のお陰で現在は感染していない事が判明。ありがたや。
794 :既にその名前は使われています:2008/07/14(月) 12:47:26 ID:OY0AuQ0V
795 :既にその名前は使われています:2008/07/14(月) 12:47:42 ID:tr549L/i
796 :既にその名前は使われています:2008/07/14(月) 12:48:44 ID:j8zk7Un9
>>792
もうこのままの方が卒業できていいのかもしれんぞ…
冗談はさておき、郵送?ってのはメールなり電話なりでやりとり出来ない場合の代替手段じゃないかと思うのだが
POLの場合は何か郵送しないといけないわけ?
もうこのままの方が卒業できていいのかもしれんぞ…
冗談はさておき、郵送?ってのはメールなり電話なりでやりとり出来ない場合の代替手段じゃないかと思うのだが
POLの場合は何か郵送しないといけないわけ?
797 :既にその名前は使われています:2008/07/14(月) 12:48:48 ID:wAHqaN0O
反面教師ですね。わかります。
798 :既にその名前は使われています:2008/07/14(月) 12:51:07 ID:I5xYa5Fi
追加してみました。他にもあったら報告お願いします。
【典型的な前兆症状】
・各種アップデートでフリーズする(二度目から可能)
・POLが途中でシャットダウン(二度目から可能?)
・Winがシャットダウン
・アプリケーションがやたら重い
・「プログラムの追加と削除」にて一覧が出るのに時間がかかる・もしくは出ない
【典型的な前兆症状】
・各種アップデートでフリーズする(二度目から可能)
・POLが途中でシャットダウン(二度目から可能?)
・Winがシャットダウン
・アプリケーションがやたら重い
・「プログラムの追加と削除」にて一覧が出るのに時間がかかる・もしくは出ない
799 :既にその名前は使われています:2008/07/14(月) 12:52:54 ID:BgvmEWA2
>>781
wzcsvbxm.dllはpolのプロセス内にスレッドを1つ作って悪さをするっぽい。
だから、pol.exeのプロセスがアカウント情報を送信するように見えるはず。
作りが悪くなければPOLとFFXIは問題なく動いててもおかしくない。
というわけで、パーソナルファイアウォールソフトでpol.exeの通信相手を
スクエニのサーバに限定するのは無駄ではないと思う。
もちろん、別プロセスで悪さをする従来型には無力なので、PG2を併用するのが
いいかと。
(マニアじゃない人向けの注意w)
「入られた時点で負け」なので、上記の対策は飽くまで保険。
感染したあとの対応はクリーンインストールが鉄則。
wzcsvbxm.dllはpolのプロセス内にスレッドを1つ作って悪さをするっぽい。
だから、pol.exeのプロセスがアカウント情報を送信するように見えるはず。
作りが悪くなければPOLとFFXIは問題なく動いててもおかしくない。
というわけで、パーソナルファイアウォールソフトでpol.exeの通信相手を
スクエニのサーバに限定するのは無駄ではないと思う。
もちろん、別プロセスで悪さをする従来型には無力なので、PG2を併用するのが
いいかと。
(マニアじゃない人向けの注意w)
「入られた時点で負け」なので、上記の対策は飽くまで保険。
感染したあとの対応はクリーンインストールが鉄則。
800 :既にその名前は使われています:2008/07/14(月) 12:54:47 ID:oJ5ZjA3o
前スレから移行するときにテンプレがいくつか貼られ忘れてる
その中には前兆症状のまとめも含まれてる
その中には前兆症状のまとめも含まれてる
801 :既にその名前は使われています:2008/07/14(月) 12:55:17 ID:tr549L/i
>>799
すれっど注入かー、なるへそ。ありがとうw
すれっど注入かー、なるへそ。ありがとうw
802 :既にその名前は使われています:2008/07/14(月) 12:57:10 ID:I5xYa5Fi
>>796
いきなり郵送しても取り合って貰えないよ。
まずは電話で本人確認、状況の確認と相談、こちらの希望やロールバックのリスク(取ったアイテムが消える)
などを相互に確認してIDを発行してもらう。
その上でIDを記載した身分証(免許・住民票・保険証)のコピーにIDを書き込んで対応してもらう。
2週間以上かかると言われたけど、10日でキャラが戻ってきたよ。
いきなり郵送しても取り合って貰えないよ。
まずは電話で本人確認、状況の確認と相談、こちらの希望やロールバックのリスク(取ったアイテムが消える)
などを相互に確認してIDを発行してもらう。
その上でIDを記載した身分証(免許・住民票・保険証)のコピーにIDを書き込んで対応してもらう。
2週間以上かかると言われたけど、10日でキャラが戻ってきたよ。
803 :既にその名前は使われています:2008/07/14(月) 12:57:13 ID:zPSbCltV
>>791
馬鹿のくせに何言ってんの?
馬鹿のくせに何言ってんの?
804 :既にその名前は使われています:2008/07/14(月) 12:57:47 ID:QGj47THP
ちょっとおまいらの意見をきかせてくれ。
ID・PASS送信までの想定される動きで間違いないとすると、
FF終了時に、シャットダウン(メニューなり/shutdownなり)で終了せず、
ログアウトとかで戻っていって、パスワードを唯一無二なものに変更して
POLを終了させれば問題なさそうな気がするんだが。
重要なのは、パスワード変更時に、
これまで設定したことのないパスワードにする
な。
ID・PASS送信までの想定される動きで間違いないとすると、
FF終了時に、シャットダウン(メニューなり/shutdownなり)で終了せず、
ログアウトとかで戻っていって、パスワードを唯一無二なものに変更して
POLを終了させれば問題なさそうな気がするんだが。
重要なのは、パスワード変更時に、
これまで設定したことのないパスワードにする
な。
805 :既にその名前は使われています:2008/07/14(月) 12:58:08 ID:tr549L/i
12 名前:既にその名前は使われています[] 投稿日:2008/07/10(木) 21:02:57 ID:wZvpwWq5
こんな症状が出たら感染の疑いありです、大至急対策を!
◆Windows Updateがフリーズする
◆POLを起動するとエラーが出る(2回目からは正常に起動)
◆シャットダウンに時間がかかるようになった
これらはアカウントハックスレに寄せられた前兆症状で、この症状が出た1〜2週間後に
アカウントハックを受けた人が多数います。
今大丈夫でも、 すでにパスを盗まれ処理待ちである可能性が高いです!
「普通のHP」に自動挿入される広告に罠が仕込まれるパターンが増えています。
★★踏まなくても表示しただけでウィルスに感染する★★ので気付かずにやられます。
被害報告は6月中旬から以前の20倍近いペースで増えています!
至急ウィルスチェック・Flashplayer更新・パスワード変更を!
Flashのバージョン確認
http://live27.2ch.net/test/read.cgi/ogame/1214625452/20-
カスペルスキーオンラインスキャン(無料)
http://www.kaspersky.co.jp/virusscanner
こんな症状が出たら感染の疑いありです、大至急対策を!
◆Windows Updateがフリーズする
◆POLを起動するとエラーが出る(2回目からは正常に起動)
◆シャットダウンに時間がかかるようになった
これらはアカウントハックスレに寄せられた前兆症状で、この症状が出た1〜2週間後に
アカウントハックを受けた人が多数います。
今大丈夫でも、 すでにパスを盗まれ処理待ちである可能性が高いです!
「普通のHP」に自動挿入される広告に罠が仕込まれるパターンが増えています。
★★踏まなくても表示しただけでウィルスに感染する★★ので気付かずにやられます。
被害報告は6月中旬から以前の20倍近いペースで増えています!
至急ウィルスチェック・Flashplayer更新・パスワード変更を!
Flashのバージョン確認
http://live27.2ch.net/test/read.cgi/ogame/1214625452/20-
カスペルスキーオンラインスキャン(無料)
http://www.kaspersky.co.jp/virusscanner
806 :804:2008/07/14(月) 12:59:04 ID:QGj47THP
書き忘れたけど、
>>804は、あくまで暫定対処ね。
>>804は、あくまで暫定対処ね。
807 :既にその名前は使われています:2008/07/14(月) 13:00:53 ID:j8zk7Un9
808 :既にその名前は使われています:2008/07/14(月) 13:01:55 ID:Ga0POk/5
>>798
半端なまとめするな!
半端なまとめするな!
809 :既にその名前は使われています:2008/07/14(月) 13:02:28 ID:SdIVzw8/
つーかサポセンいつになったら繋がるんだよ・・・
810 :既にその名前は使われています:2008/07/14(月) 13:03:51 ID:tr549L/i
>>804
運用上、それが面倒でなく確実にパスワードを覚えているのならば効果はあるとおもうなー。
一応パスワードなり変える所はSSLだかで暗号化通信してるみたいだし。
そこも監視されてたらどーだろう。まだそこまでみてないw
運用上、それが面倒でなく確実にパスワードを覚えているのならば効果はあるとおもうなー。
一応パスワードなり変える所はSSLだかで暗号化通信してるみたいだし。
そこも監視されてたらどーだろう。まだそこまでみてないw
811 :既にその名前は使われています:2008/07/14(月) 13:05:35 ID:j8zk7Un9
ここ数日パス変更しようとすると鯖重すぎて繋がらないんだが?
変更中にリトライ祭とかどうすんの?しぬの?
変更中にリトライ祭とかどうすんの?しぬの?
