1 :
名無しさん@お腹いっぱい。 :
03/05/07 02:27 トロイの木馬で侵入されたらしいのですが、 何をされたか調べることはできますか?
2 :
名無しさん@お腹いっぱい。 :03/05/07 02:41
できます。 例: 壁紙がいつのまにか変わっていた ↓ 壁紙(若しくは壁紙の設定) を改竄された。 このように。
3 :
名無しさん@お腹いっぱい。 :03/05/07 02:57
回答ありがとうございます。 具体的に言うと、ローカルフォルダDに収納してあった画像をコピーされて しまったかどうか調べたいのですが。 如何でしょうか? 当方の OSはXPで付属の簡易ファイアーフォールしかなく、 DフォルダのシステムはNTFSにしてあります。
あぼーん
あぼーん
6 :
名無しさん@お腹いっぱい。 :03/05/07 03:16
>>3 その画像をうpしてくれたら調べられるとは思うのだが・・・。
7 :
名無しさん@お腹いっぱい。 :03/05/07 04:20
だれか回答していただける方はいらっしゃいませんか??
死ね
9 :
名無しさん@お腹いっぱい。 :03/05/07 04:58
これはいけない質問だったのでしょうか?
11 :
名無しさん@お腹いっぱい。 :03/05/07 06:38
切実なんですよ・・・ どうか力になってください・・ 泣きそうなんです・・
久し振りに使わせて貰う
>>1 必 死 だ な ( 藁
13 :
名無しさん@お腹いっぱい。 :03/05/07 09:24
どなたかお願いします!
単発質問スレなので、 ■■■■■■■■■■■■■■■■終了■■■■■■■■■■■■■■■■
15 :
オナニスト ◆A4R0lAe0RQ :03/05/07 17:37
■■■■■■■■■■■■■■■■再開■■■■■■■■■■■■■■■■
16 :
名無しさん@お腹いっぱい。 :03/05/07 23:18
■■■■■■■■■■■■■■スロー再生■■■■■■■■■■■■■■
画像コピーされたくらいどうでもいいじゃん
18 :
名無しさん@お腹いっぱい。 :03/05/07 23:49
すいません。 プライベートの画像なんです。 流失したら・・・。
19 :
名無しさん@お腹いっぱい。 :03/05/08 00:01
セキュリティー対策は何もしてなかったの?
20 :
名無しさん@お腹いっぱい。 :03/05/08 00:02
21 :
名無しさん@お腹いっぱい。 :03/05/08 00:31
>>1 あややのアイコラ・小学生画像・いただきますた^^
23 :
名無しさん@お腹いっぱい。 :03/05/08 00:39
右クリック→プロパティでみると現在の時刻になってしまうんですよね・・
>すいません。 >プライベートの画像なんです。 >流失したら・・・。 もう遅いよ まぁ95%流出するでしょうね
25 :
名無しさん@お腹いっぱい。 :03/05/08 00:45
>>24 それはマジですか?
やっぱりトロイの木馬にやられるとカード番号等だけではなくて
そういうプライベート画像も持っていかれてしまうんですかね・・。
26 :
名無しさん@お腹いっぱい。 :03/05/08 00:49
でも今までカードの不正使用は一回もないんですよ。 ということはトロイに侵入されていたというのは思い過ごしですかね? トロイでなくても普通の不正侵入で画像を持っていくことはできるんですか?
まあ今の時代カードの不正使用はすぐばれちゃうからね。
>>26 おじちゃんにはわがんね。おじちゃんバカだから。ごめんねぇ〜
あぼーん
30 :
名無しさん@お腹いっぱい。 :03/05/08 00:58
トロイや不正侵入されてPC内で何をされたかは 結局わからないんですね・・?
あなたのパソコンを踏み台に使って、クラッカーさんが毎日どこかのサイトを改竄中。 写真は全世界で共有中。
32 :
名無しさん@お腹いっぱい。 :03/05/08 01:35
そんなことが簡単にできるんですかね? 今まで僕の写真が流失したのは見たこともないし、 カード等の不正使用も全くありません。 踏み台に使われてサイトから警告されたこともありません。 多分トロイを知って少しびびって、過剰に思い過ごしをしていたんだと思います。 いろいろしつこく質問をしてご迷惑をおかけしました。
ま、今まで単発質問スレに答えて貰っておいて、偉そうだな。 どうせなら、起動不可になるウイルスでもくらっとけ。
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―
Port全開でファイル共有してたらIRC Trojanってのが見つかりました。 そういえば文字化けしたメッセージが2回ほど表示されてました。 NortonAntiVirus入れてるんですけどファイルが一個破損してしまひました。 OSをインストールしなおさなきゃダメですか?また今後も何かされる可能性って あるんですか?長文クレクレですみません。よろしくお願いします。
36 :
名無しさん@お腹いっぱい。 :03/05/23 13:56
>>35 アンチウイルスで防げると思ってる香具師がまだいたんだなw
まだまだ未熟者なもので・・・。 ではどのようなソフトや対策をすれば良いのでしょうか?
↑あげ荒らし便乗基地外うぜー
>>37 Firewallを3つ入れればスーパーハカーも進入できないよ。
AntiVirusSoftも2つあれば完璧だね!
>>38 初心者は不安でいっばいなんだから教えてあげなきゃ!
40 :
名無しさん@お腹いっぱい。 :03/06/20 22:25
最近トロイが2回も来て困ってるよ。(泣)ノートン先生があるから、 何とかなるけど何か対策ないですか?
HDにお宝を貯めすぎてる奴らの 嘆きの板はここか?
45 :
名無しさん@お腹いっぱい。 :03/06/27 09:29
47 :
名無しさん@お腹いっぱい。 :03/06/27 15:52
■■■■ 再開 ■■■■
■■■■ 即終了 ■■■■
■■■■ 即再開 ■■■■
>>49 どこに報告したんだ(ップ
■■■■ 即再開 ■■■■
このスレ 惜しいよ 本気になってTrojan対策しようとしたら、Coエディションのツールしかない アンチウイルスやSpywareツールでは、ほんの一部しか対応してない 複合してるTrojanの大流行になったらフィーバーするかも
>>50 なんでセキュ板なのにトロイ対策スレって需要無いんだろうな。
>>52 ウィルスとトロイは全く別物。
■■■■ 再開 ■■■■
なんか粘着がいるようだが、 ☆ウィルス情報&質問 総合スレッド☆part11 の 「ウィルス」はワームやトロイも含む。 何の情報もないこの単質をどうするつもりなのか?
55 :
名無しさん@お腹いっぱい。 :03/06/28 15:59
W32/Bugbear.b@MM (バグベアー・ビー) -------------------------------------------------------------------------------- 種別 : インターネットワーム 危険度 : 高 主な発病 : 大量メール送信/キー入力した情報の漏洩/セキュリティ対策ソフトの強制終了 発見日時 : 2003年6月4日 「McAfee.com ウイルススキャンオンライン」で検出・駆除可能。 -------------------------------------------------------------------------------- W32/Bugbear.b@MMウイルスとは? eメールとネットワーク共有を使って感染を広げます。 このウイルスは、「トロイの木馬」と呼ばれる ハッキングツールをパソコンにインストールします。 この「トロイの木馬」には、キーボード入力されたキーを記録 する特徴があるので、パスワードや クレジットカード番号などの情報が盗まれる危険があります。 またセキュリティ対策ソフトを強制終了させることがあります。 感染した場合の症状 ■ 大量メール送信 ■ 共有ネットワークによる繁殖 ■ キー入力した情報の漏洩
最近、韓国からのNetBusによる攻撃が禿しいのですが… 211.245.203.57 Korea Network Information Center (THRUNET-INFRA-DONGBUSO-KR) 210.221.32.80 Korea Network Information Center (YONGSANSO-KR) 211.219.237.177 KOREA TELECOM Internet Operating Center (KORNET-XDSL-DONGRAE-KR) 今日一日だけでこれだけあった。
58 :
名無しさん@お腹いっぱい。 :03/06/28 20:38
名前の「1」は間違い。スマソ。
>>60 単質を再利用するんじゃなくて、
1やテンプレを整備したスレッドを立てたらどうか。
このスレはここまでほとんどマジレスが無かったスレだし。
アンチトロイという括りが必要なのか、
ウィルス情報質問スレッドで討議した上で。
>>64 ノートン先生はトロイに弱いってこと?((((;゚Д゚)))ガクガクブルブル
>>65 定説です。
そういうことはSecurity関連サイトよりも、Black Hat Communityに
行ったほうがずっと分かりやすいけど。
一人で1000人以上犠牲者を持っているような人に、Security対策
について聞くとか。
>>66 UGなお方ですか (笑)
どっちにしても、感染増殖しない奴はウイルスの範疇に入らないから
アンチウイルスではヒットしないのはしょうがない。
>>68 いいえ。完全にwhite hatをかぶっていますよ。
ネットサーフィンの半分はblack hat communityで過ごしますが。
ノートンが頑張ってくれないと困るのは私自身だし。
ノートンはシェアNO,1だから特に頑張って欲しい訳で。トロイに
関して言うなら、ノートンのライセンス規約の甘さも影響して
トロイを使って遊んでいる人も殆どがノートン使いだし。
自分のシステムを守るためじゃなく、自分がカスタマイズしたトロイが
きちんと検出されなくなったか調べるために。
もう一点はトロイ使い達はノートンがいつ更新したかなんて普通の
ユーザーよりよっぽど知っているわけで。
2002年6月28日にNetDevilが1.4から1.5にバージョンアップしたとき
どっかのscript kiddyがKaZaaで大量のサーバーをパスワードも
かけずにばらまいていたので大賑わいでした。
私は何度もシマンテックに警告のメールを出しましが、シマンテック
が対応したのは結局7月3日のLiveUpdateだったと思う。(嫌な思い出)
トロイはウイルスのように必ずしもpayloadがある訳じゃないから非常に
分かりにくい、感染した人の9割以上が気づかないし。
私がSARCに提出して定義ファイルを作って貰ったウイルス・トロイは
20種類以上あります。アンチ・シマンテック信者じゃない。
ここは書き込むべきでないらしいので、私も去ります。
>>69 フリーのアンチトロイでいいのありませんかね?
トロイ対策ソフトが実はトロイだったとかどっかに書いてあったんで
怖くて手が出せない(^_^;
あとVectorにToRoI Busterってあるけどこれって役に立つの?
69ではないですけどToRoI Buster 力不足ですよ。
>>69 Industrial security な方なんですね。
自分のようなtoolkidsでもRATsスキャンかけると、ドキッとしますからね。
一つだけ教えてください。
防御も駆除も後回しとして、ローカルをチェックする方法、toolなんかありますか?
アドレスの羅列でも結構です。
>>71 レスどうも。なんか何してんのかよくわからんし作者消えてるし(w
あんまり役に立たなさそうですよね
TDS-3もTAUSCANも世代交代直前というところですね
とりあえず
>>60 >>74 で評価がいいTrojanHunterを入れてみた。
でも日本語が駄目なのが残念。
次にTauscan。こっちは日本語が表示されるし
わかりやすいんでしばらくこれ使ってみます。
>>75 世代交代直前ってどういうこと?
最近話題になった、キーロガーという悪意のあるプログラムも トロイの木馬の一種なのでしょうか? anti-trojanソフトを導入するときちんと検出してくれますか?
79 :
名無しさん@お腹いっぱい。 :03/07/03 09:25
80 :
名無しさん@お腹いっぱい。 :03/07/04 09:46
ofpというゲームでネットで対戦してたら
where are you from? ときかれたので japanと答えたら
馬鹿にしてきやがった あげくのはて kick しやがった
ghost@roughnecks.orgと
[email protected] つぶしてください まじ むかつくこいつら
>>80 ここはトロイの木馬対策総合スレ(予定)です
83 :
名無しさん@お腹いっぱい。 :03/07/04 12:52
TrojanHunterは、トロイの木馬じゃないんですか
例えば、下記 port80 使うBackDoorの一部だけど、AVでどれだけ検出するのだろか? 711 trojan (Seven Eleven) Seven-eleven.exe BlueFire Bfserver.exe God Message Hex2script.exe Lithium Shell32.exe Iexplorer.exe Optix Lite Optixgwserver.exe Winx.exe Infector_6dec.exe RTB 666 Shellapi.exe Mstasks.exe Web Server CT WSct.exe WSct2.exe WebDownloader Webdl.exe Downloader.exe Optix Pro Dlldat.exe Win32loader.exe Winampw.exe
このスレ頑張ってほしいが俺は知識ないんでなぁ・・無念
87 :
名無しさん@お腹いっぱい。 :03/07/09 16:38
お前って本当にトロイ(ギャハ
あぼーん
あぼーん
この板は、LANや個人のPCへの侵入、トロイ、ウィルス等、 様々なネット上の危険からの防御法や対策を語りあうための板です。 掲示板の荒らし方や侵入の方法、メールボムの送り方等、 攻撃方法の質問はご遠慮下さい。 2ちゃんねるでは荒らし依頼は出来ません。 また、この板ではアタック依頼は受け付けません。 攻撃依頼を見かけた方は、放置してください。 ネット犯罪の被害者になってしまった方は、まず警察にご相談下さい。
91 :
名無しさん@お腹いっぱい。 :03/07/10 00:45
sub7って公式サイト消えた?
93 :
名無しさん@お腹いっぱい。 :03/07/10 00:50
__∧_∧_ |( ^^ )| <寝るぽ(^^) |\⌒⌒⌒\ \ |⌒⌒⌒~| 山崎渉 ~ ̄ ̄ ̄ ̄
?
96 :
名無しさん@お腹いっぱい。 :03/07/28 10:54
!?
97 :
名無しさん@お腹いっぱい。 :03/07/31 00:27
いやぁ一応試したんだけど、私の所では何も引っ掛からなかったんだよねぇ。 まぁ、嬉しいっていえば嬉しいんだけど。 走らせて見て何も問題がなさそうだったんで時々これでチェックしようかなと 思ってはいるんだけど、いまいち不安で(^^; 誰か使ったことがあれば、情報なり感想なり聞きたいなぁと。
∧_∧ ∧_∧ ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。 =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕 = ◎――――――◎ 山崎渉&ぼるじょあ
(⌒V⌒) │ ^ ^ │<これからも僕を応援して下さいね(^^)。 ⊂| |つ (_)(_) 山崎パン
トレンドマイクロのオンライン・スキャンでTROJ.SLIME_Aなんてのが検出されて鬱。
105 :
名無しさん@お腹いっぱい。 :03/08/16 01:57
トロイの木馬
inetnum: 218.148.218.0 - 218.148.222.255
netname: KORNET-XDSL-KURI-KR
descr: KURI NODE
descr: 370-6 SUTAEKDONG KURISI
descr: KYONGGI
descr: 471-030
country: KR
admin-c: GP1931-KR
tech-c: WK7932-KR
remarks: This IP address space has been allocated to KRNIC.
remarks: For more information, using KRNIC Whois Database
remarks: whois -h whois.nic.or.kr
mnt-by: MNT-KRNIC-AP
remarks: This information has been partially mirrored by APNIC from
remarks: KRNIC. To obtain more specific information, please use the
remarks: KRNIC whois server at whois.krnic.net.
changed:
[email protected] 20030811
source: KRNIC
106 :
名無しさん@お腹いっぱい。 :03/08/16 04:59
107 :
名無しさん@お腹いっぱい。 :03/08/16 06:08
108 :
名無しさん@お腹いっぱい。 :03/08/16 07:14
109 :
名無しさん@お腹いっぱい。 :03/09/09 04:37
Swat It(Free) www.softnews.ro/public/cat/1/1-24.shtml 試してみましたが、使い方はすごく簡単。英語でもこの程度なら中学生でも使えそう。 アップデート機能もちゃんと使えました。
110 :
名無しさん@お腹いっぱい。 :03/09/09 05:44
hackerzlabが見れないのは何故? 移動?
111 :
名無しさん@お腹いっぱい。 :03/09/10 01:54
112 :
名無しさん@お腹いっぱい。 :03/09/10 04:42
私もフリーのアンチウイルスソフトのレスを見て、ここに来ました。 Trojancheck 6は常駐しないようですが(ドイツ語オンリーなので確証はありませんが) Trojancheck 5は常駐してレジストリの変更を監視してくれます。 ドイツ語ソフトですが、英語化パッチがあります。 Trojancheck 5とSwat It 2.1を併用すれば充分ではないでしょうか。 今私はTrojancheck 5,6、Swat It 2.1、ANTS 2.1と4つ使っていますが、 こんなにたくさんいりません。TDS3も使っていましたが、 さすがに多すぎると思ったので、アンインストールしました。
114 :
名無しさん@お腹いっぱい。 :03/09/11 13:49
ants 2.1 SwatIt 2.1 Trojans First Aid Kit 5.01 TrojanChecker 6 この辺が私の常用になりそうです。
おまえのプライベートオナニー画像が世界中で回ってたとしても、 お前の目の前や、知り合いに来る確率はそんなに高くない
そうでもないよ。
漏れの妹のオナニー画像が出回ったら世界中が祭りに沸くな。
119 :
名無しさん@お腹いっぱい。 :03/09/18 19:06
BlackICEでsub7が使えるか試していますと出たので ウィルス検索などで探してみたのですが なにも見つかりませんでした。 自分では他人がsub7があるか適当に調べてるのだなと 理解したのですが大丈夫なのでしょうか?
間違ってさげで書いてしまいした 少し心配なのであげさせて頂きます 申し訳ないです
>>120 >自分では他人がsub7があるか適当に調べてるのだなと
>理解した
正解です。
123 :
名無しさん@お腹いっぱい :03/09/22 21:03
Trojancheck 5ってフリーですよね。www.trojancheck.de/download.html には6しかなく、5と英語化のパッチも見当たらないですが、どこにあるの でしょうか?
124 :
名無しさん@お腹いっぱい。 :03/09/22 21:19
>>123 113の上の方のサイトの真ん中辺りにTrojanCheck v5.0.4.1 Final が有る。
125 :
名無しさん@お腹いっぱい :03/09/22 21:27
126 :
名無しさん@お腹いっぱい :03/09/22 21:37
>>123 ほんと、すみません。英語のパッチが見当たらないですが・・・(涙)
127 :
名無しさん@お腹いっぱい。 :03/09/22 21:50
113のサイトの TrojanCheck v5.0.4.1 Final の exe のすぐ下に english.lng が有るだろう。 Readme もよく読め。 Make sure the LNG file is placed into the same directory: trojancheck. (this will change the GUI into English language). LNG ファイルが同じディレクトリの中に置かれることを確認してください: trojancheck 。(これは GUI を英語に変えるでしょう)。
結局のところ、アンチトロイは何がよいの?
129 :
名無しさん@お腹いっぱい。 :03/09/23 03:21
俺も良く判んないんだけどさ。。。
とりあえずフリーで固めたいと思ってるんで
>>114 に書いたので時々チェックしてる。
あと、TC6については「何でフリーのセキュリティソフト使うの?」
http://pc.2ch.net/sec/#3 の378に書いたように「オートスタート + 常駐保護」ができたんで今は常駐させてます。
あと、
>>108 に紹介した「PC Flank」のサイトが参考になると思う。データは古いけどね。
こんなんで参考になれば良いんだけど。。。。
できれば詳しい人にfreewareを含めて評価して欲しいとは思うんだけど。。。
どなたかお願いできませんか?
>>122 最近かなりの数の訪問者が来るので
自分でも対応できるように備えようと思いました
ありがとうございました。
131 :
名無しさん@お腹いっぱい。 :03/09/24 15:48
132 :
名無しさん@お腹いっぱい。 :03/10/01 06:07
Mac用です(英語)。ベータ版みたいです。
たぶんフリーだと思うんだけれど。。。
MacScan
ttp://macscan.securemac.com/ MacScan b8 Release
Detect, Isolate and Remove Spyware,
Keystroke Loggers and Trojans from your Macintosh.
フリーでしょ あ、ぼく初めてですのでm(゜ー゜)hニヤリ
・・・ごめんなさいね ふざけたレスで まだ青二歳の小さいやつなのででも馬鹿には しないで下さいね。 ルールをよんでここに書くのかなぁ? とおもっただけでしたので。
135 :
名無しさん@お腹いっぱい。 :03/10/02 11:32
ウホッ! 羨ましい
137 :
名無しさん@お腹いっぱい。 :03/10/02 20:21
>>132 Mac使いは絶滅してはいなかったのか、、、。
質問。
私の場合、MacScan(68 PPC用)ですが、
ダウンロードしたのですが、SITファイルが白紙アイコンに
なっていて自己解凍できません。
解凍用のエクスパンダ-がおかしいのでしょうか?
どうなっているか判りますか?
>>137 ・sitファイルをダウンロードし直す
・最新版のExpanderを使用する
139 :
名無しさん@137。 :03/10/03 19:10
140 :
名無しさん@お腹いっぱい。 :03/10/06 23:32
Trojancheckを常駐させといたらQHostsをブロックできるんでしょうか?
>>140 いいえ。
QHostsに関しては、普通にWindows Updateとアンチウイルスソフトの
定義ファイルを最新にして常駐させておきましょう。
IEの設定でjava,java script,active xなどの設定も、どうしても必要でない
サイト以外は設定をオフにしておきましょう。
TrojanCheckは基本的にアンチウイルスベンダーの命名法で言えば
BackdoorとかKeyLoggerに分類されるものからシステムを守るために
設計されたものだから。(分かりにくいけど)
142 :
名無しさん@お腹いっぱい。 :03/10/08 00:08
ありがとうございます。 「トロイの木馬」でも色々あってTCではブロックできないということなんですね。 どう違うかは私のレベルでは良く判らないけど、納得しました。 昨日MSのパッチを当てて、Active Xはダイアログ表示するように設定を替えました。 (パッチを当てるときにTCがいきなり警告表示したんであせりましたが。笑) java他についてもダイアログ表示か安全性-高に設定をしなおしました。 この設定でしばらく様子を見る事にします。 ありがとうございます。
Backdoor型のトロイの木馬は、サーバーがターゲットのマシンで
実行されると
@サーバーが実行されるとまずC:\WINDOWS\(%SystemRoot%)ディレクトリ
もしくはC:\WINDOWS\system32\(%SystemDirectory%)に自身を登録する。
AWindows起動時にサーバー自身も起動するために、StartUpなどを書き換える。
http://www.megasecurity.org/Trojaninfo/auto_start_methods.htm Bポートを開く。
私の経験上少なくとも80%以上のBackdoorは@〜Bの経過を辿ります。
ログ送信機能のあるKeyLoggerもソフトの仕様上Aは行わないと駄目ですよね。
TrojanCheckのResident GuardはAに変更があるとユーザーに知らせてくれる
機能です。(正しいプログラムか、悪意のあるプログラムかは自分で判断する
しかないけど。)正しいプログラムでもStartUpを書き換えるソフトはたくさん
あるから。
ウィルスバスター2003のファイアウォールにもの凄い勢いでトロイの木馬が引っかかってる。 で、トレンドマクロのオンラインスキャンで調べてみたけど何もなし。 TrojanCheckとants2.1とToroibusterで調べても検知なし。 ちゃんと防げてると見て良いんでしょうか。 ログみたらウィルスバスターだけじゃ駄目っぽいし、毎晩だから絶対何かあると思うんだけど・・・
>>145 FWを別のにかえてみたら?
VBそのものはともかく、付属のFWはいい話期間から名〜
148 :
名無しさん@お腹いっぱい。 :03/10/12 00:46
>>148 このThe Windows Trojans Paperを書いた人はすごいねぇ。
勉強になったよ。
これからますますオンラインによる商取引や、ネットバンキングなどが
普及することを考えれば、トロイの木馬から自分のPCを守ることは
セキュリティーを考える上でますます重要になってくると思うけど、
日本のセキュリティー関連サイトでトロイの木馬についてきちんと説明して
あるサイトって本当に少ない気がするし。
このようなペーパーをもっと日本語でも読めるといいのにね。
オフラインでも送信先ポート137、138でファイアウォールに引っかかってるんだけど 何かに感染してますか?
スパイウェアはspybotとad-wareとspywareblasterでチェックして駆除、 ウィルススキャンとセキュリティチェックには何も引っかかりませんでした。
ノートンを使っているのですがファイアウォールに トロイの木馬が連続でアクセスしてきます。 一応ファイアウォールで防げているみたいですが一晩に30回以上 もアタックしてくるので困っています。 何か対策はありますでしょうか? ご教授ください。
>>150 せめてファイアーウォールのログに引っかかるプロセスが
何か分からないと誰も答えようがないと思うよ。
たとえば
C:WINNT\system32\wins\DLLHOST.EXE
が送信先ポートTCP137にデータを送信しようとしているとか。
>>152 ノートンに限らずPFWのログを見るポイントは二つ。
@Incomingの通信か?Outgoingの通信か?
A特定のアプリケーションへの通信か?(たとえばtrojan.exeなどのように)
それとも特定のアプリケーションへの通信じゃないのか?(PFWのログには
普通 N/A とか Not Availableのように表示されると思う)
注意すべきなのはOutgoingの通信の時と、Incomingの通信でかつ特定の
アプリケーションへの通信の時です。
私の経験上ノートンがトロイだと騒ぐときはIncomingの通信で、特定のアプリケーション
へ向けたものではない N/Aと表示される特に危険のない通信であることが多いです。
(この場合ノートンがSubSevenと言おうがNetBusと言おうがまったく気にする必要が
ないです。)
インターネットのノイズなので、私ならノートンのポップアップを切って放っておく。
どうしても嫌ならHardware Firewall(Router)を設置するか。
余談だけど
http://isc.incidents.org/port_details.html?port=27374 SubSevenのポートスキャンは最近増えているみたいね。
どうしても不安なら以下のサイトからProcess-Port mapperをダウンロードして
(お使いのOSがNT4/2K/XPなら)自分のPCに変なサービスが動いていないか調べて見ると良いよ。
http://www.diamondcs.com.au/openports/
>>154 レスありがとうございます。
警告のログを見たところたしかにプロセス名 N/A
と表示されています。(すべてのトロイの警告に)
これは特に危険が無い奴なのですか…。
とりあえず警告が出ても放置しておきます。
ありがとうございました。
あぼーん
157 :
名無しさん@お腹いっぱい。 :03/10/24 23:33
Swat It 2.1 使い始めてから2ヶ月位経ったが、 1回もupdateなし。これは私だけ?他の方どうですか? ageついでにカキコ。
158 :
名無しさん@お腹いっぱい。 :03/10/25 02:27
そう言われてみればそうですねぇ。。。 でも最近はデータベースの更新よりも、ひょっとすると起動中の プロセスの方が重要なんじゃないかと思い始めているんですが どうなんでしょうか?変ですかねぇ。。。 分からないようにPCを使うんなら「仕込んだぞー!」ってことを常に外部に 知らせるような気がしたものですから。例えばecho(ping 8)を特定のサイトに 打ち続けるとか。。。。
>>158 常駐監視用はTrojancheck、PFWはoutpostを使っているので、
データベースの更新がなくても支障はないとは思うんですが・・・。
updateがないのならSwat It 2.1を使う意味があまりないような気がしまして・・・。
ひょっとするとFree版だからupdateがないのでしょうか?
