☆☆トロイの木馬☆☆

このエントリーをはてなブックマークに追加
1名無しさん@お腹いっぱい。
トロイの木馬で侵入されたらしいのですが、
何をされたか調べることはできますか?
2名無しさん@お腹いっぱい。:03/05/07 02:41
できます。

例:

壁紙がいつのまにか変わっていた

壁紙(若しくは壁紙の設定) を改竄された。


このように。
3名無しさん@お腹いっぱい。:03/05/07 02:57
回答ありがとうございます。
具体的に言うと、ローカルフォルダDに収納してあった画像をコピーされて
しまったかどうか調べたいのですが。
如何でしょうか?
当方の OSはXPで付属の簡易ファイアーフォールしかなく、
DフォルダのシステムはNTFSにしてあります。
4あぼーん:あぼーん
あぼーん
5あぼーん:あぼーん
あぼーん
6名無しさん@お腹いっぱい。:03/05/07 03:16
>>3
その画像をうpしてくれたら調べられるとは思うのだが・・・。
7名無しさん@お腹いっぱい。:03/05/07 04:20
だれか回答していただける方はいらっしゃいませんか??
死ね
9名無しさん@お腹いっぱい。:03/05/07 04:58
これはいけない質問だったのでしょうか?
49 :名無しさん@お腹いっぱい。 :03/05/06 15:18
トロイの木馬で侵入されたかどうかはどうやって調べればいいですか?
http://pc.2ch.net/test/read.cgi/sec/1052123602/49

60 :名無しさん@お腹いっぱい。 :03/05/06 19:47
トロイの木馬による侵入ってそんなに簡単にできるのですか?
また、進入された形跡はどうやって調べればいいですか?
http://pc.2ch.net/test/read.cgi/sec/1052123602/60

78 :名無しさん@お腹いっぱい。 :03/05/07 00:02
トロイの木馬に侵入されている場合、どうすれば発見できますか?
http://pc.2ch.net/test/read.cgi/sec/1052123602/78
11名無しさん@お腹いっぱい。:03/05/07 06:38
切実なんですよ・・・
どうか力になってください・・
泣きそうなんです・・
久し振りに使わせて貰う


>>1


      必  死  だ  な  (  藁


13名無しさん@お腹いっぱい。:03/05/07 09:24
どなたかお願いします!
単発質問スレなので、
■■■■■■■■■■■■■■■■終了■■■■■■■■■■■■■■■■
15オナニスト ◆A4R0lAe0RQ :03/05/07 17:37
■■■■■■■■■■■■■■■■再開■■■■■■■■■■■■■■■■
16名無しさん@お腹いっぱい。:03/05/07 23:18
■■■■■■■■■■■■■■スロー再生■■■■■■■■■■■■■■
画像コピーされたくらいどうでもいいじゃん
18名無しさん@お腹いっぱい。:03/05/07 23:49
すいません。
プライベートの画像なんです。
流失したら・・・。
19名無しさん@お腹いっぱい。:03/05/08 00:01
セキュリティー対策は何もしてなかったの?
20名無しさん@お腹いっぱい。:03/05/08 00:02
>>18
最終アクセス日時見れ。
21名無しさん@お腹いっぱい。:03/05/08 00:31
>>20
どうやって見るんですか?
>>1
あややのアイコラ・小学生画像・いただきますた^^
23名無しさん@お腹いっぱい。:03/05/08 00:39
右クリック→プロパティでみると現在の時刻になってしまうんですよね・・
>すいません。
>プライベートの画像なんです。
>流失したら・・・。

もう遅いよ
まぁ95%流出するでしょうね
25名無しさん@お腹いっぱい。:03/05/08 00:45
>>24
それはマジですか?
やっぱりトロイの木馬にやられるとカード番号等だけではなくて
そういうプライベート画像も持っていかれてしまうんですかね・・。
26名無しさん@お腹いっぱい。:03/05/08 00:49
でも今までカードの不正使用は一回もないんですよ。
ということはトロイに侵入されていたというのは思い過ごしですかね?
トロイでなくても普通の不正侵入で画像を持っていくことはできるんですか?
まあ今の時代カードの不正使用はすぐばれちゃうからね。
28おじちゃん:03/05/08 00:53
>>26
おじちゃんにはわがんね。おじちゃんバカだから。ごめんねぇ〜
29あぼーん:あぼーん
あぼーん
30名無しさん@お腹いっぱい。:03/05/08 00:58
トロイや不正侵入されてPC内で何をされたかは
結局わからないんですね・・?
あなたのパソコンを踏み台に使って、クラッカーさんが毎日どこかのサイトを改竄中。
写真は全世界で共有中。
32名無しさん@お腹いっぱい。:03/05/08 01:35
そんなことが簡単にできるんですかね?
今まで僕の写真が流失したのは見たこともないし、
カード等の不正使用も全くありません。
踏み台に使われてサイトから警告されたこともありません。

多分トロイを知って少しびびって、過剰に思い過ごしをしていたんだと思います。
いろいろしつこく質問をしてご迷惑をおかけしました。
ま、今まで単発質問スレに答えて貰っておいて、偉そうだな。
どうせなら、起動不可になるウイルスでもくらっとけ。
34山崎渉:03/05/22 02:07
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―
35迂闊:03/05/23 13:53
Port全開でファイル共有してたらIRC Trojanってのが見つかりました。
そういえば文字化けしたメッセージが2回ほど表示されてました。
NortonAntiVirus入れてるんですけどファイルが一個破損してしまひました。
OSをインストールしなおさなきゃダメですか?また今後も何かされる可能性って
あるんですか?長文クレクレですみません。よろしくお願いします。
36名無しさん@お腹いっぱい。:03/05/23 13:56
>>35
アンチウイルスで防げると思ってる香具師がまだいたんだなw
37迂闊:03/05/23 15:10
まだまだ未熟者なもので・・・。
ではどのようなソフトや対策をすれば良いのでしょうか?
↑あげ荒らし便乗基地外うぜー
>>37
Firewallを3つ入れればスーパーハカーも進入できないよ。
AntiVirusSoftも2つあれば完璧だね!
>>38
初心者は不安でいっばいなんだから教えてあげなきゃ!
40名無しさん@お腹いっぱい。:03/06/20 22:25
>>39
知ったかスンナ
最近トロイが2回も来て困ってるよ。(泣)ノートン先生があるから、
何とかなるけど何か対策ないですか?
>>41
こんな古い単発質問スレではなく、質問スレでどうぞ。

☆ウィルス情報&質問 総合スレッド☆part11
http://pc.2ch.net/test/read.cgi/sec/1056101401/l50
というか板違い。
トロイの木馬に出た佐藤、鈴木は今
http://bubble.2ch.net/test/read.cgi/natsutv/1054477440/
トロイの木馬〜鈴木と佐藤
http://bubble.2ch.net/test/read.cgi/natsutv/1050094875/
HDにお宝を貯めすぎてる奴らの
嘆きの板はここか?
45名無しさん@お腹いっぱい。:03/06/27 09:29
>>44
お宝???
☆ウィルス情報&質問 総合スレッド☆part11
http://pc.2ch.net/test/read.cgi/sec/1056101401/l50
■■■■ 終了 ■■■■
47名無しさん@お腹いっぱい。:03/06/27 15:52
■■■■ 再開 ■■■■
48報告済み:03/06/27 15:54
■■■■ 即終了 ■■■■
49報告済み:03/06/28 03:18
■■■■ 即再開 ■■■■

>>49
どこに報告したんだ(ップ

■■■■ 即再開 ■■■■
このスレ 惜しいよ

本気になってTrojan対策しようとしたら、Coエディションのツールしかない
アンチウイルスやSpywareツールでは、ほんの一部しか対応してない
複合してるTrojanの大流行になったらフィーバーするかも
>>50
なんでセキュ板なのにトロイ対策スレって需要無いんだろうな。
52重複:03/06/28 08:37
☆ウィルス情報&質問 総合スレッド☆part11
http://pc.2ch.net/test/read.cgi/sec/1056101401/l50があるから
■■■■ 終了 ■■■■
>>52
ウィルスとトロイは全く別物。


■■■■ 再開 ■■■■
54荒らしにマジレス:03/06/28 12:29
なんか粘着がいるようだが、
☆ウィルス情報&質問 総合スレッド☆part11 の
「ウィルス」はワームやトロイも含む。

何の情報もないこの単質をどうするつもりなのか?
55名無しさん@お腹いっぱい。:03/06/28 15:59
W32/Bugbear.b@MM (バグベアー・ビー)

--------------------------------------------------------------------------------
種別 : インターネットワーム
危険度 : 高
主な発病 : 大量メール送信/キー入力した情報の漏洩/セキュリティ対策ソフトの強制終了
発見日時 : 2003年6月4日
「McAfee.com ウイルススキャンオンライン」で検出・駆除可能。

--------------------------------------------------------------------------------

W32/Bugbear.b@MMウイルスとは?


eメールとネットワーク共有を使って感染を広げます。
このウイルスは、「トロイの木馬」と呼ばれる
ハッキングツールをパソコンにインストールします。
この「トロイの木馬」には、キーボード入力されたキーを記録
する特徴があるので、パスワードや
クレジットカード番号などの情報が盗まれる危険があります。
またセキュリティ対策ソフトを強制終了させることがあります。

感染した場合の症状


■ 大量メール送信
■ 共有ネットワークによる繁殖
■ キー入力した情報の漏洩
>>55
BugBearスレッド 1
http://pc.2ch.net/test/read.cgi/sec/1034373773/l50
☆ウィルス情報&質問 総合スレッド☆part11
http://pc.2ch.net/test/read.cgi/sec/1056101401/l50
■■■ 終了 ■■■
57:03/06/28 20:38
最近、韓国からのNetBusによる攻撃が禿しいのですが…

211.245.203.57 Korea Network Information Center (THRUNET-INFRA-DONGBUSO-KR)
210.221.32.80  Korea Network Information Center (YONGSANSO-KR)
211.219.237.177 KOREA TELECOM Internet Operating Center (KORNET-XDSL-DONGRAE-KR)

今日一日だけでこれだけあった。
58名無しさん@お腹いっぱい。:03/06/28 20:38
名前の「1」は間違い。スマソ。
59:03/06/28 21:10
>>58
気にするな
個人的に残って欲しいスレなのでアンチトロイ関係のソフトをageてみる
Tauscan ttp://www.agnitum.com/products/tauscan/
TrojanHunter ttp://tucows.tiscali.dk/system/preview/195461.html
TDS-3 ttp://tds.diamondcs.com.au/
PestPatrol ttp://www.pestpatrol.jp/

Win98の時はTDS-3がお気にいりだったけどWin2000だと起動時エラーになるのはなぜ?
現在はTrojanHunterのトライアル版使ってるけどなかなかよさげ
あとPestPatrolは本家は1ライセンスから販売してるのに日本だと5ライセンスからの販売っていうのが泣けるね
>>60
単質を再利用するんじゃなくて、
1やテンプレを整備したスレッドを立てたらどうか。
このスレはここまでほとんどマジレスが無かったスレだし。

アンチトロイという括りが必要なのか、
ウィルス情報質問スレッドで討議した上で。
このスレをトロイ対策本スレに…ということで俺も。
ttp://www.wilders.org/free_tools.htm
6362:03/06/29 00:59
>>61
リロードしてなかったスマソ
単純なトロイのテスト
ttp://www.hackfix.org/miscfix/icons-av-A_M.shtml

実際にトロイが使われる場面を想定したテスト
ttp://www.rokop-security.de/main/article.php?sid=494

RokopSecurityのテストはサンプルに
2 backdoors (Bionet 3.18 as well as Optix lite)
4 Worms (Goner, Badtrans, Yahaa and Bugbear)
を使っていて。

ノートン3/100個、バスター7/100個、マカフィー66/100個検出

確かにアンチウイルスソフトはトロイの検出率が悪いなぁ。
>>64
ノートン先生はトロイに弱いってこと?((((;゚Д゚)))ガクガクブルブル
>>65
定説です。
そういうことはSecurity関連サイトよりも、Black Hat Communityに
行ったほうがずっと分かりやすいけど。
一人で1000人以上犠牲者を持っているような人に、Security対策
について聞くとか。
>>66
トロイ怖くなってきたよ。とりあえずなんかアンチトロイ入れてみる。
しかしこのスレで再利用するのもったいないような…
まだこっちのほうがよさげじゃない?今は死んでるけど。
http://pc.2ch.net/test/read.cgi/sec/989702891/
>>66
UGなお方ですか (笑)

どっちにしても、感染増殖しない奴はウイルスの範疇に入らないから
アンチウイルスではヒットしないのはしょうがない。
>>68
いいえ。完全にwhite hatをかぶっていますよ。
ネットサーフィンの半分はblack hat communityで過ごしますが。
ノートンが頑張ってくれないと困るのは私自身だし。

ノートンはシェアNO,1だから特に頑張って欲しい訳で。トロイに
関して言うなら、ノートンのライセンス規約の甘さも影響して
トロイを使って遊んでいる人も殆どがノートン使いだし。
自分のシステムを守るためじゃなく、自分がカスタマイズしたトロイが
きちんと検出されなくなったか調べるために。

もう一点はトロイ使い達はノートンがいつ更新したかなんて普通の
ユーザーよりよっぽど知っているわけで。
2002年6月28日にNetDevilが1.4から1.5にバージョンアップしたとき
どっかのscript kiddyがKaZaaで大量のサーバーをパスワードも
かけずにばらまいていたので大賑わいでした。
私は何度もシマンテックに警告のメールを出しましが、シマンテック
が対応したのは結局7月3日のLiveUpdateだったと思う。(嫌な思い出)
トロイはウイルスのように必ずしもpayloadがある訳じゃないから非常に
分かりにくい、感染した人の9割以上が気づかないし。

私がSARCに提出して定義ファイルを作って貰ったウイルス・トロイは
20種類以上あります。アンチ・シマンテック信者じゃない。
ここは書き込むべきでないらしいので、私も去ります。
>>69
フリーのアンチトロイでいいのありませんかね?
トロイ対策ソフトが実はトロイだったとかどっかに書いてあったんで
怖くて手が出せない(^_^;
あとVectorにToRoI Busterってあるけどこれって役に立つの?
69ではないですけどToRoI Buster 力不足ですよ。
>>69
Industrial security な方なんですね。
自分のようなtoolkidsでもRATsスキャンかけると、ドキッとしますからね。

一つだけ教えてください。
防御も駆除も後回しとして、ローカルをチェックする方法、toolなんかありますか?
アドレスの羅列でも結構です。
>>71
レスどうも。なんか何してんのかよくわからんし作者消えてるし(w
あんまり役に立たなさそうですよね
anti-trojanソフトを紹介してるサイトっていうとこのあたりかな。
http://www.wilders.org/anti_trojans.htm
一応採点もついてる(私はこのサイトの採点基準はあまり同意できないけど)
TDS-3もTAUSCANも世代交代直前というところですね
とりあえず>>60>>74で評価がいいTrojanHunterを入れてみた。
でも日本語が駄目なのが残念。
次にTauscan。こっちは日本語が表示されるし
わかりやすいんでしばらくこれ使ってみます。

>>75
世代交代直前ってどういうこと?
http://pc.2ch.net/sec/kako/1015/10155/1015584020.html
の73、92、901と
http://pc.2ch.net/test/read.cgi/sec/1027400238/253
にフリーのanti-trojanの情報発見
ANTS3.0Liteってどうなったんだろ
最近話題になった、キーロガーという悪意のあるプログラムも
トロイの木馬の一種なのでしょうか?
anti-trojanソフトを導入するときちんと検出してくれますか?
79名無しさん@お腹いっぱい。:03/07/03 09:25
>>78
君とは無縁の話なので心配無用
80名無しさん@お腹いっぱい。:03/07/04 09:46
ofpというゲームでネットで対戦してたら
where are you from? ときかれたので japanと答えたら
馬鹿にしてきやがった あげくのはて kick しやがった
ghost@roughnecks.orgと[email protected]
つぶしてください まじ むかつくこいつら
Anti-Trojan Software Reviews
ttp://www.anti-trojan-software-reviews.com/
>>80
ここはトロイの木馬対策総合スレ(予定)です
83名無しさん@お腹いっぱい。:03/07/04 12:52
TrojanHunterは、トロイの木馬じゃないんですか
84_:03/07/04 13:04
例えば、下記 port80 使うBackDoorの一部だけど、AVでどれだけ検出するのだろか?