812 :既にその名前は使われています:2008/07/14(月) 13:06:01 ID:m6a84xs8
PG2が以下のIPを弾きます
aguse.jpで調べたのですがこれはかなり危険なサイトでしょうか?
気持ち悪いのでクリーンインストールすることに決めたのですが
正体がはっきりしないとスッキリしないので
よろしければ教えてください
221.4.211.3
サイトのタイトル:Welcome to JBoss™
実際に表示されるサイトのURL:http://221.4.211.3
221.221.22.138
サイトのタイトル:鞠村利購
実際に表示されるサイトのURL:http://221.221.22.138202.38.197.119
あと「入力されたURLは存在しませんでした。」
はどんな場合に表示されるのでしょうか?
よろしくお願いします
aguse.jpで調べたのですがこれはかなり危険なサイトでしょうか?
気持ち悪いのでクリーンインストールすることに決めたのですが
正体がはっきりしないとスッキリしないので
よろしければ教えてください
221.4.211.3
サイトのタイトル:Welcome to JBoss™
実際に表示されるサイトのURL:http://221.4.211.3
221.221.22.138
サイトのタイトル:鞠村利購
実際に表示されるサイトのURL:http://221.221.22.138202.38.197.119
あと「入力されたURLは存在しませんでした。」
はどんな場合に表示されるのでしょうか?
よろしくお願いします
813 :既にその名前は使われています:2008/07/14(月) 13:06:19 ID:Ga0POk/5
ここ最近でこんな症状が出たら感染の疑いありです、大至急対策を!
◆Windows Updateがフリーズし実行できない
◆POLを起動するとエラーが出る(2回目からは正常に起動)
◆Windowsのシャットダウンに時間がかかるようになった
◆アプリケーションの追加と削除を選択して表示されるまでに時間がかかるようになった
これらはアカウントハックスレに寄せられた前兆症状で、この症状が出た1〜2週間後に
アカウントハックを受けた人が多数います。
今大丈夫でも、 すでにパスを盗まれ処理待ちである可能性が高いです!
「普通のHP」に自動挿入される広告に罠が仕込まれるパターンが増えています。
★★踏まなくても表示しただけでウィルスに感染する★★ので気付かずにパスを盗まれます。
被害報告は6月中旬から以前の20倍近いペースで増えています!
至急ウィルスチェック・Flashplayer更新・パスワード変更を!
Flashのバージョン確認
http://live27.2ch.net/test/read.cgi/ogame/1214625452/20-
カスペルスキーオンラインスキャン(無料)
http://www.kaspersky.co.jp/virusscanner
◆Windows Updateがフリーズし実行できない
◆POLを起動するとエラーが出る(2回目からは正常に起動)
◆Windowsのシャットダウンに時間がかかるようになった
◆アプリケーションの追加と削除を選択して表示されるまでに時間がかかるようになった
これらはアカウントハックスレに寄せられた前兆症状で、この症状が出た1〜2週間後に
アカウントハックを受けた人が多数います。
今大丈夫でも、 すでにパスを盗まれ処理待ちである可能性が高いです!
「普通のHP」に自動挿入される広告に罠が仕込まれるパターンが増えています。
★★踏まなくても表示しただけでウィルスに感染する★★ので気付かずにパスを盗まれます。
被害報告は6月中旬から以前の20倍近いペースで増えています!
至急ウィルスチェック・Flashplayer更新・パスワード変更を!
Flashのバージョン確認
http://live27.2ch.net/test/read.cgi/ogame/1214625452/20-
カスペルスキーオンラインスキャン(無料)
http://www.kaspersky.co.jp/virusscanner
814 :既にその名前は使われています:2008/07/14(月) 13:06:48 ID:F6kwfyZ3
直リンするとは良い度胸だ
815 :既にその名前は使われています:2008/07/14(月) 13:06:58 ID:oJ5ZjA3o
パスを変えると強制ログアウトになるし
新パスで入るならハッカーに新パスを送ることになるので
ログイン中に落とされる恐怖は払拭されないですね
新パスで入るならハッカーに新パスを送ることになるので
ログイン中に落とされる恐怖は払拭されないですね
816 :既にその名前は使われています:2008/07/14(月) 13:07:23 ID:Ga0POk/5
>>812
URLを張るときはドットを●にかえてくれ。。。
URLを張るときはドットを●にかえてくれ。。。
817 :既にその名前は使われています:2008/07/14(月) 13:07:38 ID:j8zk7Un9
>>812
やっちまったな……
やっちまったな……
818 :既にその名前は使われています:2008/07/14(月) 13:07:59 ID:Ga0POk/5
ていうか釣りたいのかね
819 :既にその名前は使われています:2008/07/14(月) 13:08:10 ID:m6a84xs8
ああ、すみませんURL直張りしてしましました
たいへん申し訳ありません
↑踏まないでください
たいへん申し訳ありません
↑踏まないでください
820 :既にその名前は使われています:2008/07/14(月) 13:09:17 ID:Ga0POk/5
IDをNGしたから問題ない
821 :既にその名前は使われています:2008/07/14(月) 13:09:42 ID:I5xYa5Fi
822 :既にその名前は使われています:2008/07/14(月) 13:09:49 ID:tr549L/i
823 :既にその名前は使われています:2008/07/14(月) 13:10:53 ID:7FBMRL5F
まずレジストリエディタで問題のdllを検索して見つからなかったらとりあえずは現状ではセーフってことでしょうか?
824 :既にその名前は使われています:2008/07/14(月) 13:11:41 ID:Fr1YoSfd
>>812
責任とって削除してこいよ
責任とって削除してこいよ
825 :既にその名前は使われています:2008/07/14(月) 13:12:42 ID:fe6AZ7ct
826 :既にその名前は使われています:2008/07/14(月) 13:14:01 ID:tr549L/i
>>823
そうともいえない。
現時点ではwzcsvbxm.dllのケースでしか報告はないけど。
これはただのファイル名であって、名前はなんでもいいからね。
unkotinko.dllでもいい。
該当レジストリキーまで行って見たほうがいいと思うよ。
そうともいえない。
現時点ではwzcsvbxm.dllのケースでしか報告はないけど。
これはただのファイル名であって、名前はなんでもいいからね。
unkotinko.dllでもいい。
該当レジストリキーまで行って見たほうがいいと思うよ。
827 :既にその名前は使われています:2008/07/14(月) 13:14:44 ID:m6a84xs8
本当に申し訳ないことを…
以後、書き込みは自重いたします
お騒がせいたしました
でも、もし何かわかりましたら教えていただけると助かります
以後、書き込みは自重いたします
お騒がせいたしました
でも、もし何かわかりましたら教えていただけると助かります
828 :既にその名前は使われています:2008/07/14(月) 13:14:49 ID:I5xYa5Fi
>>823
逆に正規のwuauserv.dllを検索してみたらどうかな?
逆に正規のwuauserv.dllを検索してみたらどうかな?
829 :既にその名前は使われています:2008/07/14(月) 13:18:05 ID:oJ5ZjA3o
>>812
中国だから弾いてると思われる
国別リストで弾いてる場合は、危険か安全かまでは分からない
例えば韓国のリストにはwikipediaJPのアドレスも含まれていたりする
ただし危険なアドレスも当然含まれているので踏むなら自己責任で
中国だから弾いてると思われる
国別リストで弾いてる場合は、危険か安全かまでは分からない
例えば韓国のリストにはwikipediaJPのアドレスも含まれていたりする
ただし危険なアドレスも当然含まれているので踏むなら自己責任で
830 :既にその名前は使われています:2008/07/14(月) 13:18:10 ID:Fr1YoSfd
831 :既にその名前は使われています:2008/07/14(月) 13:19:32 ID:WeXiXYyD
ウィルスどんどん貼れよ
このスレのURLだから踏んでも大丈夫なんて思ってるアフォには良い薬だ
このスレのURLだから踏んでも大丈夫なんて思ってるアフォには良い薬だ
832 :既にその名前は使われています:2008/07/14(月) 13:22:50 ID:7FBMRL5F
レスありがとうございます!