もしその辺のことをご存知の方、またはSwat Itの有料版を使っている方、
いらっしゃいましたらよろしくお願いします。
トロイの木馬に感染したみたいなんでつが・・・
>>159 今年の7月末くらいからFree版を使ってますけど1, 2回のupdateはあったと思います。
頻度はそんなに高くないというか、ほとんど無いのかなとは思っていますが。
トロイの木馬に関しては、私の場合もTCを常駐させて監視し、あとは定期検査用に
SwatIt, TFAK, ANTS, HijackThis を使っています(大体月に2回くらい)。
HijackThis は AntiTrojan ではありませんが、レジストリの確認を手軽に
できますので定期検査するときに余計な物が入っていないかを確認しています。
>>162 情報ありがとうございます。
やっぱりSwat Itの有料版を使ってい(てここを見て)る方はいないのかなあ?
保守age
165 :
名無しさん@お腹いっぱい。 :03/11/07 14:05
Outlookを使ってメールのやり取りをしているのですが、 Outlookを閉じるときに必ず送信状況(?)を表示する ポップアップが出てきます。 トロイのような気がして、ウイルスバスターを導入しましたが 未だにこのポップアップがでてきてます。 どうしたらいいのでしょうか? ご親切な方、ご教授お願いします。
167 :
名無しさん@お腹いっぱい。 :03/11/07 14:19
マルチといわないでください。。。 ウイルスバスタースレに書き込んだ後、トロイスレを 発見したものですから。。。
168 :
名無しさん@お腹いっぱい。 :03/11/07 15:55
>>167 とりあえずバスターで1回システムスキャンしてみ。
詳しい話はそれからだ。
169 :
名無しさん@お腹いっぱい。 :03/11/07 23:34
>>168 レスありがとうございます。
スキャンしてみましたが、全く反応はありませんでした。
今でもメール送受信してOUTLOOKを閉じるとき、ポップアップが出て
ウツな気持ちになってしまいます。。。。。
>>169 トロイというのはRemote Access Trojan(Backdoor)を仕掛けられて
いないか心配しているの?
Backdoorに関しては、ポップアップをわざわざ出して、せっかくBackdoorや
ログ送信機能のあるKeyLoggerを仕込んだ相手に、警戒されるのは
懸命ではないと思うけど。
私はMS OUTLOOKを使っていないので良く分からないんだけど、そのポップアップ
というのはOUTLOOKの正しい機能ではないの?確認してみた?
ところでお使いのOSはなんですか?
172 :
名無しさん@お腹いっぱい。 :03/11/08 15:07
検知能力に優れるPestPatrolってどうですか。
WinXPPro P4、2.4G バスター03 無線ルータ 光100Mに有線で接続 FWのログの件でお知恵を拝借 本日の記録で0時から8時24分までに19193件の 記録が有り、内409件のトロイ記録が残っていました トロイ記録の始まりは1時5分から8時24分まで、この間nyを起動し就寝 種類はNetBusが大半で後はSubSariが30件Ruxが20件ぐらいです 送信/受信は送信のみ、プロトルコはTCP、送信元IPアドはnyのポートです 送信元ポートは1057から4972まで行き(この間の送信回数は192回)又1057に戻り繰り返します 送信先アドレスはNetBus時が一緒で広島の回線業者に行きます、Ruxは大阪のケーブル会社 SubSari時は茨城の回線業者に飛びます 送信先ポートはNetBus時が1120 Ruxは22222 SubSariは3131です(おそらく相手のnyポート) 記録に残っていると言う事はバスターで止まっていると考えます、使用時がny起動時ですから 使い方が特殊なので誤作動と考えております。久しぶりにPCのメンテをしたので以前の記録が 残っていません(デフラグ、エラーチェックの前に不必要なファイルを削除したので)ので 以前の状況は解かりません、 P2Pをされている人でこの様な状況の方はいますか?ご意見を聞かしてください PestPatrol、バスター、Winパッチは最新物、PestPatrolとバスタースキャンは問題なしです
174 :
名無しさん@お腹いっぱい。 :03/11/08 19:27
>>170-171 OSはWindowsXPです
そうですね、Outlookについても確認してみます
親切にありがとうございます
>>173 NY厨の犯罪者はダウソ板に引っ込んで、出てくるな。
■■■■ 単発スレ 終了 ■■■■
ここは「トロイの木馬」総合スレッドです。 というわけで、再開age
179 :
名無しさん@お腹いっぱい。 :03/11/12 16:39
180 :
名無しさん@お腹いっぱい。 :03/11/12 17:59
木馬といってもホワイトベースもあるから 単純に悪者にすることはできない
粉ミルクは勝手に登録したから悪者だよ
182 :
名無しさん@お腹いっぱい。 :03/11/14 20:24
>>176 レスが遅くなりまして申し訳ありません。
ご親切に教えていただきまして
誠にありがとうございます。
早速調べさせていただきます。
183 :
名無しさん@お腹いっぱい。 :03/11/17 10:43
初心者なのですが、教えてください。 ウィルスバスターで troy_mardonaex.a というウィルスに感染していると出て、 治せないという表示が出ました。これはどうしたら退治できますか。
>>183 俺的にお前のアンチウィルスソフトはウイルスバスターなので説明書みろと子一時間
土詰めたいぞ
>>184 あ、書いてあった。ごめんなごめんな183・・・。
君が自分でウイルスバスターなんていうとは思わなかったから。
じゃあ、winnyやりましょう (ゲラプツ
>>183 真面目にいくとそれが相当やばい(バクドア)なら緊急ロックしてみて、それで修復。
俺はそのトロイ型のウイルスの詳細は知らないが。ようするに、リアルタイム検索で
検索されて駆除できませんでした、隔離できませんでした。とかでたんやろ?
俺も出たよ・・・。俺もな!しかしな、しょうがないんだ・・・。しょうがないんだよ!!!
心配だったらもう一回ウイルス検索して見れ。それしかないんだ。僕たちの道は。
c:\best.exe は 次のウィルスに感染しています: Downloader.Trojan c:\WINDOWS\SYSTEM\svcinit.exe は 次のウィルスに感染しています: Backdoor.Trojan 無料のところで検索したらこんな結果になりますた。 ワクチンソフトは持っていません、どうすればいいですか?
取りあえず削除します。お騒がせしました。
>>186 そうです。駆除できないと出たんです。もう一度検索しても同じです。
緊急ロックのボタンは分かったのですが、そこからどうやるのかわかりません。
言い忘れましたが、もう一つ Worm.Blaxe.A というのも同じように
修復できませんでした。トレンドマイクロのページで名前だけ出ていますが
英語を読んでも直し方がよくわかりません。
190 :
名無しさん@お腹いっぱい。 :03/11/21 22:27
system32のstringsっていうファイルに BAT.Trojanが感染していて駆除できないので ファイル自体削除しようとしたら 共有違反がありました 送り手と受け手のファイルは使用中の可能性があります って出て削除できないんだけど どうすればいいでしょうか?
>>190 一般的にTrojanはそれ自体が悪意のあるプログラムだから、
駆除ではなく、削除しか出来ないよ。
Trojanがすでに実行中であれば当然削除は出来ない。
取りあえずセーフモードで削除は試みましたか?
セーフモードがよく分からないのであれば
下記のサイトに行って、Dellaterをダウンロード。
http://www.diamondcs.com.au/index.php?page=dellater @ダウンロードしたzipを解凍して中のdellater.exeのショートカットをデスクトップに作る。
Adellater.exeへのショートカットを右クリックしてプロパティを表示
Bリンク先となっているところ
〜〜dellater.exe"の右に半角スペースを空けて消したいファイルのパスを入れる。
たとえば消したいファイルのパスがC:Windows\System32\strings.batだったら
〜〜dellater.exe" C:Windows\System32\strings.bat
のように入れる。
Cそれからdellater.exeへのショートカットをダブルクリックして再起動。
そうすれば実行中で削除できないファイルも消せます。
194 :
名無しさん@お腹いっぱい。 :03/11/22 08:31
80.25.154.13 からしつこくアタックされてます。 こいつは一体何者??
195 :
名無しさん@お腹いっぱい。 :03/11/22 08:45
今度は24.190.165.9からアタックキタ━━━━━━(゚∀゚)━━━━━━!!!! って、俺って標的にされてんの?しょっちゅうノートンが反応してる・・・ 勘弁してくれ(´;ω;`)
196 :
194,195 :03/11/22 08:49
WinMXのポート閉じますた、もうこない・・・はず 前ポート閉じてもきたのはきっと・・・気のせいだ、うん
またキタ━━━━━━(゚∀゚)━━━━━━!!!! 2度もキタ━━━━━━(゚∀゚)━━━━━━!!!! どうなってんだ━━━━━━(゚∀゚)━━━━━━!!!! そのうちの1回は例の80.25.154.13です 何者なのでしょう・・・
はいはい。氏ね
199 :
名無しさん@お腹いっぱい。 :03/11/22 10:52
ソウルからきたよー ちょん公のクセにいっちよ前にアタックなんて な・ま・い・き・だ・!
200 :
名無しさん@お腹いっぱい。 :03/11/23 19:24
MIME-Version: 1.0 X-Originating-IP: [218.217.54.46]
1025portって何? Windowsだと必ずあいているみたい。
>>201 Windows XP?
以下はWindows XP HEをインストールした直後にnetstat -anoをしたものだけど
C:\WINDOWS>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 976
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING 1160
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING 4
UDP 0.0.0.0:135 *:* 884
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 704
UDP 0.0.0.0:1026 *:* 1112
UDP 0.0.0.0:1027 *:* 976
UDP 127.0.0.1:123 *:* 976
UDP 127.0.0.1:1900 *:* 1160
UDP 192.70.106.143:123 *:* 976
UDP 192.70.106.143:137 *:* 4
UDP 192.70.106.143:138 *:* 4
UDP 192.70.106.143:1900 *:* 1160
Windows XP環境でTCP port 1025はタスクスケジューラー・サービスのrpcサービスに
よって使われます。通常このポートを閉じることは出来ない。
どのポートをどのrpcサービスが開いているかは以下のRPC toolsで調べることが出来ます。
ttp://razor.bindview.com/tools/desc/rpctools1.0-readme.html
Windows2000のインストールした直後のnetstat -an Proto Local Address Foreign Address State TCP 0.0.0.0:25 0.0.0.0:0 LISTENING TCP 0.0.0.0:80 0.0.0.0:0 LISTENING TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:443 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING TCP 0.0.0.0:4983 0.0.0.0:0 LISTENING TCP 192.70.106.143:139 0.0.0.0:0 LISTENING UDP 0.0.0.0:135 *:* UDP 0.0.0.0:445 *:* UDP 0.0.0.0:1028 *:* UDP 0.0.0.0:1029 *:* UDP 0.0.0.0:3456 *:* UDP 192.70.106.143:137 *:* UDP 192.70.106.143:138 *:* UDP 192.70.106.143:500 *:* Windows2000ではTCP port 1025は通常Distributed Transaction Coordinator serviceに よって使われています。Windows 2000 serverでは通常このサービスはデフォルトでONに なっています。このサービスを止めるには C:\WINNT>net stop msdtc つまりWin2000では適切にTCP port 1025は止められるけど、WinXPではTCP port 1025は 適切に止めることは出来ないということですね。不適切な書き込みすみません。
204 :
名無しさん@お腹いっぱい。 :03/11/24 01:20
トロイ対策の為に検出力に優れるPestPatroalというソフトを購入しようと 考えているのですが、どなたか使っている人はいますか? 使い勝手や、検出力はどんなもんでしょうか? 値段がとても高いので買おうかどうか迷っています。
>>205 This program cannot be run in DOS mode.
↓
This program cannot be run in dos mode.
enough?
lol
すみません、 トロイに感染してるかどうか心配になってスタートアップに登録されてるexeファイルを調べてたら どうしても分からないのが2つあったんですが、 どなたか詳細分かりませんか? ちなみに LoMApp.exe AGRSMMSG.exe です。
ファイル名:sharedprem.exe ウイルス名:Trojan Horse アップデートしたばかりのノートンで検疫もできなければ削除もできない、誰か助けて
>>205 さんレスありがとうございます。
PestPatroalはお金を出して買うほどトロイの検出力は高くないと
いうことでしょうか。
当方英語があまり得意ではないのでリンクしてくださったサイトも
辞書を引きながら少しづつ読んでみます。
ありがとうございました。
タスクマネージャからプロセス終了することを忘れてた・・・ 俺を笑ってください・・・鬱死
ゴーストのゴーストは何ですか? フォントのフォントはほんとにフォントなのですか? どこかに勝手にやってりゃそれでいいような家電的なパソコンの出現が待たれています。 永遠なる未完成品その名はパソコン。
221 :
名無しさん@お腹いっぱい。 :03/12/10 00:40
インターネットのスタートページがアダルトサイトに・・・ やっぱこれもトロイなんですよね?・・・
>>221 悪意のあるプログラムの内、複製品を作らない単体の悪意のあるプログラムは
たいがいトロイに分類されてしまうから、トロイの一種と言えなくもないけど。
その手の悪意のあるプログラムはBrowser Hijackerとかに分類されるではないでしょうか。
その手の悪意のあるプログラムを削除してくれるのはSpybotとかAd-awareが有名です。
それでも消えないしぶとい悪意のあるプログラムならHijack Thisが力になってくれるでしょう。
>>176
223 :
名無しさん@お腹いっぱい。 :03/12/10 01:52
ありがとうございます・・・ スタートページ以外にはこれといって不具合はないようですが サイトのリンク先「t.rack cc」てのがトロイの一覧にあった ようですので気になって気になって・・・
224 :
名無しさん@お腹いっぱい。 :03/12/10 02:13
夜分遅くに失礼します ふと疑問に感じたので質問なのですが、トロイの木馬って遠隔操作プログラム だったと思うのですが、この場合、ポート&パケット監視ソフトである炎壁が インストールされていれば問題ないんですか? もし宜しければ御教示ください。
すみません。過去ログ読んでなかったです。 なんとなく雰囲気は分かりました。 お騒がせして申し訳ありませんでした。
227 :
wakaba :03/12/11 00:21
今現在もっとも有名なBackdoor(いろんな意味でSubSevenよりもずっと危険)
の一つBeastがアップデートしたね。
ttp://www.nsclean.com/psc-bst.html NAV2004とTrend Micro Internet SecurityはまだLive Updateではまだ対応出来ていない。
会社でノートンを使っているのでノートンの方はSARCにサンプルを送りましたが。
今夜はP2Pをやる人は特に気をつけた方がいいよ。
NetDevilがアップデートした時ダウンロード板で定義ファイルで対応出来ないうちに
使うように指導していた人がいるのを思い出して。
おやすみ。
>>227 ダウンロードしてみたけど、ノートン先生はまだ対応していないみたい。
新しい機能のreverse connectionってLAN内のパソでも使える
ってことでしょうか?
すべての機能が作者の言う通りならリモートアドミンツールとしてVNCなんか
より優秀な気がするけど。
ふむ、面白そうなので自分のパソで遊んでみる。
>>229 乙
早速いただきました。
AVGと同じくメアドを登録しないと使えないですね。
ちなみに私はhotmailで登録しました。返信は瞬時に来ました。
前作と違ってインターフェイスがずいぶん垢抜けたといいますか
XPぽくなってますね。
今スキャン中なのでなんともいえませんが、スキャンに掛かる時間は前作と同じくらいだと思います。
>何も検出されないっていうのはちょっと悲しい
そんなことはありません。喜ばしいことじゃないですか。
確かに張り合いは無いかもしれませんが・・・。
ちなみに私もSwatItでスキャンしようがトロイが検出されたことはありません。
aイってなっちゃうな。
>>231 私も文字化けしたメールが着、アイコンもそれでした(アイコンは名前を変更しました)。
>>232 おそらくAVGのように、パスワードのメールが来たきり、何も来ないでしょう。
心配でしたら、今回用にフリーメール(匿名、匿メアドで取れるもの)を取るといいのでは?
>>233 漏れはAVG登録したとたんスパムがんがんくるようになったけど。
>>234 私は過去AVGに登録したが(今はAVGは使っていない)、AVGからは登録完了メールが
来たきり、何も来ない。
スパムも来ない。
時期がたまたま一緒なだけで、他に原因があるのでは?
236 :
名無しさん@お腹いっぱい。 :03/12/17 04:14
a2 update(2003.12.16) age
237 :
名無しさん@お腹いっぱい。 :03/12/17 15:28
サーバーに繋がりません。 アップデート出来ないのでスキャンも出来ませんね。 残念です。
W2Kでプロキシの設定をしていた事が原因だったみたいです。 フォーラムにそれらしき報告が載っていました。 無事アップデートも出来、スキャンも終了しました。 このソフトを紹介してくれた方、どうも有り難う。 ところで検出率はどうなんでしょうね、 皆さんは、a2以外に今までココで紹介された他のソフトも併用されてますか?
アンチトロイソフトは SwatIt,Trojancheck 5,Trojancheck 6,HijackThis と後a2を使っています。 検出率は、実際にトロイが検出されたり、テストしたりしたことがないのでわかりません。 レジストリの書き換えを監視するソフトを使っていれば、トロイの心配はないでしょう。
>>229 サンクス。自分もa2 Freeを導入してみました。登録するまで
少し戸惑いましたが、無事アップデートしてスキャン出来ました。
感想としてはGUIがとてもきれいです。トロイのSignatures数
18644個はとても魅力的に思いました。
a2Personalはとても多機能そうだけど、有料なのはとても残念。
後一つ気になったのは、自分は2,3テスト用のトロイを持っている
のですが、lzhとかzipで圧縮されたトロイはスキャンしていない気がします。
検出力はまだリリースされたばかりのソフトのようなので、レビューされて
いるページもないし、分かりにくいですね。
242 :
名無しさん@お腹いっぱい。 :03/12/20 21:09
>>242 KasperskyでScanしてみたけど、一応何も感染していないと表示されたよ。
ちょっと見ただけだけどかなりエキゾチックなPackerが使われているから
何が起こっても不思議じゃないね。この手の*.exeツールをMicrosoft以外
からダウンロードしてテスト用マシン以外で実行するのは愚かだろうね。
もっとも、私はそのサイトは始めて訪れたけど、日本人でそのサイトを訪れる
こと自体すごく稀なことでしょうが。
247 :
名無しさん@お腹いっぱい。 :03/12/22 21:23
SwatIt update age (updateしたのはじめて見た)
>>247 thanx
今a2の方も試用しているけど、アップデートの頻度を考えたら、
SwatItは使いにくいかもしれない。
>>248 確かにSwatItはa2にくらべると使いにくい。
・update頻度が少ない(FreeでUpdateするだけで充分ではありますが)。
・スキャン中PCの動作がものすごく重くなる(スキャン中何もしなければいいのですが)。
a2があればSwatItは不要かもしれないが、バッティングするわけでもないので(常駐保護しないから)
併用していくつもりです(結局使う私w)。
う〜ん、結局どれが一番いいんだろ?
併用するのが良いのでは?(常駐保護させるのはひとつにして)
>>251 そうですね。
皆さんはどう組み合わせていますか?
ちなみに私は今a2のみなので、参考までにお聞きしたいです。
アンチトロイソフトは Trojancheck 5(常駐) Trojancheck 6 a2 Swat It 2.1 他にhijack thisも使っています。 Trojancheck 6はupdateしたのを見たことがないので (いつもドイツ語で「最新です」と表示される。使い方を間違っている?) 使う必要はないかも? PFWが1つ、アンチウィルスが2つ(常駐が1つ、非常駐が1つ)、 アンチスパイウェアが4つ(内常駐が1つ)と、 全てフリーソフト。 無料なのはありがたいですが、ソフトの数は多くなります(w 減らそうと思えば減らせるのですが、今のところ快適に動作していますし、 色々なソフトを試すのが半ば趣味になってきています(w
>>253 丁寧な回答thx!
trojancheck、ドイツ語で( ゚д゚)ポカーンだったんですぐにアンインスコしちゃったんだよな。
もう一度挑戦してみよう。
こういうソフトって、ドイツのが多いですね。どうしてだろう。
>>255 私もググって探してみましたが、どうやらないようですね。
どっかに残ってないのかなあ・・・。
>>256 Trojancheck 6 に同じ(と思われる)機能があります。
ttp://www.trojancheck.de/ Trojancheck 6を起動。
↓
右下のTrojancheck Wachterボタンを押す。
↓
常駐アイコン(中世の楯と剣)が出る。
これでトロイから常駐保護されます(そのはずです)。
ちなみにTrojancheck 5の英語化パッチは警告文が2回に1回は文字化けする
(ドイツ語+文字化けという厳しい状態)という、もうひとつのものです。
タダなので文句は言えませんが。
Trojancheck 6 の常駐アイコン(中世の楯と剣)を右クリック。 ↓ 三行出て来る一番上の行の Anzeigen をクリック。 ↓ 左下の mit Windows starten にチェック入れる。 (後の二つもチェック入れた機能が有効になるようです。) これでPC起動と同時に常駐保護されるようになります。
>>257-258 遅れましたが、ありがとうございます!
早速やりますね。
あと、皆様あけましておめでとうございます。
私は
>>257-258 さんではないけどTrojanCheck6.02について少し。
TrojanCheck6.02は作者のThomas氏自身が公式サイトでおっしゃっているように
これ以上の更新はないです。
Trojancheck 6 ist die letzte Version von Trojancheck (ja, die 5er sollte es auch schon sein ;)).
Eine weitere Version wird es definitiv nicht mehr geben.
TrojanCheck 6はTrojanCheckの最後のバージョンです。(はい、私はTrojanCheck5.xの
バージョンを最後のバージョンにするつもりでした。)しかし今度はこれ以上TrojanCheckを更新する
つもりは明確にないです。
TrojanCheckの作者のTomas氏は今現在はEwido Security Suite(Anti Trojan Software)の
開発に携わっています。
ttp://www.ewido.net/de/ Rokop SecurityにEwido Security Suiteのレビューがあるけど、スクリーンショットを
見ればよく分かります。
ttp://www.rokop-security.de/main/article.php?sid=672 Ewido Security Suite(ESS)はまだ開発はベータ段階だけどFree版を手に入れることが出来ます。
ESSはモジュールで機能を拡張していけるのですが、今現在はFile Scannerしか機能して
いないです。スタートアップを監視するモジュールやプロセスを監視するモジュールなどの
機能がまだ使えないです。
ここはいい人が多いなあ…。 また質問で恐縮ですが、trojancheckについて まだ何か知っておいたほうが便利なことってありますか?
a2いれたんだけどプログラムの名前がaイって文字化けするのですが… 直せませんでしょうか?(´・ω・`)
>>264 >>231 ,233
仕様のようです。
私のもそうなっています。
使用には差し支えないみたいです。
デスクトップアイコンは名前を変更できますが、
a2使用時のタスクバーにaイと表示されるのは何か身体の力が抜けますが・・・。
フリー版をタダで使っているので、これくらいは仕方がないのかなという気もします。
今、気がつきましたが、updateしてました。
Downloading Signature database 01/04/2004 ...
130 new signatures :)
266 :
トロイの木馬 :04/01/06 13:47
まさかギリシャ神話のトロイの木馬がここまで有名になるとはな
>>265 ありゃ、ちょい前にあったのにもかかわらずありがとう(´・ω・`)
a2を入れてみた。
>>240 さんも言っているようにa2はLZHやZIPのような圧縮ファイルの
中身はぜんぜんスキャンしてくれないみたい。
ちょっと(´・ω・`)ショボンヌ
Swat Itの方だとSettingタブに"Scan inside archives"の項目があるね ただ.zipはともかく.lhaの方まで面倒見てくれるのか疑問だが・・・
>>269 a2はアーカイバをサポートすることを作者自身が否定的だから、
アーカイバをサポートしていないみたいだね。
>>265 私は今はa2のユーザーではないのですが、
私の記憶が確かならa2は日本語のファイルはきちんと扱えたと思うけど。
文字化けするのはa2のタスクバーの2だけですか?
Andreas氏とは同じForumのメンバーなので今度不具合を報告してみます。
>>271 さん
>>231 ,233,264さんのように
・文字化けしたメールが来る
>You can use the account data to log in to the aツイ Control Center to subscribe to the aツイ Newsletters or purchase a license for aツイ personal :
>
http://cc.a-2.org >Sincerely yours
>Your aツイ Team
>www.emsisoft.com
・タスクバーの「2」が「イ」に文字化け(デスクトップアイコンも同様ですが名前変更可能なのでこっちはだいじょぷ)。
他には有りません。
・ソフトの動作そのものには支障ありません(と思います)。
>Andreas氏とは同じForumのメンバーなので今度不具合を報告してみます。
そうしていただけるとうれしいです。
お手数ですが、よろしくお願いします。
レジスト時のメールに返信しようと思ったのですが、
当方の語学力では無理でした。_| ̄|○
>>271 レスサンクス
>a2はアーカイバをサポートすることを作者自身が否定的だから、
>アーカイバをサポートしていないみたいだね。
作者様が否定的ということは圧縮ファイルはこれからもサポートしてくれない
ということなのですね(ノД`)・゚・。
要望しても駄目なのかなぁ。でもせっかく無料で提供してくださっているので
しばらくノートン先生と併用して使ってみます。
>>272 に追加です(書き忘れてました)。
・右クリックメニューも「a2」が「aイ」になってます。
別に動作そのものに実害はありません。
>>271 さん、遅くなってしまいましたが、
もし間に合うようでしたらよろしくお願いします。
重ね重ねすみません。
TrojanCheck6のakzeptierenって同意って意味かなぁ? つまり監視するか?って聞かれてるのかな
>>273 Anti Virus, Anti Trojanの世界で、圧縮ファイルというと大きく分けて二つの
圧縮ファイルがあるということは知っていますか?
