☆ウィルス情報&質問 総合スレッド☆part9
Winvncが勝手にインストールされて困っています。
WINNT\Fontsディレクトリに
explorer.exe/rundll32.exe/vnchook.dll/omnithread.dll
WINNT\system32ディレクトリに
dvldr32.exeが作成され、
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run
にもキーが書かれていて、
実行ファイル・レジストリともに何度消しても復活してきます。
この症状になってから、通信量が膨大になっているようです。
>>39さんのようにPSEXESVC.EXEがプロセスに存在したので
TROJ_FLOOD.BI.DRかなと思ったのですが、
STDE9.exeは存在せず
シマンテック・ウイルスバスター両方のオンライン検索で全ドライブスキャンしても
何も検出されません。
Winvncというソフトは、今まで使った覚えは全くないです。
HDDをフォーマットしOS再インストしただけの状態でも現れたので
バックアップにまわしている、ファイルだけが置いてある内蔵HDDから経由したのでしょうか。
フォーマット後、バックアップドライブの方は一切さわってなかったのですが・・・。
ていうかメインドライブ3回フォーマットしても出てきやがる(´Д⊂ヽ
WINNT\Fontsディレクトリに
explorer.exe/rundll32.exe/vnchook.dll/omnithread.dll
WINNT\system32ディレクトリに
dvldr32.exeが作成され、
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run
にもキーが書かれていて、
実行ファイル・レジストリともに何度消しても復活してきます。
この症状になってから、通信量が膨大になっているようです。
>>39さんのようにPSEXESVC.EXEがプロセスに存在したので
TROJ_FLOOD.BI.DRかなと思ったのですが、
STDE9.exeは存在せず
シマンテック・ウイルスバスター両方のオンライン検索で全ドライブスキャンしても
何も検出されません。
Winvncというソフトは、今まで使った覚えは全くないです。
HDDをフォーマットしOS再インストしただけの状態でも現れたので
バックアップにまわしている、ファイルだけが置いてある内蔵HDDから経由したのでしょうか。
フォーマット後、バックアップドライブの方は一切さわってなかったのですが・・・。
ていうかメインドライブ3回フォーマットしても出てきやがる(´Д⊂ヽ
|
|
|
度忘れ。環境はWin2kSP3・IE6・CATV接続です。
231 :名無しさん@お腹いっぱい。:03/03/09 17:41
http://www.nai.com/japan/virusinfo/virW2002.asp?v=WinVNC
マカフィーのWinvnc情報には勝手にコピーする云々って書いてあるけど
個人的にはCATV経由って気がしないでもない
マカフィーのWinvnc情報には勝手にコピーする云々って書いてあるけど
個人的にはCATV経由って気がしないでもない
232 :名無しさん@お腹いっぱい。:03/03/09 17:41
詳しくしらないけど、元は遠隔操作用のソフトじゃないかな。
ttp://www.amy.hi-ho.ne.jp/masuda/pc/vnc/index.html
これを改造してウイルスぽくしたものだと思うけど。
これ以上情報を流さないために、とりあえず不必要なポートを閉じるのが先決かと。
あと、
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\AuthRequired
想像だけどこういうレジストリあったら1にするといいかも。
ttp://www.amy.hi-ho.ne.jp/masuda/pc/vnc/index.html
これを改造してウイルスぽくしたものだと思うけど。
これ以上情報を流さないために、とりあえず不必要なポートを閉じるのが先決かと。
あと、
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\AuthRequired
想像だけどこういうレジストリあったら1にするといいかも。
おぉ、同時カキコだ。やっぱウイルスだったのか。
>>231 >>232
ありがとうございますー。
でも、マカフィーのトライアル版でもスキャンしてみたんですけど
何もでてこないんですよねぇ・・・。
今はレジストリ・実行ファイルとも消したまんま出てきてないんで、
また復活してたら試してみまっす。
>>HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\AuthRequired
>>想像だけどこういうレジストリあったら1にするといいかも。
これもその時に。
ありがとうございますー。
でも、マカフィーのトライアル版でもスキャンしてみたんですけど
何もでてこないんですよねぇ・・・。
今はレジストリ・実行ファイルとも消したまんま出てきてないんで、
また復活してたら試してみまっす。
>>HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\AuthRequired
>>想像だけどこういうレジストリあったら1にするといいかも。
これもその時に。
235 :名無しさん@お腹いっぱい。:03/03/09 21:10
age
236 :http://ura2ch.free-city.net/:03/03/09 23:52
ura2ch ura2ch
237 :名無しさん@お腹いっぱい。:03/03/10 00:07
>>229
俺も全く同じ状況だった。
環境は、win2k・IE6・ADSLです。
dvldr32.exeが一分間に2,300回のアクセスをしてた(鬱
とりあえず、ファイルとレジストリ削除して再起動したら
きちんと消えてたよ。復活したらやだなぁ。
ちょっと前にsdbot.genとIRC.FLOODに感染してたため、
2週間ほど前に駆除してました。関係あるかな?
完全に駆除できるまでは、zoneでブロックしときます・・・。
>>HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\AuthRequired
>>想像だけどこういうレジストリあったら1にするといいかも。
\AuthRequiredはありませんでした。
俺も全く同じ状況だった。
環境は、win2k・IE6・ADSLです。
dvldr32.exeが一分間に2,300回のアクセスをしてた(鬱
とりあえず、ファイルとレジストリ削除して再起動したら
きちんと消えてたよ。復活したらやだなぁ。
ちょっと前にsdbot.genとIRC.FLOODに感染してたため、
2週間ほど前に駆除してました。関係あるかな?
完全に駆除できるまでは、zoneでブロックしときます・・・。
>>HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\AuthRequired
>>想像だけどこういうレジストリあったら1にするといいかも。
\AuthRequiredはありませんでした。
238 :名無しさん@お腹いっぱい。:03/03/10 01:09
S社・T社・N社()製のものは結構ウイルス検出で失敗してます。
詳しくはこちらのサイトご覧下さい・・・(イギリスの独立機関)
ttp://www.virusbtn.com/vb100/archives/tests.xml?200302
ちなみに検出で失敗がないのはVirus Chaserだけだったと思うが・・・
(但しフリーソフトは調査対象外)
詳しくはこちらのサイトご覧下さい・・・(イギリスの独立機関)
ttp://www.virusbtn.com/vb100/archives/tests.xml?200302
ちなみに検出で失敗がないのはVirus Chaserだけだったと思うが・・・
(但しフリーソフトは調査対象外)
239 :名無しさん@お腹いっぱい。:03/03/10 01:11
最近新種のワームに感染しまくり。
いちいち消すのがめんどい。
ワーム糞食らえだよ・・・。
バスター入れてても、あんまり役に立たんよ。
>>229
正直、CATVの環境はやばいと思う。
漏れもそうだが、CATVがかなり狙われてると思う。
おっと、書いてる途中にも感染しやがった・・・。
いちいち消すのがめんどい。
ワーム糞食らえだよ・・・。
バスター入れてても、あんまり役に立たんよ。
>>229
正直、CATVの環境はやばいと思う。
漏れもそうだが、CATVがかなり狙われてると思う。
おっと、書いてる途中にも感染しやがった・・・。
240 :名無しさん@お腹いっぱい。:03/03/10 01:41
age
241 :名無しさん@お腹いっぱい。:03/03/10 08:52
242 :名無しさん@お腹いっぱい。:03/03/10 08:56