昨日フレンドがなぜか別鯖に、そのリア友からハックされたと聞いてビクんビクんしてます
今は仕事中なので確認できないのですが帰ったら確認することは
問題のdllを検索
正規のdllを検索
該当のキーと言うのがわからないのですが('A`)
昨日フレンドがなぜか別鯖に、そのリア友からハックされたと聞いてビクんビクんしてます
今は仕事中なので確認できないのですが帰ったら確認することは
問題のdllを検索
正規のdllを検索
該当のキーと言うのがわからないのですが('A`)
833 :既にその名前は使われています:2008/07/14(月) 13:23:39 ID:F6kwfyZ3
といってageてくれる業者は本能的に長寿タイプ
834 :既にその名前は使われています:2008/07/14(月) 13:25:36 ID:oJ5ZjA3o
835 :既にその名前は使われています:2008/07/14(月) 13:25:36 ID:tr549L/i
836 :既にその名前は使われています:2008/07/14(月) 13:26:27 ID:Ga0POk/5
不安な人はクリーンインストールしたほうがいい
837 :既にその名前は使われています:2008/07/14(月) 13:27:01 ID:QGj47THP
自分のマシンのレジストリに unkotinko.dll が登録されてたら鬱すぎるww
838 :既にその名前は使われています:2008/07/14(月) 13:29:48 ID:tr549L/i
>>837
過去に滝川クリトリスってプロセス名のマルウェアがおりましてな・・・
過去に滝川クリトリスってプロセス名のマルウェアがおりましてな・・・
839 :既にその名前は使われています:2008/07/14(月) 13:32:15 ID:tr549L/i
というか、まだドロッパの特定できてないしレジストリの改竄確認したら、クリンスコ推奨するよ。
ただクリンスコ前にhttp://www.virustotal.com/jp/にwzcsvbxm.dlを送って結果URLをここに張ってほしいけどw
ただクリンスコ前にhttp://www.virustotal.com/jp/にwzcsvbxm.dlを送って結果URLをここに張ってほしいけどw
840 :既にその名前は使われています:2008/07/14(月) 13:32:46 ID:7FBMRL5F
今メモりました!ありがとうございます
今まで他人事だと思ってたけど身内に被害がでて本当にヤバい状態なんだとわかりました('A`)
スクエニさんはちゃんとした対応してくれないのかな、もっと安全に楽しくゲームしたいです
あの頃の砂丘がまぶしいです
今まで他人事だと思ってたけど身内に被害がでて本当にヤバい状態なんだとわかりました('A`)
スクエニさんはちゃんとした対応してくれないのかな、もっと安全に楽しくゲームしたいです
あの頃の砂丘がまぶしいです
841 :既にその名前は使われています:2008/07/14(月) 13:34:08 ID:m6a84xs8
842 :既にその名前は使われています:2008/07/14(月) 13:35:19 ID:tr549L/i
どんなシステム組んでも、最大のセキュリティホールになりえるのはユーザの存在だからね。
ユーザが意識が変わったときにあの頃の砂丘が戻ってくるんじゃないw
ユーザが意識が変わったときにあの頃の砂丘が戻ってくるんじゃないw
843 :既にその名前は使われています:2008/07/14(月) 13:35:29 ID:oJ5ZjA3o
検体を挙動説明付きでスクエニに送ったら対策とってくれるだろうか?
844 :既にその名前は使われています:2008/07/14(月) 13:35:41 ID:XECJYs/m
しかし、今はFFのおかげでハック被害者が目に見えてくる場合もあるだろうが、
潜在的な被害者はむちゃくちゃいそうだなこりゃ。しかもそのほとんどが>>747
みたいなやつばっかりだとすると、、、、いやー俺もハッキングしたくなってくるな
マジで。濡れ手に粟じゃねえかよ。
潜在的な被害者はむちゃくちゃいそうだなこりゃ。しかもそのほとんどが>>747
みたいなやつばっかりだとすると、、、、いやー俺もハッキングしたくなってくるな
マジで。濡れ手に粟じゃねえかよ。
845 :既にその名前は使われています:2008/07/14(月) 13:36:11 ID:5ZwIop9c
>>830
釣りですか?
釣りですか?
846 :既にその名前は使われています:2008/07/14(月) 13:37:09 ID:WeXiXYyD
ウィルスどんどん貼れよ
このスレのURLだから踏んでも大丈夫なんて思ってるアフォには良い薬だ
このスレのURLだから踏んでも大丈夫なんて思ってるアフォには良い薬だ
847 :既にその名前は使われています:2008/07/14(月) 13:37:46 ID:Fr1YoSfd
>>845
意味がわからん
意味がわからん
848 :既にその名前は使われています:2008/07/14(月) 13:38:24 ID:WAIxQP07
受付番号って確認しなきゃだめなもの?
俺サポセン電話>パス再交付>垢ハックだった場合の郵送による申請説明>身分証送付>GMコール>郵送申請したので垢凍結依頼
だったから受付番号なんて知らないんだが。受付されたかどうか聞くだけのためにサポセンに電話やコールすんの気が引けるけどしたほうがいいのかな。
俺サポセン電話>パス再交付>垢ハックだった場合の郵送による申請説明>身分証送付>GMコール>郵送申請したので垢凍結依頼
だったから受付番号なんて知らないんだが。受付されたかどうか聞くだけのためにサポセンに電話やコールすんの気が引けるけどしたほうがいいのかな。
849 :既にその名前は使われています:2008/07/14(月) 13:38:42 ID:j8zk7Un9
>>845
意味がわからん
意味がわからん
850 :既にその名前は使われています:2008/07/14(月) 13:38:47 ID:Y/z/51gv
>>830
重要削除には該当しないはず、通常のほうで依頼しないとだめ
重要削除には該当しないはず、通常のほうで依頼しないとだめ
851 :既にその名前は使われています:2008/07/14(月) 13:39:04 ID:5ZwIop9c
852 :既にその名前は使われています:2008/07/14(月) 13:42:22 ID:Fr1YoSfd
853 :既にその名前は使われています:2008/07/14(月) 13:44:58 ID:tr549L/i
>>843
ローカルでやられちゃうのはどうしようもないからなー。
なんとかしようとしたらnproなりマルウェアまがいの入れなきゃなくなるしw
ただID/PASSの認証を暗号化通信するとかワンタイムパスとかくらいは議題には上がってるんじゃねw
ローカルでやられちゃうのはどうしようもないからなー。
なんとかしようとしたらnproなりマルウェアまがいの入れなきゃなくなるしw
ただID/PASSの認証を暗号化通信するとかワンタイムパスとかくらいは議題には上がってるんじゃねw
854 :既にその名前は使われています:2008/07/14(月) 13:45:40 ID:Ga0POk/5
メモリからIDとパスが抜き取れる仕様を早く直せ
855 :既にその名前は使われています:2008/07/14(月) 13:45:40 ID:j8zk7Un9
削除依頼にも種類があるんだな
なるほどなー
なるほどなー
856 :既にその名前は使われています:2008/07/14(月) 13:45:50 ID:m6a84xs8
857 :既にその名前は使われています:2008/07/14(月) 13:51:32 ID:I5xYa5Fi
>>848
最初から垢ハックの疑いでサポセン行ったなら受付番号は交付されるはず。
その番号で状況の確認と調査の手が入るから。
一番良いと思うのはGMに通報して垢凍結(サポセンでも可能)、後日サポセンにリダイアルオンライン。
そこで受付番号貰って、身分証と一緒に郵送。
受付番号なくても大丈夫だと思うけど、調査依頼と一致させるのに時間がかかる=復活が遅れる
一応、サポセンに電話して進捗状況を聞いてみるのもいいかと思う。そこで改めて番号振られると思うし。
今は比較的空いてる時間帯だから、すぐ電話するか、後日改めてかけると良いと思う。
最初から垢ハックの疑いでサポセン行ったなら受付番号は交付されるはず。
その番号で状況の確認と調査の手が入るから。
一番良いと思うのはGMに通報して垢凍結(サポセンでも可能)、後日サポセンにリダイアルオンライン。
そこで受付番号貰って、身分証と一緒に郵送。
受付番号なくても大丈夫だと思うけど、調査依頼と一致させるのに時間がかかる=復活が遅れる
一応、サポセンに電話して進捗状況を聞いてみるのもいいかと思う。そこで改めて番号振られると思うし。
今は比較的空いてる時間帯だから、すぐ電話するか、後日改めてかけると良いと思う。
858 :既にその名前は使われています:2008/07/14(月) 13:57:04 ID:qV55h30z
こんなすぐ落ちるスレで削除依頼とか頭悪すぎるなwハックされるのもうなずけるw
859 :既にその名前は使われています:2008/07/14(月) 14:00:10 ID:j8zk7Un9
地雷は除去したほうがいいだろ
860 :既にその名前は使われています:2008/07/14(月) 14:01:17 ID:PpBDQf7b
FFAHみてると垢ハックしたキャラの装備を売ってるキャラがあからさま過ぎるんだがw
861 :既にその名前は使われています:2008/07/14(月) 14:02:25 ID:qV55h30z
2ちゃんの運営がすぐ仕事するとでも思ってるのかw
早くて1週間後だwwwwww
早くて1週間後だwwwwww
862 :既にその名前は使われています:2008/07/14(月) 14:02:51 ID:BjU4T3eZ
というか常時ageでいいだろww
2chブラウザのsageはきっとけw
2chブラウザのsageはきっとけw
863 :既にその名前は使われています:2008/07/14(月) 14:06:05 ID:XOxf3eZy
嫌いな奴がログインしてない
恐らくハックされたな
ざまぁwwwwwww業者GJwwwwwwwwwwwwwwwww
恐らくハックされたな
ざまぁwwwwwww業者GJwwwwwwwwwwwwwwwww
864 :既にその名前は使われています:2008/07/14(月) 14:08:23 ID:tr549L/i
865 :既にその名前は使われています:2008/07/14(月) 14:08:50 ID:BjU4T3eZ
866 :既にその名前は使われています:2008/07/14(月) 14:10:10 ID:WAIxQP07
>>857
ありがとう。そうしてみる。
ありがとう。そうしてみる。
867 :既にその名前は使われています:2008/07/14(月) 14:15:34 ID:9l7E5VhS
>>854
1,2年位前に、どっかのツーラー作者がIDパスのぶっこぬきソースを公開したら修正された・・・はずw
1,2年位前に、どっかのツーラー作者がIDパスのぶっこぬきソースを公開したら修正された・・・はずw
868 :既にその名前は使われています:2008/07/14(月) 14:19:46 ID:giiOkMcF
あー、俺身分証と一緒に受付番号送付するの忘れてた・・・・
サポセンの電話に出た女がめちゃくちゃ滑舌悪くて何いってるのかマジで聞き取れなかったし・・
メモり忘れてたと思うわ。(何回も、は?すいません、何言ってるか分かりません。って言ったし)
で、今6/30日に送って今も完了メール着てないしな。
受付番号一緒に送付しなくても平気なんだよね。もう完全にイライラしてブチギレそうだわ
サポセンの受付にするやつはちゃんと喋れる奴にしろよ。
サポセンの電話に出た女がめちゃくちゃ滑舌悪くて何いってるのかマジで聞き取れなかったし・・
メモり忘れてたと思うわ。(何回も、は?すいません、何言ってるか分かりません。って言ったし)
で、今6/30日に送って今も完了メール着てないしな。
受付番号一緒に送付しなくても平気なんだよね。もう完全にイライラしてブチギレそうだわ
サポセンの受付にするやつはちゃんと喋れる奴にしろよ。
869 :既にその名前は使われています:2008/07/14(月) 14:20:22 ID:s8qojN3k
6月上旬からOSの調子が悪く
ノートン、adware、spybotするも検出なしでしたが
OSクリーンインストール。
その後月末になりパスワード変えられログインできなくなりまして
こちらの板にてシャットダウンに時間がかかる、
アップデートできない、ソフト削除ができない等の症状が
不調ではなく感染だったことを知ったのですが
今現在症状は出てないのですが
もういちどクリーンインストールしたほうがいいのでしょうかね やっぱり、、?