Archive Files と Executable File Compressors(Runtime Packer,Crypter)
ttp://www.securityfocus.com/printable/infocus/1275 Andreas氏の自身のホームページへの投稿"some thoughts about unpacking..."より引用。
リンクを貼りたいんだけど、もう半年以上前の投稿でリンクが残っていないので。
... and I will think about 2 diffrent unpacking issues - unpacking of archives like
ZIP and "unpacking" of runtime compressed or crypted files like UPX, ASPack and Y0da.
I think some of you know my position concerning unpacking of archives. I think its in
fact a useless feature. Malware inside archives are in fact harmless. So I see no
reason to provide any unpacking for them. But if it is wanted I will add unpacking for
ZIP, RAR, ACE and GZIP/TAR/TGZ.(Executable File Compressorsの話しに続く)
...私は2つの違ったunpackingの問題について考えてみよう。- ZIPのようなアーカイブを
unpackingすること、そして、UPX,ASPack,Y0daのようなruntime packerやcrypterを
unpackingすることについて。
何人かの人はZIPのようなアーカイブファイルをunpackingすることに対する私の考え方
を知っていると思います。私はアーカイブファイルをunpackingする機能は無意味な機能だと
思っています。何故ならアーカイブファイルの中にある悪意のあるプログラムは、まったく害の
ないものであるから。それで私はアーカイブファイルをunpacking機能を提供する理由を
見つけることができません。しかし、もしユーザーがどうしても望むのであれば、私は
ZIP, RAR, ACE and GZIP/TAR/TGZ.をunpackingする機能ぐらいはつけてもいいです。(続く)
>>273 Andreas氏はアーカイブファイルをサポートすること自体に否定的な上に、LZHにいたっては
彼の頭の中ではTARよりもpriorityが低いわけで。(個人的には私も彼と全く同じ意見だけど)
a2ユーザーもアーカイブファイルをサポートしてくれることをそんなに望んでいないです。
a2 Personalは常駐してのProcess Memory Scan,Advanced IDS,System Firewallなどの悪意のある
プログラムの動作を遮断する強力な機能があるので、アーカイブファイルをunpackingする
機能が無いのはほとんど問題がないけど。
a2 Freeの方は基本的にFile Scanerしか無いから、アーカイブフィイルをサポートしてくれる
ことには意味がある。アーカイブをサポートしてくれたらa2 Personal買うぞ、ゴラァ。って形で
脅せばサポートしてくれそうだけど。それとも、ドイツ人だから日本のAVでも献上しますか。。。。
>>274 さん
わざわざありがとうございます。
明日休みなので、もう一度a2を導入してみるつもりなので、
自分の環境でも確かめてから不具合報告書きますね。
オンラインのトロイスキャン www.trojanscan.com/trojanscan/trojanscan.htm
283 :
名無しさん@お腹いっぱい。 :04/01/14 23:59
a2 signature update Downloading Signature database 01/16/2004 ... 6 new signatures :) 保守ついでにカキコ
287 :
名無しさん@お腹いっぱい。 :04/01/22 03:56
SwatItでスキャンしたらIrvineのフォルダの中の、 mmgr_d.dllがDLX Downloaderだと出た。 a2では検出されず。 SwatItの誤検出なのかなぁ…。
288 :
名無しさん@お腹いっぱい。 :04/01/22 08:41
さっきから10秒に1,2回位トロイ攻撃されてる 何だこりゃ
289 :
名無しさん@お腹いっぱい。 :04/01/22 13:03
先ほどから一つのファイルにノートンがBloodhound.Packedというウイルスをたびたび検知しています。シマンテックサイトで対応ファイルを落として当てたんですが、まったく効き目なしです。 また、検疫も出来ませんしファイルも削除できません。そのうちに「OK」ボタンを連打しなければならないほど、同時に検知しはじめました。どなたか、対処法を教えいただけませんでしょうか?
脳豚はウイルスじゃないものに騙されることがある!!
↑
>>289 のは何かの本に対処法が載ってた
www.1193.net/virus/update/031007.html - 2k - 補足結果 -
対処法かどうかは知らんが
>>287 俺の場合、アンチウイルスソフトのAntiVirがmmgr_d.dllを検出したよ。
バックドア何とかと書いてたような。
誤検出だろうと思ったが必要なさそうなファイルなので削除しちゃった。
詳しく書くとこれだった。 WARNING: Contains a signature of the (dangerous) backdoor program BDS/Bancodor.B.2 Backdoor server programs !
>>290 ありがとうございます。脳豚の誤検知の確立ありありですね。ただ、「Bloodhound技術を有効にする」のチェックを外してみたんですが、変わりはありません。
なんとか根本的に解決できないでしょうか?
>>291 情報サンクス!
AntiVirでも検出されるんですね。
誤検出かもしれないけど、俺も削除しようっと。
>>293 ,289
>なんとか根本的に解決できないでしょうか?
スレ違いな事をここでいくら聞いてもそれは無理。
ノートンスレなり他所逝け。
>>294 一応Kasperskyのオンラインスキャンもやってみ。
それで何も検出されなければ多分誤検出だと思うけど。
>>293 Bloodhound.PackedっていうのはSymantecの独特の用語で
未知のウイルスやトロイの可能性のあるruntime compressedされた
ファイルをノートンが検出したときに表示するものだから、
293氏がどうやってその対応ファイルをSymantecから落としたのか不思議だけど。
1.)取りあえずセーフモードでスキャンしてみること。
2.)ノートンがBloodhoud Packedとして検出したファイルのfull pathを
メモする(たとえばc:windows\system32\trojan.exe)ことから始めてみれば。
なんども検出されるのは、対象のファイルがwindowsのsystem file protecter
に引っかかっているのだと思うけど。
>>296 ありがと。
オンラインスキャンやってみました。
mmgr_d.dll OK
Known viruses: 80924 Updated: 22.01.2004
File size (Kb): 14 Scan time: 00:00:01
Speed (Kb/sec): 14 Virus bodies: 0
Archives: 0 Packed: 0
Folders: 0 Files: 1
Suspicious: 0 Warnings: 0
やっぱ誤検出かな。
>>299 誤検出だと思うよ。Kasperskyでも引っかからないのなら。
Irvineというソフトは怪しいソフトではないのでしょう?
一番いいのは自分の使っているベンダーにファイルを
提出して分析して貰うことだと思うけど。
手っ取り速いのはmmgr_d.dllを取りあえずmmgr_d.dll.backupとでもrenameして、
不具合が出るまで様子をみればよいのでは。
>>300 海外のフリーのアンチウイルスを使ってるので、
提出するにも何処に送っていいんだか(;´Д`)
Irvineは有名なソフトなので、使ってる人はたくさんいるはずですが
Googleで検索してみてもそれらしい情報はみつかりませんでした。
Irvineのreadmeを読むとmmgr_d.dllはmmgr.dllにリネーム後、
irvine.exeと同じフォルダに置いて使うメモリアロケータということ。
これを使うとスピードやメモリ効率が変わるとか書いてる。
通常は使わないものらしいので、削除しても問題ないみたいです。
常駐保護できるやつでみんなが使ってるのはTrojanCheckぐらいですか? TauscanとかTrojanRemoverはスキャン機能だけ?
>>302 Tauscanは常駐保護する機能があります。
TrojanRemoverはスキャン機能だけだけど、トロイが書き換えやすい
レジストリ・エントリーもスキャンしてくれます。
軽い常駐保護だけのAnti TrojanならBO Clean(名前の由来はBack Orifice Clean)も
有名だけど、なんせ米軍も採用しているくらいだから。
残念ながら体験版が使えない。(いきなり購入しなくては駄目だから。)
>>303 ありがとうごさいます。現在アンチウィルスソフトにeTrustを使っていますが、
トロイの木馬対策としてなにかもう一つ入れてみようかと考えていたところです。
TrojanCheckがドイツ語だということでちょっと抵抗がありまして。
BOCleanですか。よさそうですね。調べてみます。
>>304 eTrustというのpromotion版?
eTrustのエンジンVetもInoculateITもRepricable Malware(ウイルスやワーム)の
検出は非常に優秀なんだけど、
Non-Repricable Malware(バックドア、キーロガー、破壊プログラム)といった悪意の
あるプログラムの検出はKasperskyなんかに比べればあまり優秀ではない。
具体的に言えば、Unpacking Engineも優秀ではないし、Process Memory Scanも
装備されていないの。この分野にかけてはInoculateITのエンジンの方が少し優秀だけど。
Trojan Checkはドイツ語で使い難ければSSM(System Safety Monitor)を
試してみれば?無料で英語だし、常駐機能の重要レジストリを監視する機能は殆ど
同じもんだから。
BO Cleanを使っているのはきっと私くらいのものでしょうね。有料だし、
仕事でセキュリティーに携わっているような人でもなければ存在さえ知らないかも。
BO Cleanの一番いい点はOne Licenseで自分の持っているすべてのPCにインストール
することが出来るのがとてもあり難いです。特に私のように5台も自宅にPCを持っている
ような人には。後は作者のKevin McAleavey氏によるサポートは、大手セキュリティーソフト
しか使ったことが無い人には信じられないくらい素晴らしいです。
>>305 eTrustのプロモ版です。で、ご紹介のSSMを入れてみましたが、ちょっと
私にはすぐには扱いきれない感じなので他のものも試してみることにします。
はじめまして、質問房ですみませんがよろしくお願いします。 TROJ_ISTBAR.Kというトロイに感染したのですが、どうにも 駆除方法、削除方法がわかりません・・・・ すみませんが、よろしくお願いします。
>>308 http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_ISTBAR.K 英語なんで訳してみた。原文も読んでね。
解決法
○悪意を持ったプログラムを特定する
トレンドマイクロ製品やオンラインでスキャンし、TROJ_ISTBAR.Kとして検出された
全てのファイルをメモしておく。
○悪意を持ったプログラムを終了する
1.タスクマネージャー起動(NT系ならプロセスタブを表示)
2.起動中のプログラムの一覧から、検出された悪意を持ったファイルを確認する。
3.検出されたファイルのうちの一つを選択し、タスクの終了またはプロセスの終了をクリック
(←Windowsのバージョンによる)
4.検出された全てのファイルに対して上と同じことをする。
5.悪意を持ったプロセスが終了したことをチェックするためにタスクマネージャーを終了、
そしてもう一度起動する。
6.タスクマネージャーを終了する。
○レジストリから自動起動エントリーを削除する 1.レジストリエディタ起動 2.左のパネルで次をダブルクリックする。 HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run 3.右のパネルで次のエントリーを確認し、削除する ISTService = "C:\Program Files\ISTsvc\istsvc.exe" 4.左のパネルで次を確認し、削除する HKEY_LOCAL_MACHINE\Software\ISTsvc 5.レジストリエディタを終了する。 MEとXPの補足説明→MEとXPはシステムの復元を無効にするように。 ○トレンドマイクロ・アンチウイルスを起動する スキャンし、TROJ_ISTBAR.Kとして検出される全てのファイルを削除する。 (他のインターネットユーザーはオンラインスキャンを利用するように)
>>309-310 本当に有難うございました!
おかげでさまでうちのPCが
立ち直ります。多謝です♪
>>313 遅くないですよ〜
教えてくれてありがとう!
>>314 >>255 をカキコした時点で見つけていればよかったのですが・・・。
話は変わりますが、a2がじゃんじゃんupdateしてますね。
今までこの手のソフトは入れたことなかったけど 常駐モノで入れるとしたら、どれが素人にはいいですか? スキャンをしてトロイが出てきても駆除するのに難しそうなので 常駐して防いでくれたほうがいいと思うので。 ご教授ください。
317 :
名無しさん@お腹いっぱい。 :04/01/28 17:40
Patchfinder2試してみたので感想を↓
使 え な い で す 、 今のところ。
これだけじゃアレなんで詳しく書くと、
Patchfinder2はRootkitハッケソツール。
RootkitっつーのはOSからファイルやレジストリを隠したりする次世代トロイの総称。
もろに感染すると普通のアンチウィルスじゃ検出不可。
(ちなみにPatchfinder2では原理的にsub7やらbo2kなんていう前世紀の遺物は発見できません。
そのかわり未知のRootkitも発見可能・・・だと思われ。)
前置きはこの辺にして、まずOptix PRO v1.32を自爆インストール。
見事にPatchfinder2で感染を確認。
Antidoteでは検出不可。
Norton先生は体験版のインスコすら不可。(OptixがNorton先生を殺してしまう)
でここまでは良かったんだか、Patchfinder2は未完成部分多杉。
まずCUIなのでめんどくさい。
誤検出が多い。(スタートアップや常駐アプリが多いと駄目ぽ)
誤検出は設定変えればかなり防げそうだけど、
ソース書き換えてコンパイルしなきゃならんのでマンドクサ
以上体験レポートですた。(何度も再起動したりしてすげー時間かかってしまった)
参考にどぞ。
[Patchfinder2]
[1]
ttp://rootkit.com/vault/joanna/rootkits_detection_with_patchfinder2.pdf [2]
ttp://www.rootkit.com/vault/joanna/patchfinder_w2k_2.11.zip [1]は動作原理などのドキュメント
[2]は本体
すみません、どなたかお助け下さい。 祭りスレで下記のアドレスを踏みました。 >エフティティピィコロン//www.albinoblacksheep.com/flash/you.html トロイのようですが、自分のバスター2004でトロイは検出できませんでした。 バスターの検索エンジン6.810、パターンファイル1.747.00 自分のOSはWin98SEです。 トレンドマイクロからの回答がまだ無いので不安です。
エフティティピィ?
>319 あ、すいません。 動画をFFFTPで落としていたので、素で間違えました。 頭がウニだったみたいです。
ブラクラじゃねーの?症状ぐらい書け
>321 申し訳ありませんでした。 上記のアドレスを踏んだ所、 ピースマークみたいな画像が3つほど並んだウィンドウが 「わっはっは〜」みたいな感じで笑いながら画面上を逃げていきます。 ウィンドウを閉じようとしても素早く逃げ回るので閉じられず スタートメニューのWindowsの終了で閉じました。 その後、再起動してパターンファイルを最新にしてvirusスキャンしましたが virusは発見されませんでした。 同じアドレスを踏んだバスターユーザーの話だと、同様にvirus検出されず… ノートンは弾いてくれたケースとダメだったケースに分かれました。 その後、どんな症状が出ているのか報告はありません。 自分のPCにもまだこれといった変化は見られません。
>>322 このスレ読んでアンチトロイソフト入れて
対策したら?
フリーソフトでいけるよ。
>>316 >>313 が常駐。開発が終了しているのでa2なりSwatItなり
update可能なソフトも入れた方がいいと思う。
>>324 さん
ありがとう。
a2に挑戦してみます。
>>317 >RootkitっつーのはOSからファイルやレジストリを隠したりする次世代トロイの総称。
>もろに感染すると普通のアンチウィルスじゃ検出不可。
>(ちなみにPatchfinder2では原理的にsub7やらbo2kなんていう前世紀の遺物は発見できません。
317さんこんにちわ。Rootkitはいつから次世代トロイの総称になったの?
いやまぁ、複製品を作らない悪意のあるプログラムという意味ではトロイなのかもしれないけど。
RootkitにはRootkitというジャンルがあるような。。。(いや、私がおかしいのか?)
いや、トロイにはもう興味があまり無いんだけど、WindowsのRootkitはまだまだ勉強中です。
Patchfinder2はトロイなどの悪意のあるプログラムを隠す、rootkitを発見してくれる
プログラムだよね。
317さんはどのRootkitをcompileしたの?私はH・DefenderとFU Rootkitしか使ったことが無いんだけど。
Patchfinder2は数少ないこれらの最新のRootkitも発見してくれる貴重なツールだと思うけど。
>Antidoteでは検出不可。
遠慮せずに今現在この地球上にあるどのAnti Virusソフトを使っても検出出来ないと言えばどうでしょう。
少なくとも私の実験ではOptix Proがそうなりました。これは知り合いのPCにトロイを仕掛けると時などに
特に有効なのかな。
>>325 ちなみに私はTrojanCheck 5(
>>313 で落とせるもの)も
a2もSwatItも併用しています。
a2とTrojanCheck 5を併用されると良いと思います。
起動時にmIRC32ってのが動く。 外人の顔写真入り。
>>327 俺が仕込むときはいつもWinの穴だな。
基本的に受動的アタック&泣き寝入り作戦で。
ダウソ板の連中みたいな香具師が主なターゲット。
もちろん2chはlogとってるから利用しないけど、
違法系サイトからTrapページに誘導→感染させる。
一時間に百匹くらい釣れるから固定IPだけ選んで串に利用する。
っツー訳なので違法系サイトとWindows使う香具師は木をつけろw
#最近ならTrapページじゃなくてリモートから直に逝けるな
#この書き込みはふぃっくっしょんです。
#
>>330 は完全にアウトだと想う
>322 です。 書き込みの後にシマンテックでオンラインスキャンしたら >警告! スキャンがコンピュータのメモリ上でアクティブなウィルスを検出しました。 >さらに感染するのを防ぐためにスキャンを終了しました。 >すぐにコンピュータをシャットダウンし、ウイルス対策の救済ディスクまたは同様のツールを使って再起動してください。 >メモリ上でウィルスは見つかりませんでした。 >コンピュータは何らかの既知のウイルスまたはトロイの木馬に感染しています。 >シマンテック・セキュリティ・レスポンス サイト上で以下にあげられたウイルスの名前を削除情報として検索します。 > スキャンを終了する前に中止しました。このコンピュータ上にはさらに感染ファイルがあるかもしれません。 >スキャンを実行していません。 ウイルス検出を開始するには、 ここをクリックします。. どうやら感染している模様、検出されたウィルスは「Trojan Horse」と「VBS.LoveLetter.CI」 シマンテックで調べましたが、同一のウィルス名がなくて削除方法が不明。 今日は仕事なのでこのまま放置して会社に行くしかないですね。 バスターだけに頼り切っていた自分の不勉強を反省。 >324 はい、頑張ってみます。
a2かっこいいね eTrustと併用します
a2の使い方がわかる日本語のHPあれば教えてー ぐぐってもでてこない〜〜
>>334 free版だったら解説いらないだろ。
スキャンしたいフォルダにチェック入れてスキャンするだけじゃん。
336 :
名無しさん@お腹いっぱい。 :04/01/30 04:05
339 :
名無しさん@お腹いっぱい。 :04/01/30 21:37
TrojanCheck5は開発終了してるから入れても意味無いよ。 新しいトロイは発見できない。昔の古いトロイだけ。
>>340 >TrojanCheck5は開発終了してる
このスレで既出。
>入れても意味無い
レジストリの改変を常駐監視させる意味がある。
新しいトロイはa2等で対応。
一度このスレを全部読み直す事をお勧めします。
343 :
名無しさん@お腹いっぱい。 :04/02/01 05:47
ノートン先生がいると、このスレ2ちゃんブラウザで見れない。
レジストリ番犬ロンじゃだめか、、、、、
>>342 これイイね。
Exploit-Testまでしてくれる
>332です。 このスレを見てa2を導入したら、無事トロイの木馬を発見出来ました。 あとは>191さんの方法で削除しました。 これでようやく安心してネットショッピングが出来るかな。 今まではバスターに頼りきりで、スパイウェアに関しては全く無知でした。 反省。 今後はa2他のソフトの導入も検討してみます。 皆様ありがとうございました。
ネットショッピングするなら再インストールしたほうが、、、。
>350 マジですか!? カード番号を入力するのが怖いので新規登録はしてませんが、 登録済みサイトにログインするだけでもヤバイのでしょうか?
>>342 Port 5000
These programs or services use this port by default:
Windows ME, XP and 2003 Network Plug & Play
These Trojans or Malware files use this port by default:
Bubbel; Back Door Setup; Blazer 5; Socket 23; Sockets de Troie
5000番が空いているらしいんだが、感染してるのかな?
>>351 やばいよ
全部筒抜け
ウィルス削除、登録削除したほうがいいよ
スマソもう一つ。今a2を入れたんだけど、user、codeをちゃんと入れたんだが ちっとも繋がらない(というより固まってる?)。同じような症状の人いますか?
>>342 Secure ActiveX Test: This test is not possible with deactivated scripting.
Insecure ActiveX Test: This test is not possible with deactivated scripting.
ここだけ赤だったけど
>>352 Windows ME, XP and 2003 Network Plug & Playに感染しています。
ドザを止めればいいと思うよ。
>>351 既にid/passが漏れている危険性があるし、
RootkitやSnifferが残っている可能性も否定できない。
OS再インストールしてから全てのパスワードを変更した方がいい
>353 >357 トロイの木馬感染していた間は ログインが必要なサイトは見ないようにしていました。 それでも既にパスが漏れてる可能性がある訳ですか…鬱 ネットショッピング等は一度登録を取り消すか、 パスワードを変更するだけではマズイですか? バックアップするメディアが無いのでOSの再インストールはキツイです。_| ̄|○ 凹み
皆様はじめまして 何か話の腰を折るようで本当に申し訳ないのですが、 どなたかご教授ください。 318に出ているブラクラを踏んでNAVがtrojan horseを検出し、削除できないと出てから 自分で色々と試行錯誤しているうちにこのスレにたどり着きました、 誤検知かとも思っていたのですが、別のものにも感染しているかもしれないかと思い、色々と調べているうちに 益々臭い挙動をするようになったので自分で対応しきれない恥を承知で書き込みいたします 目に見える症状としては勝手にCDRトレイが開いたり、 ネットをしていない時でも必ず定期的に砂時計の表示が出たりADSLモデムのADSLランプが点滅します。 今日は仕事が一日中休みだったのでずっと張り付いて少しでもおかしな挙動をするたびnetstatで見たり色々と地味な地味な作業の結果 定期的に2つのIPとの接触があるようでした。
216.239.53.99 アメリカのようでした あともうひとつは2回だけだったのですが IPアドレス直打で 具体的なアドレスは控えたいと思いますが、日本のかなり大きめな古本を扱っているHPを表示しました。 こちらは何かあったときのためにbookmarkに登録しておいたのですが、一度PCの電源を切ってその後ブラウザをもう一度立ち上げたところ、 消えてしまっていました。 各種のオンラインチェックはもちろん こちらで皆様がご紹介くださっているツールでもトロイの検出は出来ませんでした。 OSはXP NAV2003を使用しております。 長文になってしまいましたがお心当たりのある方がいらっしゃいましたらよろしくお願いいたします。
>>359 ,360
うだうだ長文かいてる暇あるのなら
OS再インストールしろや。
>>358 お前も。
>バックアップするメディアが無い
買うなり借りるなりしろや。
IPわかるんだから防げるでしょ
>>361 レス本当にありがとうございます。
スパイウェアはAd-aware とspybotの2つで駆除できるものはすべて駆除いたしました。
この2つは以前から入れてましたので新年にもう一度検索駆除した後SpywareBlasterを入れて予防をしていたつもりでした。
リロード遅れましたスミマセン
>>363 レスありがとうございます
そうですね。
何か一人で焦って調べている内に一度入られたら、これがトロイなら完全に削除しなければ今後も入られ続けるような気になっていました。
ただやはり気持ちがいいものではないので無駄かもしれませんが、もうちょっともがいてみて削除できなければ、出来れば避けたかったのですが
>>362 さんがおっしゃられるように明日にでもOS再インストールしてみます。
>>361 さん362さん363さん皆様本当にありがとうございました。
>>364 Antidoteでもう一回検索し見れば
eTrustとかでも
>364 自分も同じアドレスを踏みました。 a2でやっとトロイ検出して >191の方法でトロイを削除したところです。 自分はWindowsのsystemフォルダにファイル一つやられてましたが、 他のソフトでも調べた方がヨsageですね。 >362 セキュリティ面以外では既存のファイルはバックアップしても 感染の心配は無いと思って宜しいのでしょうか。 ニ次感染の心配が無いなら友人から借りてみます。>メディア
>>367 318のサイト見たけど(You are an idiot!)とかいう単なるブラクラじゃないの。
java scriptを切っていたらなんも出来ん。そうでなくてもオンライン・ショッピングなどを
するんだったら、タブ型ブラウザなどを使って、自分が100%信頼できるサイト以外は
java scriptやactive xなどの設定は切っておけばいいじゃない。
アンチウイルスベンダーはnon-repricable malware(複製品を作らない悪意のあるプログラム)
を大きく分けてTrojan Horseに分類しているけど。Trojan Horseの中でも特に危険な
部類なのが、Sub7などに代表されるBackdoor型のトロイの木馬。やJanet KeyLoggerなどの
Trojan KeySpyに分類されるキーロガー型のトロイの木馬。
そんでもってSymantecは困ったことに複製品を作らない悪意のあるプログラムであまり
有名でないものは全部Trojan Horseとかいう一般的な名前で言うので非常に分かりにくい。
だけど逆に言えばSymantecがTrojan Horseと言う様な名前で検出する場合は、しょぼい
悪意のあるプログラムである場合が多いです。対象のファイルを消してしまえばそれでおしまい。
バスターを常駐させていたのなら私はあまり心配しなくてもいいと思うけど。a2はなんて
名前のトロイを検出したの?取りあえずまだBackdoorが仕掛けられているのか心配なら
>>176 でStart up listのログを貼り付けて一度見てもらえば。
>>367 >既存のファイルはバックアップしても
>感染の心配は無いと思って宜しいのでしょうか
ケースバイケース。ウイルスに感染している場合もありえる。
まずはPCを感染していない状態にしてから、
バックアップをアンチウイルス・アンチトロイ・アンチスパイウェア
ソフトでスキャンするしかないでしょう。
トロイくらったら何も信頼できない。 OSも既存ファイルもアンチウィルスも! あんまり裏には詳しくないけど、 +アンチウィルスソフトに引っ掛からない +ポートを開けない(他のポートを乗っとる) +Netstat、Regeditの改竄 くらいは余裕でできるから ま、再インストールするかしないかは個人の自由ですが、 踏台にされたりして社会に迷惑かけないでくださいね。
>>366 さん
レスありがとうございます
Antidoteはまだ試してませんでしたので試してみましたが検知しませんでした・・・
もしかしたらPCが壊れかけてるのかもしれないとも思いました。
>>367 さん
私も試してみましたが検知すらしなかったんです。
ありがとうございます。
>>368 さん
とても参考になりました
すごいですねぇ
今日は一日色々と疲れてしまいました
明日仕事の後にでもOSの再インストールをします。
本当に突然の質問にお答え下さいましてありがとうございました。
このスレを何度も読み返しましたがやっぱり皆さんすごいですね。
私もトロイの脅威を身をもって感じることが出来ましたので今後は皆様を少しでも見習い勉強したいと思います。
重ね重ねですが本当にありがとうございました。
>>371 OSの再インストール?hmmm.