711 trojan (Seven Eleven) Seven-eleven.exe
BlueFire Bfserver.exe
God Message Hex2script.exe
Lithium Shell32.exe Iexplorer.exe
Optix Lite Optixgwserver.exe Winx.exe Infector_6dec.exe
RTB 666 Shellapi.exe Mstasks.exe
Web Server CT WSct.exe WSct2.exe
WebDownloader Webdl.exe Downloader.exe
Optix Pro Dlldat.exe Win32loader.exe Winampw.exe
このスレ頑張ってほしいが俺は知識ないんでなぁ・・無念
87名無しさん@お腹いっぱい。:03/07/09 16:38
お前って本当にトロイ(ギャハ
88あぼーん:あぼーん
あぼーん
89あぼーん:あぼーん
あぼーん
この板は、LANや個人のPCへの侵入、トロイ、ウィルス等、
様々なネット上の危険からの防御法や対策を語りあうための板です。
掲示板の荒らし方や侵入の方法、メールボムの送り方等、
攻撃方法の質問はご遠慮下さい。
2ちゃんねるでは荒らし依頼は出来ません。
また、この板ではアタック依頼は受け付けません。
攻撃依頼を見かけた方は、放置してください。
ネット犯罪の被害者になってしまった方は、まず警察にご相談下さい。
91名無しさん@お腹いっぱい。:03/07/10 00:45
sub7って公式サイト消えた?
>>91
消えろ
93名無しさん@お腹いっぱい。:03/07/10 00:50
>>92
消えた?
94山崎 渉:03/07/15 11:08

 __∧_∧_
 |(  ^^ )| <寝るぽ(^^)
 |\⌒⌒⌒\
 \ |⌒⌒⌒~|         山崎渉
   ~ ̄ ̄ ̄ ̄
96名無しさん@お腹いっぱい。:03/07/28 10:54
!?
97名無しさん@お腹いっぱい。:03/07/31 00:27
海外フリーソフト紹介スレにフリーのトロイ専用検出ツールとして
Swat It(http://swatit.org/index.html)が紹介されていたんですが
どなたか使われた方いますか?
>>97
試してレポートよろ。
9997:03/07/31 02:43
いやぁ一応試したんだけど、私の所では何も引っ掛からなかったんだよねぇ。
まぁ、嬉しいっていえば嬉しいんだけど。
走らせて見て何も問題がなさそうだったんで時々これでチェックしようかなと
思ってはいるんだけど、いまいち不安で(^^;
誰か使ったことがあれば、情報なり感想なり聞きたいなぁと。
100_:03/07/31 03:03
101_:03/07/31 03:10
     ∧_∧  ∧_∧
ピュ.ー (  ・3・) (  ^^ ) <これからも僕たちを応援して下さいね(^^)。
  =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
  = ◎――――――◎                      山崎渉&ぼるじょあ
103山崎 渉:03/08/15 23:34
    (⌒V⌒)
   │ ^ ^ │<これからも僕を応援して下さいね(^^)。
  ⊂|    |つ
   (_)(_)                      山崎パン
トレンドマイクロのオンライン・スキャンでTROJ.SLIME_Aなんてのが検出されて鬱。
105名無しさん@お腹いっぱい。:03/08/16 01:57
トロイの木馬
inetnum: 218.148.218.0 - 218.148.222.255
netname: KORNET-XDSL-KURI-KR
descr: KURI NODE
descr: 370-6 SUTAEKDONG KURISI
descr: KYONGGI
descr: 471-030
country: KR
admin-c: GP1931-KR
tech-c: WK7932-KR
remarks: This IP address space has been allocated to KRNIC.
remarks: For more information, using KRNIC Whois Database
remarks: whois -h whois.nic.or.kr
mnt-by: MNT-KRNIC-AP
remarks: This information has been partially mirrored by APNIC from
remarks: KRNIC. To obtain more specific information, please use the
remarks: KRNIC whois server at whois.krnic.net.
changed: [email protected] 20030811
source: KRNIC
106名無しさん@お腹いっぱい。:03/08/16 04:59
Free online Trojan Scanner
ttp://www.trojanscan.com/
107名無しさん@お腹いっぱい。:03/08/16 06:08
108名無しさん@お腹いっぱい。:03/08/16 07:14
PC Flank
The "Real world" anti-trojan tools comparison(tested on July 3, 2002)
ttp://www.pcflank.com/art26d.htm

Anti-Trojan Guide
ttp://www.firewallguide.com/anti-trojan.htm

Trojan Checker (Freeware, でもドイツ語)
ttp://www.trojancheck.de/index.html
109名無しさん@お腹いっぱい。:03/09/09 04:37
Swat It(Free)
www.softnews.ro/public/cat/1/1-24.shtml
試してみましたが、使い方はすごく簡単。英語でもこの程度なら中学生でも使えそう。
アップデート機能もちゃんと使えました。
110名無しさん@お腹いっぱい。:03/09/09 05:44
hackerzlabが見れないのは何故?
移動?
111名無しさん@お腹いっぱい。:03/09/10 01:54
「フリーのアンチウイルスソフト 」のレスを見たので、チョイトここに書き込み。
厳密に言えばフリーではなく体験版なのだが、よくある30日制限の奴と違って
30回フリーで起動できるという奇妙な制限の付いたソフト Iparmor free trial

ttp://www.luosoft.com/

フリーで古くから知られているものなら この Ants2 かな。

ttp://www.freenet.de/freenet/computer/internet/antivirus/ants_2/
112名無しさん@お腹いっぱい。:03/09/10 04:42
私もフリーのアンチウイルスソフトのレスを見て、ここに来ました。
Trojancheck 6は常駐しないようですが(ドイツ語オンリーなので確証はありませんが)
Trojancheck 5は常駐してレジストリの変更を監視してくれます。
ドイツ語ソフトですが、英語化パッチがあります。
Trojancheck 5とSwat It 2.1を併用すれば充分ではないでしょうか。
今私はTrojancheck 5,6、Swat It 2.1、ANTS 2.1と4つ使っていますが、
こんなにたくさんいりません。TDS3も使っていましたが、
さすがに多すぎると思ったので、アンインストールしました。
113111:03/09/10 21:35
追加
これも古くから知られてるよ。Trojans First Aid Kit 5.01
This program is no longer updated.てのが欠点だけど。

ttp://www.wilders.org/downloads.htm

常駐監視するソフト。Proport2.2
requirements:Windows 95/98/Me/NT/2000/XP,Microsoft Visual Basic 6.0 Runtime Files

ttp://www.webattack.com/get/proport.html
114名無しさん@お腹いっぱい。:03/09/11 13:49
ants 2.1
SwatIt 2.1
Trojans First Aid Kit 5.01
TrojanChecker 6

この辺が私の常用になりそうです。
おまえのプライベートオナニー画像が世界中で回ってたとしても、
お前の目の前や、知り合いに来る確率はそんなに高くない
そうでもないよ。
117THIS:03/09/11 15:11
●クーポン屋は、あなたのビジネスを支えます●
☆「クーポン屋」☆ビジネスパートナー募集しております。
http://www.c-gmf.com/index2.htm
http://www.c-gmf.com/index3.htm
実力者:月々40万以上稼げます。
ホームページにバナーを貼ればOK
営業方法
友達にメールを送ることも出来ます。
ホームページにバナーを貼る。
直接,お店に訪問し、申込用に書いていただいた後に
FAXで送信後に本契約が成立した後にあなたの口座に
振込されます。
http://www.c-gmf.com/index3.htm
漏れの妹のオナニー画像が出回ったら世界中が祭りに沸くな。
119名無しさん@お腹いっぱい。:03/09/18 19:06
トロイの木馬に関する情報サイト
ttp://www.astalavista.com/trojans/library/trojans/misc/

「Where are Trojans Hiding?」「Guide to Trojan Horses」「Basic Trojan In Visual Basic」など
BlackICEでsub7が使えるか試していますと出たので
ウィルス検索などで探してみたのですが
なにも見つかりませんでした。

自分では他人がsub7があるか適当に調べてるのだなと
理解したのですが大丈夫なのでしょうか?
121120:03/09/22 02:16
間違ってさげで書いてしまいした
少し心配なのであげさせて頂きます

申し訳ないです
>>120
>自分では他人がsub7があるか適当に調べてるのだなと
>理解した
正解です。
123名無しさん@お腹いっぱい:03/09/22 21:03
Trojancheck 5ってフリーですよね。www.trojancheck.de/download.html
には6しかなく、5と英語化のパッチも見当たらないですが、どこにあるの
でしょうか?
124名無しさん@お腹いっぱい。:03/09/22 21:19
>>123
113の上の方のサイトの真ん中辺りにTrojanCheck v5.0.4.1 Final が有る。
125名無しさん@お腹いっぱい:03/09/22 21:27
>>124
ありがとうございました!!感謝です。
126名無しさん@お腹いっぱい:03/09/22 21:37
>>123
ほんと、すみません。英語のパッチが見当たらないですが・・・(涙)
127名無しさん@お腹いっぱい。:03/09/22 21:50
113のサイトの TrojanCheck v5.0.4.1 Final の exe のすぐ下に english.lng が有るだろう。
Readme もよく読め。

Make sure the LNG file is placed into the same directory: trojancheck. (this will change the GUI into English language).
LNG ファイルが同じディレクトリの中に置かれることを確認してください: trojancheck 。(これは GUI を英語に変えるでしょう)。
結局のところ、アンチトロイは何がよいの?
129名無しさん@お腹いっぱい。:03/09/23 03:21
俺も良く判んないんだけどさ。。。
とりあえずフリーで固めたいと思ってるんで>>114に書いたので時々チェックしてる。
あと、TC6については「何でフリーのセキュリティソフト使うの?」http://pc.2ch.net/sec/#3
の378に書いたように「オートスタート + 常駐保護」ができたんで今は常駐させてます。
あと、>>108に紹介した「PC Flank」のサイトが参考になると思う。データは古いけどね。
こんなんで参考になれば良いんだけど。。。。
できれば詳しい人にfreewareを含めて評価して欲しいとは思うんだけど。。。
どなたかお願いできませんか?
130120:03/09/24 02:58
>>122
最近かなりの数の訪問者が来るので
自分でも対応できるように備えようと思いました

ありがとうございました。
131名無しさん@お腹いっぱい。:03/09/24 15:48
「このソフトを日本語化して欲しい! パッチ6 」より
http://pc2.2ch.net/test/read.cgi/software/1061698573/l50
-----------------------------------------------------------------
582 名前:名無しさん@お腹いっぱい。 :03/09/24 15:44 ID:tDFtjZKD
ANTS English Language Fileがありましたのでお知らせ。
ttp://math.rutgers.edu/~clong/ants.lng

日本語に直したらフォントが固定されているためか一部を除いて文字化け
してしまい、諦めました。
実際に文字化けしなかったのはボタンやタブくらいでした。
------------------------------------------------------------------
132名無しさん@お腹いっぱい。:03/10/01 06:07
Mac用です(英語)。ベータ版みたいです。
たぶんフリーだと思うんだけれど。。。

MacScan
ttp://macscan.securemac.com/
MacScan b8 Release
Detect, Isolate and Remove Spyware,
Keystroke Loggers and Trojans from your Macintosh.
133礒川:03/10/01 18:53
フリーでしょ
あ、ぼく初めてですのでm(゜ー゜)hニヤリ
134礒川:03/10/01 18:56
・・・ごめんなさいね
ふざけたレスで
まだ青二歳の小さいやつなのででも馬鹿には
しないで下さいね。
ルールをよんでここに書くのかなぁ?
とおもっただけでしたので。
135名無しさん@お腹いっぱい。:03/10/02 11:32
キタ━━━━(゚∀゚)━━━━ッ!!
ttp://visualtracking.symantec.com/vt_main.asp?productid=nis2003&langid=jp&venid=sym&go=213.97.219.145
ノートン火壁で警告の詳細見たらレアルマドリッドがいるMadridだった!
いつもは朝鮮とか日本のyahoo!ユーザ、あとアメリカとかがポートスキャンかけて来るけどスペインは初めて。
朝からサッカーでレアル戦見てたからちょっとうれしかったよ。w
ウホッ! 羨ましい
137名無しさん@お腹いっぱい。:03/10/02 20:21
>>132
Mac使いは絶滅してはいなかったのか、、、。
質問。
私の場合、MacScan(68 PPC用)ですが、
ダウンロードしたのですが、SITファイルが白紙アイコンに
なっていて自己解凍できません。
解凍用のエクスパンダ-がおかしいのでしょうか?
どうなっているか判りますか?
>>137
・sitファイルをダウンロードし直す
・最新版のExpanderを使用する
139名無しさん@137。:03/10/03 19:10
>>138
ありがとう。成功しました。
お礼といっては何ですが(たぶん知ってるでしょうね)

GraphicsAcceleratorはGraphics Accelerator対策で感染を防げる。
ttp://www.vector.co.jp/soft/mac/util/se092950.html
140名無しさん@お腹いっぱい。:03/10/06 23:32
Trojancheckを常駐させといたらQHostsをブロックできるんでしょうか?
141wakaba:03/10/07 00:06
>>140
いいえ。
QHostsに関しては、普通にWindows Updateとアンチウイルスソフトの
定義ファイルを最新にして常駐させておきましょう。
IEの設定でjava,java script,active xなどの設定も、どうしても必要でない
サイト以外は設定をオフにしておきましょう。

TrojanCheckは基本的にアンチウイルスベンダーの命名法で言えば
BackdoorとかKeyLoggerに分類されるものからシステムを守るために
設計されたものだから。(分かりにくいけど)
142名無しさん@お腹いっぱい。:03/10/08 00:08
ありがとうございます。
「トロイの木馬」でも色々あってTCではブロックできないということなんですね。
どう違うかは私のレベルでは良く判らないけど、納得しました。
昨日MSのパッチを当てて、Active Xはダイアログ表示するように設定を替えました。
(パッチを当てるときにTCがいきなり警告表示したんであせりましたが。笑)
java他についてもダイアログ表示か安全性-高に設定をしなおしました。
この設定でしばらく様子を見る事にします。
ありがとうございます。
143wakaba:03/10/08 01:28
日本語でトロイ=Trojanというと、殆どの場合SubSevenなどに代表される
RAT:Remote Access Trojan 別名Backdoorに限定して使われる場合が
多いですよね。だからとても紛らわしいんじゃないのかと。

Trojans Variations(トロイの種類)
http://neworder.box.sk/newsread.php?newsid=6298

http://www.symantec.com/region/jp/sarcj/data/t/trojan.qhosts.html
アンチウイルスベンダーがTrojan.QhostsというようにTrojan○○なんて名前を付ける
悪意のあるプログラムは、トロイの種類のなかでもDestructive型のトロイに名前を
付ける場合が多いです。

TrojanCheckは基本的にアンチウイルスベンダーの命名法で言えばBackdoor型の
トロイからシステムを守るために設計されたものだから。
Backdoor型のトロイの木馬は、サーバーがターゲットのマシンで
実行されると

@サーバーが実行されるとまずC:\WINDOWS\(%SystemRoot%)ディレクトリ
 もしくはC:\WINDOWS\system32\(%SystemDirectory%)に自身を登録する。

AWindows起動時にサーバー自身も起動するために、StartUpなどを書き換える。
http://www.megasecurity.org/Trojaninfo/auto_start_methods.htm

Bポートを開く。

私の経験上少なくとも80%以上のBackdoorは@〜Bの経過を辿ります。
ログ送信機能のあるKeyLoggerもソフトの仕様上Aは行わないと駄目ですよね。

TrojanCheckのResident GuardはAに変更があるとユーザーに知らせてくれる
機能です。(正しいプログラムか、悪意のあるプログラムかは自分で判断する
しかないけど。)正しいプログラムでもStartUpを書き換えるソフトはたくさん
あるから。
ウィルスバスター2003のファイアウォールにもの凄い勢いでトロイの木馬が引っかかってる。
で、トレンドマクロのオンラインスキャンで調べてみたけど何もなし。
TrojanCheckとants2.1とToroibusterで調べても検知なし。
ちゃんと防げてると見て良いんでしょうか。
ログみたらウィルスバスターだけじゃ駄目っぽいし、毎晩だから絶対何かあると思うんだけど・・・
>>145
気のせい。
>>145
FWを別のにかえてみたら?
VBそのものはともかく、付属のFWはいい話期間から名〜
148名無しさん@お腹いっぱい。:03/10/12 00:46
>>143
Trojans Variations(トロイの種類)
http://neworder.box.sk/newsread.php?newsid=6298