ノートン、adware、spybotするも検出なしでしたが
OSクリーンインストール。
その後月末になりパスワード変えられログインできなくなりまして
こちらの板にてシャットダウンに時間がかかる、
アップデートできない、ソフト削除ができない等の症状が
不調ではなく感染だったことを知ったのですが
今現在症状は出てないのですが
もういちどクリーンインストールしたほうがいいのでしょうかね やっぱり、、?
870 :既にその名前は使われています:2008/07/14(月) 14:22:18 ID:fwCR3mTL
こんなの日本で使ってる人いないだろ…というところにも送って数時間。
ttp://www.virustotal.com/analisis/51cb8313e0d5b19d53ce944eff9deedf
Ikarus…だと…?
ttp://www.virustotal.com/analisis/51cb8313e0d5b19d53ce944eff9deedf
Ikarus…だと…?
871 :既にその名前は使われています:2008/07/14(月) 14:23:08 ID:Ga0POk/5
メモリにそのまま展開してたのですぐ抜き取れたのは修正
IDとパスを保存したファイルが抜き取られていたのを修正
パケットの監視をしてIDとパスを抜き取っているのが放置
こんなところ?
小学生が宿題をやり直しを言われたみたいな状態
IDとパスを保存したファイルが抜き取られていたのを修正
パケットの監視をしてIDとパスを抜き取っているのが放置
こんなところ?
小学生が宿題をやり直しを言われたみたいな状態
872 :既にその名前は使われています:2008/07/14(月) 14:30:31 ID:F6kwfyZ3
>>868
サポセンのねーちゃんにまで牙剥くとは度し難いな
サポセンのねーちゃんにまで牙剥くとは度し難いな
873 :既にその名前は使われています:2008/07/14(月) 14:35:10 ID:tr549L/i
874 :既にその名前は使われています:2008/07/14(月) 14:35:26 ID:j8zk7Un9
サポセンはしょせん雇われ人
テンプレ通りの回答しかこないよ
テンプレ通りの回答しかこないよ
875 :既にその名前は使われています:2008/07/14(月) 14:38:49 ID:oJ5ZjA3o
>>870
ウィルスの検出名がほぼ同じだし、データベース共有してるんじゃないかな
ウィルスの検出名がほぼ同じだし、データベース共有してるんじゃないかな
876 :既にその名前は使われています:2008/07/14(月) 14:39:56 ID:NxxNOKeJ
どうもキレる相手間違えてる奴が多いな
>>802
俺も電話確認の上、受付番号=IDをもらって、それを記載した依頼状を書き上げて、保険証の写しと同封して送付したけど
ロールバックのリスクの部分は、HPの書面を印刷して、一筆入れるという形でいいといわれたな
@リダイアルオンラインorGM通報⇒
A垢凍結⇒
B再度リダイアルオンライン⇒
C復旧依頼⇒
D受付番号受領⇒
E書類発送
という流れの、ABCをすっ飛ばして、Eにきてるのが俺の状態かな
サポセンの人も、リダイアルオンラインはきついでしょうと、
すっ飛ばすならこういう風に出来ますよと、案内してくれたな
その分、書類到着まで自由に動けるんだろうけど
これってやり様によっては使われなかった印章とかを一気に消費して
アイテムをフレに預けて復帰後返却、再度印章消費とかできちゃうよねえ
思いついたけど、「そんなことして復旧させてもらえなくなっても知らないぞ」と
フレに脅されたなwww
俺も電話確認の上、受付番号=IDをもらって、それを記載した依頼状を書き上げて、保険証の写しと同封して送付したけど
ロールバックのリスクの部分は、HPの書面を印刷して、一筆入れるという形でいいといわれたな
@リダイアルオンラインorGM通報⇒
A垢凍結⇒
B再度リダイアルオンライン⇒
C復旧依頼⇒
D受付番号受領⇒
E書類発送
という流れの、ABCをすっ飛ばして、Eにきてるのが俺の状態かな
サポセンの人も、リダイアルオンラインはきついでしょうと、
すっ飛ばすならこういう風に出来ますよと、案内してくれたな
その分、書類到着まで自由に動けるんだろうけど
これってやり様によっては使われなかった印章とかを一気に消費して
アイテムをフレに預けて復帰後返却、再度印章消費とかできちゃうよねえ
思いついたけど、「そんなことして復旧させてもらえなくなっても知らないぞ」と
フレに脅されたなwww
878 :既にその名前は使われています:2008/07/14(月) 14:43:25 ID:PKjQ4cEg
なんでこんなに伸びてるんだw
879 :既にその名前は使われています:2008/07/14(月) 14:44:04 ID:9l7E5VhS
>>877
それやったら、フレが業者の一部とみなされてBANされそうだなw
それやったら、フレが業者の一部とみなされてBANされそうだなw
880 :既にその名前は使われています:2008/07/14(月) 14:51:45 ID:fwCR3mTL
881 :既にその名前は使われています:2008/07/14(月) 15:01:36 ID:qCgIu30F
sage進行は危険です。
882 :既にその名前は使われています:2008/07/14(月) 15:04:55 ID:uFxJRDi2
アプリケーション追加と削除が何か新しく入れた後とか1回目開くのに結構時間かかる時があるんだけど
2回目からは一瞬で表示される
これどうなんすか?
2回目からは一瞬で表示される
これどうなんすか?
883 :既にその名前は使われています:2008/07/14(月) 15:08:12 ID:CaelPPs0
パソコン初心者質問総合スレはここですか?
884 :既にその名前は使われています:2008/07/14(月) 15:09:00 ID:tr549L/i
885 :既にその名前は使われています:2008/07/14(月) 15:11:41 ID:giiOkMcF
あとでもっかいサポセンに電話してマジで作業してんのか聞いてみるかな
待ち期間長すぎて何か疑わしくなってきた
待ち期間長すぎて何か疑わしくなってきた
886 :既にその名前は使われています:2008/07/14(月) 15:15:49 ID:giiOkMcF
アカ凍結中で巻き戻し作業中の人のアカってPOLにインすると
「何らかの理由でこのIDには〜〜」って言われる?
巻き戻し作業中でとか書かれればほっとするんだけどな。やはり電話しかない
「何らかの理由でこのIDには〜〜」って言われる?
巻き戻し作業中でとか書かれればほっとするんだけどな。やはり電話しかない
887 :既にその名前は使われています:2008/07/14(月) 15:19:49 ID:Y/z/51gv
888 :既にその名前は使われています:2008/07/14(月) 15:20:51 ID:fe6AZ7ct
>>885
無駄な凸はやめれw余計にサポセン混むだろ。
6月t13日にハックされた者の復帰に3週間以上掛かってるから
ハック時期によっては1ヶ月とか要するんじゃね?
心配ならもう一度書類作って
「ちゃんと届いてるか心配で再送付してみまつた^^;」って送ればいいんじゃねかな?
無駄な凸はやめれw余計にサポセン混むだろ。
6月t13日にハックされた者の復帰に3週間以上掛かってるから
ハック時期によっては1ヶ月とか要するんじゃね?
心配ならもう一度書類作って
「ちゃんと届いてるか心配で再送付してみまつた^^;」って送ればいいんじゃねかな?
889 :既にその名前は使われています:2008/07/14(月) 15:21:40 ID:OnyXJk9v
ここは無駄にサボセンが混み合う理由がよくわかるスレッドですね
890 :既にその名前は使われています:2008/07/14(月) 15:24:10 ID:/c01cY15
未感染の人のレジストリ値って、全員 wuauserv.dll なの?