BackdoorやKeySpyを心配しているなら、OSの再インストールは何の
解決にもならないと思うけど。カード番号などのすべてのパスワードを変えないと。
私は単なるFUDじゃないかと。Backdoor○○という名前で検出されたのなら
ともかく。単なるTrojan Horseで。
私はトロイを使う人がたくさん集まるForumにも時々遊びに行くけど、Symantecの
On Line Scanで検出出来るようなトロイを仕込むのは3流のTrojaner。
優秀な人が仕込んだトロイなら今頃371さんは静かにスパイされていると思うけど。
SymantecのOn Line Scanで引っかかるようなトロイならなんも心配いらんと思うが。
まぁ、370さんが言うようにあなた自身の問題だから。
PS. 今現在最高のrootkitと呼び声の高いH.diffenderなどはWin98では動作しないよ。
Win98はトロイを使う人からも見捨てられたOSかも。
結局UG好きが多いだけじゃん、このスレ
で、a2の使い方教えて、お願い!!!使えるかどうかわからないので 落としてそのままデスクトップに置いています。
>>374 インストールしてうPdateしてスキャンすればよいのではないでしょうか
見たらわかりますか?
英語が判らないからためせない、、、、、、、 助けて、、、、、
>>378 中学でも分かるぞw
とりあえずインスコしれ
金払ってパッケージソフト買えばいいじゃん。
>>374 >>229 参照。
これくらい義務教育レベルの英語でわかるはず。
それでもわからないというのなら
>>379 紹介の
翻訳サイトで翻訳位はいくらなんでもできるでしょ。
>380、>382 サンキュー今、入れてる所でここのスレで直林してあったやつをインスコしてるんですけど 途中でユーザー、コード、ライセンスナンバーを求められて、ありゃ困ったと思い 登録ページに行くとhotmailは駄目と書いてありました。 hotmailしか持ってないのでヤフーでもいけますか?ヤフーをいまからとってきます。
ヤフーにメールがきました。 しかし、ユーザーとコードは載ってましたけどライセンスが載っていません。 そのためにNEXTのボタンが押せず次に進めません。 どうかご教授をお願いします。
>>383 当方hotmailでレジストした。
嘘はいかんな。
それとも、釣りか?
>ユーザーとコードは載ってましたけどライセンスが載っていません。
ユーザー名:メールアドレスを入力
コード:メール記載のコードをコピペ
こんな簡単なソフトも使えないようでは、
トロイの木馬を気にする前にPCの使い方を
「よそで」勉強してきた方がいい。
>>384 私もその方がいいと思う。
Please don't enter a Hotmail address, because Hotmail often doesn't deliver the email
with the account information!
これのこと?Hotmailはしばしばアカウント情報がきちんと配信されないことがあるので、
アカウントを登録するのになるべく使わないほうがいいってことが書いてある。
(Hotmailのスパムメール除去機能に引っかかる可能性があるのか?)
でも
>>386 さんの例もあるし。Hotmailで登録しても特に問題ないのでは。
ちなみにHotmailで登録したら、(返信)メールがHotmailのスパムメールに分類されたくらいで、 別に支障はありませんでした。 Hotmailで登録不可能という事ではないですね。 大体、使い方と言っても・・・ Free版の場合、 ・Update a2 online でupdateし、 ・Scan your computer for Malware infection でscanする。 たったこれだけの事なんですが・・・。 本当にこんな事がわからないとは、とても思えませんが・・・。
多分本当に分からないんだと思うよ
ゆとり教育ってやつか
392 :
名無しさん@お腹いっぱい。 :04/02/06 19:45
>>391 全然関係ないと思うぞ
ゆとり教育って最近のことだし。
>>387 MS Officeがプロ級に上手くてもエクスプローラーも使えない香具師がいるから
こんな事気にするな。(発言の仕方に問題はあるが..)
数千円持って電気屋に行って、好きな対ウィルスソフト買えば全て解決。
既に対ウィルスソフト持ってればa2なんて必要無い
導入から既に数年全然関係ないともいえない
現在の中高校生ならもろに影響受けてるんじゃない?
学力とは関係なくただわかってないだけ、ということもあるが・・・
それはともかくMSOfficeは全然関係ないと思う
熟達した技量など一切不要
必要なのは少しばかりの英語を読む能力
つーか
>>374 からの流れ嫁
素朴な疑問なんだが、 なんでウィルスソフト1本でトロイの木馬までカバーできないんだ? わざとやらないのか?アホみたいに対策ソフトいくつも入れたくない。
>>394 メジャーなのは普通のウィルスソフトでも対応してるから、
普通の人はウィルスソフトだけでいい。
アホみたいに対策ソフト入れるのは単なる趣味だと思われ
>>392 >既に対ウィルスソフト持ってればa2なんて必要無い
それは違う。
>>393 概ね同意。
仮に英語が全くわからなくても、
>>379 が紹介したような翻訳サイトを使えば
a2程度なら誰でも使える。
そもそも(ここで)誰かに聞けば一からなんでも全て教えてもらえると
思い込んでいるのが間違い。ここはa2のサポセンではない(あんな質問は
有料ソフトのサポセンでも馬鹿にされるでしょうけど)。
>>394 アンチウイルスやPFW、アンチトロイ、アンチスパイ、アンチスパム等
オールインワンでやろうとするとノートンのようにやたら重くなって
個々の性能は単機能ソフトに劣るという風になりがち。
やはり餅は餅屋でそれぞれの専業の物の方が高性能だと思う。
アンチウイルスならノートン(異論もあるでしょうが)、PFWなら〜(ソフト名を出すと荒れそうなのでやめます)、
アンチトロイならa2という風になるように思います。
アンチウィルスソフトのスキャンと同時に走らせても大丈夫なんだろうか。
>>394 トロイ対策はアンチトロイソフトに任せた方がベスト。
ツールに頼りすぎると痛い目に遭うよ。 初心に戻って、あやしいバイナリを落とさない実行しない、 が一番大事だと思う
a2だけど右クリックで表示される時とそうでない時があるんだけど…
>>399 あやしいファイルを落とさず実行しなければそれで良いわけではない。
注意していても危険はやってくるもの。
防げないものをツールで補うのが正しい使い方。
>394 アンチウィルスソフト入れてたけど、トロイに感染しましたが何か?
>>403 いやそういう意味じゃなくて、なぜウィルス対策ソフトがトロイ検知にもっと力を
注がないのかと。どっかで見たけどKasperskyはウィルス、トロイ両方とも検知力
が優れてるらしいが、日本だと情報が全然無いね。
>>397 大丈夫だとは思いますが、両方のスキャンが終わるのに
ものすごく時間がかかるのでは?
>>263 一番したのサイトにあるtds3というのの体験版
入れてみたんだけどradius.td3というファイルが
ロードできないとかいわれて動作しませんですた。
これってなんでしょか。
書き忘れたけどOSはwin2kです・・・ っていうか、このページみるとADSとかいう 部分に隠されたトロイをみっけれるのは コレだけ!みたいに書いてあるようにも 思えたんですけど勘違いですか。 他のアンチトロイソフトがいっぱい このスレでは紹介されてるから 違うやつでも良さそう。。
a2でscanしたところ、internatexeがTrojanSpy.Win32だと言われました。 これって誤検出?OSはWin98SEです。
>>396 a2ユーザーなら、a2作者のA.H氏はアンチウイルスソフトは
出来ればNOD32を使ってくれれば嬉しいんじゃないかしら。w
>>410 大変詳細なアドバイスありがとうございます!
それにしても
> ADSを使うことは一般的ではないです。他にもっと有効なトリックがたくさんあると思います。
って怖いですね・・・あの、どんなトロイにかかろうが
これやれば100%それを削除できる方法っていうのは
あるんでしょうか?たとえば
bios reload
fdisk /mbr
fdisk
format
OS インストール
とかすれば、どこに隠れてるトロイだろうが
完全にOKでしょうか?それともこれでもまだ
残る可能性ってあるんですか。
ケーブルその他
むむむむ。最新のファイルを落としましたが 同様のエラーが・・・ このスレの過去ログを見るとwin2kだと 動作しない、みたいな報告もあったりして でもHPだとちゃんとwin2kも対象になってますが。。 不思議だす。 stream.exe -s d:\* というかんじでやってみたら思いのほか沢山 ADS使用してるファイルが出てきて。。 エロサイトから落とした画像とかindex.htmlとか。 なんか不安( ̄□ ̄;)
↑の過去レスってのは具体的には
>>60 さんとかです。
どなたか教えていただけませんか? 同じような結果が出た方とか、いらっしゃいませんでしょうか?
>>416 antidoteとかnortonの体験版でスキャンしてみれば?
それで引っかかったならアウトってことで。
ゆうべa2というのも入れて今スキャンしてみてますが そういうアラートは出ませんでした。win2k。 ちなみに internat.exe size=21264byte CRC16=3CAE CRC32=E44954ED MD5=2ac9c6b4ce70fd836be5677eea2945db
OS再インスコしてうpだてしたばかりなんですが・・・。 win2kでは私もでませんでした。 antidote、Bit、e-Trustでscanしましたがアラートはなし。 やばそうなソフトはいれてないんですけど・・・。
420 :
名無しさん@お腹いっぱい。 :04/02/08 16:59
ノートン君では消せないのが(怒)
しかもお気に入りに勝手にアダルトサイトが登録されてました・・・
>>422 ((((((;゚Д゚))))))ガクガクブルブル
あの、ふと思ったんですけどADSがあっても そのファイルをいったんFATなドライブに コピーしてやればADSデータは無くなる・・・ はずですよね?てことはバックアップドライブを FATにしてそこにいったんコピーしてそれで 元のNTFSドライブに戻して、何も無いなら 単なるサムネイル表示等の正しいADS、 もしADSが復活してたら・・・(・∀・;)ドキドキ というふうに判断してもよろしいのでしょか?
>>425 その判断方法は間違ってると思うが。
それにTDS-3で引っかかってないなら気にするな。
もし不安なら(過去に怪しバイナリ実行したとか)再インストール
>>427 ダメですか。てかコピーじゃなくて移動すね。
でもなんでダメなんだろう。FATではデータ保持
できないはずだからOKかとオモタんですけど。。
TDS3は相変わらず起動ができなくて(汗
紹介してもらったページをこれから辞書片手に
読もうかなというとこでして(^^;
ちなみにP2Pとかはやってないす。
exeはさすがに実行してないけど
rmとかはしょっちゅう・・・(^^;;;
…話について行けない。気にしなくてもいいですよね?
>409 >416 禿しく遅レスで申し訳ないが自分もa2でスキャンして >Filename >C:\WINDOWS\SYSTEM\INTERNAT.EXE >Diagnosis >TrojanSpy.Win32.Srdl.14 で検出されたよ。よって削除済み。OSは同じくWin98SEです。 削除して数日経つけどなんの問題も無し。 つーか INTERNAT ってなんやねん!  ̄ ̄ ノートンとバスターでは検出出来なかったので a2、Ad-aware6.0、Spybot1.2で徹底的に洗った。 不安は少々残るけどlogにも怪しい動きは無いので このまま使いつづけて様子をみます。
>>431 >不安は少々残るけどlogにも怪しい動きは無いので
ほとんど気休めだな。
どこから感染したかも、本当に駆除できたかも分からないんだから
当然logなんて信用できないじゃん
>>433 自分とこの↓。いま確認したけど同じだね
win2k sp4
internat.exe
MD5=2ac9c6b4ce70fd836be5677eea2945db
Logfile of HijackThis v1.97.7
Scan saved at 12:07:15, on 2004/02/09
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
F0 - syst>m.ini: Shell=
F0 - R>ystem.ini: Shel>=
F0 - R>ystem.ini: UserInit=
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinHandAutoClean] "C:\Program Files\WinHand\AUTOCLN.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Startup: results.txt
O4 - Startup: st.txt
O4 - Global Startup: ntuser.pol
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
2000は17ないのか XPがドメインだけど
>O4 - HKCU\..\Run: [Internat.exe] internat.exe あれー右側は小文字すか!?むー。 > Logfile of HijackThis v1.97.7 > Platform: Windows 2000 SP4 (WinNT 5.00.2195) > MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) はおんなじなのに。あと O1 - Hosts: 64.91.255.87 www.dcsresearch.com てのがあるんですよねウチのだと。なんだろこれ。
>>431 レスありがとうございます。
やはり同じアラートですね。
「TrojanSpy.Win32.Srdl.14」をぐぐってみたのですが、PestPatrolのページしか
出ないんですよね。
ファイルサイズとかハッシュとかはもうわかりませんよね?
418、435さんのとは、もうファイルサイズが違います。2kと98の違いでしょうか?
433さんのレスを見たのですが、違うお話をしているのかとは思いますが、
「internat.exe」の「i」が大文字だとヤバイのですか?
漏れのはまさしく「Internat.exe」なのですが。
早速のレスありがとうございます。 そういうことでしたか。 ところで431さんの他にはWin98SEユーザーはいませんか? 431さんによると、ノートン、バスター、で無反応(Ad-aware6.0、Spybot1.2でも無反応という事かも)。 漏れはantidote、BitDefender Free、e-Trust promo版、Spybot1.2で無反応でした。 a2だけアラート出します。 他のWin98SEユーザーさんはどうなんでしょうか? あと、どなたかPestPatrol持ってる方いますか?(98SEで) PestPatrolでの結果はどうなのか、聞きたいです。
print "ListFilePath:";chomp($path = <STDIN>);$path =~ s/\\/\//g; $path =~ s/"//g;$listPath=$path;$path =~ s/(.+)\/.+/$1/; open(LOG,"$path/hijackthis.log") || print " NOT FOUND \n$path/hijackthis.log"; while (<LOG>) { next if ($i++ && chomp && !$_); $orgLog = $_; s/[\(\)\/\.\*\\\-\{\}\[\]\+\?]//g; $str = $_; open(LIST,$listPath); $j = 0; while (<LIST>) { next if ($j++ && chomp && !$_); $orgList = $_ ; s/[\(\)\/\.\*\\\-\{\}\[\]\+\?]//g; if (/$str/i) { print "\n (;´Д`) \n"; open(OUT,">>$path/result.txt"); print OUT " Log $i行目> $orgLog \n => List $j行目> $orgList \n\n"; close(OUT); } } close(LIST); } close(LOG);print "\n END \n\n";<STDIN>;
あくまで自分用だけどhijackThisのログをチェックする
スクリプトかきますた。もしよかったら使ってください。
Perl環境が必要だす。使い方は
1
>>444 をコピーしてchk.plとか適当に名前付ける(以下chk.plとする)。
2
http://higaitaisaku.web.infoseek.co.jp/iranai.html みたいなぁゃιぃログのリスト(以下iranai.htmlとする)を用意。
3 chk.plとhijackThis.logとiranai.htmlを同じフォルダに入れる。
4 chk.plを実行。
5 ListFilePath: と表示されるのでリストファイル iranai.html の絶対パスを入力
6 END と表示されたら終了。result.txt に結果を出力。
もし合致したのがあれば↓こんなふうに出ます(;´Д`)
Log 47行目> O4 - HKCU\..\Run: [Internat.exe] Internat.exe
=> List 57行目> O4 - HKCU\..\Run: [Internat.exe] Internat.exe</P>
あ、合致の判断は大文字小文字区別してないので たとえば internat.exe の件でいえば正常なひと、つまり 小文字で書かれてる人もマッチしちゃいます。そのへんは まリストの方を参照して吟味してくらはい。
>>445 ありがとうございます。
「internat.exe」の「i」は小文字でしたか?
よければ、ファイルサイズ、ハッシュなど教えていただきたいです。
>>448 Windowsは大文字と小文字を区別して解釈しないから、Internat.exeもinternat.exeも同じ意味だよ。
ttp://www.sysinfo.org/startuplist.php?filter=internat&count=&type= %windir%\systemにある
普通はC:Windows\System\ もしくは C:WinNT\System32\にある
"?"のアイコンのInternat.exe(Language selection icon in system tray)なら合法的なアプリケーションだよ。
よく悪意のある人物がが悪意のあるプログラムにつける名前でWindowsのSystem Fontは
大文字のアイ「I」 と 小文字のエル「l」は 区別が付きにくいから、
合法的なInternat.exe(大文字のアイ)をまねてlntenat.exe(小文字のエル)のような
名前は悪意のある人物は作るかもしれないけど。
Internat.exeのあるpathや他のアンチウイルスソフトでは検出しないのをみると
恐らくa2の誤検出なのでは?
andreas.haakアットemsisoft.com(アットを@に変えて)、
Internat.exeのコピーをa2の作者にメールで送れば、disassemblyして調べてくれるよ。
題名は「a2's false positive?」とでもして
本文はWould you analyze this program?
とでも簡単に書けばいいのでは。
>>449 ご教授ありがとうございます。
昨日、フォーマットして再インスコしてからkerioとa2を入れてscanしたのですが、
同じアラートが出ました。
誤検出だとは思っているのですが、気になりまして。
ただ、ハッシュまでは見てなかったのですが、作成日時が「不明」というのが引っかかります。
それとよく覚えてないのですが、ファイルサイズが、フォーマット時のファイルアロケーションサイズ?
だかなんだかと全く同じだったのも、なんか気になりました。
とりあえず作者さんに送ってみます。
1はバカだがな
しかし、tcp 901portが突き上がってんな。
System32内に、アンチドーテでのみ検出されるトロイの木馬らしきプログラム があるんですが、(winregsrv.exeとupdater.exe、検出名はTrojan.Win32.Wingor) レジストリにはなにも変更がないですし、ファイアーウォールのほうで通信許可を 聞いても来ないので一応隔離しておけばそれで安全と言えますか?
何で削除しないの?
勇敢っつーか、無謀もしくは馬鹿としか言いようが無いね
a2 24154
>>456-457 a2、BitDifender、eTrust、各種オンラインスキャンには無反応だったことと、
Google「winregsrv.exe」で検索したところ、すべてがスタートアップ絡みでレジストリに
値が追加されているケースの記述だったので私の場合にはそれが当てはまらなかった
ことなどからすぐにデリートしようとは思わなかったのですが、他の方たちの場合、対処はどうされますか?
Trojan.Win32.Wingorというトロイの木馬の名称については情報がほとんど得られず、
Kasperskyのデータベースにあるということぐらいしか判りませんでした。
わかる方いらしたらよろしくお願いします。
おれならもう迷わずOS再インストール。 よくわからないからこそ安全策。 疑わしきは最悪の場面を想定。 それ以外の方法っていうのはあくまでセキュリティに詳しい ハカーのみなさんだけがとりうる対応だと思ってる。
>>459 削除しないでおくメリットは?
隔離してPCを使うのに支障が無ければ削除。
私ならその後
>>460 の言う様にOS再インストールする。
black hat なサイトってたとえばどんなとこですか。 ていうかそういうとこって素人が見に行ってもだいじょぶですか。 なんかトラップあったりしませんか。勉強しに行きたいのですが。 辞書持参で。
>>460-461 その潔さに感心しました。トロイがどれほど怖いものなのか
私にはまだ意識できないみたいです。いま少し勉強してみます。
>>464 削除してしまってもし不都合が出たらどうしようか、ということでしょうか?
私なら、それでも皆さんがいうように削除してしまうと思いますが、不安であれば
「隔離」の状態でしばらく様子を見られたらどうでしょうか。もちろん、その間 Personal Firewall などの
通信記録に気を付けなければならないとは思いますが。
時間が経っても問題がなければ、削除しても良いのではないでしょうか。
爆弾のようなものを抱えてひやひやするか、思い切って捨てるかの差だと思います。
>>464 Kaspersky(antidote)がTrojan Horse(感染活動を行わない悪意のあるプログラム)として
分類している種類。
ttp://www.viruslist.com/eng/viruslist.html?id=13 Trojan.Win32.WingorはKAVの5万種以上のEncyclopediaにも載っていない、しょぼいMalwareだと思われ。
名前から判断すれば対象のファイルを削除してしまえばよい。
削除するのが怖ければ、フロッピーにでも取っておくか、パスワード付きの
Zipの中にでも放り込んでおけばいい。
人それぞれだけど、検出されたのがKAVの命名法でいえばBackdoor,
Trojan.Dropper, Trojan Downloader, PSW.などのようなものでなければ、いきなり
OS再インストールまでする必要はない気がするが。
Trojan=Backdoorだと思う人がとても多いのかも。
トロイが対策ソフトで全部みつかる、というならそれもわかるけど そーじゃないとすると・・・何かひとつでも入ってたということは つまり他にも入れることができたということだから
468 :
名無しさん@お腹いっぱい。 :04/02/13 14:33
Symantecのセキュリティーチェックはできるけどウィルスのオンラインチェックやるとこんなのが出てできません Unable to run Virus Detection In order to run Virus Detection you must be using Microsoft Internet Explorer 5.0 or higher with ActiveX and Scripting enabled. To learn more, see our Help. IEは6だしセキュリティーも低にしてやっても駄目です 他の人はできますか?(´・ω・`)
>>467 私は別にあなたの意見を否定している訳ではないよ。ただ、2chを始めとして
他のセキュリティー関係の掲示板などでも、たとえば、IEのホームページが
アダルトサイトに書き換えられました。とか、デスクトップに怪しいアダルトサイト
に繋がるアイコンが出来ています。なんていう書き込みは本当にたくさん見ることが
出来ます。これは既に悪意のあるコードが実行されているわけだら、他にどんな
悪意のあるコードが実行されていても不思議ではない。でもいきなりOS再インストールを
薦める人は本当に少ない。
せめてHijackThis/StartUpListなどのdiagnostic toolなどで
running processやスタートアップのエントリを調べたり、OpenPortsなどで開いている
ポートを調べてからOS再インストールを考えても遅くは無いと思うので。
KasperskyのアナリストがTrojan.Win32.などと名付けるのは、Browser Hijackerなどと
同等のようなしょぼい悪意のあるプログラムである訳だから。
勿論
>>464 氏がOS再インストールは何の問題も無い人であるならお奨めです。世の中には
私の父親などのようにOS再インストール絶対しろと言うと泣いてしまいそうな人もいるですよ。
(IEのホームページを書き換えるなどは本当に親切な悪意のあるプログラムだよね。
どんな間抜けな人でも自分のPCの中で良からぬことが起こっていることを知らせて
くれる訳だから、これが静かにスパイするBackdoorなんかだったりしたらもっと
恐ろしいことです。)
んな長文書いてる暇あればOS再インストくらいできそうだが(w
>>470 どこから侵入されたかが明白で、かつアンチウィルス系のソフトで
駆除できるならOS再インストールしないけど、
もしどこから侵入されたか分からないなら即再インストールする。
俺ならね
Partimage[
http://www.partimage.org/] で10分ほどで復元できるし、復元したあとはWindows updateやれば完璧。
データはDドライブに保存しとけば再インストールは全然苦じゃないよ。
ゲイツOSは一年ぐらい使ってると重くなったりするから
定期的に再インストールしてる。
>>473 Not Found
The requested URL /] was not found on this server.
と表示されるんだが・・・。
なんかさっき Trojancheck 6 から突然、警告が出ました。 | Es wurden Anderungen an den Autostarteintragen von windows festgestellt. | Prufen Sie diese bitte anhand dieser Liste. | | space.exe.lnk c:\program files\space\space.exe space.exe っていうのはあのスペースエディタで スタートアップにもともと入れてありました。 これはどういう意味ですか。 スタートアップに追加するけどいいか?という意味ですか。 削除するけどいいか?という意味ですか。いずれにしても そういう作業は全然してないんですけど。(^^; とりあえず右側(NOでしょうか?)を押しときましたが。
478 :
名無しさん@お腹いっぱい。 :04/02/14 22:53
結局トロイ検知及び防御ソフトはどこが優秀ですか? 使いこなしている上級者の方お願いします。
過去ログ読んで好きなの選んでね。
ノートン
>>477 >スタートアップに追加するけどいいか?という意味ですか。
その通り。space.exe.lnkということはスタートアップフォルダに登録しようと
しているのでしょうか?正しいアプリなら勿論許可すればいいのでは。
すれ違いだけど、ワタスもspace editor愛用してまふ。スタートアップにまで
登録してる477さんには負けたけど。
>>481 いや、もうすでに登録してあるしだから当然
そのときにはもちろんそういう登録作業は
してなかったんです。ていうか席外してて
帰ってきてその警告に気づいたんで。。
てわけでもう寝ます
鬱・・・(;´Д`)
484 :
名無しさん@お腹いっぱい。 :04/02/15 00:14
Trojancheck 6て独逸語で日本語パッチがないのですね 憂鬱
既出ですが、 Trojancheck 6は英語化パッチもない。 Trojancheck 5は英語化パッチはあるが、 どちらも日本語化パッチはない。
既出だけどTDS-3使ってる香具師いますか?
>>486 現行ログみれば何人かいるのは分かる。
用件はなによ?
>>487 Freeはどんな塩梅なのかと。ご教授お願いします。
再インストールしますた。
結果わかったこと。
1 Internat.exe は win2k sp1 インストール直後から
>O4 - HKCU\..\Run: [Internat.exe] internat.exe
2 >O1 - Hosts: 64.91.255.87 www.dcsresearch.com
ていうのは TDS3 が犯人
ところで
>>409 さんはあれからどうしました?