ここいいですね。私のような初心者には勉強になります。
他のサイトと合わせて、連休中にゆっくりと読もうと思います。
ありがとうございます。
>>148
このThe Windows Trojans Paperを書いた人はすごいねぇ。
勉強になったよ。
これからますますオンラインによる商取引や、ネットバンキングなどが
普及することを考えれば、トロイの木馬から自分のPCを守ることは
セキュリティーを考える上でますます重要になってくると思うけど、
日本のセキュリティー関連サイトでトロイの木馬についてきちんと説明して
あるサイトって本当に少ない気がするし。
このようなペーパーをもっと日本語でも読めるといいのにね。

オフラインでも送信先ポート137、138でファイアウォールに引っかかってるんだけど
何かに感染してますか?
151150:03/10/12 22:27
スパイウェアはspybotとad-wareとspywareblasterでチェックして駆除、
ウィルススキャンとセキュリティチェックには何も引っかかりませんでした。
ノートンを使っているのですがファイアウォールに
トロイの木馬が連続でアクセスしてきます。
一応ファイアウォールで防げているみたいですが一晩に30回以上
もアタックしてくるので困っています。

何か対策はありますでしょうか?
ご教授ください。
153wakaba:03/10/13 00:21
>>150
せめてファイアーウォールのログに引っかかるプロセスが
何か分からないと誰も答えようがないと思うよ。
たとえば
C:WINNT\system32\wins\DLLHOST.EXE
が送信先ポートTCP137にデータを送信しようとしているとか。
154wakaba:03/10/13 00:22
>>152
ノートンに限らずPFWのログを見るポイントは二つ。
@Incomingの通信か?Outgoingの通信か?
A特定のアプリケーションへの通信か?(たとえばtrojan.exeなどのように)
 それとも特定のアプリケーションへの通信じゃないのか?(PFWのログには
 普通 N/A とか Not Availableのように表示されると思う)

注意すべきなのはOutgoingの通信の時と、Incomingの通信でかつ特定の
アプリケーションへの通信の時です。

私の経験上ノートンがトロイだと騒ぐときはIncomingの通信で、特定のアプリケーション
へ向けたものではない N/Aと表示される特に危険のない通信であることが多いです。
(この場合ノートンがSubSevenと言おうがNetBusと言おうがまったく気にする必要が
ないです。)

インターネットのノイズなので、私ならノートンのポップアップを切って放っておく。
どうしても嫌ならHardware Firewall(Router)を設置するか。

余談だけどhttp://isc.incidents.org/port_details.html?port=27374
SubSevenのポートスキャンは最近増えているみたいね。

どうしても不安なら以下のサイトからProcess-Port mapperをダウンロードして
(お使いのOSがNT4/2K/XPなら)自分のPCに変なサービスが動いていないか調べて見ると良いよ。
http://www.diamondcs.com.au/openports/
155152:03/10/13 03:40
>>154
レスありがとうございます。

警告のログを見たところたしかにプロセス名 N/A
と表示されています。(すべてのトロイの警告に)
これは特に危険が無い奴なのですか…。
とりあえず警告が出ても放置しておきます。
ありがとうございました。
156あぼーん:あぼーん
あぼーん
157名無しさん@お腹いっぱい。:03/10/24 23:33
Swat It 2.1 使い始めてから2ヶ月位経ったが、
1回もupdateなし。これは私だけ?他の方どうですか?
ageついでにカキコ。
158名無しさん@お腹いっぱい。:03/10/25 02:27
そう言われてみればそうですねぇ。。。

でも最近はデータベースの更新よりも、ひょっとすると起動中の
プロセスの方が重要なんじゃないかと思い始めているんですが
どうなんでしょうか?変ですかねぇ。。。
分からないようにPCを使うんなら「仕込んだぞー!」ってことを常に外部に
知らせるような気がしたものですから。例えばecho(ping 8)を特定のサイトに
打ち続けるとか。。。。
159157:03/10/26 01:16
>>158
常駐監視用はTrojancheck、PFWはoutpostを使っているので、
データベースの更新がなくても支障はないとは思うんですが・・・。
updateがないのならSwat It 2.1を使う意味があまりないような気がしまして・・・。
ひょっとするとFree版だからupdateがないのでしょうか?
もしその辺のことをご存知の方、またはSwat Itの有料版を使っている方、
いらっしゃいましたらよろしくお願いします。
160H001042.ppp.dion.ne.jp:03/10/26 11:12
トロイの木馬に感染したみたいなんでつが・・・
>>118
おまえの妹の画像なんてイラネ
162158:03/10/26 12:38
>>159
今年の7月末くらいからFree版を使ってますけど1, 2回のupdateはあったと思います。
頻度はそんなに高くないというか、ほとんど無いのかなとは思っていますが。
トロイの木馬に関しては、私の場合もTCを常駐させて監視し、あとは定期検査用に
SwatIt, TFAK, ANTS, HijackThis を使っています(大体月に2回くらい)。
HijackThis は AntiTrojan ではありませんが、レジストリの確認を手軽に
できますので定期検査するときに余計な物が入っていないかを確認しています。
163157:03/10/28 02:54
>>162
情報ありがとうございます。

やっぱりSwat Itの有料版を使ってい(てここを見て)る方はいないのかなあ?
保守age
165名無しさん@お腹いっぱい。:03/11/07 14:05

Outlookを使ってメールのやり取りをしているのですが、
Outlookを閉じるときに必ず送信状況(?)を表示する
ポップアップが出てきます。

トロイのような気がして、ウイルスバスターを導入しましたが
未だにこのポップアップがでてきてます。

どうしたらいいのでしょうか? ご親切な方、ご教授お願いします。


>>165
マルチは放置汁!
167名無しさん@お腹いっぱい。:03/11/07 14:19
マルチといわないでください。。。

ウイルスバスタースレに書き込んだ後、トロイスレを
発見したものですから。。。
168名無しさん@お腹いっぱい。:03/11/07 15:55
>>167
とりあえずバスターで1回システムスキャンしてみ。
詳しい話はそれからだ。
169名無しさん@お腹いっぱい。:03/11/07 23:34
>>168

レスありがとうございます。
スキャンしてみましたが、全く反応はありませんでした。

今でもメール送受信してOUTLOOKを閉じるとき、ポップアップが出て
ウツな気持ちになってしまいます。。。。。
>>169
トロイというのはRemote Access Trojan(Backdoor)を仕掛けられて
いないか心配しているの?

Backdoorに関しては、ポップアップをわざわざ出して、せっかくBackdoorや
ログ送信機能のあるKeyLoggerを仕込んだ相手に、警戒されるのは
懸命ではないと思うけど。

私はMS OUTLOOKを使っていないので良く分からないんだけど、そのポップアップ
というのはOUTLOOKの正しい機能ではないの?確認してみた?

ところでお使いのOSはなんですか?
>>170
懸命×
賢明○
ごめんなさい。
172名無しさん@お腹いっぱい。:03/11/08 15:07
検知能力に優れるPestPatrolってどうですか。
WinXPPro P4、2.4G バスター03 無線ルータ 光100Mに有線で接続
FWのログの件でお知恵を拝借 本日の記録で0時から8時24分までに19193件の
記録が有り、内409件のトロイ記録が残っていました
トロイ記録の始まりは1時5分から8時24分まで、この間nyを起動し就寝
種類はNetBusが大半で後はSubSariが30件Ruxが20件ぐらいです
送信/受信は送信のみ、プロトルコはTCP、送信元IPアドはnyのポートです
送信元ポートは1057から4972まで行き(この間の送信回数は192回)又1057に戻り繰り返します
送信先アドレスはNetBus時が一緒で広島の回線業者に行きます、Ruxは大阪のケーブル会社
SubSari時は茨城の回線業者に飛びます
送信先ポートはNetBus時が1120 Ruxは22222 SubSariは3131です(おそらく相手のnyポート)
記録に残っていると言う事はバスターで止まっていると考えます、使用時がny起動時ですから
使い方が特殊なので誤作動と考えております。久しぶりにPCのメンテをしたので以前の記録が
残っていません(デフラグ、エラーチェックの前に不必要なファイルを削除したので)ので
以前の状況は解かりません、
P2Pをされている人でこの様な状況の方はいますか?ご意見を聞かしてください
PestPatrol、バスター、Winパッチは最新物、PestPatrolとバスタースキャンは問題なしです
174名無しさん@お腹いっぱい。:03/11/08 19:27
>>170-171

OSはWindowsXPです
そうですね、Outlookについても確認してみます
親切にありがとうございます
>>173
NY厨の犯罪者はダウソ板に引っ込んで、出てくるな。
>>174さんの症状はBackdoorを仕込まれているとは思わないけど、
もしどうしても不安なら下記のサイトに行って
ttp://higaitaisaku.web.infoseek.co.jp/menu5.html

解説をよく読んでHijack This/Start up listのログを貼り付けて、
詳しい人に分析して貰ってはどうでしょうか。
(本当に素晴らしいサイトだと思います。)

ここにログを貼り付けると、さすがにログが長すぎるので見難いと思うので。
good luck.
                 ■■■■ 単発スレ 終了 ■■■■
178:03/11/11 04:11
ここは「トロイの木馬」総合スレッドです。

というわけで、再開age
179名無しさん@お腹いっぱい。:03/11/12 16:39
曲がりなりだけど
a2=Feel Free To Test キタ━━━━━━(゚∀゚)━━━━━━ !!!!!

Only backdoor signatures are included and some signatures are still missing.

ttp://www.dslreports.com/forum/remark,8479914~root=security,1~mode=flat
180名無しさん@お腹いっぱい。:03/11/12 17:59
木馬といってもホワイトベースもあるから
単純に悪者にすることはできない
粉ミルクは勝手に登録したから悪者だよ
182名無しさん@お腹いっぱい。:03/11/14 20:24
>>176

レスが遅くなりまして申し訳ありません。
ご親切に教えていただきまして
誠にありがとうございます。
早速調べさせていただきます。
183名無しさん@お腹いっぱい。:03/11/17 10:43
初心者なのですが、教えてください。
ウィルスバスターで troy_mardonaex.a というウィルスに感染していると出て、
治せないという表示が出ました。これはどうしたら退治できますか。
>>183
俺的にお前のアンチウィルスソフトはウイルスバスターなので説明書みろと子一時間
土詰めたいぞ
>>184
あ、書いてあった。ごめんなごめんな183・・・。
君が自分でウイルスバスターなんていうとは思わなかったから。
じゃあ、winnyやりましょう (ゲラプツ
>>183
真面目にいくとそれが相当やばい(バクドア)なら緊急ロックしてみて、それで修復。
俺はそのトロイ型のウイルスの詳細は知らないが。ようするに、リアルタイム検索で
検索されて駆除できませんでした、隔離できませんでした。とかでたんやろ?
俺も出たよ・・・。俺もな!しかしな、しょうがないんだ・・・。しょうがないんだよ!!!
心配だったらもう一回ウイルス検索して見れ。それしかないんだ。僕たちの道は。
c:\best.exe は 次のウィルスに感染しています: Downloader.Trojan
c:\WINDOWS\SYSTEM\svcinit.exe は 次のウィルスに感染しています: Backdoor.Trojan

無料のところで検索したらこんな結果になりますた。
ワクチンソフトは持っていません、どうすればいいですか?
188187:03/11/17 11:08
取りあえず削除します。お騒がせしました。
189183:03/11/17 12:55
>>186
そうです。駆除できないと出たんです。もう一度検索しても同じです。
緊急ロックのボタンは分かったのですが、そこからどうやるのかわかりません。
言い忘れましたが、もう一つ Worm.Blaxe.A というのも同じように
修復できませんでした。トレンドマイクロのページで名前だけ出ていますが
英語を読んでも直し方がよくわかりません。
190名無しさん@お腹いっぱい。:03/11/21 22:27
system32のstringsっていうファイルに
BAT.Trojanが感染していて駆除できないので
ファイル自体削除しようとしたら
共有違反がありました
送り手と受け手のファイルは使用中の可能性があります
って出て削除できないんだけど
どうすればいいでしょうか?
>>190
一般的にTrojanはそれ自体が悪意のあるプログラムだから、
駆除ではなく、削除しか出来ないよ。

Trojanがすでに実行中であれば当然削除は出来ない。
取りあえずセーフモードで削除は試みましたか?

セーフモードがよく分からないのであれば
下記のサイトに行って、Dellaterをダウンロード。
http://www.diamondcs.com.au/index.php?page=dellater

@ダウンロードしたzipを解凍して中のdellater.exeのショートカットをデスクトップに作る。
Adellater.exeへのショートカットを右クリックしてプロパティを表示
Bリンク先となっているところ
  〜〜dellater.exe"の右に半角スペースを空けて消したいファイルのパスを入れる。
 たとえば消したいファイルのパスがC:Windows\System32\strings.batだったら
〜〜dellater.exe" C:Windows\System32\strings.bat
のように入れる。
Cそれからdellater.exeへのショートカットをダブルクリックして再起動。

そうすれば実行中で削除できないファイルも消せます。
>>191
禿しくサンクス
やってみます
>>191
消せたよ
ありがとう
194名無しさん@お腹いっぱい。:03/11/22 08:31
80.25.154.13
からしつこくアタックされてます。
こいつは一体何者??
195名無しさん@お腹いっぱい。:03/11/22 08:45
今度は24.190.165.9からアタックキタ━━━━━━(゚∀゚)━━━━━━!!!!
って、俺って標的にされてんの?しょっちゅうノートンが反応してる・・・
勘弁してくれ(´;ω;`)
196194,195:03/11/22 08:49
WinMXのポート閉じますた、もうこない・・・はず
前ポート閉じてもきたのはきっと・・・気のせいだ、うん
197194:03/11/22 10:00
またキタ━━━━━━(゚∀゚)━━━━━━!!!!
2度もキタ━━━━━━(゚∀゚)━━━━━━!!!!
どうなってんだ━━━━━━(゚∀゚)━━━━━━!!!!
そのうちの1回は例の80.25.154.13です
何者なのでしょう・・・
はいはい。氏ね
199名無しさん@お腹いっぱい。:03/11/22 10:52
ソウルからきたよー ちょん公のクセにいっちよ前にアタックなんて
な・ま・い・き・だ・!
200名無しさん@お腹いっぱい。:03/11/23 19:24
MIME-Version: 1.0
X-Originating-IP: [218.217.54.46]

201 :03/11/23 23:22
1025portって何?
Windowsだと必ずあいているみたい。
202wakaba:03/11/24 00:29
>>201Windows XP?

以下はWindows XP HEをインストールした直後にnetstat -anoをしたものだけど
C:\WINDOWS>netstat -ano

Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 976
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING 1160
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING 4
UDP 0.0.0.0:135 *:* 884
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 704
UDP 0.0.0.0:1026 *:* 1112
UDP 0.0.0.0:1027 *:* 976
UDP 127.0.0.1:123 *:* 976
UDP 127.0.0.1:1900 *:* 1160
UDP 192.70.106.143:123 *:* 976
UDP 192.70.106.143:137 *:* 4
UDP 192.70.106.143:138 *:* 4
UDP 192.70.106.143:1900 *:* 1160

Windows XP環境でTCP port 1025はタスクスケジューラー・サービスのrpcサービスに
よって使われます。通常このポートを閉じることは出来ない。
どのポートをどのrpcサービスが開いているかは以下のRPC toolsで調べることが出来ます。
ttp://razor.bindview.com/tools/desc/rpctools1.0-readme.html
203wakaba:03/11/24 00:54
Windows2000のインストールした直後のnetstat -an

Proto Local Address Foreign Address State
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
TCP 0.0.0.0:4983 0.0.0.0:0 LISTENING
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1028 *:*
UDP 0.0.0.0:1029 *:*
UDP 0.0.0.0:3456 *:*
UDP 192.70.106.143:137 *:*
UDP 192.70.106.143:138 *:*
UDP 192.70.106.143:500 *:*

Windows2000ではTCP port 1025は通常Distributed Transaction Coordinator serviceに
よって使われています。Windows 2000 serverでは通常このサービスはデフォルトでONに
なっています。このサービスを止めるには
C:\WINNT>net stop msdtc
つまりWin2000では適切にTCP port 1025は止められるけど、WinXPではTCP port 1025は
適切に止めることは出来ないということですね。不適切な書き込みすみません。

204名無しさん@お腹いっぱい。:03/11/24 01:20
トロイ対策の為に検出力に優れるPestPatroalというソフトを購入しようと
考えているのですが、どなたか使っている人はいますか?
使い勝手や、検出力はどんなもんでしょうか?
値段がとても高いので買おうかどうか迷っています。
205wakaba:03/11/24 01:50
>>204
>トロイ対策の為に検出力に優れるPestPatroal
これはPestPatroalのベンダー自身が言っていること?(だとしたらあまりあてにならないかと)

私、以前PestPatroalの体験版でSubSeven2.15 legendのUnpacked serverを使って
少し実験してみようとしたけど(pack/crypt/patch/hex edit/disassemble・reassemble)
困ったことに検出されなくするのにresource hackerで十分なので私はすごく失望したけど。

PestPatroalが何故トロイの検出が優秀ではないのか。
ファイルのどの部分を見て、正しいファイルか?悪意のあるファイルか?
判定しているか、PestPatroalが何故誤検出が多いののかということを含めて
以下のサイトで詳しく説明されている方がいらっしゃいますよ。
http://www.dslreports.com/forum/remark,7572769~root=security,1~mode=flat
http://www.wilderssecurity.com/index.php?board=25;action=display;threadid=13363

PestPatroalのadware,spywareとかの検出力はよく知らないけど、
少なくともTrojan/Backdoor detecterとしては、無料ならともかく、わざわざお金を出す
程のソフトでは無いと思うけど。(勿論私の個人的な意見ですが。)

無料ならantidote,個人的に買うとしたらTrojan Hunter,Kaspersky Anti Virus Liteなんか
お値段も安いしいいと思うんだけどなぁ。
>>205
This program cannot be run in DOS mode.