おれ、wscsvc.dll なんだが、、、
おれ、wscsvc.dll なんだが、、、
891 :既にその名前は使われています:2008/07/14(月) 15:25:28 ID:pREJ+Ffm
892 :既にその名前は使われています:2008/07/14(月) 15:25:40 ID:tr549L/i
>>728
またちょっと修正叩き台
【POL】
wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllはsvchost(wuauser)としてPOLのプロセスに介入すると考えられる。
svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に変更または追加されているようだ。
POLのプロセスを使用して業者鯖にID/PASSを送信する。送信後POL異常終了?(異常終了しないケースもあるため後期Verでは落ちない可能性
//たしかにhttp://www.virustotal.com/jp/analisis/150356331ec6a7e122f4c9770d8a2b41でいきなりファイルサイズ倍なってるもんなw進化したのかもしれんw
そのため、ファイアヲールなどでPOLの接続ルールをアプリケーション単位で許可している場合は検知は難しい。
現時点で確認されている送信先(置き換えではなく●を単純に削る)
・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
・googlesy●dition.com 74.86.1●85.101
またちょっと修正叩き台
【POL】
wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllはsvchost(wuauser)としてPOLのプロセスに介入すると考えられる。
svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に変更または追加されているようだ。
POLのプロセスを使用して業者鯖にID/PASSを送信する。送信後POL異常終了?(異常終了しないケースもあるため後期Verでは落ちない可能性
//たしかにhttp://www.virustotal.com/jp/analisis/150356331ec6a7e122f4c9770d8a2b41でいきなりファイルサイズ倍なってるもんなw進化したのかもしれんw
そのため、ファイアヲールなどでPOLの接続ルールをアプリケーション単位で許可している場合は検知は難しい。
現時点で確認されている送信先(置き換えではなく●を単純に削る)
・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
・googlesy●dition.com 74.86.1●85.101
893 :既にその名前は使われています:2008/07/14(月) 15:29:33 ID:VAFPhRec
894 :既にその名前は使われています:2008/07/14(月) 15:32:51 ID:/c01cY15
895 :既にその名前は使われています:2008/07/14(月) 16:00:49 ID:Z9ABI75N
>>893
FF 裸パッチ
FF 裸パッチ
896 :既にその名前は使われています:2008/07/14(月) 16:05:29 ID:giiOkMcF
公式に1週間以上かかるとか。平均2週間以上じゃねーか死ねボケ
人によっては10日とかで終わってんし、ふざけんなボケ
人によっては10日とかで終わってんし、ふざけんなボケ
897 :既にその名前は使われています:2008/07/14(月) 16:10:02 ID:/a030qt5
同じ質問多いから次スレのテンプレに
A、アカウントハック受けた場合クレカ悪用されるか?
Q、予断はできませんが今の所下4桁のみなので悪用はされません。
自己防衛の為にクレジットカードでウェブマネーを買ってFF11をウェブマネーで課金する
ようにしましょう。
A、アカウントハック受けた場合クレカ悪用されるか?
Q、予断はできませんが今の所下4桁のみなので悪用はされません。
自己防衛の為にクレジットカードでウェブマネーを買ってFF11をウェブマネーで課金する
ようにしましょう。
898 :既にその名前は使われています:2008/07/14(月) 16:12:26 ID:Y0P9W3v7
もう書類が到着したと思われる日から3週間経つが何も変化がない。
ちょっとサポセン電話してくる。
ちょっとサポセン電話してくる。
899 :既にその名前は使われています:2008/07/14(月) 16:34:11 ID:tr549L/i
【POLでの対策叩き台】
ID/PASSは未保存に、自動ログインも解除。
POLの接続できる鯖をファイアヲールのアプリケーションルールで絞っておく。>>56
プロアクティブディフェンス機能のついたセキュリティソフトを導入、常駐させる。
・カスペルスキー、Comodo Diffence+、etc(他にあったら追記してくだちい
アクティブコネクションリストを表示できるセキュリティソフトを導入。(コマンドプロンプトからnetstat -bでもいいけど
・Comodo(追記してくだちい
1.POL起動(まだ接続しない
この時点でsvchostなどがPOLに対して介入してきたとアラートが出た場合、FF11関係の何かに関係したマルウェアに感染している可能性がある。
通常、POL.exeはsvchostなどサービスからの介入をうけることはない。アラートが出たら解決するまでログインはしないこと。
2.アクティブコネクションリストを表示する。(ファイアヲールによって名前違うかも
POLがどこにも接続していないことを確認する。
3.偽アカウントでログイン試行。
ID caonima5963 Pass 4649などでも(うっかり一致を避けるため、できるだけ既存のPOLID命名規則と離れたものにすること。
4.アクティブコネクションリストでPOLが現在接続している鯖を確認する。
>>56 参照
□e鯖以外への接続が確認されたら感染している可能性がある。解決するまでログインしないこと。
5.手順全てをクリアしたら正規アカウントでログイン。よい旅を。
ID/PASSは未保存に、自動ログインも解除。
POLの接続できる鯖をファイアヲールのアプリケーションルールで絞っておく。>>56
プロアクティブディフェンス機能のついたセキュリティソフトを導入、常駐させる。
・カスペルスキー、Comodo Diffence+、etc(他にあったら追記してくだちい
アクティブコネクションリストを表示できるセキュリティソフトを導入。(コマンドプロンプトからnetstat -bでもいいけど
・Comodo(追記してくだちい
1.POL起動(まだ接続しない
この時点でsvchostなどがPOLに対して介入してきたとアラートが出た場合、FF11関係の何かに関係したマルウェアに感染している可能性がある。
通常、POL.exeはsvchostなどサービスからの介入をうけることはない。アラートが出たら解決するまでログインはしないこと。
2.アクティブコネクションリストを表示する。(ファイアヲールによって名前違うかも
POLがどこにも接続していないことを確認する。
3.偽アカウントでログイン試行。
ID caonima5963 Pass 4649などでも(うっかり一致を避けるため、できるだけ既存のPOLID命名規則と離れたものにすること。
4.アクティブコネクションリストでPOLが現在接続している鯖を確認する。
>>56 参照
□e鯖以外への接続が確認されたら感染している可能性がある。解決するまでログインしないこと。
5.手順全てをクリアしたら正規アカウントでログイン。よい旅を。
900 :既にその名前は使われています:2008/07/14(月) 16:37:19 ID:Mhc/GFUw
Java最新版が公開、複数の脆弱性を修正
ttp://internet.watch.impress.co.jp/cda/news/2008/07/14/20246.html
ttp://internet.watch.impress.co.jp/cda/news/2008/07/14/20246.html
901 :既にその名前は使われています:2008/07/14(月) 16:39:06 ID:VAFPhRec
902 :既にその名前は使われています:2008/07/14(月) 16:45:19 ID:wUNDP4k7
>>901
クレカ→WMへの支払方法変更できます。つか先月しました。
クレカ→WMへの支払方法変更できます。つか先月しました。
903 :既にその名前は使われています:2008/07/14(月) 16:45:48 ID:Ga0POk/5
904 :既にその名前は使われています:2008/07/14(月) 16:46:12 ID:z/1tttsf
ウィルス踏んだー
AHかどっかのFFブログサイトだなぁこれ。。バスターじゃ検出されねぇけど
カスペルスキーで検出された。FFやってないPCだったから助かった。
気をつけろよ。
AHかどっかのFFブログサイトだなぁこれ。。バスターじゃ検出されねぇけど
カスペルスキーで検出された。FFやってないPCだったから助かった。
気をつけろよ。
905 :既にその名前は使われています:2008/07/14(月) 16:47:25 ID:DtjRfX8F
>>904
お前が気をつけろ
お前が気をつけろ
906 :既にその名前は使われています:2008/07/14(月) 16:47:45 ID:UanjR5cU
907 :既にその名前は使われています:2008/07/14(月) 16:49:40 ID:eptm+bgl
Webmani-を通販で買えば襲われる心配も無い
908 :既にその名前は使われています:2008/07/14(月) 16:52:47 ID:FGTtE03J
>>906
まあウェブマネーのWEBページでハッキングや番号流出みたいなことがあったら
大問題になるし、補償もそれなりにしてもらえるとは思うよ
明らかに第三者が利用した鯖移動代でも「クレカ会社に交渉してください」としか
言わないどっかの会社よりは
まあウェブマネーのWEBページでハッキングや番号流出みたいなことがあったら
大問題になるし、補償もそれなりにしてもらえるとは思うよ
明らかに第三者が利用した鯖移動代でも「クレカ会社に交渉してください」としか
言わないどっかの会社よりは
909 :既にその名前は使われています:2008/07/14(月) 16:56:29 ID:VAFPhRec
>>908
それは警察とクレカ会社の仕事だよ
それは警察とクレカ会社の仕事だよ
910 :既にその名前は使われています:2008/07/14(月) 16:58:01 ID:3pBcQTcV
レジストリエディタで見たらwzcsvbxm.dllがいやがった…('A`)
例の2箇所の値はwuauserv.dllのまま。
保菌状態かしらん…。
例の2箇所の値はwuauserv.dllのまま。
保菌状態かしらん…。
911 :既にその名前は使われています:2008/07/14(月) 17:01:49 ID:tr549L/i
>>910
どこのキーにいたのw
どこのキーにいたのw
912 :既にその名前は使われています:2008/07/14(月) 17:05:13 ID:Xw/cO/U/
913 :既にその名前は使われています:2008/07/14(月) 17:06:30 ID:wVHsBhSR
914 :既にその名前は使われています:2008/07/14(月) 17:09:10 ID:fwCR3mTL
ノートンから返事来た。自動返信。
wzcsvbxm.dll Our automation was unable to identify any malicious content in this submission.