とりあえず、作者さんではなく
submitアットemsisoft.com
のほうに送ったのですが、何も音沙汰ありません。
シマンテックとかにも送ろうかと思ったんですが、
フロッピーで送ってくれみたいな事が書いてあったんでやめました。
それともオンラインの送り先とかあるんですかね?
何度再インスコしても出るので、ブート感染型も疑いました。
ノートンでもscanしましたが反応なし。
SwatItでも反応なかったです。
試しにWin2kを入れてみたら、a2でも全く反応ないですね。
誤検出なのか、Win9X系にしか感染しないブート感染型なのか?
>>445 さんはa2で引っかからないと言ってるし、訳わかりません。
ついうっかりコピペして肝心なとこで間違えてました。正確には
1 Internat.exe は win2k sp1 インストール直後から
>O4 - HKCU\..\Run: [Internat.exe] Internat.exe
です。両方大文字。ただこれも同じwin2kの方で
小文字の方がいるのでちとそれが謎です。
しかもSSMを入れたのですがそれの新出アプリの
検出のときに internat.exe でどうしてもSSMが固まり
そうなるとタスクマネージャーも出せないとゆー。
あと気になるのは
>>482 のときに Proxy DeskTop の他にも
DccMan てのが同じように「DccManを終了しています・・・」
て出てきて。いくら検索しても Dcc* なファイルはなくて
それもやな感じです。どっちもタスクマネージャーの
プロセス名には出てませんでしたし、ああいうハングが無いと
そんなのが動いていたなんて絶対気付かなかったと思います。
>>409 気持ち悪いですよね。一番確実なのはbiosをリロードして
HDDを新しいのに換装してみる、て方法なのかな?
素人考えなのでわかりませんが。
internat.exe 自身のハッシュは、そういう警告が出ない
98ユーザの人のそれとはやはり違うんでしょうか。
ていうか a2 って、もしたとえば internat.exe が依存してる
DLLファイルが感染してる場合は、そのDLLファイル名で
警告が出るんでしょーか?それとも internat.exe 名義で?
詳しい人にお聞きしたいす。
492 :
名無しさん@お腹いっぱい。 :04/02/16 13:26
過去レス読み色々検索しましたが Trojancheck 6 独逸語で日本語パッチがない ペスト イマイチ性能がよくない GFI 2回試したがなぜかスキャン途中で「問題が発生しましたので終了します」で最後までいけない ・・・困った
普通にウィルスとスパイウェア対策していれば必要以上に心配することじゃないんじゃないの? ここのスレの人たちはよっぽど怪しいサイトに出入りしてるのかな? a2でスキャンぐらいはするけど、それこそ心配してたら夜も寝られないようなことになるような気がする。
494 :
名無しさん@お腹いっぱい。 :04/02/16 14:44
一応初心者なりに NIS2004でファイヤーウォールとプライバシー制御を高レベル スパイボット、Ad-ware、スパイウエアガード、スパイウエアブラスター という感じですが、 アンチウイルスソフトやスパイウエアソフトではトロイ関係には弱いと書かれていたので… それに私の場合、怪しいサイトばっかし行きますので…
「フリーのアンチウイルスソフト 」のレスを見たので、チョイトここに書き込み。
厳密に言えばフリーではなく体験版なのだが、よくある30日制限の奴と違って
30回フリーで起動できるという奇妙な制限の付いたソフト Iparmor free trial
ttp://www.luosoft.com/ フリーで古くから知られているものなら この Ants2 かな。
ttp://www.freenet.de/freenet/computer/internet/antivirus/ants_2/ 私もフリーのアンチウイルスソフトのレスを見て、ここに来ました。
Trojancheck 6は常駐しないようですが(ドイツ語オンリーなので確証はありませんが)
Trojancheck 5は常駐してレジストリの変更を監視してくれます。
ドイツ語ソフトですが、英語化パッチがあります。
Trojancheck 5とSwat It 2.1を併用すれば充分ではないでしょうか。
今私はTrojancheck 5,6、Swat It 2.1、ANTS 2.1と4つ使っていますが、
こんなにたくさんいりません。TDS3も使っていましたが、
さすがに多すぎると思ったので、アンインストールしました。
Trojancheck 5ってフリーですよね。www.trojancheck.de/download.html
には6しかなく、5と英語化のパッチも見当たらないですが、どこにあるの
でしょうか?
113の上の方のサイトの真ん中辺りにTrojanCheck v5.0.4.1 Final が有る。
113のサイトの TrojanCheck v5.0.4.1 Final の exe のすぐ下に english.lng が有るだろう。
Readme もよく読め。
Make sure the LNG file is placed into the same directory: trojancheck. (this will change the GUI into English language).
LNG ファイルが同じディレクトリの中に置かれることを確認してください: trojancheck 。(これは GUI を英語に変えるでしょう)。
俺も良く判んないんだけどさ。。。
とりあえずフリーで固めたいと思ってるんで
>>114 に書いたので時々チェックしてる。
あと、TC6については「何でフリーのセキュリティソフト使うの?」
http://pc.2ch.net/sec/#3 の378に書いたように「オートスタート + 常駐保護」ができたんで今は常駐させてます。
あと、
>>108 に紹介した「PC Flank」のサイトが参考になると思う。データは古いけどね。
こんなんで参考になれば良いんだけど。。。。
できれば詳しい人にfreewareを含めて評価して欲しいとは思うんだけど。。。
どなたかお願いできませんか?
Backdoor型のトロイの木馬は、サーバーがターゲットのマシンで
実行されると
@サーバーが実行されるとまずC:\WINDOWS\(%SystemRoot%)ディレクトリ
もしくはC:\WINDOWS\system32\(%SystemDirectory%)に自身を登録する。
AWindows起動時にサーバー自身も起動するために、StartUpなどを書き換える。
http://www.megasecurity.org/Trojaninfo/auto_start_methods.htm Bポートを開く。
私の経験上少なくとも80%以上のBackdoorは@〜Bの経過を辿ります。
ログ送信機能のあるKeyLoggerもソフトの仕様上Aは行わないと駄目ですよね。
TrojanCheckのResident GuardはAに変更があるとユーザーに知らせてくれる
機能です。(正しいプログラムか、悪意のあるプログラムかは自分で判断する
しかないけど。)正しいプログラムでもStartUpを書き換えるソフトはたくさん
あるから。
Trojans Variations(トロイの種類)
http://neworder.box.sk/newsread.php?newsid=6298 ここいいですね。私のような初心者には勉強になります。
他のサイトと合わせて、連休中にゆっくりと読もうと思います。
ありがとうございます。
ノートンに限らずPFWのログを見るポイントは二つ。
@Incomingの通信か?Outgoingの通信か?
A特定のアプリケーションへの通信か?(たとえばtrojan.exeなどのように)
それとも特定のアプリケーションへの通信じゃないのか?(PFWのログには
普通 N/A とか Not Availableのように表示されると思う)
注意すべきなのはOutgoingの通信の時と、Incomingの通信でかつ特定の
アプリケーションへの通信の時です。
私の経験上ノートンがトロイだと騒ぐときはIncomingの通信で、特定のアプリケーション
へ向けたものではない N/Aと表示される特に危険のない通信であることが多いです。
(この場合ノートンがSubSevenと言おうがNetBusと言おうがまったく気にする必要が
ないです。)
インターネットのノイズなので、私ならノートンのポップアップを切って放っておく。
どうしても嫌ならHardware Firewall(Router)を設置するか。
余談だけど
http://isc.incidents.org/port_details.html?port=27374 SubSevenのポートスキャンは最近増えているみたいね。
どうしても不安なら以下のサイトからProcess-Port mapperをダウンロードして
(お使いのOSがNT4/2K/XPなら)自分のPCに変なサービスが動いていないか調べて見ると良いよ。
http://www.diamondcs.com.au/openports/
一般的にTrojanはそれ自体が悪意のあるプログラムだから、
駆除ではなく、削除しか出来ないよ。
Trojanがすでに実行中であれば当然削除は出来ない。
取りあえずセーフモードで削除は試みましたか?
セーフモードがよく分からないのであれば
下記のサイトに行って、Dellaterをダウンロード。
http://www.diamondcs.com.au/index.php?page=dellater @ダウンロードしたzipを解凍して中のdellater.exeのショートカットをデスクトップに作る。
Adellater.exeへのショートカットを右クリックしてプロパティを表示
Bリンク先となっているところ
〜〜dellater.exe"の右に半角スペースを空けて消したいファイルのパスを入れる。
たとえば消したいファイルのパスがC:Windows\System32\strings.batだったら
〜〜dellater.exe" C:Windows\System32\strings.bat
のように入れる。
Cそれからdellater.exeへのショートカットをダブルクリックして再起動。
そうすれば実行中で削除できないファイルも消せます
確かにSwatItはa2にくらべると使いにくい。 ・update頻度が少ない(FreeでUpdateするだけで充分ではありますが)。 ・スキャン中PCの動作がものすごく重くなる(スキャン中何もしなければいいのですが)。 a2があればSwatItは不要かもしれないが、バッティングするわけでもないので(常駐保護しないから) 併用していくつもりです(結局使う私w)。 アンチトロイソフトは Trojancheck 5(常駐) Trojancheck 6 a2 Swat It 2.1 他にhijack thisも使っています。 Trojancheck 6はupdateしたのを見たことがないので (いつもドイツ語で「最新です」と表示される。使い方を間違っている?) 使う必要はないかも? PFWが1つ、アンチウィルスが2つ(常駐が1つ、非常駐が1つ)、 アンチスパイウェアが4つ(内常駐が1つ)と、 全てフリーソフト。 無料なのはありがたいですが、ソフトの数は多くなります(w 減らそうと思えば減らせるのですが、今のところ快適に動作していますし、 色々なソフトを試すのが半ば趣味になってきています(w
Trojancheck 6 に同じ(と思われる)機能があります。
ttp://www.trojancheck.de/ Trojancheck 6を起動。
↓
右下のTrojancheck Wachterボタンを押す。
↓
常駐アイコン(中世の楯と剣)が出る。
これでトロイから常駐保護されます(そのはずです)。
ちなみにTrojancheck 5の英語化パッチは警告文が2回に1回は文字化けする
(ドイツ語+文字化けという厳しい状態)という、もうひとつのものです。
タダなので文句は言えませんが。
258 257の続き sage 03/12/31 03:19
Trojancheck 6 の常駐アイコン(中世の楯と剣)を右クリック。
↓
三行出て来る一番上の行の Anzeigen をクリック。
↓
左下の mit Windows starten にチェック入れる。
(後の二つもチェック入れた機能が有効になるようです。)
これでPC起動と同時に常駐保護されるようになります
私は
>>257-258 さんではないけどTrojanCheck6.02について少し。
TrojanCheck6.02は作者のThomas氏自身が公式サイトでおっしゃっているように
これ以上の更新はないです。
Trojancheck 6 ist die letzte Version von Trojancheck (ja, die 5er sollte es auch schon sein ;)).
Eine weitere Version wird es definitiv nicht mehr geben.
TrojanCheck 6はTrojanCheckの最後のバージョンです。(はい、私はTrojanCheck5.xの
バージョンを最後のバージョンにするつもりでした。)しかし今度はこれ以上TrojanCheckを更新する
つもりは明確にないです。
TrojanCheckの作者のTomas氏は今現在はEwido Security Suite(Anti Trojan Software)の
開発に携わっています。
ttp://www.ewido.net/de/ Rokop SecurityにEwido Security Suiteのレビューがあるけど、スクリーンショットを
見ればよく分かります。
ttp://www.rokop-security.de/main/article.php?sid=672 Ewido Security Suite(ESS)はまだ開発はベータ段階だけどFree版を手に入れることが出来ます。
ESSはモジュールで機能を拡張していけるのですが、今現在はFile Scannerしか機能して
いないです。スタートアップを監視するモジュールやプロセスを監視するモジュールなどの
機能がまだ使えないです。
コピペうざい。
常駐保護できるやつでみんなが使ってるのはTrojanCheckぐらいですか?
TauscanとかTrojanRemoverはスキャン機能だけ?
>>302 Tauscanは常駐保護する機能があります。
TrojanRemoverはスキャン機能だけだけど、トロイが書き換えやすい
レジストリ・エントリーもスキャンしてくれます。
軽い常駐保護だけのAnti TrojanならBO Clean(名前の由来はBack Orifice Clean)も
有名だけど、なんせ米軍も採用しているくらいだから。
残念ながら体験版が使えない。(いきなり購入しなくては駄目だから。)
eTrustというのpromotion版?
eTrustのエンジンVetもInoculateITもRepricable Malware(ウイルスやワーム)の
検出は非常に優秀なんだけど、
Non-Repricable Malware(バックドア、キーロガー、破壊プログラム)といった悪意の
あるプログラムの検出はKasperskyなんかに比べればあまり優秀ではない。
具体的に言えば、Unpacking Engineも優秀ではないし、Process Memory Scanも
装備されていないの。この分野にかけてはInoculateITのエンジンの方が少し優秀だけど。
Trojan Checkはドイツ語で使い難ければSSM(System Safety Monitor)を
試してみれば?無料で英語だし、常駐機能の重要レジストリを監視する機能は殆ど
同じもんだから。
BO Cleanを使っているのはきっと私くらいのものでしょうね。有料だし、
仕事でセキュリティーに携わっているような人でもなければ存在さえ知らないかも。
BO Cleanの一番いい点はOne Licenseで自分の持っているすべてのPCにインストール
することが出来るのがとてもあり難いです。特に私のように5台も自宅にPCを持っている
ような人には。後は作者のKevin McAleavey氏によるサポートは、大手セキュリティーソフト
しか使ったことが無い人には信じられないくらい素晴らしいです。
TrojanCheck Version 5.0.4.1 Final
ttp://web.archive.org/web/20030201085731/ http://www.wilders.org/downloads.htm インターネットアーカイブで検索したら
TrojanCheck5と英語化パッチを
ダウンロードできた。
今さら遅いとは思いますが、
もし必要でしたら落としてみてください。
Patchfinder2試してみたので感想を↓
使 え な い で す 、 今のところ。
これだけじゃアレなんで詳しく書くと、
Patchfinder2はRootkitハッケソツール。
RootkitっつーのはOSからファイルやレジストリを隠したりする次世代トロイの総称。
もろに感染すると普通のアンチウィルスじゃ検出不可。
(ちなみにPatchfinder2では原理的にsub7やらbo2kなんていう前世紀の遺物は発見できません。
そのかわり未知のRootkitも発見可能・・・だと思われ。)
前置きはこの辺にして、まずOptix PRO v1.32を自爆インストール。
見事にPatchfinder2で感染を確認。
Antidoteでは検出不可。
Norton先生は体験版のインスコすら不可。(OptixがNorton先生を殺してしまう)
でここまでは良かったんだか、Patchfinder2は未完成部分多杉。
まずCUIなのでめんどくさい。
誤検出が多い。(スタートアップや常駐アプリが多いと駄目ぽ)
誤検出は設定変えればかなり防げそうだけど、
ソース書き換えてコンパイルしなきゃならんのでマンドクサ
以上体験レポートですた。(何度も再起動したりしてすげー時間かかってしまった)
参考にどぞ。
[Patchfinder2]
[1]
ttp://rootkit.com/vault/joanna/rootkits_detection_with_patchfinder2.pdf [2]
ttp://www.rootkit.com/vault/joanna/patchfinder_w2k_2.11.zip [1]は動作原理などのドキュメント
[2]は本体
同一スレ内の過去のレスを再度コピペすることに何の意味があるの? アンカー付けるだけで充分だと思うが。 まとめサイトを作ってそこにコピペするならいざ知らず・・・。 こんな過疎スレを荒らしても仕方あるまいに・・・。
>>317 >RootkitっつーのはOSからファイルやレジストリを隠したりする次世代トロイの総称。
>もろに感染すると普通のアンチウィルスじゃ検出不可。
>(ちなみにPatchfinder2では原理的にsub7やらbo2kなんていう前世紀の遺物は発見できません。
317さんこんにちわ。Rootkitはいつから次世代トロイの総称になったの?
いやまぁ、複製品を作らない悪意のあるプログラムという意味ではトロイなのかもしれないけど。
RootkitにはRootkitというジャンルがあるような。。。(いや、私がおかしいのか?)
いや、トロイにはもう興味があまり無いんだけど、WindowsのRootkitはまだまだ勉強中です。
Patchfinder2はトロイなどの悪意のあるプログラムを隠す、rootkitを発見してくれる
プログラムだよね。
317さんはどのRootkitをcompileしたの?私はH・DefenderとFU Rootkitしか使ったことが無いんだけど。
Patchfinder2は数少ないこれらの最新のRootkitも発見してくれる貴重なツールだと思うけど。
>Antidoteでは検出不可。
遠慮せずに今現在この地球上にあるどのAnti Virusソフトを使っても検出出来ないと言えばどうでしょう。
少なくとも私の実験ではOptix Proがそうなりました。これは知り合いのPCにトロイを仕掛けると時などに
特に有効なのかな。
まだコピペしてるの? 謝れば何をやってもいいというものじゃないよ。 いい加減にしなさい。
>>スマソ あなたは何がしたいのでつか?
>>342 これイイね。
Exploit-Testまでしてくれる
318のサイト見たけど(You are an idiot!)とかいう単なるブラクラじゃないの。
java scriptを切っていたらなんも出来ん。そうでなくてもオンライン・ショッピングなどを
するんだったら、タブ型ブラウザなどを使って、自分が100%信頼できるサイト以外は
java scriptやactive xなどの設定は切っておけばいいじゃない。
アンチウイルスベンダーはnon-repricable malware(複製品を作らない悪意のあるプログラム)
を大きく分けてTrojan Horseに分類しているけど。Trojan Horseの中でも特に危険な
部類なのが、Sub7などに代表されるBackdoor型のトロイの木馬。やJanet KeyLoggerなどの
Trojan KeySpyに分類されるキーロガー型のトロイの木馬。
そんでもってSymantecは困ったことに複製品を作らない悪意のあるプログラムであまり
有名でないものは全部Trojan Horseとかいう一般的な名前で言うので非常に分かりにくい。
だけど逆に言えばSymantecがTrojan Horseと言う様な名前で検出する場合は、しょぼい
悪意のあるプログラムである場合が多いです。対象のファイルを消してしまえばそれでおしまい。
バスターを常駐させていたのなら私はあまり心配しなくてもいいと思うけど。a2はなんて
名前のトロイを検出したの?取りあえずまだBackdoorが仕掛けられているのか心配なら
>>176 でStart up listのログを貼り付けて一度見てもらえば。
>>367 >既存のファイルはバックアップしても
>感染の心配は無いと思って宜しいのでしょうか
ケースバイケース。ウイルスに感染している場合もありえる。
まずはPCを感染していない状態にしてから、
バックアップをアンチウイルス・アンチトロイ・アンチスパイウェア
ソフトでスキャンするしかないでしょう。
トロイくらったら何も信頼できない。
OSも既存ファイルもアンチウィルスも!
あんまり裏には詳しくないけど、
+アンチウィルスソフトに引っ掛からない
+ポートを開けない(他のポートを乗っとる)
+Netstat、Regeditの改竄
くらいは余裕でできるから
ま、再インストールするかしないかは個人の自由ですが、
踏台にされたりして社会に迷惑かけないでくださいね。
OSの再インストール?hmmm. BackdoorやKeySpyを心配しているなら、OSの再インストールは何の 解決にもならないと思うけど。カード番号などのすべてのパスワードを変えないと。 私は単なるFUDじゃないかと。Backdoor○○という名前で検出されたのなら ともかく。単なるTrojan Horseで。 私はトロイを使う人がたくさん集まるForumにも時々遊びに行くけど、Symantecの On Line Scanで検出出来るようなトロイを仕込むのは3流のTrojaner。 優秀な人が仕込んだトロイなら今頃371さんは静かにスパイされていると思うけど。 SymantecのOn Line Scanで引っかかるようなトロイならなんも心配いらんと思うが。 まぁ、370さんが言うようにあなた自身の問題だから。 PS. 今現在最高のrootkitと呼び声の高いH.diffenderなどはWin98では動作しないよ。 Win98はトロイを使う人からも見捨てられたOSかも。
Windowsは大文字と小文字を区別して解釈しないから、Internat.exeもinternat.exeも同じ意味だよ。
ttp://www.sysinfo.org/startuplist.php?filter=internat&count=&type= %windir%\systemにある
普通はC:Windows\System\ もしくは C:WinNT\System32\にある
"?"のアイコンのInternat.exe(Language selection icon in system tray)なら合法的なアプリケーションだよ。
よく悪意のある人物がが悪意のあるプログラムにつける名前でWindowsのSystem Fontは
大文字のアイ「I」 と 小文字のエル「l」は 区別が付きにくいから、
合法的なInternat.exe(大文字のアイ)をまねてlntenat.exe(小文字のエル)のような
名前は悪意のある人物は作るかもしれないけど。
Internat.exeのあるpathや他のアンチウイルスソフトでは検出しないのをみると
恐らくa2の誤検出なのでは?
andreas.haakアットemsisoft.com(アットを@に変えて)、
Internat.exeのコピーをa2の作者にメールで送れば、disassemblyして調べてくれるよ。
題名は「a2's false positive?」とでもして
本文はWould you analyze this program?
とでも簡単に書けばいいのでは。
Kaspersky(antidote)がTrojan Horse(感染活動を行わない悪意のあるプログラム)として
分類している種類。
ttp://www.viruslist.com/eng/viruslist.html?id=13 Trojan.Win32.WingorはKAVの5万種以上のEncyclopediaにも載っていない、しょぼいMalwareだと思われ。
名前から判断すれば対象のファイルを削除してしまえばよい。
削除するのが怖ければ、フロッピーにでも取っておくか、パスワード付きの
Zipの中にでも放り込んでおけばいい。
人それぞれだけど、検出されたのがKAVの命名法でいえばBackdoor,
Trojan.Dropper, Trojan Downloader, PSW.などのようなものでなければ、いきなり
OS再インストールまでする必要はない気がするが。
Trojan=Backdoorだと思う人がとても多いのかも。
>>467 私は別にあなたの意見を否定している訳ではないよ。ただ、2chを始めとして
他のセキュリティー関係の掲示板などでも、たとえば、IEのホームページが
アダルトサイトに書き換えられました。とか、デスクトップに怪しいアダルトサイト
に繋がるアイコンが出来ています。なんていう書き込みは本当にたくさん見ることが
出来ます。これは既に悪意のあるコードが実行されているわけだら、他にどんな
悪意のあるコードが実行されていても不思議ではない。でもいきなりOS再インストールを
薦める人は本当に少ない。
せめてHijackThis/StartUpListなどのdiagnostic toolなどで
running processやスタートアップのエントリを調べたり、OpenPortsなどで開いている
ポートを調べてからOS再インストールを考えても遅くは無いと思うので。
KasperskyのアナリストがTrojan.Win32.などと名付けるのは、Browser Hijackerなどと
同等のようなしょぼい悪意のあるプログラムである訳だから。
勿論
>>464 氏がOS再インストールは何の問題も無い人であるならお奨めです。世の中には
私の父親などのようにOS再インストール絶対しろと言うと泣いてしまいそうな人もいるですよ。
(IEのホームページを書き換えるなどは本当に親切な悪意のあるプログラムだよね。
どんな間抜けな人でも自分のPCの中で良からぬことが起こっていることを知らせて
くれる訳だから、これが静かにスパイするBackdoorなんかだったりしたらもっと
恐ろしいことです。)
本当はトロイ専門スレを別に作成してしっかりとテンプレを作成すべきなのは、百も承知です。 ただそこまでは力量(トロイに対する知識)がないので、後々皆様に参考になりそうなレスを 選ばせてもらいコピペさせてもらいました。
現行スレのコピペを現行スレに貼ったらただの嵐 あふぉですか? 迷惑です。
532 :
名無しさん@お腹いっぱい。 :04/02/16 19:16
スマソの方を持つ気はないが、 そこまで粘着していうなら、テンプレくらい作成しる どうせ暇なんだろ 何もしない貴様より彼の方がマシだぞ
スマソを名乗る以前の 495-509もこのスレの過去のレスのコピペだな。 荒らしでしかない。 あぼーん推奨。
>>530 それはよけいなお世話というのですよ。
わざわざコピペしなくてもこのスレ最初から
読めば理解出来るよ。
>後々皆様に参考になりそうな〜
人様の事より、貴方自身が掲示板での最低限のルールを
勉強する必要があると思う。
ここに情報を提供された方も、荒らしに利用される為に
書き込みした訳じゃないだろう。
その方達に失礼だとは思わないのでしょうか。
こんな事すれば叩かれるのは当たり前。
>>530 スレを立てる立てないと、力量がないのは別だと思いますが。
>>530 私の過去の投稿を今になって急に同じスレに
コピペするのはやめてください。
迷惑ですし、私自身不愉快です。
コピペを見た人はもっと不愉快だと思います。
二度としないでください。
今回の分は今からでも遅くありませんから、
自分でレス削除依頼をしてください。
過去の投稿をコピペされてしまった
他の方も私と同じように思うのではないでしょうか。
せっかくの良スレを荒らすのはやめてください。
>>530
俺はコピペしてもらって構わないよ
>>539 =540
コピペ厨必死だな。
あんなに大量に必死にコピペする馬鹿だから当然か(w
妄想が激しい
たのむから950過ぎてからやってくれ。
|д゚) ……。
スマソはずっとスマソを名乗っててくれよ。 あぼーんできないだろうが。
547 :
名無しさん@お腹いっぱい。 :04/02/18 21:27
よくトロイの木馬に関してはAVよりも専用のソフトの方が良いと聞くんだけど、
www.virus.gr (
ttp://www.virus.gr/english/fullxml/ )の10月のデータを見ると
Malware (8984) Trojans-Backdoors (11909)
TDS 3.2.02 249 2.77% 6719 56.42%
PC Door Guard 3.0.0.6 384 4.27% 4384 36.81%
Pest Patrol 4.2.0.53 788 8.77% 3031 25.45%
AntiTrojanShield1.0.0.16 370 4.12% 3866 32.46%
AntiTrojan5.5.421 298 3.32% 3423 28.74%
Tauscan1.6.1024 16 0.18% 2789 23.42%
Trojan Remover 6.0.9 73 0.81% 2118 17.78%
The Cleaner 3.5.3527 63 0.70% 2357 19.79%
Trojan Hunter 3.6.741 54 0.60% 2082 17.48%
Hacker Eliminator 1.2 100 1.11% 1695 14.23%
IP Armor 5.42.09220 47 0.52% 1345 11.29%
----------------------------------------------------------
BitDefender 7.1.110 7829 87.14% 9575 80.40%
Avast 4.1.268 7539 83.92% 8965 75.28%
AntiVir 6.21.09.20100 7054 78.52% 5861 49.21%
AVG 7.0.175 6137 68.31% 4189 35.18%
E-Trust 6.1.7.0 5680 63.22% 3394 28.50%
================================================================
となっている。これを見ると、AVだけでも良さそうに感じる。
今の所、私はAVとa2等のATを併用してはいるんだけど、やっぱりAVだけじゃダメなの?