This program cannot be run in dos mode.

enough?
lol
すみません、
トロイに感染してるかどうか心配になってスタートアップに登録されてるexeファイルを調べてたら
どうしても分からないのが2つあったんですが、
どなたか詳細分かりませんか?
ちなみに
LoMApp.exe
AGRSMMSG.exe
です。
ttp://www.pacs-portal.co.uk/startup_pages/startup_all.php

AGRSMMSG AGRSMMSG.exe IBM AMR modem driver
とある
もう一つはようわからん。
210207:03/11/24 02:45
>>208,>>209
情報提供サンクス!
ファイル名:sharedprem.exe ウイルス名:Trojan Horse
アップデートしたばかりのノートンで検疫もできなければ削除もできない、誰か助けて
212204:03/11/24 02:54
>>205さんレスありがとうございます。
PestPatroalはお金を出して買うほどトロイの検出力は高くないと
いうことでしょうか。

当方英語があまり得意ではないのでリンクしてくださったサイトも
辞書を引きながら少しづつ読んでみます。
ありがとうございました。
213wakaba:03/11/24 02:56
>>211
>>191
good luck
214211:03/11/24 02:59
>>213
見逃してた、ありがd
215211:03/11/24 03:03
タスクマネージャからプロセス終了することを忘れてた・・・
俺を笑ってください・・・鬱死
Trojan.ByteVerifyに感染しました。

ttp://securityresponse.symantec.com/avcenter/venc/data/trojan.byteverify.html
↑要はエロサイトをお気に入りに加え、ダイアルアップで繋ぐということでしょうか?
(自分はこの症状は出ていません)

この他にTrojan.ByteVerifyに関する情報がありませんか(できれば日本語で)?
ゴーストのゴーストは何ですか?
フォントのフォントはほんとにフォントなのですか?
どこかに勝手にやってりゃそれでいいような家電的なパソコンの出現が待たれています。
永遠なる未完成品その名はパソコン。


>>217は気違いですか?
>>216
NAVを持っているなら、これではいけないの?
ttp://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=36538
>>218全面的に同意します。
221名無しさん@お腹いっぱい。:03/12/10 00:40

インターネットのスタートページがアダルトサイトに・・・
やっぱこれもトロイなんですよね?・・・
>>221
悪意のあるプログラムの内、複製品を作らない単体の悪意のあるプログラムは
たいがいトロイに分類されてしまうから、トロイの一種と言えなくもないけど。

その手の悪意のあるプログラムはBrowser Hijackerとかに分類されるではないでしょうか。
その手の悪意のあるプログラムを削除してくれるのはSpybotとかAd-awareが有名です。

それでも消えないしぶとい悪意のあるプログラムならHijack Thisが力になってくれるでしょう。
>>176
223名無しさん@お腹いっぱい。:03/12/10 01:52

ありがとうございます・・・
スタートページ以外にはこれといって不具合はないようですが
サイトのリンク先「t.rack cc」てのがトロイの一覧にあった
ようですので気になって気になって・・・
224名無しさん@お腹いっぱい。:03/12/10 02:13
夜分遅くに失礼します
ふと疑問に感じたので質問なのですが、トロイの木馬って遠隔操作プログラム
だったと思うのですが、この場合、ポート&パケット監視ソフトである炎壁が
インストールされていれば問題ないんですか?
もし宜しければ御教示ください。
225224:03/12/10 02:30
すみません。過去ログ読んでなかったです。
なんとなく雰囲気は分かりました。
お騒がせして申し訳ありませんでした。
>>144についてですが私は
http://www.moosoft.com/
ここのTCmonitorとTCactiveてのを使ってます
227wakaba:03/12/11 00:21
今現在もっとも有名なBackdoor(いろんな意味でSubSevenよりもずっと危険)
の一つBeastがアップデートしたね。
ttp://www.nsclean.com/psc-bst.html

NAV2004とTrend Micro Internet SecurityはまだLive Updateではまだ対応出来ていない。
会社でノートンを使っているのでノートンの方はSARCにサンプルを送りましたが。

今夜はP2Pをやる人は特に気をつけた方がいいよ。
NetDevilがアップデートした時ダウンロード板で定義ファイルで対応出来ないうちに
使うように指導していた人がいるのを思い出して。
おやすみ。
>>227
ダウンロードしてみたけど、ノートン先生はまだ対応していないみたい。
新しい機能のreverse connectionってLAN内のパソでも使える
ってことでしょうか?
すべての機能が作者の言う通りならリモートアドミンツールとしてVNCなんか
より優秀な気がするけど。
ふむ、面白そうなので自分のパソで遊んでみる。
Ants Anti Trojanの後継ソフトがリリースされてた。(Antsという名前は
各国の著作権に問題に引っかかる可能性があるのでa2という名前にしたそうな。)

ホーム
ttp://www.a-2.org/en/

フリー版のダウンロード
ttp://forum.a-2.org/viewtopic.php?t=224&sid=92fcc5f82b4db89d056345a0b921f853

データベース(フリー版のアップデートは週一ペースらしい)
ttp://forum.a-2.org/viewtopic.php?t=178&sid=65473e06220d3138bfe435f25ba94369

フリー版はOn Demand ScanだけでBackground Guard with IDS、Advanced IDS、
System-Firewall、Analysis-Toolsは使えない。

インストールすると一度必ずアップデートしないと駄目だった。問題なく全ドライブ
スキャンできたよ。トロイが検出されなかったのは喜ぶべきなんだろうけど、何も検出
されないっていうのはちょっと悲しいね。


>>229

早速いただきました。
AVGと同じくメアドを登録しないと使えないですね。
ちなみに私はhotmailで登録しました。返信は瞬時に来ました。
前作と違ってインターフェイスがずいぶん垢抜けたといいますか
XPぽくなってますね。
今スキャン中なのでなんともいえませんが、スキャンに掛かる時間は前作と同じくらいだと思います。
>何も検出されないっていうのはちょっと悲しい
そんなことはありません。喜ばしいことじゃないですか。
確かに張り合いは無いかもしれませんが・・・。
ちなみに私もSwatItでスキャンしようがトロイが検出されたことはありません。
aイってなっちゃうな。
>>230
スパムメール来ないですか?
>>231
私も文字化けしたメールが着、アイコンもそれでした(アイコンは名前を変更しました)。
>>232
おそらくAVGのように、パスワードのメールが来たきり、何も来ないでしょう。
心配でしたら、今回用にフリーメール(匿名、匿メアドで取れるもの)を取るといいのでは?
>>233
漏れはAVG登録したとたんスパムがんがんくるようになったけど。
>>234
私は過去AVGに登録したが(今はAVGは使っていない)、AVGからは登録完了メールが
来たきり、何も来ない。
スパムも来ない。
時期がたまたま一緒なだけで、他に原因があるのでは?
236名無しさん@お腹いっぱい。:03/12/17 04:14
a2 update(2003.12.16) age
237名無しさん@お腹いっぱい。:03/12/17 15:28
サーバーに繋がりません。
アップデート出来ないのでスキャンも出来ませんね。
残念です。
W2Kでプロキシの設定をしていた事が原因だったみたいです。
フォーラムにそれらしき報告が載っていました。
無事アップデートも出来、スキャンも終了しました。
このソフトを紹介してくれた方、どうも有り難う。

ところで検出率はどうなんでしょうね、
皆さんは、a2以外に今までココで紹介された他のソフトも併用されてますか?
アンチトロイソフトは
SwatIt,Trojancheck 5,Trojancheck 6,HijackThis
と後a2を使っています。
検出率は、実際にトロイが検出されたり、テストしたりしたことがないのでわかりません。
レジストリの書き換えを監視するソフトを使っていれば、トロイの心配はないでしょう。
>>229
サンクス。自分もa2 Freeを導入してみました。登録するまで
少し戸惑いましたが、無事アップデートしてスキャン出来ました。
感想としてはGUIがとてもきれいです。トロイのSignatures数
18644個はとても魅力的に思いました。
a2Personalはとても多機能そうだけど、有料なのはとても残念。

後一つ気になったのは、自分は2,3テスト用のトロイを持っている
のですが、lzhとかzipで圧縮されたトロイはスキャンしていない気がします。
検出力はまだリリースされたばかりのソフトのようなので、レビューされて
いるページもないし、分かりにくいですね。
>>236
ttp://forum.a-2.org/viewtopic.php?t=357&sid=56061ee1b3651cf95b542b2edafb4b16

Common signature update 12/16/2003
Added:
- dialer detection engine
- signatures for 2.7 million dialer and dialer variants

12/16/2003にアップデートしたdialerって具体的になんなんだろうね。
エッチサイトに繋ぐためのものなのかしら。
それにしても2.7millionって単位本当に合っているのだろうか。。。
242名無しさん@お腹いっぱい。:03/12/20 21:09
ttp://www.openwares.org/index.php?option=com_remository&Itemid=&func=fileinfo&parent=folder&filecatid=17

IEの脆弱性を解決するためのパッチらしいですが、実際は "malware with a backdoor" だとか。。。
>>242
KasperskyでScanしてみたけど、一応何も感染していないと表示されたよ。
ちょっと見ただけだけどかなりエキゾチックなPackerが使われているから
何が起こっても不思議じゃないね。この手の*.exeツールをMicrosoft以外
からダウンロードしてテスト用マシン以外で実行するのは愚かだろうね。

もっとも、私はそのサイトは始めて訪れたけど、日本人でそのサイトを訪れる
こと自体すごく稀なことでしょうが。
Common a2 signature update 12/20/2003

Added:
- detection for I-Worrn.Sober.c

ttp://forum.a-2.org/viewtopic.php?t=392&sid=764d9d10bdba496cdc766e2a2a7eff1c
ttp://forum.a-2.org/viewtopic.php?t=394

Sober.a,b,c Wormは面白い。
いったんSober Wormが実行されてmemoryにロードされると
(Exclusive File Lock) によって自分自身がScanされるのを防ぐ機能がある。
memoryにロードされているSober Wormを検出出来るアンチウイルスソフトがどれだけ
あるか調べてみるのも面白いかもね。

a2はAndreas氏がこれだけ宣伝するだけあってa2はProcess Memory Scanできちんと
disinfect出来るのでしょう。
ttp://forum.gladiator-antivirus.com/index.php?s=3bc421fe0134546200bda51f93826f51&showtopic=265
>>244
247名無しさん@お腹いっぱい。:03/12/22 21:23
SwatIt update age (updateしたのはじめて見た)
>>247
thanx
今a2の方も試用しているけど、アップデートの頻度を考えたら、
SwatItは使いにくいかもしれない。
>>248
確かにSwatItはa2にくらべると使いにくい。
・update頻度が少ない(FreeでUpdateするだけで充分ではありますが)。
・スキャン中PCの動作がものすごく重くなる(スキャン中何もしなければいいのですが)。
a2があればSwatItは不要かもしれないが、バッティングするわけでもないので(常駐保護しないから)
併用していくつもりです(結局使う私w)。
う〜ん、結局どれが一番いいんだろ?
併用するのが良いのでは?(常駐保護させるのはひとつにして)
>>251
そうですね。
皆さんはどう組み合わせていますか?
ちなみに私は今a2のみなので、参考までにお聞きしたいです。
アンチトロイソフトは
Trojancheck 5(常駐)
Trojancheck 6
a2
Swat It 2.1
他にhijack thisも使っています。
Trojancheck 6はupdateしたのを見たことがないので
(いつもドイツ語で「最新です」と表示される。使い方を間違っている?)
使う必要はないかも?

PFWが1つ、アンチウィルスが2つ(常駐が1つ、非常駐が1つ)、
アンチスパイウェアが4つ(内常駐が1つ)と、
全てフリーソフト。
無料なのはありがたいですが、ソフトの数は多くなります(w
減らそうと思えば減らせるのですが、今のところ快適に動作していますし、
色々なソフトを試すのが半ば趣味になってきています(w
>>253
丁寧な回答thx!
trojancheck、ドイツ語で( ゚д゚)ポカーンだったんですぐにアンインスコしちゃったんだよな。
もう一度挑戦してみよう。
こういうソフトって、ドイツのが多いですね。どうしてだろう。
255253:03/12/31 02:11
>>254
Trojancheck 5は英語化パッチを当てて使っています。
Trojancheck 5自体が開発終了していますので、
本体も英語化パッチも配布終了しているかもしれません。
(URL貼ろうとしたのですが、見つけられませんでした。)
Trojancheck 6は英語化パッチはないみたいです。
私はここで翻訳して何とか使っています(使えていない気もしますが)。
翻訳サイト集
ttp://homepage2.nifty.com/m_kamada/l_translation.htm
>>255
私もググって探してみましたが、どうやらないようですね。
どっかに残ってないのかなあ・・・。
>>256
Trojancheck 6 に同じ(と思われる)機能があります。
ttp://www.trojancheck.de/

Trojancheck 6を起動。
 ↓
右下のTrojancheck Wachterボタンを押す。
 ↓
常駐アイコン(中世の楯と剣)が出る。

これでトロイから常駐保護されます(そのはずです)。
ちなみにTrojancheck 5の英語化パッチは警告文が2回に1回は文字化けする
(ドイツ語+文字化けという厳しい状態)という、もうひとつのものです。
タダなので文句は言えませんが。
258257の続き:03/12/31 03:19
Trojancheck 6 の常駐アイコン(中世の楯と剣)を右クリック。
 ↓
三行出て来る一番上の行の Anzeigen をクリック。
 ↓
左下の mit Windows starten にチェック入れる。
(後の二つもチェック入れた機能が有効になるようです。)

これでPC起動と同時に常駐保護されるようになります。
>>257-258
遅れましたが、ありがとうございます!
早速やりますね。

あと、皆様あけましておめでとうございます。

260wakaba:04/01/02 00:30
私は>>257-258さんではないけどTrojanCheck6.02について少し。
TrojanCheck6.02は作者のThomas氏自身が公式サイトでおっしゃっているように
これ以上の更新はないです。
Trojancheck 6 ist die letzte Version von Trojancheck (ja, die 5er sollte es auch schon sein ;)).
Eine weitere Version wird es definitiv nicht mehr geben.