The file will be stored for further human analysis
(意訳)
自動処理では有害とは認められないので解析チームに回すね!
おせーよ。
>>910
削除できるなら今は動いていないから削除。
活動中は削除できないからね。
wzcsvbxm.dll Our automation was unable to identify any malicious content in this submission.
The file will be stored for further human analysis
(意訳)
自動処理では有害とは認められないので解析チームに回すね!
おせーよ。
>>910
削除できるなら今は動いていないから削除。
活動中は削除できないからね。
915 :既にその名前は使われています:2008/07/14(月) 17:11:41 ID:aAUL/u8s
金だけ受け取ってるから悪印象なんだよなぁ。
ハックによる鯖移動でスクエニがもうけてることになるし…
ハックによる鯖移動でスクエニがもうけてることになるし…
916 :既にその名前は使われています:2008/07/14(月) 17:13:45 ID:tr549L/i
917 :既にその名前は使われています:2008/07/14(月) 17:14:39 ID:/dQPsDnk
もう中国全域からPOLへのアクセス禁止にしちゃえよ
ダメ?
ダメ?
918 :既にその名前は使われています:2008/07/14(月) 17:14:43 ID:Ga0POk/5
早漏が立てる前に張っておく
●● RMT業者の垢ハックが多発している件29 ●● スレ番号29だけど本当は30
http://changi.2ch.net/test/read.cgi/ogame/1215833897/
●● RMT業者の垢ハックが多発している件29 ●● スレ番号29だけど本当は30
http://changi.2ch.net/test/read.cgi/ogame/1215833897/
919 :既にその名前は使われています:2008/07/14(月) 17:21:19 ID:X6T2CjZ8
既に報告あがってるかもだけど>653とは場所がちがったので一応報告しておきます
HKEY_LOCAL_USER\software\Microsoft\search Assistan\ACMru\5603(5604)
にありました
HKEY_LOCAL_USER\software\Microsoft\search Assistan\ACMru\5603(5604)
にありました
920 :既にその名前は使われています:2008/07/14(月) 17:21:21 ID:VAFPhRec
>>915
迷惑メールの時のドコモと同じ
迷惑メールの時のドコモと同じ
921 :既にその名前は使われています:2008/07/14(月) 17:22:35 ID:fwCR3mTL
922 :既にその名前は使われています:2008/07/14(月) 17:23:41 ID:fwCR3mTL
>>919
それはファイル検索した時の履歴だろjk
それはファイル検索した時の履歴だろjk
923 :既にその名前は使われています:2008/07/14(月) 17:26:57 ID:X6T2CjZ8
>922
ではスルーでおねがいします
すみませんでした
ではスルーでおねがいします
すみませんでした
924 :既にその名前は使われています:2008/07/14(月) 17:29:12 ID:iyTfYA5H
>>918
前スレ直ってないよ
前スレ直ってないよ
925 :既にその名前は使われています:2008/07/14(月) 17:29:55 ID:DtjRfX8F
Vistaだからか知らないけど>>653とは全然レジストリの構成ちがうわ
wuauserv.dllもwzcsvbxm.dllもないし
シャットダウン表示遅延やらWindowsUpdate失敗やらは発生してないしFFもインスコしてないPCだからまぁいいけど
wuauserv.dllもwzcsvbxm.dllもないし
シャットダウン表示遅延やらWindowsUpdate失敗やらは発生してないしFFもインスコしてないPCだからまぁいいけど
926 :既にその名前は使われています:2008/07/14(月) 17:33:45 ID:tr549L/i
>>921
たしかにずーっと上の方で言われてるとおり最近カスペルさんスコアあんまよくないけど。
検体だしてからパターン出るまではやいから魅力なんだよなあw
というかNAは6月中旬ころには目つけてたみたいだけど、検体だしてなかったのかよw
たしかにずーっと上の方で言われてるとおり最近カスペルさんスコアあんまよくないけど。
検体だしてからパターン出るまではやいから魅力なんだよなあw
というかNAは6月中旬ころには目つけてたみたいだけど、検体だしてなかったのかよw
927 :既にその名前は使われています:2008/07/14(月) 17:34:19 ID:iBbL4ctp
質問します〜
垢ハックされたので、サポセンに連絡してアカウント停止をお願いしたのですが、
アカウント停止の状態というのは、
パスワードが違いますというふうになるのですか?
それとも、pol自体にはいれなくなるのですか?
もしかしたら、また垢ハックくらったのかも;;
垢ハックされたので、サポセンに連絡してアカウント停止をお願いしたのですが、
アカウント停止の状態というのは、
パスワードが違いますというふうになるのですか?
それとも、pol自体にはいれなくなるのですか?
もしかしたら、また垢ハックくらったのかも;;
928 :既にその名前は使われています:2008/07/14(月) 17:35:33 ID:bcpcqM3b
こんな奴がPC版でやってるのか・・・・
929 :既にその名前は使われています:2008/07/14(月) 17:38:16 ID:CaelPPs0
>>927
アカウント停止までのインターバルがどれくらいか知らんが、垢凍結してるなら
自分でもログインは出来ないはずだから言ってることがそもそもおかしい
パスワード変更なら意味は通るが、それならまたハックされたかパス間違ってるかの二択
アカウント停止までのインターバルがどれくらいか知らんが、垢凍結してるなら
自分でもログインは出来ないはずだから言ってることがそもそもおかしい
パスワード変更なら意味は通るが、それならまたハックされたかパス間違ってるかの二択
930 :既にその名前は使われています:2008/07/14(月) 17:43:05 ID:TDjnp65m
___(⌒ヽ
γ⌒) ))_,,_ /^l キャ・キャ・キャラット! /⌒ ⌒⊂_ ヽ
/ ⊃ ⌒ ⌒ヾノ ∩⌒) キャッキャッキャラット! (⌒ヽ∩/( ⌒) (⌒) |(⌒ヽ
〃/ / シ "( ●) (● )ミ〃/ ノ ヽ ノ| :::⌒(__人__)⌒ ::| ⊂ `、
γ⌒) = ⌒(__人__)⌒=ヽ/ / )) \ \ )┬-| / /> ) ))
./ _ノ 彡 ;ミ( ⌒) (( (⌒ )、 ヽ_ `ー‐' ,/ / /
( < ヾ ン/ / \ \ /
( \ ヽ "" ヽ_ ノ (
γ⌒) ))_,,_ /^l キャ・キャ・キャラット! /⌒ ⌒⊂_ ヽ
/ ⊃ ⌒ ⌒ヾノ ∩⌒) キャッキャッキャラット! (⌒ヽ∩/( ⌒) (⌒) |(⌒ヽ
〃/ / シ "( ●) (● )ミ〃/ ノ ヽ ノ| :::⌒(__人__)⌒ ::| ⊂ `、
γ⌒) = ⌒(__人__)⌒=ヽ/ / )) \ \ )┬-| / /> ) ))
./ _ノ 彡 ;ミ( ⌒) (( (⌒ )、 ヽ_ `ー‐' ,/ / /
( < ヾ ン/ / \ \ /
( \ ヽ "" ヽ_ ノ (
931 :既にその名前は使われています:2008/07/14(月) 17:43:30 ID:TDjnp65m
すまん、誤爆だorz
932 :既にその名前は使われています:2008/07/14(月) 17:43:32 ID:MI9FBil4
>>927
汚染されたPCを起動するな。ネットに繋ぐな。
汚染されたPCを起動するな。ネットに繋ぐな。
933 :既にその名前は使われています:2008/07/14(月) 17:45:00 ID:iBbL4ctp
>>932
つまり、またハックくらったってことですね?
つまり、またハックくらったってことですね?
934 :既にその名前は使われています:2008/07/14(月) 17:46:23 ID:jnqiXMPY
935 :既にその名前は使われています:2008/07/14(月) 17:47:04 ID:TDjnp65m
936 :既にその名前は使われています:2008/07/14(月) 17:48:46 ID:3pBcQTcV
ケンサクリレキカヨー(ノ∀`)
937 :既にその名前は使われています:2008/07/14(月) 17:49:39 ID:tr549L/i
938 :既にその名前は使われています:2008/07/14(月) 17:50:20 ID:CnOzqvwc
939 :既にその名前は使われています:2008/07/14(月) 17:51:54 ID:CaelPPs0
つーかマルチは放置で良いよ
940 :既にその名前は使われています:2008/07/14(月) 17:51:55 ID:zy9Kyvo+
>>938
ログくらい読めよ
ログくらい読めよ
941 :既にその名前は使われています:2008/07/14(月) 17:52:23 ID:FQMBACPX
エスパーの力が必要なのかもな
942 :既にその名前は使われています:2008/07/14(月) 17:53:52 ID:jnqiXMPY
たったこれだけの流れも追えないんじゃどうしようもない
919 名前:既にその名前は使われています[sage] 投稿日:2008/07/14(月) 17:21:19 ID:X6T2CjZ8
既に報告あがってるかもだけど>653とは場所がちがったので一応報告しておきます
HKEY_LOCAL_USER\software\Microsoft\search Assistan\ACMru\5603(5604)
にありました
922 名前:既にその名前は使われています[sage] 投稿日:2008/07/14(月) 17:23:41 ID:fwCR3mTL
>>919
それはファイル検索した時の履歴だろjk
923 名前:既にその名前は使われています[] 投稿日:2008/07/14(月) 17:26:57 ID:X6T2CjZ8
>922
ではスルーでおねがいします
すみませんでした
919 名前:既にその名前は使われています[sage] 投稿日:2008/07/14(月) 17:21:19 ID:X6T2CjZ8
既に報告あがってるかもだけど>653とは場所がちがったので一応報告しておきます
HKEY_LOCAL_USER\software\Microsoft\search Assistan\ACMru\5603(5604)
にありました
922 名前:既にその名前は使われています[sage] 投稿日:2008/07/14(月) 17:23:41 ID:fwCR3mTL
>>919
それはファイル検索した時の履歴だろjk
923 名前:既にその名前は使われています[] 投稿日:2008/07/14(月) 17:26:57 ID:X6T2CjZ8
>922
ではスルーでおねがいします
すみませんでした
943 :既にその名前は使われています:2008/07/14(月) 17:56:05 ID:VAFPhRec
944 :既にその名前は使われています:2008/07/14(月) 17:58:02 ID:iBbL4ctp
945 :既にその名前は使われています:2008/07/14(月) 17:59:26 ID:Y/z/51gv
アカウントの停止をお願いしたのなら
自分で見てどうなるのかわかるんじゃないだろうか・・・?