いつの10月か知らんが、データ古すぎ。 アンチウイルスソフトだけでよいのなら、 アンチトロイソフトをワザワザつくらないと思うが。
実際にトロイを発見して防御したって人どれくらいいる? 俺は4年近くウィルス対策ソフト+スパイ対策ソフトだけでほぼPCいじってて 怖いと言われてるバックドア系トロイには一度も遭遇したことないよ? 最近になってa2入れたけど、一ヶ月に一回でもスキャンしとけばいいかなみたいな 感覚なんだけどおかしいかな?どうせなら一度くらってみたい。
ほぼ↓ ほぼ毎日
>>547 一般的に大手のAVメーカは、トロイでも感染率が高いものはよく対応しているが
怪しいファイルなんかに潜んでいるメジャーじゃないトロイなんかは見落としているケースが多い。
そこで、Kasperskyなんかの大手は別として、小さなトロイ専用ツールのメーカは大手AVと
張り合ってもなんのメリットもないので、AVメーカが見落としているようなトロイなんかを
セコセコと集めているってのが現状だと思うよ。
だから、怪しいファイルなど集めてないようなクリーンな環境なら特にトロイ専用ツールなど
必要ないと思われる。
怪しいファイルの収集癖がある人物なんか、専用ツールをボコボコ持っていても安心できずに
イメージファイルの復元がいつでもOKだよってとこかな。
エロ動画は怪しいファイルに含まれますか rmとか 別に路利とかじゃなくてフツーの?エロ動画 ただし諸
>>551 ,
>>552 www.wilderssecurity.com は神学論争をやってるみたいで参考にはなりませんでした。
今までの御札と違う御札が出てきたら業界が困るんだよ、っていうのは感じましたけど。
www.dslreports.com はまだ最初の4ページしか読んでないのでなんともいえません。
頑張って全部読んでみます。
確かに自分で判断するものではあるけれど、判断材料が少なすぎるように思う。
VB にしたって合否判定だけ出されてもねぇ。。。
ユーザー側に立って、もっと細かい結果を出して欲しいですね。
それと、怪しいファイルを集めているわけではないので神経質にはなっていませんが、
『もしも』の時を考えるとやはりトロイ対策はしたいと思うし、対策にかける手間と
費用はできるだけ押さえたいというのが本音です。
もう少し自分なりに調べてみます。 ありがとうございます。
ていうか海外のエロサイトからまとめて動画を 一括DLしてると何十分もかかったりして その間ちょっとドキドキする なんか変なことされないかなーとか ああ今80番ポートから妙なの送られたら やばいなーとか
送られたらやばいポートってHTTPだけですか?
ていうかこっちが受信せざるをえないような状況全部じゃん? 万年初心者だからよくわかんないけど80番もあれだけど 443番だっけ?httpsって暗号化されてIDSとかも チェックできないんじゃ?とか密かにびびってる。 大丈夫なの?たまーにエロ動画DLサイトのくせに https接続要求してくるとこがあって。
>>555 すまん、数ヶ月前のスレッドなのでリンクを改めて読んだら少し張り間違えたよ。
www.wilderssecurity.comを読んだのなら分かると思うけど、
ttp://www.dslreports.com/forum/remark,8685090~mode=flat 上記の方がよりVirusPのテストの詳細が分かると思うので。
私もアンチトロイソフトなんて無くなればいいと思っている人の一人なんですが。
普通のユーザーにとってウイルスとトロイの区別なんてどうでもいいことだから。
それらは全部Malware(malicious+softwareの造語)でしかないし。
だけど残念ながら少なくともアンチウイルスソフトのカテゴリーの他に
アンチスパイウェアソフト、アンチトロイソフトの二つのニッチなカテゴリーは存在しているわけで。
ユーザーもバカじゃないから、アンチウイルスソフトがそれらを全部高検出出来れば
自然に消滅するのではないでしょうかね。何故アンチトロイソフトなんてカテゴリーが存在出来るか
という大きな理由の一つにシェアNO,1のアンチウイルスソフトの影響が大きくあると私は思いますが。
>確かに自分で判断するものではあるけれど、判断材料が少なすぎるように思う。
>VB にしたって合否判定だけ出されてもねぇ。。。
>ユーザー側に立って、もっと細かい結果を出して欲しいですね。
どういうテストが知りたいのか?一番いいのはトロイを実際に使っている人が集まっているForumにでも
行って(利用規約があるからリンクは貼れないけど)犠牲者をたくさん持っている人にお薦めの
セキュリティーソフトを聞くのが一番いいと思うが。彼らはアンチウイルスソフトの開発者などを
除けば、セキュリティーソフトの品質に関しては最高の知識を持っている集団だと思う。
私の知る限りwhite hatのサイトでトロイの検出に関する一番素晴らしいサイトはNautilus氏の
サイトだと思います。(英語の方は詳しく読んでないけど8割くらいは英語に翻訳されてると思う。)
ttp://home.arcor.de/scheinsicherheit/einleitung.htm KAV Liteなどは常駐する機能もあるし値段も安いよ。
>>553 基本的に.rmファイルは安全だと思いますよ。少なくとも.rmに仕込まれたトロイなどは
私は聞いたことがないです。
私が.rmを利用したexploitを知らないだけだけど。
よくトロイを仕込むsocial engineeringの一番単純な方法で、
yahooチャットなどで私の動画ですとか言って。
mymovie.rm________________________________________________________________________.scr(___は空欄)
○○の暴走にまかせて上記のようなとても単純なトリックの動画もどきの
ファイルをダウンロードして実行したりしなければ。
561 :
名無しさん@お腹いっぱい。 :04/02/20 08:41
トロイの三角木馬
なんでセキュリティ関係のサイトでレベル高いのはドイツ語が多いですか? 調べ物しててもドイツ語がバンバンヒットするので激しく鬱になります 英語すらぁゃιぃのに
>>560 ひじょーに心強いお言葉ありがとうございます!(・∀・)
>>563 IEやMedia Player、msnメッセンジャー(つまりWindows)の使用はハイリスクなのを
お忘れなく。
どれも危険な穴があったし、これからも見つかるハズ....
トロイと思われるもの攻撃を初めて食らった。 Cドライブ以外のファイル全滅。あー復旧させんの面独裁・・・
>>565 トロイじゃないくてウィルスに一票
ご愁傷様です。
>> 565 調べてみたら症状はwhiterっぽい。 あ、ちなみに俺はWindows XPの正規ユーザーだよ。そういえば電源切る前に 「システムファイルの何とかが変更されている。XPのCD使って元のファイルに戻すか?」 みたいなメッセージが表示されていた。そこで「はい」を選んでいれば助かったのかも試練。
571 :
名無しさん@お腹いっぱい。 :04/02/23 14:29
トロイなぁ。
>>571 ハハハ イキデキネーヨ
∧_∧ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ハライテ- ゲラゲラ
( ´∀`) < わははは ∧_∧ 〃´⌒ヽ モウ カンベン
. ( つ ⊂ ) \_______ (´∀` ,,)、 ( _ ;) シテクダサイ
.) ) ) ○ ∧_∧ ,, へ,, へ⊂), _(∨ ∨ )_ ∧_∧ ○,
(__)_) ⊂ ´⌒つ´∀`)つ (_(__)_丿 し ̄ ̄し ⊂(´∀`⊂ ⌒ヽつ
タッテ ラレネーヨ
ワハハハ
ハハハ ハハハ
∧_∧ / ̄ ̄ ̄ ̄\ ∧_∧
( ^∀^)< うまい. > (^∀^ )
( つ ⊂ ) \____/ ( ⊃ ⊂)
.) ) ) ( ( (
(__)_) (^∀^)ゲラゲラ (_(__)
>>565 それW32.Whiter.Trojanです。
たった今漏れもW32.Whiter.Trojanにやられた・・・
HDDのデータすべてが0バイトに書き換えられ消去された!
先日ANTINNYにやられOSの再インストールするのでデータを
バックアップしておいたHDDが完全に消去された・・・
しかもリストアの前だというのに・・・呆然ですわ・・・
現在FinalDataにて復元を試みているがデータが戻ってこなければ最悪です。
はあ・・・どしよ・・・_| ̄|○
復元する道はなにかないですか?
マジレスお願いしますm(__)m
現在ノートPCにて
対策してないやつはやられて当然。ダウソ板に帰れ。
regport入れてるだけでも防げるのにな
↑ protね
579 :
名無しさん@お腹いっぱい。 :04/02/24 12:38
FWとregprotとAVGで他はイラネ!!
Registry Protはフリーだし、軽いし、反応早いし、文句なし
577=578=579=580ですか? ここはトロイスレなんで意地悪しちゃうと、 Hacker DefenderでFWとregprotとAVGをスルーできるわけだが。 (配布されてるバイナリ使うとAVGに引っかかるが) ツール信者は一度exploitやtrojan(rootkit)試してみることを激しく勧める
>>581 知りたいなら答える。577=578はアタリ。
せっかくいい情報提供してるのに最初の一行で厨丸わかりだ。
無駄レスになるがDiamondCSの遣いのものじゃないんで一応w レス不要
>>581 そんなもの、逆にトロイの可能性があって、怖くて入れられないよ
通常の防御ソフトを入れて、アングラサイトを避けた方が安全性が高いです
下手な防御は、かえって、トロイを呼び込むだけでは?
>>583 実環境で試したら真性の(ry
仮想マシンかテストマシンでやらないと。
>下手な防御は、かえって、トロイを呼び込むだけでは?
これは禿同
責任の所在がはっきりしないソフトは使わないほうががイイ
本当はTripwireみたいので全ファイル検査すればベストなんだけど、
Windowsのファイルはころころ変わるし、ブラックボックスなんで難しい
(一度挫折した)
>>577 HKEY=HKEY_CLASSES_ROOT
PATH=vbsfile\shell\open\command
NAME=
DATA=
何これ? (((( ;゚Д゚))))ガクブル
a2でUserとCode忘れちゃった(´・ω・`) どうしよ
結局ソフト持ってない人はどうやって削除すれだいいんだよぉぉぉ(つдT
>>586 再インストールでもやってんの?
最初のインストールの時に、『a2 Account Data』って件名でメール来てたはず。
そのメールの本文に載ってるよ。
そのメール削除したんなら、再登録するしかないんじゃない?
>>587 このスレ最初から読めば、一杯フリーソフトが紹介されてるから
それを入れればいいんでない?
>>588 はい、メール削除しまいますた(´・ω・`)
捨てメールでやってみます
なんかa2のフォーラム見ていたら、 最近a2のアップデートが10日以上無いのは作者氏のお父さんが 亡くなったらしいね。 ご冥福をお祈りします。
>>590 それで最近a2のupdateがなかったのですか・・・。
ご冥福をお祈りいたします。
>>591 Kasperskyの検出率が抜群ですね。
以外なのが、McAfeeの健闘やなあ。
Kasperskyは30日トライアルバージョンか
>>591 にある表をExcelにコピペして、ウインドウ枠の固定したら見やすいよ
596 :
名無しさん@お腹いっぱい。 :04/03/01 00:13
597 :
名無しさん@お腹いっぱい。 :04/03/01 00:14
あげでしかも連打してしまいました。ごめんなさい
www.symantec.com/region/jp/sarcj/data/b/backdoor.apdoor.html
回線抜いて、バックアップ。 その後ゆっくりOSの再インストールしましょう。 っていうのがこのスレ的な答えだと思われます。 レジストリとかは何にも気にしなくて結構 落ち着いて作業をドゾー
>>599 ありがとう、トレンドマイクロしか見てなかった
シマンテックわかりやすいね
今から作業してきます
602 :
YahooBB220010047120.bbtec.net :04/03/01 14:02
かかってきなさい
工エエェェ(´д`)ェェエエ工
605 :
名無しさん@お腹いっぱい。 :04/03/04 18:00
Virus Trojan horse Dialer is found in file C\System Volume Information\_restore{C25E1500-C5DD-4558-AE27-861C6E98654D}\RP411\A0135716.exe To remove this virus,please run AVG for windows と言う警告が出ますがAVGでスキャンしても見つかりません。。。 どうすればいいのでしょう?誰か教えて下さい!
オンラインスキャン汁
607 :
名無しさん@お腹いっぱい。 :04/03/05 00:03
>>3 言う通りにしない方が良いですよ。
初心者は・・・。
608 :
名無しさん@お腹いっぱい。 :04/03/05 01:14
先日、Trojan Simulator を見つけたんですが、 これは代表的なシミュレータだと思って良いんでしょうか?
>>609 Trojan Simulatorっていうかシミュレータ自体ポピュラーじゃないと思う
ググん無きゃ意味分かんなかったし
>>1 だけを読むとただのネタ・煽りスレかと思ったら、なかなかの良スレじゃないか。
次スレがあるなら、ここまでの情報をテンプレ化して、スレ立てしてくれると嬉しいな。
個人的には、コテハン「スマソ」さん、あたりが詳しそうなので、お願いしたいところだが・・・
>>611 節穴ですか、それとも611=スマソですか?
良識のあるやつほど
>>1 から順に読むので、最初の30レスくらいのところまで読んだ後ゴミ箱に捨てることになったりする。
「スマソ」だけは勘弁して欲しい。
>>610 そうですか。あまり一般的では無いんですね。ありがとうございます。
じゃぁ気にしなくても良いのかなぁ...
とりあえず Trojan Simulator を使ってテストした結果を示しときます。
検出できたもの:
- ウィルスバスター オンラインスキャン
- Gladiator 4 (既に開発が中止されていて現在は入手できません)
検出できなかったもの:
- a2
- Swat It
- GFi Trojan Scanner (オンライン)
- Symantec Security Check (オンライン)
a2 や Swat It で検出できなかったのが気になってるんですけどねぇ...
フリーで検出できるものは無いですか?
(Trojan Simulator は eicar みたいに害のないテスト用のファイルだそうです。)
>>615 ttp://www.misec.net/trojansimulator/ Trojan Simulatorというのは上記のことかい?
何が知りたいのかよく分からんが。アンチウイルス・アンチトロイソフトは
このソフトを検出しないのが正しい動作かと。
検出したとしてもきとんとテストバックドアと明記すべきだし。
サイトのWays Trojan Simulator can be detectedなどの詳細とかは
きちんと読んだのだよね。
>>616 「何が知りたいのかよく分からんが。」
知りたいのはそこに書いた通りで、仕込まれてしまったバックドアのような
トロイの木馬を検出するフリーウェアがあるのかどうか、です。
また、Trojan Simulator を利用して、そのようなものを検出する能力が
あるかどうかを判断するのは、ある程度有効な手段であると思っていますが、
これは誤りでしょうか?
専門知識に乏しいので、教えていただけると助かります。
>>615 Trojan Simulatorをインスト後にテストを少しやってみたので追加するよ。
・SuperLite + (簡易版) ANTIDOTE for PC Viruses・・・×
・Anti-Trojan Shield・・・・・・・・・・・・・・・・×
・Tauscan 1.65・・・・・・・・・・・・・・・・・・・×
・Trojan Remover・・・・・・・・・・・・・・・・・・○
・ノートン・・・・・・・・・・・・・・・・・・・・・×
上記のように、Trojan Removerだけがメモリ内のテストトロイを検知できたが他は全部駄目だった。
なお、Trojan Simulatorのファイルそのものをスキャンした結果は
やはり、Trojan RemoverのみがTSServ.exeをトロイだと検知した。
もう一つ、ファイルのkasperskyのonline virus scannerの結果は
↓のように認識できなかった。
TrojanSimulator.zip Archive: ZIP
TrojanSimulator.zip/TrojanSimulator.exe Ok
TrojanSimulator.zip/Readme.txt Ok
TrojanSimulator.zip/TSServ.exe Packed: UPX
TrojanSimulator.zip/TSServ.exe Ok
619 :
名無しさん@お腹いっぱい。 :04/03/06 17:12
TROJ_ISTBAR.Kに感染して、 トレンドマイクロのウイルスデータベースに 載っていた手動削除を行ったのですが、 いまだにポップアップウインドウが出てきます…。 ウイルスバスターでスキャンしても、 何も引っかからないし。 どうやって、このポップアップを表示させないように するのですか? 教えて下さい。 お願いします。
>>619 良くわかんないけど、ポップアップってスパイウェアじゃない?
そーゆーのあるし
見つかったんだけど対処の仕方がわからない おしえてください
>>624 1.)お使いのOSは?
2.)どのセキュリティーソフトを使い、どういう名前の悪意のあるプログラムが見つかったのか?
3.)見つかった悪意のあるプログラムのフルパスは?
これくらいの情報が無ければどんなエキスパートの人でも誰も答えようが無いと思う。
誰
とりあえず、電源落として再起動してみると面白いかも
TROJ_VOROFER.Aっていうやつに感染した・・・・_| ̄|○ OSはXPでウイルスバスターのオンラインスキャンをしたところ発見 比較的新しいヤシらしいのでほとんど情報があつまらず・・・・ 駆除方法知ってる方がいたらおしえてください。
トロイはやばすぎ
手動削除手順: 1. 不正プログラムのファイル名を確認します。最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_VOROFER.A」で検出したファイル名を確認してください。 2. システムのプロセス上に常駐している不正プログラムを強制終了します。手順 1)で検出されたファイル名を以下の手順でタスクマネージャを起動し終了します。 ・Windows 95/98/ME の場合 CTRL+ALT+DELETEを押します。 ・Windows NT/2000/XP の場合 CTRL+SHIFT+ESCを押します。 3. タスクマネージャを終了します。 4. この不正プログラムの自動起動設定を修正します。 Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリの値を修正してください。 場所: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 値: System Update = <手順1)で検索された不正プログラムのパスとファイル名> 場所: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 値: System Update = <手順1)で検索された不正プログラムのパスとファイル名> 5. コンピュータを再起動し、最新のバージョン(エンジン、パターンファイル)のウイルス対策プログラムを利用してウイルス検索を行い「TROJ_VOROFER.A」で検出したファイルをすべて「削除」してください。 註:WindowsシステムフォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、 Windows9x/Meの場合、 システムフォルダ= C:\Windows\System WindowsNT/2000の場合、 システムフォルダ= C:\WinNT\System32 WindowsXP の場合、 システムフォルダ= C:\Windows\System32 です。
631 :
名無しさん@お腹いっぱい。 :04/03/11 20:06
age
632 :
名無しさん@お腹いっぱい。 :04/03/11 21:49
sub7って何処でダウンロードできる? sub7があったサイトが潰れたみたいで。アホは承知だがよろしく頼む。(_ _)
>>633 情報ありがとう。
早速インストールしました。
a2のようなメールアドレスの登録は不要。
インストール時に選べる言語は
ドイツ語、英語、イタリア語の3種類(ホームページでの説明ではドイツ語、英語のままでした)。
スキャンにかかる時間はa2と同じくらいもしくは長いかも(今スキャン中なので%表示からの推測)。
a2同様、TrojanCheck6に較べてXPっぽいインターフェイスになってます。
a2よりも多機能なTrojanCheck6以上に機能は豊富(入れたばかりなので見てみただけですが)。
Free版には常駐保護機能はない様なので、他のソフトと干渉することもないでしょう。
たくさんある機能を使いこなせるかどうかはともかく、
ただupdateしてscanするだけならつかいやすいですね。
なかなかよさそうな感じです。
あとはupdateの頻度がどれくらいあるかですね。
>>633 俺も入れてみたよ。
英語でインストールすると"translation error"という箇所が結構あるんですが、
翻訳失敗っていうことかな。
シグネーチャ数はa2より多いですね。
右クリックではできる?
>>636 Ewido Security Suiteインストールしてみたけど、右クリックからスキャンは出来る。
a2のmain coder Andreas Haak氏のレビューより。
ttp://www.dslreports.com/forum/remark,9636934~mode=flat Ewido Security Suite Free, a2 Freeのどちらのソフトにも利点と欠点がある。
Ewidoの利点
+エミュレーションを利用したgeneric unpacking機能により、UPX, ASPACK, Morphine,
SMorph etc.といったPacker/Crypterをきちんとunpacking出来る。
+binaryベースのstrong signatureを採用しているので、ファイルスキャンが悪意のある
ユーザーによって容易には騙されない。
Ewidoの欠点
−エミュレーション機能はまだとても弱くて、TELock や PEXのような解凍がより難しい
Packer/Crypterはきちんとunpacking出来ない。
−memory scan機能がないので、ファイルスキャンのunpacking engineで検出出来なかった
悪意のあるプログラムは検出することは出来ない。
−unpacking engineにエミュレーションを採用しているのでファイルスキャンがとても遅い。
a2の利点
+ファイルスキャンのパターンマッチングにfingerprintsを採用しているのでファイルスキャンの速度が速い。
+ファイルスキャンでPackedされて検出出来なかった悪意のあるプログラムでもmemory scanで検出
することができる。
a2の欠点
−unpacking engineが無い。
−memory scanの定義ファイルが現在のところとても少ない。
−ファイルスキャンのパターンマッチングにfingerprintsを採用しているので、
a2のファイルスキャンは簡単に誤魔化せる。
だけど、a2 FreeもESS FreeもせっかくFreeソフトなんだからなんで両方とも使わないんだい。
余談だけどa2の定義ファイルは約2万種、ESSの定義ファイルは約3万種と書かれているけど、
定義ファイルの量自体はほとんど同じくらいだと思われ。
a2のDeveloperとESSのDeveloperはとても親しいので,Rokop Securityのメンバーなどは
よく知っていると思うけど、トロイのサンプルの多くをお互いに共有しているので。
ESSの定義ファイルの更新はプログラムのアップデートを含めると今のところ週に2回くらいの
ペースでこの3ヶ月くらいは更新していると思う。
個人的にESSはbinaryベースのstrong signatureを採用している点やRebasingされた悪意のあるプログラムを
きちんと検出できる唯一のアンチウイルス・アンチトロイソフトなのでとても素晴らしいです。
ttp://home.arcor.de/scheinsicherheit/rebasing.htm Andreas Haak氏もengineの改良と定義ファイルを一から作り直しているそうなので、a2ももうすぐアップデートするでしょう。
Ewido Security Suiteのスキャンが終わりました。
途中から%表示の進み具合が遅くなったので、
PCをほったらかしにしていました。
スキャン時間はa2の2倍位かかるようです。
>>638 >だけど、a2 FreeもESS FreeもせっかくFreeソフトなんだからなんで両方とも使わないんだい。
そうですよね。ソフトが干渉する事もないでしょうし、私は両方使っていくつもりです。
>>639 >ESSの定義ファイルの更新はプログラムのアップデートを含めると今のところ週に2回くらいの
>ペースでこの3ヶ月くらいは更新していると思う。
アンチトロイソフトにしては更新頻度は多いですね。ありがたいことです。
>>633 9x系はむりぽ。・゚・(ノД`)・゚・。
また良いソフトが サンクス(`・ω・´) 日本語化して欲しいなぁ
643 :
名無しさん@お腹いっぱい。 :04/03/14 20:00
結局なんだろう、アンチウィルス同様、決定打はないのかなあ。
644 :
名無しさん@お腹いっぱい。 :04/03/14 20:12
去年の暮れ、ADSLにするってことでソースネクスト社のVirus Securityを買いました。 それまで不覚にもFWすら入れてませんでした(恥)。 早速ウィルス検査をしてみたら、いとも簡単にトロイの木馬が発見されました。 W32.Swizzor.Trojanという名前です。ググってみたのですが引っかかりません。 こいつはどんな事をしでかすタイプなのか、ご存知の方がいらっしゃったら、 教えていただけるとありがたいです。 因みにADSLにする前はAOLブラウザでダイヤルアップ接続をしていました。 ADSLにするにあたってIE6のSP1を使うことにしたのですが、 IEが全く機能しなくなっていて(pingだと通るのにページがエラーで表示されない) 修復をしたり、再インストールしても無駄でした。 OEもエラー(忘れてしまったのですが、OEが不正ですとかいうものだったと思います。) が出て起動すらしませんでした(それまではAOLのメールソフトを使用していました。) 仕方なくリカバリしたら直りました。このトロイと関係があるのかどうか不明ですが・・・。 一体何をするタイプのものだったのか知りたかったので・・・ スレ違いでしたらすみません。
645 :
名無しさん@お腹いっぱい。 :04/03/14 21:20
646 :
名無しさん@お腹いっぱい。 :04/03/14 21:28
>>645 さん
教えてくださってどうもありがとうございます!m(__)m
いきなりノートン先生がBackdoor.Trojanというのを見つけてくれまして、 確認のためにレジストリを覗こうとしたらメモ帳が開くようになってしまいました。 ご丁寧にレジストリエディタをメモ帳に書き換えてくれやがったようです。 通常起動はできるのにセーフモードを立ち上げると青画面表示して止めてくれますし。 OS再インストですよねぇ、はあ・・・
649 :
名無しさん@お腹いっぱい。 :04/03/15 01:58
すごく不安になっていることがあるので質問させてください。 サブで使ってる98に入れているFWの遮断履歴を見ていたら、 トロイの木馬に使われるポートから、自分が逆に送信しようとして 遮断された履歴が何度もありました。 送信先の欄を見ると空白だったり、外部からアクセスしてきたIPに対して だったり(ひとつのIPを対象にではなく、複数のIPに対してです)。 一体何なのでしょうか? トロイの木馬に使われるポートから一体何を送信しようとしたのでしょうか? あるいは、何者かに何かを送信されようとしたのでしょうか? ウィルススキャンもしましたが、何も発見されませんでした。 メインで使っているMeでは、そのようなことはありませんでした。 IPは両マシンとも同じです。 気味が悪くて仕方ありません。 どなたか教えてください、よろしくお願いいたします。
入ってくる方の遮断ログは大体気にする必要がないのが殆どだが、 出ていく方の遮断ログは十分に調べる必要があるよ。 なお、トロイポートじゃないので安心だなっんてことはナンセンス。最近のトロイ はトロイポートなんて使用しないものがほとんど。 要は、納得がいかない勝手に出ていくようなプロセスの動きがあるかどうかが問題。 あれば当然トロイなんかの疑いがあるので要注意。 いずれにしろ、ことトロイに関しては自分自身のスキルアップしか確かな手だてが ないので猛然と勉強するしかないのが現状だと思う。
>>651 それは最近の〜じゃないだろ。
最近のはdll乗っとったりするからスキルうんぬんじゃ無理だろ
よーは信用できるバイナリ以外は実行するなってことだ
Tauscan検索遅すぎ、win2000、CPU2G、メモリ1Gで 10GのCドライブ検索に4時間かかってまだ終わらず ついでにTrojanChecker 6って検索はできないのかな?