TrojanCheck 6はTrojanCheckの最後のバージョンです。(はい、私はTrojanCheck5.xの
バージョンを最後のバージョンにするつもりでした。)しかし今度はこれ以上TrojanCheckを更新する
つもりは明確にないです。

TrojanCheckの作者のTomas氏は今現在はEwido Security Suite(Anti Trojan Software)の
開発に携わっています。
ttp://www.ewido.net/de/
Rokop SecurityにEwido Security Suiteのレビューがあるけど、スクリーンショットを
見ればよく分かります。
ttp://www.rokop-security.de/main/article.php?sid=672

Ewido Security Suite(ESS)はまだ開発はベータ段階だけどFree版を手に入れることが出来ます。
ESSはモジュールで機能を拡張していけるのですが、今現在はFile Scannerしか機能して
いないです。スタートアップを監視するモジュールやプロセスを監視するモジュールなどの
機能がまだ使えないです。
261wakaba:04/01/02 00:31
TrojanCheckの重要な機能である、スタートアップを監視する機能ですが
ドイツ語のソフトは使いにくい人もいると思います。
SSM(System Safety Monitor)はそのsandbox機能にばかり注目されていますが、
スタートアップを監視する機能がありますし。

スタートアップを監視するシンプルなソフトのRegistry Protも有名です。
ttp://www.diamondcs.com.au/index.php?page=regprot
Registry Protはメモリ使用率20kbyte以下、リソース消費(win9x系で)1%以下の
小さなソフトなので昔Win98で使っていました。

<悪意のあるプログラムが書き換えやすいスタートアップの参考資料>
TLSecurityのコピーだと思いますが
ttp://userloader.jayseetk.info/_jojo/docs/docs_uk/Autostart_Methoden.htm
さらに勉強したい人は
ttp://www.dslreports.com/forum/remark,6686853~root=security,1~mode=flat
ttp://www.dslreports.com/forum/remark,6721512~root=security,1~mode=flat

私も、皆様あけましておめでとうございます。
ここはいい人が多いなあ…。
また質問で恐縮ですが、trojancheckについて
まだ何か知っておいたほうが便利なことってありますか?
263wakaba:04/01/04 01:36
>>262
Registry Prot,TrojanCheckのTipsでよく言われるのはWindowsUpdateの時には
常駐監視は切っておいて方がいいということくらいかなぁ。
WindowsUpdateではスタートアップの項目を沢山書き換えるから、ポップアップが
たくさん上がって煩わしい。Microsoftを無条件で信用する人は少ないけれど
WindowsUpdateでトロイを仕掛けようとはしないと思うから。それくらいは信じて
あげてもいいんじゃないかと。(勿論煩わしくなければオンにしておいていいと思うけど。)

あとはいざトロイが仕掛けられたときにあわてない為に、TrojanCheckの動作を確認しておくとか。
ttp://sh1204.sajthotellet.com/trojansimulator/
TrojanSimulatorはEicar Test VirusのBackdoor版といいますか、TrojanHunterの
CoderのMagnus Mischel氏が無料で提供してくれています。
もっともベーシックなBackdoorの動作をシミュレートする全く害の無いプログラムです。

悪意のあるプログラムが書き換えやすいスタートアップに関して日本語で詳しく
解説されているページを見つけました。素晴らしい解説だと思います。
ttp://www.geocities.jp/bruce_teller/security/leakytrojan.htm
余談ですが、トロイ隠すのにNTFSのADSを使う手法は古くから知られているけど、
何故か現実のTrojanerで使う人は少ない気がします。(別の手法を用いる人が多いかも。)
以下のサイトでもADSに関して詳しく解説されています。
ttp://www.diamondcs.com.au/index.php?page=archive&id=ntfs-streams
a2いれたんだけどプログラムの名前がaイって文字化けするのですが…
直せませんでしょうか?(´・ω・`)
>>264
>>231,233
仕様のようです。
私のもそうなっています。
使用には差し支えないみたいです。
デスクトップアイコンは名前を変更できますが、
a2使用時のタスクバーにaイと表示されるのは何か身体の力が抜けますが・・・。
フリー版をタダで使っているので、これくらいは仕方がないのかなという気もします。

今、気がつきましたが、updateしてました。
Downloading Signature database 01/04/2004 ...
130 new signatures :)
266トロイの木馬:04/01/06 13:47
まさかギリシャ神話のトロイの木馬がここまで有名になるとはな
>>265
ありゃ、ちょい前にあったのにもかかわらずありがとう(´・ω・`)
>>263
ご教授ありがとうございました!
a2を入れてみた。
>>240さんも言っているようにa2はLZHやZIPのような圧縮ファイルの
中身はぜんぜんスキャンしてくれないみたい。
ちょっと(´・ω・`)ショボンヌ
Swat Itの方だとSettingタブに"Scan inside archives"の項目があるね
ただ.zipはともかく.lhaの方まで面倒見てくれるのか疑問だが・・・
>>269
a2はアーカイバをサポートすることを作者自身が否定的だから、
アーカイバをサポートしていないみたいだね。

>>265
私は今はa2のユーザーではないのですが、
私の記憶が確かならa2は日本語のファイルはきちんと扱えたと思うけど。
文字化けするのはa2のタスクバーの2だけですか?
Andreas氏とは同じForumのメンバーなので今度不具合を報告してみます。
272265:04/01/07 01:06
>>271さん
>>231,233,264さんのように
・文字化けしたメールが来る

>You can use the account data to log in to the aツイ Control Center to subscribe to the aツイ Newsletters or purchase a license for aツイ personal :
http://cc.a-2.org


>Sincerely yours

>Your aツイ Team
>www.emsisoft.com

・タスクバーの「2」が「イ」に文字化け(デスクトップアイコンも同様ですが名前変更可能なのでこっちはだいじょぷ)。
他には有りません。
・ソフトの動作そのものには支障ありません(と思います)。

>Andreas氏とは同じForumのメンバーなので今度不具合を報告してみます。
そうしていただけるとうれしいです。
お手数ですが、よろしくお願いします。
レジスト時のメールに返信しようと思ったのですが、
当方の語学力では無理でした。_| ̄|○

273269:04/01/07 23:19
>>271
レスサンクス
>a2はアーカイバをサポートすることを作者自身が否定的だから、
>アーカイバをサポートしていないみたいだね。

作者様が否定的ということは圧縮ファイルはこれからもサポートしてくれない
ということなのですね(ノД`)・゚・。
要望しても駄目なのかなぁ。でもせっかく無料で提供してくださっているので
しばらくノートン先生と併用して使ってみます。
274265:04/01/08 03:12
>>272に追加です(書き忘れてました)。
・右クリックメニューも「a2」が「aイ」になってます。
別に動作そのものに実害はありません。
>>271さん、遅くなってしまいましたが、
もし間に合うようでしたらよろしくお願いします。
重ね重ねすみません。
TrojanCheck6のakzeptierenって同意って意味かなぁ?

つまり監視するか?って聞かれてるのかな
>>275
翻訳サイト集
ttp://homepage2.nifty.com/m_kamada/l_translation.htm
akzeptieren=受容=accept

正解。受け入れるか受け入れないか聞かれている。
>>273
Anti Virus, Anti Trojanの世界で、圧縮ファイルというと大きく分けて二つの
圧縮ファイルがあるということは知っていますか?
Archive Files と Executable File Compressors(Runtime Packer,Crypter)
ttp://www.securityfocus.com/printable/infocus/1275

Andreas氏の自身のホームページへの投稿"some thoughts about unpacking..."より引用。
リンクを貼りたいんだけど、もう半年以上前の投稿でリンクが残っていないので。

... and I will think about 2 diffrent unpacking issues - unpacking of archives like
ZIP and "unpacking" of runtime compressed or crypted files like UPX, ASPack and Y0da.

I think some of you know my position concerning unpacking of archives. I think its in
fact a useless feature. Malware inside archives are in fact harmless. So I see no
reason to provide any unpacking for them. But if it is wanted I will add unpacking for
ZIP, RAR, ACE and GZIP/TAR/TGZ.(Executable File Compressorsの話しに続く)

...私は2つの違ったunpackingの問題について考えてみよう。- ZIPのようなアーカイブを
unpackingすること、そして、UPX,ASPack,Y0daのようなruntime packerやcrypterを
unpackingすることについて。

何人かの人はZIPのようなアーカイブファイルをunpackingすることに対する私の考え方
を知っていると思います。私はアーカイブファイルをunpackingする機能は無意味な機能だと
思っています。何故ならアーカイブファイルの中にある悪意のあるプログラムは、まったく害の
ないものであるから。それで私はアーカイブファイルをunpacking機能を提供する理由を
見つけることができません。しかし、もしユーザーがどうしても望むのであれば、私は
ZIP, RAR, ACE and GZIP/TAR/TGZ.をunpackingする機能ぐらいはつけてもいいです。(続く)
>>273
Andreas氏はアーカイブファイルをサポートすること自体に否定的な上に、LZHにいたっては
彼の頭の中ではTARよりもpriorityが低いわけで。(個人的には私も彼と全く同じ意見だけど)
a2ユーザーもアーカイブファイルをサポートしてくれることをそんなに望んでいないです。
a2 Personalは常駐してのProcess Memory Scan,Advanced IDS,System Firewallなどの悪意のある
プログラムの動作を遮断する強力な機能があるので、アーカイブファイルをunpackingする
機能が無いのはほとんど問題がないけど。

a2 Freeの方は基本的にFile Scanerしか無いから、アーカイブフィイルをサポートしてくれる
ことには意味がある。アーカイブをサポートしてくれたらa2 Personal買うぞ、ゴラァ。って形で
脅せばサポートしてくれそうだけど。それとも、ドイツ人だから日本のAVでも献上しますか。。。。
279271:04/01/09 23:57
>>274さん
わざわざありがとうございます。
明日休みなので、もう一度a2を導入してみるつもりなので、
自分の環境でも確かめてから不具合報告書きますね。
a2のサイトを久しぶりに訪れたら随分セキュリティーサイトの
様相が整っていて驚いた。

今日見つけたa2FreeのちょっとしたTips
a2Freeをバックグランドでアップデートさせる方法と、ドライブをスキャンさせる方法。
ttp://forum.emsisoft.com/viewtopic.php?t=496&sid=609ab9dce2d586c8e96defb0fb4ac95e

Updater:
/silent --> Do a silent update (if you want to plan the update)

Scanner:
<path> --> Scans the path

Example:
a2scan.exe c:\ --> Scans c:\
a2upd.exe /silent --> Updates without any user interaction
オンラインのトロイスキャン
www.trojanscan.com/trojanscan/trojanscan.htm
みんな、気分転換にこれをクリックして、みんなでばんじゃーいしてみてくれ。
ttp://pink.jpg-gif.net/bbs/18/img/5337.jpg
誰が作ったんだよ、こんなもの・・・。∩( ・ω・)∩ ばんじゃーい
【いいこと】ばんじゃーい【わるいこと】
http://hobby4.2ch.net/test/read.cgi/bike/1073757543/
283名無しさん@お腹いっぱい。:04/01/14 23:59
Common a2 signature update 01/14/2004
+2859 signatures
ttp://forum.emsisoft.com/viewforum.php?f=3&
>>283
サンクス
以下のページもブックマークしておくととても便利だよ。
http://www.dozleng.com/updates/index.php?s=44713fbbf6728f97a96c9c601128c23c&act=calendar
>>283,284
どうもありがとう。>>284紹介のページ、ブックマークに入れました。
a2 signature update
Downloading Signature database 01/16/2004 ...
6 new signatures :)

保守ついでにカキコ
287名無しさん@お腹いっぱい。:04/01/22 03:56
SwatItでスキャンしたらIrvineのフォルダの中の、
mmgr_d.dllがDLX Downloaderだと出た。

a2では検出されず。
SwatItの誤検出なのかなぁ…。
288名無しさん@お腹いっぱい。:04/01/22 08:41
さっきから10秒に1,2回位トロイ攻撃されてる
何だこりゃ
289名無しさん@お腹いっぱい。:04/01/22 13:03
先ほどから一つのファイルにノートンがBloodhound.Packedというウイルスをたびたび検知しています。シマンテックサイトで対応ファイルを落として当てたんですが、まったく効き目なしです。
また、検疫も出来ませんしファイルも削除できません。そのうちに「OK」ボタンを連打しなければならないほど、同時に検知しはじめました。どなたか、対処法を教えいただけませんでしょうか?
290名無し:04/01/22 13:17
脳豚はウイルスじゃないものに騙されることがある!!

>>289のは何かの本に対処法が載ってた
www.1193.net/virus/update/031007.html - 2k - 補足結果 -
対処法かどうかは知らんが
>>287
俺の場合、アンチウイルスソフトのAntiVirがmmgr_d.dllを検出したよ。
バックドア何とかと書いてたような。
誤検出だろうと思ったが必要なさそうなファイルなので削除しちゃった。
292291:04/01/22 14:45
詳しく書くとこれだった。
WARNING: Contains a signature of the (dangerous) backdoor program BDS/Bancodor.B.2
Backdoor server programs !
293289:04/01/22 15:42
>>290
ありがとうございます。脳豚の誤検知の確立ありありですね。ただ、「Bloodhound技術を有効にする」のチェックを外してみたんですが、変わりはありません。
なんとか根本的に解決できないでしょうか?
294287:04/01/22 16:33
>>291
情報サンクス!
AntiVirでも検出されるんですね。
誤検出かもしれないけど、俺も削除しようっと。
>>293,289
>なんとか根本的に解決できないでしょうか?
スレ違いな事をここでいくら聞いてもそれは無理。
ノートンスレなり他所逝け。
>>294
一応Kasperskyのオンラインスキャンもやってみ。
それで何も検出されなければ多分誤検出だと思うけど。
うっ。リンク書き忘れた。
ttp://www.kaspersky.com/remoteviruschk.html
>>293
Bloodhound.PackedっていうのはSymantecの独特の用語で
未知のウイルスやトロイの可能性のあるruntime compressedされた
ファイルをノートンが検出したときに表示するものだから、
293氏がどうやってその対応ファイルをSymantecから落としたのか不思議だけど。

1.)取りあえずセーフモードでスキャンしてみること。

2.)ノートンがBloodhoud Packedとして検出したファイルのfull pathを
 メモする(たとえばc:windows\system32\trojan.exe)ことから始めてみれば。

なんども検出されるのは、対象のファイルがwindowsのsystem file protecter
に引っかかっているのだと思うけど。
 
299287:04/01/23 00:57
>>296
ありがと。
オンラインスキャンやってみました。

mmgr_d.dll OK
Known viruses: 80924 Updated: 22.01.2004
File size (Kb): 14 Scan time: 00:00:01
Speed (Kb/sec): 14 Virus bodies: 0
Archives: 0 Packed: 0
Folders: 0 Files: 1
Suspicious: 0 Warnings: 0

やっぱ誤検出かな。



>>299
誤検出だと思うよ。Kasperskyでも引っかからないのなら。
Irvineというソフトは怪しいソフトではないのでしょう?
一番いいのは自分の使っているベンダーにファイルを
提出して分析して貰うことだと思うけど。

手っ取り速いのはmmgr_d.dllを取りあえずmmgr_d.dll.backupとでもrenameして、
不具合が出るまで様子をみればよいのでは。

301287:04/01/23 02:36
>>300
海外のフリーのアンチウイルスを使ってるので、
提出するにも何処に送っていいんだか(;´Д`)

Irvineは有名なソフトなので、使ってる人はたくさんいるはずですが
Googleで検索してみてもそれらしい情報はみつかりませんでした。

Irvineのreadmeを読むとmmgr_d.dllはmmgr.dllにリネーム後、
irvine.exeと同じフォルダに置いて使うメモリアロケータということ。
これを使うとスピードやメモリ効率が変わるとか書いてる。
通常は使わないものらしいので、削除しても問題ないみたいです。
常駐保護できるやつでみんなが使ってるのはTrojanCheckぐらいですか?
TauscanとかTrojanRemoverはスキャン機能だけ?
>>302
Tauscanは常駐保護する機能があります。

TrojanRemoverはスキャン機能だけだけど、トロイが書き換えやすい
レジストリ・エントリーもスキャンしてくれます。

軽い常駐保護だけのAnti TrojanならBO Clean(名前の由来はBack Orifice Clean)も
有名だけど、なんせ米軍も採用しているくらいだから。
残念ながら体験版が使えない。(いきなり購入しなくては駄目だから。)
>>303
ありがとうごさいます。現在アンチウィルスソフトにeTrustを使っていますが、
トロイの木馬対策としてなにかもう一つ入れてみようかと考えていたところです。
TrojanCheckがドイツ語だということでちょっと抵抗がありまして。
BOCleanですか。よさそうですね。調べてみます。
>>304
eTrustというのpromotion版?
eTrustのエンジンVetもInoculateITもRepricable Malware(ウイルスやワーム)の
検出は非常に優秀なんだけど、
Non-Repricable Malware(バックドア、キーロガー、破壊プログラム)といった悪意の
あるプログラムの検出はKasperskyなんかに比べればあまり優秀ではない。
具体的に言えば、Unpacking Engineも優秀ではないし、Process Memory Scanも
装備されていないの。この分野にかけてはInoculateITのエンジンの方が少し優秀だけど。

Trojan Checkはドイツ語で使い難ければSSM(System Safety Monitor)を
試してみれば?無料で英語だし、常駐機能の重要レジストリを監視する機能は殆ど
同じもんだから。