自分で見てどうなるのかわかるんじゃないだろうか・・・?
946 :既にその名前は使われています:2008/07/14(月) 17:59:49 ID:CaelPPs0
だみだこりゃ
947 :既にその名前は使われています:2008/07/14(月) 17:59:54 ID:giiOkMcF
アカ停止後はPOLとは別枠のようなGMチャットルームに飛ばされる
948 :既にその名前は使われています:2008/07/14(月) 18:00:47 ID:CnOzqvwc
949 :既にその名前は使われています:2008/07/14(月) 18:01:57 ID:eptm+bgl
勃てばできる(*´д`*)
950 :既にその名前は使われています:2008/07/14(月) 18:03:37 ID:iBbL4ctp
>>947
ありがとうございました、そういったことだたのですね。
アカウント停止をお願いしていたのですが、申請書類が届いてから出ないとアカウント停止はできないようなことを
言われたので、たぶん停止状態にはなっていないと思います。
たぶんアカウントハッキングをまた食らっているようですね。
ありがとうございました、そういったことだたのですね。
アカウント停止をお願いしていたのですが、申請書類が届いてから出ないとアカウント停止はできないようなことを
言われたので、たぶん停止状態にはなっていないと思います。
たぶんアカウントハッキングをまた食らっているようですね。
951 :既にその名前は使われています:2008/07/14(月) 18:06:54 ID:BbTIMT1F
なんか、何もわかってない気がするぜ・・・
952 :既にその名前は使われています:2008/07/14(月) 18:07:33 ID:qQg01gdr
だめだこいつ・・・早くなんとかしないと
953 :既にその名前は使われています:2008/07/14(月) 18:07:52 ID:VAFPhRec
>>950
パソコン捨ててどっか文明のない国に行けよw
パソコン捨ててどっか文明のない国に行けよw
954 :既にその名前は使われています:2008/07/14(月) 18:09:57 ID:OnyXJk9v
これはひでえ、本物の池沼だwww
955 :既にその名前は使われています:2008/07/14(月) 18:10:49 ID:iBbL4ctp
なにをいっているの?
なにを聞きたいのかわからないんだけど
なにを聞きたいのかわからないんだけど
956 :既にその名前は使われています:2008/07/14(月) 18:11:29 ID:CaelPPs0
こんなのがスクリプトフル許可のIEで罠URL踏みまくってると考えると
スクエニの中の人が大変なのも頷けるわけですよ
スクエニの中の人が大変なのも頷けるわけですよ
957 :既にその名前は使われています:2008/07/14(月) 18:11:55 ID:iyTfYA5H
958 :既にその名前は使われています:2008/07/14(月) 18:12:23 ID:WQUx1mer
ちょっとわくわくしてる
959 :既にその名前は使われています:2008/07/14(月) 18:13:07 ID:MI9FBil4
>>955
自問自答するなよ
自問自答するなよ
960 :既にその名前は使われています:2008/07/14(月) 18:13:17 ID:iBbL4ctp
???
961 :既にその名前は使われています:2008/07/14(月) 18:15:56 ID:giiOkMcF
真性だなこりゃ
962 :既にその名前は使われています:2008/07/14(月) 18:17:23 ID:BbTIMT1F
なんかサポセンでパス変更してもらったあとに
ウイルス入ったままのマシンでパス変えたとかやってそうな勢いだな
ウイルス入ったままのマシンでパス変えたとかやってそうな勢いだな
963 :既にその名前は使われています:2008/07/14(月) 18:17:52 ID:iBbL4ctp
なにを騒いでいるのかまったくわからない
もう答えをもらったからいいけど、
アカウントを停止してもらう前に、またハックくらったってことだけだよ。
もう答えをもらったからいいけど、
アカウントを停止してもらう前に、またハックくらったってことだけだよ。
964 :既にその名前は使われています:2008/07/14(月) 18:17:54 ID:ycJQ0cE2
自分の書いてることを箇条書きかフローチャートにしてみてチェックしてみろw
965 :既にその名前は使われています:2008/07/14(月) 18:17:58 ID:1iZFZDH4
966 :既にその名前は使われています:2008/07/14(月) 18:18:14 ID:ZJZmJ3CJ
>>申請書類が届いてから出ないとアカウント停止はできない
からって、それまで泳がしてるわけじゃないのよ。
ちゃんと凍結処理はされてる。
凍結=隔離状態、本人はもちろん業者もアクセスできない。
この期間中にオマエはなにをしたいんだ?
からって、それまで泳がしてるわけじゃないのよ。
ちゃんと凍結処理はされてる。
凍結=隔離状態、本人はもちろん業者もアクセスできない。
この期間中にオマエはなにをしたいんだ?
967 :既にその名前は使われています:2008/07/14(月) 18:18:26 ID:qQg01gdr
968 :既にその名前は使われています:2008/07/14(月) 18:18:29 ID:tr549L/i
>>955
サポセンに
>アカウント停止をお願いしていたのですが、申請書類が届いてから出ないとアカウント停止はできないようなことを言われたので
>たぶん停止状態にはなっていないと思います。
が、現在POLにログインできない状況です。
垢停された場合に、POLにログインできなくなるんでしょうか?
ってこと?
サポセンに
>アカウント停止をお願いしていたのですが、申請書類が届いてから出ないとアカウント停止はできないようなことを言われたので
>たぶん停止状態にはなっていないと思います。
が、現在POLにログインできない状況です。
垢停された場合に、POLにログインできなくなるんでしょうか?
ってこと?
969 :既にその名前は使われています:2008/07/14(月) 18:19:43 ID:iBbL4ctp
970 :既にその名前は使われています:2008/07/14(月) 18:19:48 ID:OnyXJk9v
これだけ表現力と理解力が無くても生きて行ける社会
日本って素晴らしいね
こりゃ何してもまたハックされるな、FF卒業おめ
日本って素晴らしいね
こりゃ何してもまたハックされるな、FF卒業おめ
971 :既にその名前は使われています:2008/07/14(月) 18:19:59 ID:WQUx1mer
何で冷静なのこの人
972 :既にその名前は使われています:2008/07/14(月) 18:20:32 ID:/c01cY15
POLに入る・入れないだの、アカウント停止したらどうのこーのって見てたら思い出したんだけど、
パス変更の画面いくのにログイン認証するようにするのって、
パスワード保存したために第三者にログインされて、
会員情報を見れない・変えられないようにするためだけなのかな
日本語でおkな文だけどw
POL入った後の認証に、またPOLパス使うのって、意味あんのかね
パス変更の画面いくのにログイン認証するようにするのって、
パスワード保存したために第三者にログインされて、
会員情報を見れない・変えられないようにするためだけなのかな
日本語でおkな文だけどw
POL入った後の認証に、またPOLパス使うのって、意味あんのかね
973 :既にその名前は使われています:2008/07/14(月) 18:20:32 ID:iyTfYA5H
>>960
ID:iBbL4ctpさん
あなたのセキュリティ認識レベルがあまりにも低すぎるから
ここの連中があきれているだけですよ
即座に書き込む前にスレを読み直してください
専ブラがないと過去スレは見られないものもありますが
なにをどうするべきかはこのスレの中にもいっぱい転がってます
ID:iBbL4ctpさん
あなたのセキュリティ認識レベルがあまりにも低すぎるから
ここの連中があきれているだけですよ
即座に書き込む前にスレを読み直してください
専ブラがないと過去スレは見られないものもありますが
なにをどうするべきかはこのスレの中にもいっぱい転がってます
974 :既にその名前は使われています:2008/07/14(月) 18:23:03 ID:CaelPPs0
むしろセキュリティーレベル以前の破壊力があるなw
975 :既にその名前は使われています:2008/07/14(月) 18:23:08 ID:OZtjrqGb
業者乙 と言われても仕方ないかも知れんね
976 :既にその名前は使われています:2008/07/14(月) 18:25:10 ID:iBbL4ctp
だれもアカウントが停止したのを確認したとはいってないよ。
停止したらどういう状態になるのか聞きたかった。
停止したらどういう状態になるのか聞きたかった。
977 :既にその名前は使われています:2008/07/14(月) 18:26:21 ID:X6T2CjZ8
いまさらなんですけど、自分のときの前兆はFFやってたら突然即落ちした事がありました
Windows Updateできてたのでパスだけ変えて安心しきってたのがくやまれる
Windows Updateできてたのでパスだけ変えて安心しきってたのがくやまれる
978 :既にその名前は使われています:2008/07/14(月) 18:27:01 ID:iyTfYA5H
ID:iBbL4ctpさんに追伸
あなたを煽るつもりはありません
いまの時代、インターネットは幼稚園児からおじいちゃん
おばあちゃんまでできるようになりました
それだけ幅広い世代に、同じようにセキュリティ意識を高めろとは
言いませんが、少なくても同じことの繰り返しにはならないだけの
学習をしてください、ご自身のために
あなたを煽るつもりはありません
いまの時代、インターネットは幼稚園児からおじいちゃん
おばあちゃんまでできるようになりました
それだけ幅広い世代に、同じようにセキュリティ意識を高めろとは
言いませんが、少なくても同じことの繰り返しにはならないだけの
学習をしてください、ご自身のために
979 :既にその名前は使われています:2008/07/14(月) 18:27:11 ID:tr549L/i
>>969
それを先に言ってもらわないとw
やったことないんだけど、パスワードって再発行してもらうんよね?