>>653 以前にTauscan使ってみたことあるけど
C、D両方合わせて40Gで1時間弱だったよ。
よく4時間も待ってられるなw
658 :
ゲームでもしろよ :04/03/17 16:20
659 :
名無しさん@お腹いっぱい。 :04/03/18 00:53
ESSって導入して3日くらいで、もう5,6回はアップデートがあったんだけど、 なかなかいいね。 とこで話題のキンタマ・トロイってESSで検出できるの?サンプル持っている人 誰か試してくれないかなぁ?
//ip3e83566f.speed.planet.nl/hacked-by-chinese/5a.htm ↑でTroj/PSWBarok-Cに感染したようですぐに AVG Anti-Virus Version14 を使ってスキャン、発見したものを隔離したんですけどここからどうしたらいいでしょうか 全然どうしたらいいか分からないです・・・ご指導お願いしますm(_ _;)m
>>639 nyやってなきゃデスクトップを晒される事はない。
関係ないね。
nyやってる香具師はセキュリティも糞もないだろ。
トロイを心配する前にnyをやらない事。
Tauscan結局、18時間かかった。問題なし。 ノートンインターネットセキュリティでSockets de Troieの活動を防いだ ってゆーよーなログが毎日、数十回 ad-ware、spybot、ノートンアンチウィルスで異常なし HijackThis問題なし ewido、The cleaner、Tauscan、a2、SwatItをインストールしてチェック異常なし system.ini、win.ini問題なし レジストリのRunLoad、Run問題なし HKEY_CLASSES_ROOT\DirectSockets DirectSocketsCtrl存在せず問題なし csmctrl32.exe、mgadeskdll.exe、MSchv32.exe、Rsrcload.exe発見されず 結局、アホが単なるポートスキャンしてただけなんでしょうか? オーストラリアの220.XXX.XXX.XXX(XXXは毎回可変) ちなみにTDS-3ってWIN2000でエラーになりますね
>>663 レスありがとうございます!
削除してしまっていいんでしょうか?
もともとあったファイルが書き換えられてるのなら
削除したらシステムが変わってしまうことはないんですか?
初心者ですみません、指導おねがいします!
>>665 大丈夫。解らないことは聞くんじゃなくて調べることが
一番自分のためになると思うよ。
>AVG Anti-Virus Version14
て何なんだろう・・・。
AVGスレのスレタイをコピペしたのなら
いらない所は消さなきゃ。
というかAVGスレで聞けば良さそうなものだが。
>>665 隔離してからPCの動作に支障がないのなら削除。
支障がないから隔離されていると思われるが。
初心者は何の免罪符にもならないので連呼しないように。
>>665 隔離というのは悪意のあるプログラムを暗号化して無力化して、
将来修復出来る定義ファイルを待ったり、万が一システムに重要なファイルを
いきなり削除して、OS自体が不安定になってしまうのを防ぐための機能だから、
隔離した後でしばらく様子を見て何も問題が無ければ削除してよい。
シマンテックの30日体験版ってレジスト汚すのかな?
>>666-678 レスありがとうございます!!
>>666 う〜ん一応検索したんですがトロイについては書いてあっても今回みたいに細かいことは見つけられなかったんです
お世話になってすみません。
>>667 すみません消し忘れてました・・。
迷ったんですけどトロイと普通のウイルスでは削除出来る出来ないが違うのかなぁっと思って
迷ったあげくこちらに書き込ませていただいたのですがあっちで聞いたほうが良かったですかね・・。
すみません初心者はもう言うのやめます。
>>667-668 なるほど、隔離とはそのための機能なんですね
様子をもうちょっと見て削除しようと思います。
みなさんほんとにありがとうございました!今度から自分でもっと検索をするようにします。
その前にウイルス感染しても自分で対処出来る位パソコンに詳しくなればいいことなんですけど・・。 長文すみませんでした。。
トロイ感染したけど何の不都合も無いしどうせ弟のPCだからほっとこうと思うんだけどほっといたら何かヤバイの?
セキュリティーホール付かれてPC除き放題 あるいは置き台にされてハッキングされる
>>671 カードの番号とかなにもかも探られて弟借金まみれで破算w
誤字るヤシはわざとか?
セキュリティチェックっと・・・
678 :
名無しさん@お腹いっぱい。 :04/03/20 19:59
SVGでこんなのが出たのですが Virus Trojan horse TRC/BackDoor.SdBot.17.G is found in file To remove this virus,please run AVG for windows 翻訳などもしてみたのですが、まったくわかりません。 どなたかおわかりになりませんか。
>>678 SdBot.17.Gっていうウィルス(トロイ?)発見しますた。
AVG使って削除汁!
自動翻訳はあふぉだから、オンライン辞書使うイイ!
>>659 ESSってキンタマ・トロイ検出出来るねぇ。
ちょっとびっくりしたあるよ。
Trojan.Winnyな。しかしこの類はスキャンしなくても防げるだろ。 亜種には全く通用しないし
まぁ、いいじゃん。キンタマ・トロイを定義ファイルに加えたところで、
ファイルスキャンの速度に0.1秒も影響を与えることもないだろうし。
亜種も定義ファイルに加えて欲しいときには是非こちらに。
submitアットewido.net(アットを@に変えて)
キンタマは
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
上記のセキュリティーソフトのもっともマークの厳しい部分も書き換えるから、
TrojanCheck,SSM,RegistryProtなんかを使っている人にはたとえダブルクリックしても
大丈夫でしょう。
キンタマは結構悪意のあるプログラムの中でも技術的に面白いと思われ。
>>560 のトリックや。
>>327 の.folderのトリックを利用してるし。
htmlでexeを実行するのは
ttp://www.securityfocus.com/archive/1/354447/2004-02-19/2004-02-25/0 私が恐れていた上記が利用されているのではないかと思うし。
キンタマの作者は少なくともよく勉強していると思う。ちょっと関心しました。
言うまでもなく
>>661 さんの意見が一番正しいけど。
>>677 まぬけな上に運の無い人なら充分ありえる。
>>686 確かに
ネトカフェに仕込まれたキーロガーでネットバンクの・・・
なんて「まぬけな上に運の無い人」も実際いた訳だし
ところでESSって、Calendar of UpdatesにはUp情報載らないのかな?
688 :
名無しさん@お腹いっぱい。 :04/03/22 23:22
トロイ
トロイ(troj)を見つけたんだけどウイルス名ちゃんと確認しないで感染してる不正ファイルをさっさと削除しちまった… とりあえずレジストリエディタやwin.iniやsystem.iniを見ても特に改竄されてる場所も見つからなかった。 Eドライブで起動したからかな?ドライブとか関係ないのだろうか ハッキング型ならファイヤーウォールが多分外部に出ようとするファイルを見つけてくれるだろうけど まだ特に変わった事もないし。 まだとりあえず見とけって場所があったら教えて下さい
LANケーブルに異状はないかハサミで切って覗いてください
>>689 TROJ_APHER.Hだったらどうでもいいんじゃない?
だったらの話よ
あんたがもし他のファイルに手を付けてなけりゃトロイ増やしたってだけだから
>>689 FWはdllとかもチェックしてくれるたいぷ?
>>692 zone alarm使ってるけど調べてくれるんだろうか
とりあえずウイルススキャンをいろんな大手サイトで試したけどどこもかしこもOK牧場状態だった
つまりウイルス無いですよって言ってた
知らない間にルートフォルダ内に ServUDaemon.exe なるものがあるのを発見したのですが、 これは誰かに不正侵入されたのでしょうか。
695 :
名無しさん@お腹いっぱい。 :04/03/24 08:35
俺なんて1年半くらい前からトロイ感染してそのまんまだしね。 スパイウェアなんて無視しときゃいいんだよ。
>>694 ぐぐったらFTPバックドアって出てきたぞ。
>>695 俺もネット専用のノートのほうはトロイとかウイルスまみれでそのまんまだw
アンチトロイだとどれが一番良いのだろうか… a2かな?(´・ω・`)
701 :
名無しさん@お腹いっぱい。 :04/03/24 21:43
>>698 それって大丈夫なの?いくらネット専用とはいえ・・
いくら自分は気にしなくても、 ウイルス撒き散らされるのは迷惑なのだが。
a2 Personal レジしてインスコしたんだけどコード入力要求してこない・・ Free版でアクチしてあると、Free版をアンインスコ後にPersonal入れないと アクチ画面でない・・・ クレカで決済したんだけどお知らせメール来るの半日位掛かった。 最悪24時間って書いてあったから早い方なのかな・・・・
a2 freeを入れて、a2 UpdaterにUserIDとCode入れても 固まったまんまなんですが、もしかしてサーバー落ちてる?
>>705 レスサンクス
やってみましたが、やっぱり同じところで止まってしまいます。
UserIDとCode入れて、Activate a2を押すんですよね?
>>706 入力は間違いないよね?
FWが邪魔してるとか
関係ないけど
最新うp
20040325
Worm.Win32.Darby.g
Worm.Win32.NetSky.l
Worm.Win32.NetSky.q
>>707 確認しましたがダメポです… orz
とりあえずはSwat Itの方も試してみます。
ありがとうございました。
>>704 私もこれ入れた時そうなったけど、相手方には
送信はされていました。
メール見てみましたか?
710 :
名無しさん@お腹いっぱい。 :04/03/26 19:59
ewido security suiteで検索したら、Worm Gaybarに感染してますと出た。
感染ファイルは、Notepad。取りあえず、Removeした。
C:\WINNT\NOTEPAD.EXE -> Worm.Gaybar -> Removed
C:\WINNT\system32\dllcache\notepad.exe -> Worm.Gaybar -> Removed
C:\WINNT\system32\notepad.exe -> Worm.Gaybar -> Removed
で、どんなwormなのかググったが、どこにも詳細がない。で、別名を探したら
W32-Bar1236らしい。対処法は・・・「当社の製品で消せ」
この会社にしか詳細情報がない。誤検出か?
http://www.sophos.com/virusinfo/analyses/w32bar1236.html
>>709 レスありがとう。
IDとCodeはすでにメールで送られてきています。
ただ、一度目のデータのアップデートの際にそのIDとCode
をCopy&Pasteしてもそのまま固まってしまっている状態です。
とりあえずSwat Itの方は問題なくインストールできたので
当分はこちらを使用していきます。
一年くらい使ってなかったパソコンでも検出した。 トロイの発見日時とかから考えてもこりゃ誤検出だわ。 びっくりさすなよトレンドマイクロ
>>710 C:\WINNT\system32\dllcache\notepad.exe -> Worm.Gaybar -> Removed
C:\WINNT\system32\notepad.exe -> Worm.Gaybar -> Removed
notepad.exeのある場所からして誤検出はありえない。
何かしらの悪意のあるプログラム。
Worm.Gaybarはgoogleを探しても情報が少ないね。
一番いいのは
ttp://www.wilderssecurity.com/index.php?board=25 上記に書き込んで聞いてみるのがいいのだろうが。
Ewidoの開発者の一人Peter Klapprodt氏もいつも掲示板をチェックしてくれているので。
>>714 そうですね。感染ファイルを取っておけば良かったのですが、
セーフモードで検出してRemoveしたので、抹殺されました。
何の目的で作られたのか、どんな影響があるのか全く不明なので、かなり不安です。
>>711 a2いれてみたけど漏れは大丈夫だったぞ
入力はメールアドレス全部入れてるかもう一回確かめてみるかa2サイトいってログインして見てみれば?
718 :
名無しさん@お腹いっぱい。 :04/03/27 20:57
今、GateCrasher の警告をノートン先生が大量に出しているのだが、 わしのところだけか?
719 :
名無しさん@お腹いっぱい。 :04/03/28 14:47
trojanCheck6で Zugriffsverletzung bei adress 8B4052C4. Lesen von adresse 8B4052C4. ていう警告が出ましたがこれはどういう意味ですか。 参照できないアドレスのメモリを参照しました・・・みたいなやつですか。 ふつうそういうのが出るとアプリは死ぬと思うのですが trojanCheck6はその後も普通に動いてるのですけど。
>>711 オミトロン使ってない?
俺の場合はFWはOKだったんだが、オミトロンがNGだったよ
>>720 それでした… _| ̄|○
オミトロンをバイパスしたらあっさりと…。
教えて君&スレ汚しすみませんでした。
Downloading Signature database 03/28/2004 Detection for Worm.Win32.Sober.E
トロイやウィルスなんて絶対ひっかからん!! おくれるならやってみろ!!
>>724 タイ━━━━||Φ|(|´|Д|`|)|Φ||━━━━ホ !!
age
A2でTrojanSpy.Win32.Srdl.14とDialerを発見しますた。 いつの間に入ったんだろ?
toroi
toroi
test
>>728 なんのファイルをそれだと検出したわけ?
>>729 まぁね・・・ 否定はしないよ…
>>733 セカンダリに繋いであり、普段は起動させないWindows98のHDDのWINDOWS\SYSTEMの中
internat.win → TrojanSpy.Win32.Srdl.14
こっちは拾い物w
cdcopy_setup.exe → Dialer
ちなみに実行させた事はありません
ESS、UP来てるね
このスレッド見てESSの英語バージョンを導入してみたんだけど、 ところどころ自分の環境WinXPではtranslation errorになっちゃう。(´・ω・`) これは日本語OSに導入した場合の仕様でしょうか?
>>736 無問題・・・らしい
今日もewido うpかよ マメだな
TROJ_MUSS.A と TROJ_MUSS.C に感染してしまいました・・・。 IE立ち上げると勝手に file:///C:/WINNT/secure.html という場所に 飛ばされてしまいます。 すぐにオンラインスキャンして、感染されていた2つのファイルと secure.html を消し、再度スキャンして感染ファイル0になったのですが、 まだIE立ち上げようとすると「secure.htmlが見つかりません」などの文章が 出てきます。 まだ直ってないのでしょうか・・・やはりHD全部綺麗に消さないと、 いけないのでしょうか・・・? また、対応の仕方を調べていて 不正プログラムによるシステムの改変を修復します。 Windowsのレジストリエディタ(regedit.exe)などを使用してレジストリ キーを削除してください。 という文章を目にしたのですが、これも絶対にやる必要があるのでしょうか? やり方が分からなくて、出来ずにいます・・・。 良い対応法をご存知の方居ましたら、ご指導お願いします・・・。
>>739 早いご返答、ありがとうございます!
スパイボットというソフトを落として使ってみても直らなかったので、
HijackThisを使って、ログを掲示板に貼らせてもらいました。
一部、上に自分で書いた文章を使ってしまっています・・・マルチポスト
みたいになってしまって、すみません・・・。
教えてくださって、本当にありがとうございました〜。
あれ、だぶたな(^_^)
>>739 様
>>741 様
教えてくださって、ありがとうございました。
早速行ってみて、早い対応と指示、今後の対策など教えていただき、
解決する事が出来たみたいです!
お騒がせしました〜&ありがとうございました!
>>734 遅レスですが、
>>409 あたりからinternat.exeの話がされているが。誤検出では?
20040404 a2 うP Worm.Win32.Sober.F
あげ
748 :
名無しさん@お腹いっぱい。 :04/04/07 11:19
a2ってスキャン開始までが異常に時間かかるな
Loading Signatures…でしょ 漏れも長い
751 :
名無しさん@お腹いっぱい。 :04/04/08 00:14
>>750 別に長いのはいいんだけど、最前面に居座られるのが鬱陶しいよな
確かに長いし、最前面表示を解除できないのは正直ウザイ。
753 :
名無しさん@お腹いっぱい。 :04/04/10 02:49
Trojan horse Downloader.VB.ECってどうやったら削除できるのですか? メディアプレーヤーを開こうとするとAVG6.0が警告します。 削除しても復活するので困っています。 アドバイスお願いします。 OSはw2kです。
解決しました。 ご迷惑おかけいたしました。
なんでこう自己解決した香具師は その方法を書かないんだろ・・・。 書けば誰かの参考になるかもしれないから無駄レスにならずにすむのに。 ちなみに私自身はどうなったか全く興味もないし 知りたくもないが。
マルチの可能性大
757 :
名無しさん@お腹いっぱい。 :04/04/10 04:53
久しぶりのカキコがあったかと期待したのに・・・とか言ってみる a2、ESS以降進展が無いなぁ
メディアプレーヤーをアンインストールして、pup.exeを削除して 再起動して、メディアプレーヤーを再インストールしたら直りました。 自己中ですみませんでした。何かの参考にしてください。
オンラインスキャンしたらTrojan.Win32.Harnig.bっていうのがでてきました。 でもそのページでは駆除も削除できませんでした。 ということでアドバイスお願いします。
やーだよ
762 :
名無しさん@お腹いっぱい。 :04/04/12 18:42
ネタにきま8ryくぁwsdtyふじこl
downloader.winshow.V というのに感染したんですけど、何度消してもまた感染するのですが 対処法を教えてください。お願いします。
>>765 ありがとうございます。さっそく導入してみます
レジストリ修正と該当ファイル削除でとりあえず解決した模様。 ただ若干トレンドマイクロの情報との違いがあって ・R3.EXEではなくてR4.EXE ・SERVICES\SERVICES.EXE が生成されてない(scchost初期化に失敗が関係?) もしかすると出来の悪い変種かも知れない。 いい加減ウィルス対策ソフト買っとかないとダメかなー
フリーのアンチウイルスソフト使えばいいじゃん。
いかにセキュリティを気にしない方がいるという指針ですな。 サポート業務もうんざりするわけよ。
772 :
名無しさん@お腹いっぱい。 :04/04/19 13:55
e-accessADSLから、マンション内VDSLのUSEN光にして半年、外部からの攻撃がひどく、こまっています。 ひどい時は終日30秒おきにトロイの木馬のアタックがあり、発信源はカナダだったりドイツだったり。 最新型のウイルスもいち早くやってきます。 e-accessも併用してますが、24h繋ぎっぱなしでも外部からの攻撃は年に1〜2回程度です。 これって、同じマンション内にウイルスかかりまくりの、エロサイト巡り大好きな住人がいるってことでしょうか?
774 :
名無しさん@お腹いっぱい。 :04/04/20 16:01
a2でTrojan.Win32.KillFilesとTrojanSpy.Win32.Srdl.14を発見しました。 まずTrojan.Win32.KillFilesをa2で消去した後に元のファイルを消去したんですが マシンを立ち上げる時に変な文字が出て止まるようになってしまいました。 10行ぐらいのバグのような文字の羅列が続いた後にvsdata.95で終っています。 Enterを押せば一応は使えるんですが、レジストリがおかしくなっているみたいです。 このトロイは2年前にDLした、rmを繋ぎ合わせるソフトに付いていました。 でも何でこのファイルに付いていたのかがわかりません。 XPのノートから98seのデスクトップに移したファイルだったと思います。 当時は普通に使えてたし、そのソフトは今でも配布されてるようなので DLした後に別の経路から植え付けられたみたいです。 別の経路として考えられるのはINTERNAT.EXEから発見されたTrojanSpy.Win32.Srdl.14です。 しかし、誤検出だという意見もあるので、こちらのトロイは今のところ放置しています。 まずはTrojan.Win32.KillFilesを消去しておかしくなったレジストリを治そうと思います。 これはレジストリの最適化をすれば元に戻るのでしょうか? それともレジストリエディタを使って自分で治した方がいいのでしょうか? アドバイスを下さい。 よろしくお願いします。
>>774 emsoft.comのMaleware-Database
a2 Malware-Info: TrojanSpy.Win32.Srdl.14
We are sorry, but we don't have a description available now for the Malware item you are
searching for.
直訳
私たちは残念です。しかし、私たちは今記述を利用可能にしておきません。 悪製品のために探索しているアイテム。
これを見ると、a2によるこのトロイの検出はあまりあてにならないかと思うのですが、どうでしょうか?
Trojan.Win32.KillFilesは、いっぱい種類があってわかりません。
こちらも削除する前に他のアンチトロイソフトを使ってみればよかったのでは?
776 :
名無しさん@お腹いっぱい。 :04/04/20 16:51
>>775 怖くなってすぐに削除してしまった事を後悔しています。
データを消すトロイだからexeをクリックしなければそんなに危険では無かったんですね。
削除した後にウイルスバスターの体験版を入れたんですが
TrojanSpy.Win32.Srdl.14は検出されませんでした。
>>776 バスターとかではアラートなしというのは
>>419 や
>>431 で既出でしたね。
Trojan.Win32.KillFilesはアンチウィルスソフトやPestPatrolでも検出するみたいだけど、
トレンドマイクロの「TROJ_KILLFILES.X」では検出されたファイルを削除しろとしか書いてないですね。
責任はもちませんが、トロイがそのソフトについてたのかどうかわかりませんが、
同じソフトをもう一回インスコしてから、いろんなソフトでスキャンかけて検出されるか試してから
普通にアンインスコしてみれば?
レジストリが元に戻るかわかりませんがね。a2の誤検出だったかもしれんし。
もうやったかもしれませんが、レジストリ最適化しても元には戻らないと思いますよ。
あくまで自己責任でおながいしますよ。
778 :
名無しさん@お腹いっぱい。 :04/04/20 18:13
Ad-aware6.0、Spybot1.2で調べてみたんですが TrojanSpy.Win32.Srdl.14は発見されませんでした。 こちらは誤検出の可能性が高いみたいです。 もう一度、ソフトをDLしてa2で調べてみたんですが Trojan.Win32.KillFilesが見つかりました。 でも、このソフトは解凍するだけで使えてレジストリも使ってないです。 それなのに消去してレジストリが壊れるのはおかしいですね。 他の検索ソフトでも発見されるかどうか試してみます
インスコーラーを使わなくても、レジストリを使用するソフトはあるのでは? 他のソフトっていうと、フリーではSwatiIt、Ewidoくらい? Win98だと、Ewido使えないんだよね? 後はPestPatrolのオンラインスキャンくらいかな?
誤検出の確認するだけだったら別にフリーのものにこだわらなくても Tauscan,Trojan Remover,The Cleaner,TrojanHunter辺りの体験版を 落として使えばいいだろう。
781 :
名無しさん@お腹いっぱい。 :04/04/20 22:48
>>779 >>780 テキストにレジストリは使用していないと書いてあるので大丈夫だと思います。
これって確実に誤検出ですよね。
a2で削除したんですが肝心のexeは消去されずに残ってました。
その時にトロイではなくて何か別の大事な部分が消えてしまったみたいです。
慌てて消去せずに、先にここで質問するべきだった・・・・
Trojan.Win32.KillFilesを削除した後にウイルスバスターを入れたんですが 重いので、その時にアンインストールしたzone alarmを入れ直したら不調が直りました。 ウイルスバスターを入れたのが原因かzone alarmを外した事が原因か、 どちらかはわかりませんが解決しました。 ありがとうございました。
それはたぶんゾネが原因だな。 漏れも昔、NTにゾネ入れててアンインスコしたらなんかメッセージが出てきた記憶がある。 ゾネ関係のレジストリ消したら直ったような・・・気がする。あまりに昔なんで忘れたが。
784 :
名無しさん@お腹いっぱい。 :04/04/21 18:48
いまやスッカリ忘れ去られた感のあるESSですが 久しぶりに、うp来てるぞ だからCalendar Of Updates Calendarにも取り上げてくれよ・・・
>>784 乙。
>だからCalendar Of Updates Calendarにも取り上げてくれよ・・・
激しく同意。
ここにもきんたま被害者の会が、、、
788 :
名無しさん@お腹いっぱい。 :04/04/24 06:17
EwidoもCalendar Of Updates に載るようになったね さっそくUPきてるし
789 :
名無しさん@お腹いっぱい。 :04/04/24 20:55
CodeRed.Dに感染していて駆除できないってどゆこと?削除したけど・・・ ダイジョブ?
>>789 今更CodeRedに感染するなんてダメダメですな。
続きはくだ質か日記スレあたりでどぞ
>>790 情報系の大学行ってる身として恥ずかしいわ・・・
情報系の大学とComputer Securityってあんまり関係ないような。 code redなら素直にアンチ・ウイルスソフトをセーフモードを使ってスキャン してみればどうだろう。たいがいはきちんとdisinfect(駆除)出来るはず。
793 :
名無しさん@お腹いっぱい。 :04/04/25 11:58
restoreに染み込んでいたウイルスをやっと殲滅できました(;´Д`)
794 :
名無しさん@お腹いっぱい。 :04/04/27 03:33
795 :
名無しさん@お腹いっぱい。 :04/04/27 13:14
1
797 :
名無しさん@お腹いっぱい。 :04/04/28 22:34
失礼します。 今日、コマンドプロンプトからnetstat -a をかけてportを調べたら。 TCP mypc:5000 mypc:0 LISTENING というportが見つかりました。 ネットで調べてみた所。 port 5000 Back Door Setup, Blazer5, Bubbel, ICKiller, Sockets des Troie という物に該当しているのが判明しまして、今大変困っています。 削除方法、このTROYに関する情報、何でもいいので どなたかご教示願えれば幸いに存じます。 よろしくおながいしますm(--)m
>>798 返信ありがとう!!
まじでありがたいです。
インストールしてやってみます!