BO Cleanを使っているのはきっと私くらいのものでしょうね。有料だし、
仕事でセキュリティーに携わっているような人でもなければ存在さえ知らないかも。
BO Cleanの一番いい点はOne Licenseで自分の持っているすべてのPCにインストール
することが出来るのがとてもあり難いです。特に私のように5台も自宅にPCを持っている
ような人には。後は作者のKevin McAleavey氏によるサポートは、大手セキュリティーソフト
しか使ったことが無い人には信じられないくらい素晴らしいです。
>>305
あなたコテハンになって下さい
>>305
eTrustのプロモ版です。で、ご紹介のSSMを入れてみましたが、ちょっと
私にはすぐには扱いきれない感じなので他のものも試してみることにします。
はじめまして、質問房ですみませんがよろしくお願いします。
TROJ_ISTBAR.Kというトロイに感染したのですが、どうにも
駆除方法、削除方法がわかりません・・・・
すみませんが、よろしくお願いします。
>>308
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_ISTBAR.K
英語なんで訳してみた。原文も読んでね。

解決法
○悪意を持ったプログラムを特定する
トレンドマイクロ製品やオンラインでスキャンし、TROJ_ISTBAR.Kとして検出された
全てのファイルをメモしておく。

○悪意を持ったプログラムを終了する
1.タスクマネージャー起動(NT系ならプロセスタブを表示)
2.起動中のプログラムの一覧から、検出された悪意を持ったファイルを確認する。
3.検出されたファイルのうちの一つを選択し、タスクの終了またはプロセスの終了をクリック
(←Windowsのバージョンによる)
4.検出された全てのファイルに対して上と同じことをする。
5.悪意を持ったプロセスが終了したことをチェックするためにタスクマネージャーを終了、
そしてもう一度起動する。
6.タスクマネージャーを終了する。
310続き:04/01/25 22:40
○レジストリから自動起動エントリーを削除する
1.レジストリエディタ起動
2.左のパネルで次をダブルクリックする。
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
3.右のパネルで次のエントリーを確認し、削除する
ISTService = "C:\Program Files\ISTsvc\istsvc.exe"
4.左のパネルで次を確認し、削除する
HKEY_LOCAL_MACHINE\Software\ISTsvc
5.レジストリエディタを終了する。

MEとXPの補足説明→MEとXPはシステムの復元を無効にするように。

○トレンドマイクロ・アンチウイルスを起動する
スキャンし、TROJ_ISTBAR.Kとして検出される全てのファイルを削除する。
(他のインターネットユーザーはオンラインスキャンを利用するように)
311308:04/01/25 22:50
>>309-310
本当に有難うございました!
おかげでさまでうちのPCが
立ち直ります。多謝です♪
>>309

オマエ実社会でモテルやろー
>>256
TrojanCheck Version 5.0.4.1 Final
ttp://web.archive.org/web/20030201085731/http://www.wilders.org/downloads.htm
インターネットアーカイブで検索したら
TrojanCheck5と英語化パッチを
ダウンロードできた。

今さら遅いとは思いますが、
もし必要でしたら落としてみてください。
314256:04/01/28 00:35
>>313
遅くないですよ〜
教えてくれてありがとう!
315>>313(=255):04/01/28 01:12
>>314
>>255をカキコした時点で見つけていればよかったのですが・・・。
話は変わりますが、a2がじゃんじゃんupdateしてますね。
今までこの手のソフトは入れたことなかったけど
常駐モノで入れるとしたら、どれが素人にはいいですか?

スキャンをしてトロイが出てきても駆除するのに難しそうなので
常駐して防いでくれたほうがいいと思うので。

ご教授ください。
317名無しさん@お腹いっぱい。:04/01/28 17:40
Patchfinder2試してみたので感想を↓
使 え な い で す 、 今のところ。


これだけじゃアレなんで詳しく書くと、
Patchfinder2はRootkitハッケソツール。
RootkitっつーのはOSからファイルやレジストリを隠したりする次世代トロイの総称。
もろに感染すると普通のアンチウィルスじゃ検出不可。
(ちなみにPatchfinder2では原理的にsub7やらbo2kなんていう前世紀の遺物は発見できません。
そのかわり未知のRootkitも発見可能・・・だと思われ。)

前置きはこの辺にして、まずOptix PRO v1.32を自爆インストール。
見事にPatchfinder2で感染を確認。
Antidoteでは検出不可。
Norton先生は体験版のインスコすら不可。(OptixがNorton先生を殺してしまう)

でここまでは良かったんだか、Patchfinder2は未完成部分多杉。
まずCUIなのでめんどくさい。
誤検出が多い。(スタートアップや常駐アプリが多いと駄目ぽ)
誤検出は設定変えればかなり防げそうだけど、
ソース書き換えてコンパイルしなきゃならんのでマンドクサ

以上体験レポートですた。(何度も再起動したりしてすげー時間かかってしまった)
参考にどぞ。
[Patchfinder2]
[1]ttp://rootkit.com/vault/joanna/rootkits_detection_with_patchfinder2.pdf
[2]ttp://www.rootkit.com/vault/joanna/patchfinder_w2k_2.11.zip
[1]は動作原理などのドキュメント
[2]は本体
318落人:04/01/28 22:48
すみません、どなたかお助け下さい。
祭りスレで下記のアドレスを踏みました。
>エフティティピィコロン//www.albinoblacksheep.com/flash/you.html

トロイのようですが、自分のバスター2004でトロイは検出できませんでした。
バスターの検索エンジン6.810、パターンファイル1.747.00
自分のOSはWin98SEです。

トレンドマイクロからの回答がまだ無いので不安です。
エフティティピィ?
320落人:04/01/28 23:03
>319
あ、すいません。
動画をFFFTPで落としていたので、素で間違えました。
頭がウニだったみたいです。
ブラクラじゃねーの?症状ぐらい書け
322落人:04/01/28 23:17
>321
申し訳ありませんでした。
上記のアドレスを踏んだ所、
ピースマークみたいな画像が3つほど並んだウィンドウが
「わっはっは〜」みたいな感じで笑いながら画面上を逃げていきます。
ウィンドウを閉じようとしても素早く逃げ回るので閉じられず
スタートメニューのWindowsの終了で閉じました。
その後、再起動してパターンファイルを最新にしてvirusスキャンしましたが
virusは発見されませんでした。

同じアドレスを踏んだバスターユーザーの話だと、同様にvirus検出されず…
ノートンは弾いてくれたケースとダメだったケースに分かれました。
その後、どんな症状が出ているのか報告はありません。
自分のPCにもまだこれといった変化は見られません。
>>322
二度と踏むな。そんだけ。
>>322
このスレ読んでアンチトロイソフト入れて
対策したら?
フリーソフトでいけるよ。
>>316
>>313が常駐。開発が終了しているのでa2なりSwatItなり
update可能なソフトも入れた方がいいと思う。
325316:04/01/29 00:35
>>324さん
ありがとう。
a2に挑戦してみます。
>>317
>RootkitっつーのはOSからファイルやレジストリを隠したりする次世代トロイの総称。
>もろに感染すると普通のアンチウィルスじゃ検出不可。
>(ちなみにPatchfinder2では原理的にsub7やらbo2kなんていう前世紀の遺物は発見できません。

317さんこんにちわ。Rootkitはいつから次世代トロイの総称になったの?
いやまぁ、複製品を作らない悪意のあるプログラムという意味ではトロイなのかもしれないけど。
RootkitにはRootkitというジャンルがあるような。。。(いや、私がおかしいのか?)
いや、トロイにはもう興味があまり無いんだけど、WindowsのRootkitはまだまだ勉強中です。

Patchfinder2はトロイなどの悪意のあるプログラムを隠す、rootkitを発見してくれる
プログラムだよね。
317さんはどのRootkitをcompileしたの?私はH・DefenderとFU Rootkitしか使ったことが無いんだけど。
Patchfinder2は数少ないこれらの最新のRootkitも発見してくれる貴重なツールだと思うけど。

>Antidoteでは検出不可。
遠慮せずに今現在この地球上にあるどのAnti Virusソフトを使っても検出出来ないと言えばどうでしょう。
少なくとも私の実験ではOptix Proがそうなりました。これは知り合いのPCにトロイを仕掛けると時などに
特に有効なのかな。
これは昨日見つけたexploitだけど、トロイを使う人には実に興味が沸く
逸品なんではないでしょうか。。。

ttp://www.securitytracker.com/alerts/2004/Jan/1008843.html
あな、恐ろしや。
328324:04/01/29 02:02
>>325
ちなみに私はTrojanCheck 5(>>313で落とせるもの)も
a2もSwatItも併用しています。
a2とTrojanCheck 5を併用されると良いと思います。
ttp://www.dozleng.com/updates/index.php?s=44713fbbf6728f97a96c9c601128c23c&act=calendar

最近強力なワームやトロイが大繁殖しているせいか>>315さんも言っているように
a2が怒とうのアップデートをしているね。a2なかなかいいかも。
アップデートを確認するサイトやa2を紹介してくれた人サンクス。
ついでにTrojanCheckの英語化パッチも紹介してくれてありがとうヽ( ̄▽ ̄)ノ
起動時にmIRC32ってのが動く。
外人の顔写真入り。
>>327
俺が仕込むときはいつもWinの穴だな。
基本的に受動的アタック&泣き寝入り作戦で。

ダウソ板の連中みたいな香具師が主なターゲット。
もちろん2chはlogとってるから利用しないけど、
違法系サイトからTrapページに誘導→感染させる。

一時間に百匹くらい釣れるから固定IPだけ選んで串に利用する。
っツー訳なので違法系サイトとWindows使う香具師は木をつけろw
#最近ならTrapページじゃなくてリモートから直に逝けるな
#この書き込みはふぃっくっしょんです。
#>>330は完全にアウトだと想う
>322 です。
書き込みの後にシマンテックでオンラインスキャンしたら
>警告! スキャンがコンピュータのメモリ上でアクティブなウィルスを検出しました。
>さらに感染するのを防ぐためにスキャンを終了しました。
>すぐにコンピュータをシャットダウンし、ウイルス対策の救済ディスクまたは同様のツールを使って再起動してください。

>メモリ上でウィルスは見つかりませんでした。
>コンピュータは何らかの既知のウイルスまたはトロイの木馬に感染しています。
>シマンテック・セキュリティ・レスポンス サイト上で以下にあげられたウイルスの名前を削除情報として検索します。

> スキャンを終了する前に中止しました。このコンピュータ上にはさらに感染ファイルがあるかもしれません。
>スキャンを実行していません。 ウイルス検出を開始するには、 ここをクリックします。.

どうやら感染している模様、検出されたウィルスは「Trojan Horse」と「VBS.LoveLetter.CI」
シマンテックで調べましたが、同一のウィルス名がなくて削除方法が不明。
今日は仕事なのでこのまま放置して会社に行くしかないですね。
バスターだけに頼り切っていた自分の不勉強を反省。
>324  はい、頑張ってみます。
a2かっこいいね
eTrustと併用します
a2の使い方がわかる日本語のHPあれば教えてー
ぐぐってもでてこない〜〜
>>334
free版だったら解説いらないだろ。
スキャンしたいフォルダにチェック入れてスキャンするだけじゃん。
336名無しさん@お腹いっぱい。:04/01/30 04:05
>>318
それのソースだけど、これ感染するの?

<html>
<head>
<title>You are an idiot!</title>
<script language="Javascript" src="../script/you.js"></script>
</head>
<body bgColor=#ffffff onload="flagRun=1;playBall();return true;bookmark();" onKeyDown="altf4key();ctrlkey();delkey();" onUnLoad="procreate()" leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5,0,0,0" width="100%" height="100%">
<param name=movie value="youare.swf">
<param name=quality value=high>
<embed src="youare.swf" quality=high pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash" width="100%" height="100%">
</embed>
</object>
</body>
</html>
>>334に便乗して、>>313のTrojanCheck5の使い方も教えて欲しいっす
>>336
偶然(必然?)ダウソ板で関係ありそうなスレ発見。
http://tmp2.2ch.net/test/read.cgi/download/1074901853/751-
339名無しさん@お腹いっぱい。:04/01/30 21:37
ttp://www.albinoblacksheep.com/flash/you.html

を踏んで、「ウィルス警告」と言われたYO…。
下記のサイトから対策が出来ますと書いてあったのでそこで
http://www.symantec.com/region/jp/sarcj/download.html を落として実行しました。
激しくトロイですか?
TrojanCheck5は開発終了してるから入れても意味無いよ。
新しいトロイは発見できない。昔の古いトロイだけ。
>>340
>TrojanCheck5は開発終了してる
このスレで既出。
>入れても意味無い
レジストリの改変を常駐監視させる意味がある。
新しいトロイはa2等で対応。
一度このスレを全部読み直す事をお勧めします。
a2 オンライン・チェック
ttp://onlinecheck.emsisoft.com/en/

関連スレッド
ttp://forum.emsisoft.com/viewtopic.php?t=601&start=0&sid=bd01e92b920c5adb46538652c5444eed

変なサービスがオンになっていないか、ブラウザの脆弱性などを調べてくれるらしい。
ノートン先生の所にあるオンラインチェックに凄く似てる気がする。

すべてのテストにパスしてきますた(`・w・´)
343名無しさん@お腹いっぱい。:04/02/01 05:47
ノートン先生がいると、このスレ2ちゃんブラウザで見れない。
>>336貼った馬鹿のせいでノートン反応しまくり
>>343
>>344
ぶっちゃけ2ちゃん来るならノートン使わない方が・・・
レジストリ番犬ロンじゃだめか、、、、、
>>342
これイイね。
Exploit-Testまでしてくれる
348スレ違いですが。。:04/02/02 14:59
驚愕の事実が判明
Patchfinder2インストールするとwinny2が起動できない。
エラーも出ないし、ほんとにうんともすんとも言わない。
Winny動かされると困る人はコソーリとPatchfinder2インスコすべし。

関係ありそうなの↓
http://pc.2ch.net/test/read.cgi/linux/1056624244/302-305
>332です。
このスレを見てa2を導入したら、無事トロイの木馬を発見出来ました。
あとは>191さんの方法で削除しました。
これでようやく安心してネットショッピングが出来るかな。

今まではバスターに頼りきりで、スパイウェアに関しては全く無知でした。
反省。
今後はa2他のソフトの導入も検討してみます。
皆様ありがとうございました。

ネットショッピングするなら再インストールしたほうが、、、。
>350
マジですか!?
カード番号を入力するのが怖いので新規登録はしてませんが、
登録済みサイトにログインするだけでもヤバイのでしょうか?
>>342

Port 5000

These programs or services use this port by default:
Windows ME, XP and 2003 Network Plug & Play

These Trojans or Malware files use this port by default:
Bubbel; Back Door Setup; Blazer 5; Socket 23; Sockets de Troie

5000番が空いているらしいんだが、感染してるのかな?

>>351
やばいよ
全部筒抜け

ウィルス削除、登録削除したほうがいいよ
スマソもう一つ。今a2を入れたんだけど、user、codeをちゃんと入れたんだが
ちっとも繋がらない(というより固まってる?)。同じような症状の人いますか?
>>342
Secure ActiveX Test: This test is not possible with deactivated scripting.

Insecure ActiveX Test: This test is not possible with deactivated scripting.