そのパスワードで入れて、
その後、突然入れなくなったっていうなら再度やられた可能性はあるんじゃないかね。
それを先に言ってもらわないとw
やったことないんだけど、パスワードって再発行してもらうんよね?
そのパスワードで入れて、
その後、突然入れなくなったっていうなら再度やられた可能性はあるんじゃないかね。
980 :既にその名前は使われています:2008/07/14(月) 18:27:33 ID:MP5uq74q
良いからさっさと停止してもらってPC投げ捨てろよwwww
981 :既にその名前は使われています:2008/07/14(月) 18:29:41 ID:ZJZmJ3CJ
なんで垢ハックされた同じPCで、そのままFFを続けているんですか?
なんでパスワードがぬかれる状態になってるPCで
せっかくもらった新しいパスワードをまた入力しちゃうんですか?
なんで底の抜けたバケツにまた上から水を入れて
「また水がなくなったんですけど;;」って言うんですか?
なんでパスワードがぬかれる状態になってるPCで
せっかくもらった新しいパスワードをまた入力しちゃうんですか?
なんで底の抜けたバケツにまた上から水を入れて
「また水がなくなったんですけど;;」って言うんですか?
982 :既にその名前は使われています:2008/07/14(月) 18:31:20 ID:CaelPPs0
要するに、ハックされてるPCに再発行して貰ったパス入れて自爆死亡って事だろ
この様子じゃあキャラデータ復旧してもまたハック喰らうからFF11強制退場は確実
この様子じゃあキャラデータ復旧してもまたハック喰らうからFF11強制退場は確実
983 :既にその名前は使われています:2008/07/14(月) 18:31:36 ID:iBbL4ctp
たぶん、アカウント停止処理をしてもらう前に2回目のハッキングをくらった状態なんだと思いますw
同じアカウントを2回もハックされるとは思ってなくて、対策してなかったからそうなったのはわかってますよ。
今もPOLのログイン画面のところに行くことができますが
今まで使っていたパスが違いますという状態になっていますから
ハックでしょうねってこと。
同じアカウントを2回もハックされるとは思ってなくて、対策してなかったからそうなったのはわかってますよ。
今もPOLのログイン画面のところに行くことができますが
今まで使っていたパスが違いますという状態になっていますから
ハックでしょうねってこと。
984 :既にその名前は使われています:2008/07/14(月) 18:31:48 ID:zy9Kyvo+
もっとアフォをハックしてあげてくださいハッカーさんまだまだ懲りてないようです
985 :既にその名前は使われています:2008/07/14(月) 18:32:14 ID:/c01cY15
わたしの疑問は、ID:iBbL4ctpの前では無力である事に気づき、深い悲しみにつつまれた
986 :既にその名前は使われています:2008/07/14(月) 18:32:50 ID:CaelPPs0
>たぶん、アカウント停止処理をしてもらう前に2回目のハッキングをくらった状態なんだと思いますw
この説明だとハックした業者がハックされたことになるんだがwww
この説明だとハックした業者がハックされたことになるんだがwww
987 :既にその名前は使われています:2008/07/14(月) 18:33:05 ID:tr549L/i
どっちにしろ垢復帰したらしっかり対処してからやらないと、また抜かれちゃうよー。
もう2度目はないことだし、誰か知合いにでも頼んで見てもらうといいかもねw
とりあえず再度やられたといっても復帰前だったわけだし、これを教訓にしないとなw
もう2度目はないことだし、誰か知合いにでも頼んで見てもらうといいかもねw
とりあえず再度やられたといっても復帰前だったわけだし、これを教訓にしないとなw
988 :既にその名前は使われています:2008/07/14(月) 18:33:41 ID:BbTIMT1F
>>983
そこまで間抜けな状況でそんな間抜けな書き込みが出来るあんたには同情しがたい
そこまで間抜けな状況でそんな間抜けな書き込みが出来るあんたには同情しがたい
989 :既にその名前は使われています:2008/07/14(月) 18:33:49 ID:OZtjrqGb
というか なんだかんだでみんな優しいな
iBbL4ctpが実際にそうしたのかは知らんがw
iBbL4ctpが実際にそうしたのかは知らんがw
990 :既にその名前は使われています:2008/07/14(月) 18:34:44 ID:/c01cY15
このスレ埋めるのにちょうど良いんでない?
991 :既にその名前は使われています:2008/07/14(月) 18:34:53 ID:iBbL4ctp
>>981
うーん、空になった金庫にまた再突入してくるバカな銀行強盗だとは思わなくってねw
自分が悪いのはわかってますよんw
垢停止してもらってからセキュリティー関連を調整しようと思ってたんですが
まさか2回もハックしてくるとはなぁ
うーん、空になった金庫にまた再突入してくるバカな銀行強盗だとは思わなくってねw
自分が悪いのはわかってますよんw
垢停止してもらってからセキュリティー関連を調整しようと思ってたんですが
まさか2回もハックしてくるとはなぁ
992 :既にその名前は使われています:2008/07/14(月) 18:34:56 ID:VAFPhRec
>>984
アホのせいでASAHIネットついないでる無関係の人間にまで被害がw
アホのせいでASAHIネットついないでる無関係の人間にまで被害がw
993 :既にその名前は使われています:2008/07/14(月) 18:34:58 ID:CaelPPs0
良いスレの埋め立てになったなw
994 :既にその名前は使われています:2008/07/14(月) 18:35:25 ID:pREJ+Ffm
あなたのパソコンはアカウントハックウィルスに汚染されているので
POLにログインすると自動的にIDとパスワードが中華業者に送信されます。
パスワード変更してもらってもPOLビューアを起動しないでください。
まずハードディスクをフォーマットしてWindowsをクリーンインストールして
ウィルス対策ソフトを入れてWindowsアップデートをして
Flashプレイヤーを最新版に更新してください。
そうしないと何度でも好きなだけアカウントハックされまくりです。
POLにログインすると自動的にIDとパスワードが中華業者に送信されます。
パスワード変更してもらってもPOLビューアを起動しないでください。
まずハードディスクをフォーマットしてWindowsをクリーンインストールして
ウィルス対策ソフトを入れてWindowsアップデートをして
Flashプレイヤーを最新版に更新してください。
そうしないと何度でも好きなだけアカウントハックされまくりです。
995 :既にその名前は使われています:2008/07/14(月) 18:36:03 ID:CaelPPs0
>>991
業者もまさか、空になった金庫の鍵がまた送られてくるとは思ってなかっただろうな
業者もまさか、空になった金庫の鍵がまた送られてくるとは思ってなかっただろうな
996 :既にその名前は使われています:2008/07/14(月) 18:36:35 ID:BjU4T3eZ
まぁあれだ、アカウント凍結に書類が必要っていってる時点で業者か釣りだろw
本気でそう言われたならGMにでも問い合わせろ
本気でそう言われたならGMにでも問い合わせろ
997 :既にその名前は使われています:2008/07/14(月) 18:36:45 ID:/c01cY15
次スレ眺めてたら、ID:iBbL4ctpがいてフイタ
998 :既にその名前は使われています:2008/07/14(月) 18:36:58 ID:OZtjrqGb
>>995
www
www
999 :既にその名前は使われています:2008/07/14(月) 18:38:07 ID:iBbL4ctp
1000 :既にその名前は使われています:2008/07/14(月) 18:38:20 ID:wd1MiYp8
1000
1001 :1001:
=== Area: Live Networkgames@2ch http://changi.2ch.net/ogame/ ===
//
/ .人 あ、ぽこたんインできないお!
/ (__) パカ
/ ∩(____) このスレッドは1000を超えたお。。。
/ .|( ・∀・)_ もう書けないので、新しいスレッドにインするお!
// | ヽ/
" ̄ ̄ ̄"∪
//
/ .人 あ、ぽこたんインできないお!
/ (__) パカ
/ ∩(____) このスレッドは1000を超えたお。。。
/ .|( ・∀・)_ もう書けないので、新しいスレッドにインするお!
// | ヽ/
" ̄ ̄ ̄"∪