801 :
名無しさん@お腹いっぱい。 :04/04/29 11:33
トロイ駆除できなかったから検疫に出して隔離すれば悪さしない?
すみませんが教えて下さい。 一度トロイに入り込まれてしまったら、 ウィルススキャンしても無駄なのでしょうか? 仕掛けた側がこちらのスキャンが無効になるように 何か細工を仕掛ける事などあるのでしょうか?
>>802 トロイというか、メジャーなウイルスの多くは感染するとメジャーな
アンチウイルスソフトやファイヤーウォールソフトのプロセスを勝手に
停止したりプログラムを消去したりします。
また、hostを書き換えてシマンテックやトレンドなどメジャーなサイトのDNS参照を
失敗させてWebページが見れない&最新の定義ファイルがダウンロード
できない状態を作ります。
というわけで細工されまくりな可能性もあります。
a2で隔離したファイルってどうやって元に戻すんでしょうか? a2のフォルダにも隔離ファイルはみあたりませんが… いざという時の為に知っておきたいのです
>>803 教えて下さって有難うございます。
アンチウイルスソフト等は問題なく動いているようです。
オンラインスキャンで調べても被害は受けていなかったようで安心しました。
a2は4/4からうpしないな と言ってもほかに良いソフトもないし…(´・ω・`)ショボーン
なんか調子悪い気がしたんでウイルスチェックしたら Backdoor.Powerspiderと、PWSteal.Lemir.E の2つがある、って出たんだけど これ、どうやって処理すればいいの? なんか、解説よんでも難しくてよくわからんのやけども…
>>800 あの自分は797氏ではないのですが、素朴な疑問として
紹介されているProcess to Port mapperを使えばDLL Injection機能のある
トロイなどもきちんと表示することが出来るのでしょうか?
リンク先のBeastとかいうトロイのレビューを読んでいたら気になったもので。
もしよろしければご教示ください。
>>800 丁寧かつ貴重なご意見ありがとうございます!お察しの通り私のosはxpです。a2使ってもno hit だったのでおかしいなと思ったのですがそういう事でしたか。ところで800氏はネットワーク関連のお仕事をされてる方ですか?
>>804 a2って隔離なんてできるんだっけ?削除するだけだと思ってたけど。
>>806 Ewidoとかはどうなんですかね?使ったときないけど。
>>806 折角だからEwidoも併用してみれば。
まだ一ヶ月くらいしか使っていないけど、Ewidoは毎日のようにアップデートがあるぞ。
今日もアップデートがあった。
SecuritySuiteのtranslation errorの表示はリソースいじったりして直せますか?
813 :
名無しさん@お腹いっぱい。 :04/05/01 06:13
a2久しぶりにうpキター!! 嬉しいw
>>806-811 というか、ココでの紹介時は
a2とewidoの併用を勧めてたよね
真っ正直に併用してるけど実際問題うp作業してるだけでトロイ感染した事無い
ところでa2のbackground-gurdって機能使ってる人いる?
814 :
名無しさん@お腹いっぱい。 :04/05/01 10:22
Trojan horse Downloader.VB.ECってどうやったら削除できるのですか? 前にも同じような症状の人がいたみたいだけど、対処法が書いてなかったんで、教えてください。
ほんとだ4/30 対応ウィルス TrojanDownloader.Win32.Small.gy Worm.Win32.Bagle.p Worm.Win32.Bagle.q Worm.Win32.Bagle.r Worm.Win32.Bagle.s Worm.Win32.Bagle.z Worm.Win32.Lentin.n Worm.Win32.Mimail.q Worm.Win32.NetSky.aa Worm.Win32.NetSky.j Worm.Win32.NetSky.k Worm.Win32.NetSky.m Worm.Win32.NetSky.o Worm.Win32.NetSky.p Worm.Win32.NetSky.r Worm.Win32.NetSky.s Worm.Win32.NetSky.t Worm.Win32.NetSky.v Worm.Win32.NetSky.w Worm.Win32.NetSky.x Worm.Win32.NetSky.y Worm.Win32.NetSky.z
a2 up
24385Signaturesでおk?
819 :
名無しさん@お腹いっぱい。 :04/05/03 06:34
ESS アップデート マメだな
フリーで日本語化できるのでお勧めは何ですか?
>フリーで日本語化できる のは無いんじゃないか。
823 :
名無しさん@お腹いっぱい。 :04/05/05 23:52
ブラピage ESSはかなりの部分がtranslation errになっちゃうな。 日本語化パッチホシィ(´・ω・`)
824 :
名無しさん@お腹いっぱい。 :04/05/06 05:04
IDSがsubsevenというトロイの侵入を検知したのですが これはもう感染したという事なんでしょうか?実行した覚えはないのですが
a2 物凄い勢いだ
1度に1500以上ってすごいな
今回のうpで vp3 vp6 aaw が掛かったぞ(;´Д`)
あ、繋がった すげぇ更新
うpしたらa2の起動がスゲー重くなった・・・
a2がNortonAntiVirusのLusetup.exeからBackdoor.Botcmdを誤検出するみたいだ。
a2をいれて,user,codeもちゃんと入力したのに、 Can not connect to the account sarver. Please check your internet connection setting. と出て一向に先にすすみません。 インターネットには繋がってるのですが… 一体何が悪いのでしょうか。
FWじゃないの
Trojan.Adclicker に感染したのでSystem Volume Informationを 開こうと思ったらアクセス禁止になってます。じぶんのPCなのに…
ああ、そういえば検疫してたんだった_| ̄|○
ドイツ語文字化けさせないためにはドイツ語フォント入れればいいの? MSドイツゴシックとかないかな?
猿の惑星の監督か
誤爆スマン
BITDEFENDERでスキャソしたらMPXやSYSTEM VOLUME INFOMATION\_RESTOREのA0039273.exeがTrojan.killAV.Cに... OTZ
a2また1500だ。 これで25915になった。
いまやってみたら前回誤検出したのがしなくなったから、それの修正だけだったのかもだな。
ssm1.9.4 b1.zipを解凍するとformat.helpってファイルがあるんだけど これって何かに使うの?
誤爆したw
a2シグネーチャー読み込みが速くなればなぁ
もう何回もOSの再インストールしてるのに何度もチェックに引っかかる・・・ 再インストールしてもPC内に残ってるファイルとかあるんですか?
>>845 HDDをフォーマットしてからインストールしてるの?
それとも上書き??
>>846 フォーマットしようとしてもできないので、システムフォルダ以外のファイルは
手動で消して、一回セーフモードで起動してからOSをいれてます。
フォーマットできないわけがない
>847 それは上書きインストールしてるだけだ。 CDから起動して、HDDをフォーマットするんだよ。
850 :
名無しさん@お腹いっぱい。 :04/05/10 10:53
たぶんbabyronという英和和英英英の無料辞書をインストールした際、
TEXTWAREというフォルダができ、なかにILLVEIWER.EXE
というのとQFSERVER.EXEというソフトがインストールされました。
両方とも表立って動いているようには見えないのですが、
消すことができず、手作業で消しました。ですが、IEHelp.DLL
というファイルだけがWINDOWSが利用しているようで消せませんでした。
そのため、SPCpyというフリーソフトをDLして消去しました。
以上の操作で問題ないでしょうか。お教えください。
ちなみにこれです。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_BLKSTONE.A 危険度などもあわせて教えていただけるとありがたいのですが。
誘導されてきたのですが前スレでは新しいソフトを購入するように言われました。
できればフリーのソフトがよいのですが。
当方、ZA,spybot,ad-aware、AVGの4本だてで毎日アップロードをやってきていたのですが、
これでは不足でしょうか。
>>850 SPCpyでググッてもよくわからないんけど、取りあえずリンク先のトレンドマイクロの
指示通りやって何もなければ問題ないと思う。
識者の見解を待ってね。
あと、このスレはセキュリティ板1の良スレだと思うので最初から読むことを勧めるよ。
↓全部フリーだよ。
・IEコンポーネント以外のブラウザ(Opera、Firefox等)を通常は使う
・レジストリ改変を監視するソフト(SystemSafetyMonitor、RegistryProt等)の導入
・アンチトロイソフト(a2、ewido等)の導入
・スパイウェア予防にSpywareBlasterとIE-SPYADの導入
>>852 Babylon Translator2.2か4.xならSpybotで検出されるみたいね。
spywareみたいなんでそのプログラム自体削除したほうがいいのでは?
あとは、先ほど紹介したa2とewidoでスキャンするとか。
レジストリに残骸がないか心配ならレジクリーナーで掃除するとか。
×被害対策の部屋でIEHelperについて ○被害対策の部屋でIEHelp.dllについて
>>855 すべて削除しました。
つながらないのは、ウィルスが利いているからだったのですね。納得しました。
いろいろ導入したのはいいのですがテレビの予約録画ができなくなりました。
いろいろ調整してみようと思っています。ありがとうございました。
テスト用の無害なウィルスは持ってるんだけど、無害なトロイってないですか。
リークテストがやりたいならそれ用のがたくさんある
Ewidoでスキャンするとjpgまで調べてしまいます jpgやtxtスキャンしないようにするのはどうしたら いいですか?
>>861 どうしようも出来ない。
私もほとんど同じ質問をしたことがあるけど、Ewidoは拡張子に関係無く
全てのファイルを検査の対象にしている。
テキストにウイルスのソースファイルが書いてあるような安全なファイルも
検出してしまいます。これは仕様ですか?
それに対するEwidoの開発者チームの一人 Peter Klapprodt氏の答え。
This is a little problem because we scan EVERY file and don't rely on
it's extension, so there's almost no secure way to determine what file
type it really is. I don't think this will change/improve soon.
近い将来、特定のファイルの除外(exclude)機能が付くことに期待しましょう。
失礼します。
当方普段はAVGというアンチウイルスソフトを使用しています。
最近自分のPCの調子が少しおかしいと思ってトレンドマイクロの
オンラインスキャンも試してみたら、
C:\Windows\system32\winsvc.exeというファイルから
BKDR_SDBOT.GENというファイルが見つかりました。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_SDBOT.GEN 「SDBOT」はハッキングツールシリーズということで、これはまずいと思って
上記のサイトの通り削除しようと思ったのですが、winsvc.exeというレジストリ項目が
見つかりません。ファイルを削除して再起動してオンラインスキャンするとまた
見つかってしまいます。
OSはWinXPを使っています。
どなたか解決法をご存知ないでしょうか?よろしくお願いします。m(_ _)m
>>863 このスレッドは人がとても少ないね。w
sdbotは今現在agobotなどと並んでとても人気のあるbackdoorだけど。
接尾辞のGENというのはgeneric detectionという意味。
以下はSymantecの命名規則だけど、命名規則は基本的な部分では同じものだから。
ttp://www.symantec.co.jp/region/jp/sarcj/vnameinfo.html もっと分かりやすい言葉でいうとgenというのはヒューリスティックの部分でsdbotを
見つけたということ。つまりトレンドのオンラインスキャンは定義ファイルには
完全にマッチしなかったけれど、sdbotの亜種ではないかと判断した訳だから、
リンク先のインストラクションに完全にマッチするとは限らない。
sdbotが悪意のあるプログラムの中で大きな特徴としてあるのは、
オープンソースの優秀なbackdoorであるということ。私も随分以前いろいろ弄ってみたけど、
だからオートマチックにdisinfectするのはとても難しい。
一番安全に処理するのなら、OSをリカバリーして、ハードディスクにあるパスワードと
名前の付くものはすべて変更すること。
もしどうしてもdisinfectしたいのなら、件名を「トロイスレの863です。」として
以下にメールください。色々ログを見なければどうにもなりませぬ。
submitmalwareアットhotmail.com(アットを@に変えて)
なんで人気のある、とか優秀なbackdoorとかの言い回し使うの?
人気のある=たくさんの人のdisinfectするのを手伝っているから。 優秀な=ソースコードを見て。作者氏とも何度も議論させてもらっているし。 おやすみなさい。^^
867 :
名無しさん@お腹いっぱい。 :04/05/17 18:42
先日JS/Lamedon.Aと言うウィルスに感染しました トロイと判定され、幾つかのファイルは駆除、 削除出来たのですが、system32内に[MSLib.dll]と言うファイルだけが 駆除できません、使用中とかで・・・ 何とか駆除削除出来ないでしょうか? 使用環境は XP ソフトはMcAfeeです
セーフモードで起動すれば削除できるかもしれない
869 :
名無しさん@お腹いっぱい。 :04/05/17 20:12
全然関係ないかもしれませんが悔しかったので書き込まさせてください。 『ノートン インターネットセキュリティー2004』を購入しインストールしましたが 何かパソコンの待機時間(マウスポインターが砂時計状態)が長くなってしまい 全然仕事にならなくなってしまいました。 そこで『シマンテック』のサポートセンターに問い合わせましたが直らなかったため アドバイス通り仕方なくアンインストールし またインストールし直しました。 ところが この作業をしましたら当方のパソコンのOSの一部が破損されてしまい 結局初期化せざるを得ない状況となってしまいました。 大変な時間と手間の浪費に腹が立って仕方がありません。 今では『ウイルスセキュリティ2004』という違う会社のソフトを インストールしていますがこちらは非常に快適です。 『シマンテック インターネットセキュリティー2004』によって 私のパソコンは破壊されてしまい商品を返品したく返金を要求しましても返事すら来ませんでした。 シマンテックサポートセンターに対して何度も同じ請求の問い合わせをしましたが全くの無視です。 私は今も怒りと悔しさで いっぱいです。 皆さんも同じような経験はありませんか?
(´ε`*)
>皆さんも同じような経験はありませんか? スレ違いなカキコをマルチポストした経験はありませんし、今後もそのつもりはありません。
873 :
名無しさん@お腹いっぱい。 :04/05/17 22:13
>>869 ソースネクスト様、お仕事お疲れ様です。
ところで、御社の「ウイルスセキュリティ2004」を購入しインストールしたことによって、
私のPCが再インストールせざるを終えなくなってしまったことへの、
賠償の件はどうなりましたでしょうか。
874 :
名無しさん@お腹いっぱい。 :04/05/17 22:17
JS.Downloader.Trojanというのに感染したようです 治し方教えてください
ファイル消せばなおせるよ
>>875 それはどのようにやればいいのでしょうか?
すいません、初心者なもので
>>877 感染してるよ〜 って言われたファイルを削除。
できなきゃ、「セーフモート」゙でログインしてから削除。
パソコン起動したらF8連打でセーフモードになるらしい。
どのファイルが感染してるのかわからないけど。
JS.Downloader.Trojan を検索すると対処方法が書かれたサイトが 一つや二つは検索されるから、それらを参考にするとよいぞ。
>>879 JS.Downloader.Trojan でググったらそれらしいサイトは出てきたんですが
英語表記なのでよく分からないんですよ
この手のウィルスを自力で治した経験のある方がいたら方法を教えてほしいです
ウィルスの症状としてはIEのスタートページと検索ページが強制的に書き換えられるのと
タスクバーに妙なアイコンが出るといった具合です
>>881 www.sex-true.com/mau/new.html
【ウィルス名:JAVA_BYTVERIFY.A-1 or JS.Downloader.Trojan
IPアドレスが表示され、ActiveXをDLさせようとする
そもそもウィルスソフト入れてないんだろ?話にならない。
>>882 のサイトすごく参考になると思うからよく読んで
メモでも取って再インストールしようよ。
真っ新から始めた方が気持ちもスッキリする。
訂正 アンチウィルスソフト
886 :
名無しさん@お腹いっぱい。 :04/05/18 22:18
loadnew.exeというファイルを削除したら攻撃がなくなった giko navi にいくつか感染したファイルがあった
>>883 ノートンを入れてます
けどウィルススキャンしてもウィルスが発見されないのです
何かいい方法はないでしょうか?
>>887 ほかのソフトでウィルスだって言われたファイル手動で消せば良い
ttp://www.kaspersky.com/news.html?id=148515536 Kaspersky Labsは、マスメーリング機能(@mm)を持つAgentという名前のトロイの木馬を
定義ファイルに加えました。このAgentトロイは、ユーザーが画像フォーマットの一種、
BMPファイルを開くことで感染します。
Agentトロイは、MS Internet Explorer 5.0と5.5のバージョンに存在する脆弱性を利用して、
犠牲者が悪意を持って加工されたBMPファイルを開くことで、犠牲者のPC上で悪意のある
コードを実行することが出来ます。このIEの脆弱性は2004年2月16日に最初に発覚した
Windows2000のソースコードが漏洩したことに直接起因しています。
Agentトロイはロシア語バージョンのWin2000をターゲットにしており、他の言語のWindows2000
では動作しない。ただ近い将来この脆弱性を利用する多くのMalwareが登場するのは容易に
想像することができます。(全言語・バージョンのWindows,IEをターゲットにして)
今現在、Microsoftはこの脆弱性に対応するパッチをリリース出来ていない。
今現在、この問題からシステムを守る方法は、この悪意を持って加工されたBMPファイルを
検出することが出来るアンチウイルスソフトを常駐させておくことがとても重要である。
(Symantec,Kaspersky,McAfee,etc...)
・・・いろんなSecurity Forumで話合われていますね。
なるほど
それSSMで防げそうだな。
a2 up Downloading Signature database 05/20/2004 ... Several thousand new signatures Downloading Signature database 05/21/2004 ... 4 new signatures 28755signatures
a2 up Downloading Signature database 05/22/2004 ... Few internal changes of the base database and some urgent updates
a2入れてみた。 Userのところって、もしかしてアドレス入れるのですか? あと文字化けでaイって表示される・・・。
>>895 languageファイル開いてaイをa2に置換
>>896 私は
>>895 じゃないけどありがとう。
それにしてもaイがいっぱいあるのにはびっくりした。
>>895 >Userのところって、もしかしてアドレス入れるのですか?
はい。
ちなみにレジストリ内のaイを含むキー名を変更することはNGです。 プログラムが起動しなくなります(やってみた俺は馬鹿?w
900
>>890 情報ありがと。
しかし、Windows2000のソースコードが盗まれたのが脆弱性が発見された原因て、
相変わらずマイクロソフトはひどい話やなぁ。
これでJPGウイルスなんて出てきたら本当に
(((( ;゚Д゚)))ガクガクブルブルやね。
>>901 jpgでトロイ仕込まれるなんてIE使用者には既出じゃん
某セキュリティソフト再インストしてたら急にトロイ警告が増えた。 気になったんでラットラッカーで調べるとWingate、HttpProxyのところでログが出た。 でも最近エラーがくるのはShockRaveとNetBusなんだけど・・・。 とにかく引っかかった以上、Norton先生のスキャンかけたけどトロイは発見できず。 一応昔使ってた「ToRoI Baster」いま常駐させてるけど。 こういうのってやっぱ専用ツール入れないと駆除できないですよね?
>>902 >jpgでトロイ仕込まれるなんてIE使用者には既出じゃん
私は901氏ではないけど、これはIEは拡張子が*.jpgであっても、中身がhtmlファイルで
あれば、htmlとして解釈する奇妙な癖があるということでしょうか?
(この場合*.jpgに限らず*.rmであろうと*.txtであろうと関係ないけど。)
私は今までに*.jpgで感染するトロイというのは見たことがないので。
最近でもIEの脆弱性を利用した、通称jpgトロイというのが話題になっていたけど。
ttp://addict3d.org/index.php?page=viewarticle&type=security&ID=885 このスレッドでも
>>710 さんがかなり早い段階で犠牲者になっているようですが。
この脆弱性の方が2chなどではずっと現実的に使えるのでしょうか。対策として考えるなら
1.そもそもIEを使わない。
2.IEを使うなら最低でもjava scriptやactive xの設定は切る。
3.「訪れただけで悪意のあるコードを実行するホームページの作り方。」なんてチュートリアルを
いろいろ読めば、IEの脆弱性を利用するにせよ、Windowsの脆弱性を利用するにせよ、最後の
悪意のあるコードを実行する段階でVBSスクリプトを使う場合がとても多いです。
フリーでも沢山の優秀なAnti Malicious Script系のソフトがあるから導入すると、安全性は
高まるのではないでしょうか。
>>903 それはきっとあなたのPCにトロイが仕込まれているとは関係ないと思う。
>>904 ええと、それはつまりあくまで外からの攻撃ってことですか?
時々ToRoI Basterが反応するんで心配です。
>>906 >ええと、それはつまりあくまで外からの攻撃ってことですか?
普通に考えればそういうことではないですか。
>某セキュリティソフト再インストしてたら急にトロイ警告が増えた。
某セキュリティソフトが割れ物でもなければ通常それによってトロイが仕込まれる
ことはないでしょう?
それでも心配なら
>>882 さんなどが素晴らしいサイトを紹介してくれていますよ。
>>907 話がまったく噛み合わないけど、2002年6月14日 の話とはまったく別のものです。
>>904 <フリーでも沢山の優秀なAnti Malicious Script系のソフトがあるから導入すると、安全性は
<高まるのではないでしょうか。
たとえばどういうソフトがあるのですか?
>>909 Anti Malicious Script系のソフトはフリーで優秀なソフトはたくさんあるけど、私が使って
いるソフトなら。
【 ソフト名 ..】Script Sentry
【 機能 】Anti Malicious Script
【 リンク ..】
http://www.jasons-toolbox.com/scriptsentry.asp 【インストーラー 】あり
【 レジストリ ..】ソフトの仕様上使う
Norton Anti VirusでいうところのScript Blockの機能に相当するソフト。
AVG Anti VirusやKaspersky Anti Virus LiteなどのようにScript Blockの
機能の搭載されていないAnti Virus Softを使っている人にはAdd onと
して使うのはいいかも。標準で以下の拡張子を持つファイルで
(VBS, VBE, JS, JSE, WSH, WSF ,HTA, SHS, SHB, REG, DOC, XLS)
registryにアクセスしたりファイルを消去したりするような、悪意のある
プログラムに特徴的な動作を見せると、いったん動作を止めてユーザーに知らせてくれるソフト。
Script Sentryは常駐するといってもregistryにフックするという形をとるので、
リソース消費量がほとんど0%なので、Win9xの人も安心して導入することができる。
マクロウイルス対策にもなるし。評価の定まった素晴らしいソフトだと思うけど。
おやすみ。
912 :
名無しさん@お腹いっぱい。 :04/05/25 23:07
Ewido今日もアップデートがあってついに定義ファイルが4万(40158)を 超えたね。
Trojan.Win32.StartPage.ho ってのに感染したんだけど、他にも感染した人居る? Antidoteで C:\WINDOWS\system.exe C:\WINDOWS\System32\system32.dll に感染、検出。Spybot 1.3 とAd-aware 6.0では 検出されず。
オンライントロイスキャンのサイト、最近やってないの?
フリーソフトを公開しているんだが 中国の人からwin32.troj.natali.a.214333発見という指摘をされました。 ノートンでは無反応ですし、検索しても中国サイトしかヒットしないのだが 詳細わかる方いらっしゃいますか?
ドウモ〜〜〜ッ!!お〜o(⌒0⌒)oは〜♪ハジメマシテ〜〜〜ッ☆☆(*⌒ヮ⌒*) 私は27歳のOLしてるのぉ〜〜〜っ♪(#⌒〇⌒#)キャハ うーんとー、私メル友がすっごくすっごく欲しくってー、\(⌒∇⌒)/ 探してたら(◎_◎)なんσ(^_^)とっ!☆彡(ノ^^)ノ☆彡ヘ(^^ヘ)☆彡(ノ^^)ノ☆彡 素敵(゚□゚;ハウッ!な掲示板♪を発見!!!!(^o^)//""" パチパチパチ あやしい所(゚□゚;ハウッ!とか…{{ (>_<;) }} ブルブルすごい数の掲示板がありますけど、 これ全部1人の方が管理して \(^o^)/ いるんですか?(@@;)すごすぎ … てなわけで、ついついσ(^_^)書いちゃったC= C= C= C=┌(^ .^)┘ のらー(o^v^o) エヘヘφ(`∇´)φカキコカキコ♪ メル友に、なってσ(^_^)くれるよねっ。(*^-^*) お・ね・が・い♪(* ̄・ ̄)ちゅ♪ッ え?くれないのぉ〜?(;¬_¬)そんなのいやい♪(#⌒〇⌒#)キャハ や〜〜、ガ━━━(゚ロ゚)━━━ン なってくれなかったら、( `_)乂(_´ ) 勝負! \(^o^)/ ☆○(゜ο゜)o ぱ〜んち、☆(゜o(○=(゜ο゜)o バコ〜ン!!♪(#⌒〇⌒#)キャハ ( ゚▽゚)=◯)`ν゚)・;'パーンチ (>_<) いてっ!ダメ!! ゛o(≧◇≦*)oo(*≧◇≦)o″ダメ!! 素敵(゚□゚;ハウッ!な掲示板♪ガ━━━(゚ロ゚)━━━ン を発見!!!!(^o^)//""" パチパチパチ (☆o☆)きゃ〜〜(@_@;)やられた〜〜(o_ _)o ドテッ ガ━━(゚Д゚;)━━ン! (+_+) 気絶中。。。。・゚゚・o(iДi)o・゚゚・。うぇぇん <(゜ロ゜;)>ノォオオオオオ!! (゚□゚;ハウッ! なあんて(#⌒▽⌒#)こんな♪(#⌒〇⌒#)キャハ 私っ!σ(^_^)だけど、(///▽///) お友達σ(^_^)になってm(_ _)mくださいませませ♪('-'*)フフ ドガ━━━Σ(ll◎д◎ll)━━━━━ン ということで。(^-^)vじゃあね〜〜〜♪(⌒0⌒)/~~ ほんじゃo(゜▽゜ヽ)(/゜▽゜)o レッツゴー♪ それでは、今から他の掲示(゚□゚;ハウッ!板も色々見てきまーすC= C= C= C=┌(^ .^)┘ (*^-^*)ノ~~マタネー☆'.・*.・:★'.・*.・:☆'.・*.・:★
メルトモになってやるからアドレスさらしなさい。 以降、ネタにマジレスコピペはうざいので錦糸玉子
>>915 どのセキュリティーソフトを使ってwin32.troj.natali.a.214333が検出されたのか
分からないと答えようがないっしょ。
どのセキュリティーソフトを使っても誤検出は付き物だから、その中国の人が
使っているセキュリティーソフトに、誤検出だと言ってファイルを提出して貰えばいいじゃない。