ここだけ赤だったけど
>>352
Windows ME, XP and 2003 Network Plug & Playに感染しています。
ドザを止めればいいと思うよ。
>>351
既にid/passが漏れている危険性があるし、
RootkitやSnifferが残っている可能性も否定できない。
OS再インストールしてから全てのパスワードを変更した方がいい
>353 >357
トロイの木馬感染していた間は
ログインが必要なサイトは見ないようにしていました。
それでも既にパスが漏れてる可能性がある訳ですか…鬱

ネットショッピング等は一度登録を取り消すか、
パスワードを変更するだけではマズイですか?
バックアップするメディアが無いのでOSの再インストールはキツイです。_| ̄|○ 凹み


皆様はじめまして
何か話の腰を折るようで本当に申し訳ないのですが、
どなたかご教授ください。

318に出ているブラクラを踏んでNAVがtrojan horseを検出し、削除できないと出てから
自分で色々と試行錯誤しているうちにこのスレにたどり着きました、
誤検知かとも思っていたのですが、別のものにも感染しているかもしれないかと思い、色々と調べているうちに
益々臭い挙動をするようになったので自分で対応しきれない恥を承知で書き込みいたします
目に見える症状としては勝手にCDRトレイが開いたり、
ネットをしていない時でも必ず定期的に砂時計の表示が出たりADSLモデムのADSLランプが点滅します。
今日は仕事が一日中休みだったのでずっと張り付いて少しでもおかしな挙動をするたびnetstatで見たり色々と地味な地味な作業の結果
定期的に2つのIPとの接触があるようでした。

360359 続きです:04/02/04 21:55
216.239.53.99
アメリカのようでした
あともうひとつは2回だけだったのですが
IPアドレス直打で
具体的なアドレスは控えたいと思いますが、日本のかなり大きめな古本を扱っているHPを表示しました。
こちらは何かあったときのためにbookmarkに登録しておいたのですが、一度PCの電源を切ってその後ブラウザをもう一度立ち上げたところ、
消えてしまっていました。
各種のオンラインチェックはもちろん
こちらで皆様がご紹介くださっているツールでもトロイの検出は出来ませんでした。
OSはXP
NAV2003を使用しております。
長文になってしまいましたがお心当たりのある方がいらっしゃいましたらよろしくお願いいたします。
>>360
スパイウェア検索は?
>>359,360
うだうだ長文かいてる暇あるのなら
OS再インストールしろや。
>>358
お前も。
>バックアップするメディアが無い
買うなり借りるなりしろや。
IPわかるんだから防げるでしょ
364359:04/02/04 22:10
>>361

レス本当にありがとうございます。
スパイウェアはAd-aware とspybotの2つで駆除できるものはすべて駆除いたしました。
この2つは以前から入れてましたので新年にもう一度検索駆除した後SpywareBlasterを入れて予防をしていたつもりでした。
リロード遅れましたスミマセン

>>363
レスありがとうございます
そうですね。
何か一人で焦って調べている内に一度入られたら、これがトロイなら完全に削除しなければ今後も入られ続けるような気になっていました。
ただやはり気持ちがいいものではないので無駄かもしれませんが、もうちょっともがいてみて削除できなければ、出来れば避けたかったのですが
>>362さんがおっしゃられるように明日にでもOS再インストールしてみます。

>>361さん362さん363さん皆様本当にありがとうございました。
>>364
Antidoteでもう一回検索し見れば
eTrustとかでも
>364
自分も同じアドレスを踏みました。
a2でやっとトロイ検出して >191の方法でトロイを削除したところです。
自分はWindowsのsystemフォルダにファイル一つやられてましたが、
他のソフトでも調べた方がヨsageですね。

>362
セキュリティ面以外では既存のファイルはバックアップしても
感染の心配は無いと思って宜しいのでしょうか。
ニ次感染の心配が無いなら友人から借りてみます。>メディア
>>367
318のサイト見たけど(You are an idiot!)とかいう単なるブラクラじゃないの。
java scriptを切っていたらなんも出来ん。そうでなくてもオンライン・ショッピングなどを
するんだったら、タブ型ブラウザなどを使って、自分が100%信頼できるサイト以外は
java scriptやactive xなどの設定は切っておけばいいじゃない。

アンチウイルスベンダーはnon-repricable malware(複製品を作らない悪意のあるプログラム)
を大きく分けてTrojan Horseに分類しているけど。Trojan Horseの中でも特に危険な
部類なのが、Sub7などに代表されるBackdoor型のトロイの木馬。やJanet KeyLoggerなどの
Trojan KeySpyに分類されるキーロガー型のトロイの木馬。

そんでもってSymantecは困ったことに複製品を作らない悪意のあるプログラムであまり
有名でないものは全部Trojan Horseとかいう一般的な名前で言うので非常に分かりにくい。
だけど逆に言えばSymantecがTrojan Horseと言う様な名前で検出する場合は、しょぼい
悪意のあるプログラムである場合が多いです。対象のファイルを消してしまえばそれでおしまい。

バスターを常駐させていたのなら私はあまり心配しなくてもいいと思うけど。a2はなんて
名前のトロイを検出したの?取りあえずまだBackdoorが仕掛けられているのか心配なら
>>176でStart up listのログを貼り付けて一度見てもらえば。
>>367
>既存のファイルはバックアップしても
>感染の心配は無いと思って宜しいのでしょうか
ケースバイケース。ウイルスに感染している場合もありえる。
まずはPCを感染していない状態にしてから、
バックアップをアンチウイルス・アンチトロイ・アンチスパイウェア
ソフトでスキャンするしかないでしょう。
トロイくらったら何も信頼できない。
OSも既存ファイルもアンチウィルスも!

あんまり裏には詳しくないけど、
+アンチウィルスソフトに引っ掛からない
+ポートを開けない(他のポートを乗っとる)
+Netstat、Regeditの改竄
くらいは余裕でできるから

ま、再インストールするかしないかは個人の自由ですが、
踏台にされたりして社会に迷惑かけないでくださいね。
371359:04/02/05 02:22
>>366さん
レスありがとうございます
Antidoteはまだ試してませんでしたので試してみましたが検知しませんでした・・・
もしかしたらPCが壊れかけてるのかもしれないとも思いました。
>>367さん
私も試してみましたが検知すらしなかったんです。
ありがとうございます。
>>368さん
とても参考になりました
すごいですねぇ
今日は一日色々と疲れてしまいました
明日仕事の後にでもOSの再インストールをします。
本当に突然の質問にお答え下さいましてありがとうございました。
このスレを何度も読み返しましたがやっぱり皆さんすごいですね。
私もトロイの脅威を身をもって感じることが出来ましたので今後は皆様を少しでも見習い勉強したいと思います。
重ね重ねですが本当にありがとうございました。
>>371
OSの再インストール?hmmm.
BackdoorやKeySpyを心配しているなら、OSの再インストールは何の
解決にもならないと思うけど。カード番号などのすべてのパスワードを変えないと。

私は単なるFUDじゃないかと。Backdoor○○という名前で検出されたのなら
ともかく。単なるTrojan Horseで。

私はトロイを使う人がたくさん集まるForumにも時々遊びに行くけど、Symantecの
On Line Scanで検出出来るようなトロイを仕込むのは3流のTrojaner。
優秀な人が仕込んだトロイなら今頃371さんは静かにスパイされていると思うけど。

SymantecのOn Line Scanで引っかかるようなトロイならなんも心配いらんと思うが。
まぁ、370さんが言うようにあなた自身の問題だから。

PS. 今現在最高のrootkitと呼び声の高いH.diffenderなどはWin98では動作しないよ。
   Win98はトロイを使う人からも見捨てられたOSかも。
結局UG好きが多いだけじゃん、このスレ
で、a2の使い方教えて、お願い!!!使えるかどうかわからないので
落としてそのままデスクトップに置いています。
>>374
インストールしてうPdateしてスキャンすればよいのではないでしょうか
見たらわかりますか?
>>376
まず試せ。話しはそれからだ。
英語が判らないからためせない、、、、、、、
助けて、、、、、
翻訳サイトで誰でも翻訳ができる時代だから
「英語が分からない」という言い訳は通りません
怠けずちゃんと試してください

ttp://www.excite.co.jp/world/
>>378
中学でも分かるぞw
とりあえずインスコしれ
金払ってパッケージソフト買えばいいじゃん。
>>374
>>229参照。
これくらい義務教育レベルの英語でわかるはず。
それでもわからないというのなら>>379紹介の
翻訳サイトで翻訳位はいくらなんでもできるでしょ。
>380、>382
サンキュー今、入れてる所でここのスレで直林してあったやつをインスコしてるんですけど
途中でユーザー、コード、ライセンスナンバーを求められて、ありゃ困ったと思い
登録ページに行くとhotmailは駄目と書いてありました。
hotmailしか持ってないのでヤフーでもいけますか?ヤフーをいまからとってきます。
>>383
続きは
セキュリティ初心者質問スレッドpart36
http://pc.2ch.net/test/read.cgi/sec/1075135866/l50
あたりでやってくれ
385383:04/02/05 22:15
ヤフーにメールがきました。
しかし、ユーザーとコードは載ってましたけどライセンスが載っていません。
そのためにNEXTのボタンが押せず次に進めません。
どうかご教授をお願いします。
>>383
当方hotmailでレジストした。

嘘はいかんな。

それとも、釣りか?

>ユーザーとコードは載ってましたけどライセンスが載っていません。
ユーザー名:メールアドレスを入力
コード:メール記載のコードをコピペ

こんな簡単なソフトも使えないようでは、
トロイの木馬を気にする前にPCの使い方を
「よそで」勉強してきた方がいい。

>>384
私もその方がいいと思う。
みんなごめんなー
もう、諦めてタスクマネージャーから終了さして終わったから。

ちなみにこの画面で登録したけど

ttp://www.a-2.org/en/software/account/


機械翻訳したら真中位にhotmailはだめみたいなことかいてあるけど、、、

おとなしくROMっときます。
Please don't enter a Hotmail address, because Hotmail often doesn't deliver the email
with the account information!

これのこと?Hotmailはしばしばアカウント情報がきちんと配信されないことがあるので、
アカウントを登録するのになるべく使わないほうがいいってことが書いてある。
(Hotmailのスパムメール除去機能に引っかかる可能性があるのか?)

でも>>386さんの例もあるし。Hotmailで登録しても特に問題ないのでは。
389386:04/02/06 00:43
ちなみにHotmailで登録したら、(返信)メールがHotmailのスパムメールに分類されたくらいで、
別に支障はありませんでした。
Hotmailで登録不可能という事ではないですね。

大体、使い方と言っても・・・
Free版の場合、
・Update a2 online でupdateし、
・Scan your computer for Malware infection でscanする。
たったこれだけの事なんですが・・・。
本当にこんな事がわからないとは、とても思えませんが・・・。
多分本当に分からないんだと思うよ
ゆとり教育ってやつか
392名無しさん@お腹いっぱい。:04/02/06 19:45
>>391
全然関係ないと思うぞ
ゆとり教育って最近のことだし。

>>387
MS Officeがプロ級に上手くてもエクスプローラーも使えない香具師がいるから
こんな事気にするな。(発言の仕方に問題はあるが..)
数千円持って電気屋に行って、好きな対ウィルスソフト買えば全て解決。
既に対ウィルスソフト持ってればa2なんて必要無い
導入から既に数年全然関係ないともいえない
現在の中高校生ならもろに影響受けてるんじゃない?
学力とは関係なくただわかってないだけ、ということもあるが・・・

それはともかくMSOfficeは全然関係ないと思う
熟達した技量など一切不要
必要なのは少しばかりの英語を読む能力

つーか>>374からの流れ嫁
素朴な疑問なんだが、
なんでウィルスソフト1本でトロイの木馬までカバーできないんだ?
わざとやらないのか?アホみたいに対策ソフトいくつも入れたくない。
>>394
メジャーなのは普通のウィルスソフトでも対応してるから、
普通の人はウィルスソフトだけでいい。
アホみたいに対策ソフト入れるのは単なる趣味だと思われ
>>392
>既に対ウィルスソフト持ってればa2なんて必要無い
それは違う。
>>393
概ね同意。
仮に英語が全くわからなくても、
>>379が紹介したような翻訳サイトを使えば
a2程度なら誰でも使える。
そもそも(ここで)誰かに聞けば一からなんでも全て教えてもらえると
思い込んでいるのが間違い。ここはa2のサポセンではない(あんな質問は
有料ソフトのサポセンでも馬鹿にされるでしょうけど)。
>>394
アンチウイルスやPFW、アンチトロイ、アンチスパイ、アンチスパム等
オールインワンでやろうとするとノートンのようにやたら重くなって
個々の性能は単機能ソフトに劣るという風になりがち。
やはり餅は餅屋でそれぞれの専業の物の方が高性能だと思う。
アンチウイルスならノートン(異論もあるでしょうが)、PFWなら〜(ソフト名を出すと荒れそうなのでやめます)、
アンチトロイならa2という風になるように思います。
アンチウィルスソフトのスキャンと同時に走らせても大丈夫なんだろうか。
>>394
トロイ対策はアンチトロイソフトに任せた方がベスト。
ツールに頼りすぎると痛い目に遭うよ。
初心に戻って、あやしいバイナリを落とさない実行しない、
が一番大事だと思う
a2だけど右クリックで表示される時とそうでない時があるんだけど…
>>399
あやしいファイルを落とさず実行しなければそれで良いわけではない。
注意していても危険はやってくるもの。
防げないものをツールで補うのが正しい使い方。
Regprot2.0
http://www.diamondcs.com.au/index.php?page=regprot
こいつ入れてみたらめちゃ軽い!Registry監視はこれだけでいいや。
>394 アンチウィルスソフト入れてたけど、トロイに感染しましたが何か?
>>403
いやそういう意味じゃなくて、なぜウィルス対策ソフトがトロイ検知にもっと力を
注がないのかと。どっかで見たけどKasperskyはウィルス、トロイ両方とも検知力
が優れてるらしいが、日本だと情報が全然無いね。
>>404
>Kasperskyはウィルス、トロイ両方とも検知力
>が優れてるらしいが、日本だと情報が全然無い
【Anti Virus】Kaspersky Lab【Firewall】
http://pc.2ch.net/test/read.cgi/sec/1062797137/

>なぜウィルス対策ソフトがトロイ検知にもっと力を
>注がないのかと。
>>396,398の言うように、餅は餅屋という事では。
>>397
大丈夫だとは思いますが、両方のスキャンが終わるのに
ものすごく時間がかかるのでは?
>>263
一番したのサイトにあるtds3というのの体験版
入れてみたんだけどradius.td3というファイルが
ロードできないとかいわれて動作しませんですた。
これってなんでしょか。
408407:04/02/07 21:44
書き忘れたけどOSはwin2kです・・・
っていうか、このページみるとADSとかいう
部分に隠されたトロイをみっけれるのは
コレだけ!みたいに書いてあるようにも
思えたんですけど勘違いですか。
他のアンチトロイソフトがいっぱい
このスレでは紹介されてるから
違うやつでも良さそう。。
a2でscanしたところ、internatexeがTrojanSpy.Win32だと言われました。
これって誤検出?OSはWin98SEです。
>>408
TDS-3の体験版はAutoupdateとExecution Protectionの機能が使えないよ。
radius.td3というのはTDS-3の定義ファイルのこと。
体験版は以下のサイトからマニュアルで定義ファイルをアップデートしなければいけないです。
ttp://tds.diamondcs.com.au/index.php?page=update

TDS-3の基本的な使い方は以下のサイトをどうぞ。
ttp://www.wilderssecurity.com/index.php?board=5;action=display;threadid=12743
ttp://www.wilderssecurity.com/index.php?board=5;action=display;threadid=2871

ADSに関してはAnti-Trojanに関してはScan出来るのはTDS-3だけかもしれないね。
その他にはKaspersky Anti VirusやeTrust Anti VirusもADSをScan出来たと思うよ。

但し、ADSに関して言えば、通常合法的な理由でユーザーがADSを使うことは少ないと
思うので、ADSがハードディスクにあるだけでそれは怪しいわけです。
ハードディスクにあるADSをリストアップしてくれるソフトがあれば十分だと思うけど。
ADSをリストアップしてくれるソフトではSysinternalsのStreamなどは有名です。
ttp://www.sysinternals.com/ntw2k/source/misc.shtml

ついでに言えばトロイを使う人やトロイの開発者にとって、StealthもしくはCloaking methodとして
ADSを使うことは一般的ではないです。他にもっと有効なトリックがたくさんあると思います。
>>396
a2ユーザーなら、a2作者のA.H氏はアンチウイルスソフトは
出来ればNOD32を使ってくれれば嬉しいんじゃないかしら。w
>>410
大変詳細なアドバイスありがとうございます!
それにしても

> ADSを使うことは一般的ではないです。他にもっと有効なトリックがたくさんあると思います。

って怖いですね・・・あの、どんなトロイにかかろうが
これやれば100%それを削除できる方法っていうのは
あるんでしょうか?たとえば
bios reload
fdisk /mbr
fdisk
format
OS インストール
とかすれば、どこに隠れてるトロイだろうが
完全にOKでしょうか?それともこれでもまだ
残る可能性ってあるんですか。
ケーブルその他
むむむむ。最新のファイルを落としましたが
同様のエラーが・・・
このスレの過去ログを見るとwin2kだと
動作しない、みたいな報告もあったりして
でもHPだとちゃんとwin2kも対象になってますが。。
不思議だす。
stream.exe -s d:\*
というかんじでやってみたら思いのほか沢山
ADS使用してるファイルが出てきて。。
エロサイトから落とした画像とかindex.htmlとか。
なんか不安( ̄□ ̄;)
↑の過去レスってのは具体的には>>60さんとかです。
416409:04/02/08 12:00
どなたか教えていただけませんか?
同じような結果が出た方とか、いらっしゃいませんでしょうか?
>>416
antidoteとかnortonの体験版でスキャンしてみれば?
それで引っかかったならアウトってことで。
ゆうべa2というのも入れて今スキャンしてみてますが
そういうアラートは出ませんでした。win2k。
ちなみに
internat.exe
size=21264byte
CRC16=3CAE
CRC32=E44954ED
MD5=2ac9c6b4ce70fd836be5677eea2945db
419409:04/02/08 13:28
OS再インスコしてうpだてしたばかりなんですが・・・。
win2kでは私もでませんでした。
antidote、Bit、e-Trustでscanしましたがアラートはなし。
やばそうなソフトはいれてないんですけど・・・。
420名無しさん@お腹いっぱい。:04/02/08 16:59
突然デスクトップにlid.exeというファイルができてて
ブラウザを起動するとはじめに
ttp://awebfind.biz/というページが表示されたのですが
これはやはり何かのウイルスでしょうか・・・
BKDR_LIXY.Aかもしれないのですが、対処法が分からなくて・゚・(ノД`)・゚・
421WHO'S BAD:04/02/08 17:28
ノートン君では消せないのが(怒)
422420:04/02/08 18:07
しかもお気に入りに勝手にアダルトサイトが登録されてました・・・
>>420

ttp://higaitaisaku.web.infoseek.co.jp/index.html

ここに行くと多分解決すると思うよ。


>>422
((((((;゚Д゚))))))ガクガクブルブル
425412:04/02/08 20:19
あの、ふと思ったんですけどADSがあっても
そのファイルをいったんFATなドライブに
コピーしてやればADSデータは無くなる・・・
はずですよね?てことはバックアップドライブを
FATにしてそこにいったんコピーしてそれで
元のNTFSドライブに戻して、何も無いなら
単なるサムネイル表示等の正しいADS、
もしADSが復活してたら・・・(・∀・;)ドキドキ
というふうに判断してもよろしいのでしょか?
>>425
その判断方法は間違ってると思うが。
それにTDS-3で引っかかってないなら気にするな。
もし不安なら(過去に怪しバイナリ実行したとか)再インストール
>>427
ダメですか。てかコピーじゃなくて移動すね。
でもなんでダメなんだろう。FATではデータ保持
できないはずだからOKかとオモタんですけど。。
TDS3は相変わらず起動ができなくて(汗
紹介してもらったページをこれから辞書片手に
読もうかなというとこでして(^^;
ちなみにP2Pとかはやってないす。
exeはさすがに実行してないけど
rmとかはしょっちゅう・・・(^^;;;
429410:04/02/09 01:32
>>428
最近では合法的なソフトでもADSを使うものがたくさんあるそうです。ごめんなさい。
428さんが言うようにサムネイル表示などは特に。DiamondCSのサイトのペーパーは少し古いです。
Gavin氏にも直接聞いたので間違いないです。教えて貰ったURL
ttp://www.wilderssecurity.com/index.php?board=5;action=display;threadid=20665
128 bytes以下のADSはすべて無視してもいいそうです。

ADSが何故トロイを隠す方法としてあまり一般的ではないかというと、確かにかなりの
アンチウイルスソフト等からは悪意のあるプログラムを隠すことが出来ますが、
その他のDiagnostic toolを使えば簡単に見つけることが出来るからです。
たとえば>>176のリンク先のStart up listなどや。

今現在最も正確にプロセスとポートをマッピング出来ると評価されているOpenPortsなどを使えば。
ttp://www.diamondcs.com.au/openports/
以下のサイトで11個のProcess to Port mapperの比較があります。
ttp://www.winnetmag.com/Article/ArticleID/40313/40313.html
Beastのようなネットに繋がっているいる時にしかポートを開かないとても賢いBackdoorもたくさん
あるので、Process to Port mapperを使うときにはネットに繋がっている時が望ましいけど。

OSを再インストールすればどこに隠れているトロイだろうが普通完全に消去できますよ。
だからトロイを使う人はトロイを仕掛けていることを犠牲者に気が付かせない方法を日々研究
しているんじゃないのでしょうか。
…話について行けない。気にしなくてもいいですよね?
>409 >416
禿しく遅レスで申し訳ないが自分もa2でスキャンして
>Filename
>C:\WINDOWS\SYSTEM\INTERNAT.EXE
>Diagnosis
>TrojanSpy.Win32.Srdl.14
で検出されたよ。よって削除済み。OSは同じくWin98SEです。
削除して数日経つけどなんの問題も無し。

つーか INTERNAT ってなんやねん!
           ̄ ̄
ノートンとバスターでは検出出来なかったので
a2、Ad-aware6.0、Spybot1.2で徹底的に洗った。
不安は少々残るけどlogにも怪しい動きは無いので
このまま使いつづけて様子をみます。
>>431
>不安は少々残るけどlogにも怪しい動きは無いので
ほとんど気休めだな。
どこから感染したかも、本当に駆除できたかも分からないんだから
当然logなんて信用できないじゃん
またまたありがとうございます。
要するに起点のチェックが重要なんですね・・・と思って
http://higaitaisaku.web.infoseek.co.jp/iranai.html
を見てたら
>BKDR_LAMER.A.SVR (トロイ)
>O4 - HKLM\..\Run: [Winsock update] winsock.exe
>O4 - HKCU\..\Run: [Internat.exe] Internat.exe
>二番目のものは、同名でシステムファイルもあるので注意。最初が大文字の「I」になっているのが特徴か。

これ、まさにずばりあるんですけど。。
下のやつだけですが。大文字になってて。ただ
HKLM\..\Run: [Winsock update] winsock.exe を含め
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_LAMER.A.SVR
にあるような他の症状?は全く無いです。でも
http://higaitaisaku.web.infoseek.co.jp/iru.html
見るとちゃんと小文字になってるんでちと不安・・・。
>>418も実は僕なのですが、これでハッシュは合ってますか??
win2k sp4 です。
>>433>>428
でつ
>>433
自分とこの↓。いま確認したけど同じだね
win2k sp4
internat.exe
MD5=2ac9c6b4ce70fd836be5677eea2945db
>>435
ありがとーございますーーーーつД`)
http://www.google.co.jp/search?hl=ja&ie=UTF-8&oe=UTF-8&q=O4+-+HKCU%5C..%5CRun%3A+%5BInternat.exe%5D+Internat.exe&btnG=Google+%E6%A4%9C%E7%B4%A2
ぐぐっても小文字しかないからビビったす〜
ていうか>>435さんはhijackThisやってみました?
やっぱ大文字なのかな
437435:04/02/09 12:13
Logfile of HijackThis v1.97.7
Scan saved at 12:07:15, on 2004/02/09
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

F0 - syst>m.ini: Shell=
F0 - R>ystem.ini: Shel>=
F0 - R>ystem.ini: UserInit=
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinHandAutoClean] "C:\Program Files\WinHand\AUTOCLN.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Startup: results.txt
O4 - Startup: st.txt
O4 - Global Startup: ntuser.pol
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
438435:04/02/09 12:15
>>436
↑こんな感じになりました。
2000は17ないのか
XPがドメインだけど
>O4 - HKCU\..\Run: [Internat.exe] internat.exe

あれー右側は小文字すか!?むー。

> Logfile of HijackThis v1.97.7
> Platform: Windows 2000 SP4 (WinNT 5.00.2195)
> MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

はおんなじなのに。あと

O1 - Hosts: 64.91.255.87 www.dcsresearch.com

てのがあるんですよねウチのだと。なんだろこれ。
441409:04/02/09 13:27
>>431
レスありがとうございます。
やはり同じアラートですね。
「TrojanSpy.Win32.Srdl.14」をぐぐってみたのですが、PestPatrolのページしか
出ないんですよね。
ファイルサイズとかハッシュとかはもうわかりませんよね?
418、435さんのとは、もうファイルサイズが違います。2kと98の違いでしょうか?

433さんのレスを見たのですが、違うお話をしているのかとは思いますが、
「internat.exe」の「i」が大文字だとヤバイのですか?
漏れのはまさしく「Internat.exe」なのですが。
442433:04/02/09 14:30
いや、わかんないです。>>433にあるようにあくまで
http://higaitaisaku.web.infoseek.co.jp/iranai.html
の字面だけみて脊髄反射してますので(汗。
それで、うちのばあいInternat.exe となってるのは
あくまでレジストリの記録上のみでシステムフォルダにある
実体ファイルをみると小文字です。どーでもいいけど
?マークのアイコンがなんかむかつく。。
443409:04/02/09 15:08
早速のレスありがとうございます。
そういうことでしたか。

ところで431さんの他にはWin98SEユーザーはいませんか?
431さんによると、ノートン、バスター、で無反応(Ad-aware6.0、Spybot1.2でも無反応という事かも)。
漏れはantidote、BitDefender Free、e-Trust promo版、Spybot1.2で無反応でした。
a2だけアラート出します。
他のWin98SEユーザーさんはどうなんでしょうか?

あと、どなたかPestPatrol持ってる方いますか?(98SEで)
PestPatrolでの結果はどうなのか、聞きたいです。
print "ListFilePath:";chomp($path = <STDIN>);$path =~ s/\\/\//g;
$path =~ s/"//g;$listPath=$path;$path =~ s/(.+)\/.+/$1/;
open(LOG,"$path/hijackthis.log") || print " NOT FOUND \n$path/hijackthis.log";
while (<LOG>) {
next if ($i++ && chomp && !$_);
$orgLog = $_;
s/[\(\)\/\.\*\\\-\{\}\[\]\+\?]//g;
$str = $_;
open(LIST,$listPath);
$j = 0;
while (<LIST>) {
next if ($j++ && chomp && !$_);
$orgList = $_ ;
s/[\(\)\/\.\*\\\-\{\}\[\]\+\?]//g;
if (/$str/i) {
print "\n (;´Д`) \n";
open(OUT,">>$path/result.txt");
print OUT " Log $i行目> $orgLog \n => List $j行目> $orgList \n\n";
close(OUT);
}
}
close(LIST);
}
close(LOG);print "\n END \n\n";<STDIN>;
>>443
C:\WINDOWS\SYSTEMの中に?のアイコンで「internat.exe」はあります。
a2でスキャンしても引っ掛からない。
http://216.239.53.104/search?q=cache:emCMuWymEqIJ:tooljp.com/qa/6735AD157A307213492569C7004ADE0B.html+internat.exe&hl=ja&lr=lang_ja&ie=UTF-8&inlang=ja
あくまで自分用だけどhijackThisのログをチェックする
スクリプトかきますた。もしよかったら使ってください。
Perl環境が必要だす。使い方は

1 >>444をコピーしてchk.plとか適当に名前付ける(以下chk.plとする)。
2 http://higaitaisaku.web.infoseek.co.jp/iranai.html
みたいなぁゃιぃログのリスト(以下iranai.htmlとする)を用意。
3 chk.plとhijackThis.logとiranai.htmlを同じフォルダに入れる。
4 chk.plを実行。
5 ListFilePath: と表示されるのでリストファイル iranai.html の絶対パスを入力
6 END と表示されたら終了。result.txt に結果を出力。

 もし合致したのがあれば↓こんなふうに出ます(;´Д`)

Log 47行目> O4 - HKCU\..\Run: [Internat.exe] Internat.exe
=> List 57行目> O4 - HKCU\..\Run: [Internat.exe] Internat.exe</P>
あ、合致の判断は大文字小文字区別してないので
たとえば internat.exe の件でいえば正常なひと、つまり
小文字で書かれてる人もマッチしちゃいます。そのへんは
まリストの方を参照して吟味してくらはい。
448409:04/02/09 17:41
>>445
ありがとうございます。
「internat.exe」の「i」は小文字でしたか?
よければ、ファイルサイズ、ハッシュなど教えていただきたいです。
>>448
Windowsは大文字と小文字を区別して解釈しないから、Internat.exeもinternat.exeも同じ意味だよ。

ttp://www.sysinfo.org/startuplist.php?filter=internat&count=&type=
%windir%\systemにある
普通はC:Windows\System\ もしくは C:WinNT\System32\にある
"?"のアイコンのInternat.exe(Language selection icon in system tray)なら合法的なアプリケーションだよ。

よく悪意のある人物がが悪意のあるプログラムにつける名前でWindowsのSystem Fontは
大文字のアイ「I」 と 小文字のエル「l」は 区別が付きにくいから、
合法的なInternat.exe(大文字のアイ)をまねてlntenat.exe(小文字のエル)のような
名前は悪意のある人物は作るかもしれないけど。

Internat.exeのあるpathや他のアンチウイルスソフトでは検出しないのをみると
恐らくa2の誤検出なのでは?

andreas.haakアットemsisoft.com(アットを@に変えて)、
Internat.exeのコピーをa2の作者にメールで送れば、disassemblyして調べてくれるよ。

題名は「a2's false positive?」とでもして
本文はWould you analyze this program?
とでも簡単に書けばいいのでは。
450409:04/02/10 08:44
>>449
ご教授ありがとうございます。

昨日、フォーマットして再インスコしてからkerioとa2を入れてscanしたのですが、
同じアラートが出ました。

誤検出だとは思っているのですが、気になりまして。
ただ、ハッシュまでは見てなかったのですが、作成日時が「不明」というのが引っかかります。
それとよく覚えてないのですが、ファイルサイズが、フォーマット時のファイルアロケーションサイズ?
だかなんだかと全く同じだったのも、なんか気になりました。

とりあえず作者さんに送ってみます。
1はバカだがな
453409:04/02/10 17:24
>>451
それも考えてはいるんですがね。
しかし、tcp 901portが突き上がってんな。
System32内に、アンチドーテでのみ検出されるトロイの木馬らしきプログラム
があるんですが、(winregsrv.exeとupdater.exe、検出名はTrojan.Win32.Wingor)
レジストリにはなにも変更がないですし、ファイアーウォールのほうで通信許可を
聞いても来ないので一応隔離しておけばそれで安全と言えますか?
何で削除しないの?
勇敢っつーか、無謀もしくは馬鹿としか言いようが無いね
a2 24154
>>456-457
a2、BitDifender、eTrust、各種オンラインスキャンには無反応だったことと、
Google「winregsrv.exe」で検索したところ、すべてがスタートアップ絡みでレジストリに
値が追加されているケースの記述だったので私の場合にはそれが当てはまらなかった
ことなどからすぐにデリートしようとは思わなかったのですが、他の方たちの場合、対処はどうされますか?

Trojan.Win32.Wingorというトロイの木馬の名称については情報がほとんど得られず、
Kasperskyのデータベースにあるということぐらいしか判りませんでした。
わかる方いらしたらよろしくお願いします。
おれならもう迷わずOS再インストール。
よくわからないからこそ安全策。
疑わしきは最悪の場面を想定。
それ以外の方法っていうのはあくまでセキュリティに詳しい
ハカーのみなさんだけがとりうる対応だと思ってる。
>>459
削除しないでおくメリットは?
隔離してPCを使うのに支障が無ければ削除。
私ならその後>>460の言う様にOS再インストールする。
black hat なサイトってたとえばどんなとこですか。
ていうかそういうとこって素人が見に行ってもだいじょぶですか。
なんかトラップあったりしませんか。勉強しに行きたいのですが。
辞書持参で。
Win9xのみで動くフリーのソフト。
GL'Associates - Downloads Machine の Homepage は消失して居るみたい。

Stingray
Download Site:
ttp://www.sofotex.com/Stingray-download_L15741.html

Screen Shot:
ttp://webpagedesign.me.uk/stingray/sitefront.gif
464459:04/02/12 04:53
>>460-461
その潔さに感心しました。トロイがどれほど怖いものなのか
私にはまだ意識できないみたいです。いま少し勉強してみます。
>>464
削除してしまってもし不都合が出たらどうしようか、ということでしょうか?

私なら、それでも皆さんがいうように削除してしまうと思いますが、不安であれば
「隔離」の状態でしばらく様子を見られたらどうでしょうか。もちろん、その間 Personal Firewall などの
通信記録に気を付けなければならないとは思いますが。
時間が経っても問題がなければ、削除しても良いのではないでしょうか。
爆弾のようなものを抱えてひやひやするか、思い切って捨てるかの差だと思います。
>>464
Kaspersky(antidote)がTrojan Horse(感染活動を行わない悪意のあるプログラム)として
分類している種類。
ttp://www.viruslist.com/eng/viruslist.html?id=13

Trojan.Win32.WingorはKAVの5万種以上のEncyclopediaにも載っていない、しょぼいMalwareだと思われ。
名前から判断すれば対象のファイルを削除してしまえばよい。
削除するのが怖ければ、フロッピーにでも取っておくか、パスワード付きの
Zipの中にでも放り込んでおけばいい。

人それぞれだけど、検出されたのがKAVの命名法でいえばBackdoor,
Trojan.Dropper, Trojan Downloader, PSW.などのようなものでなければ、いきなり
OS再インストールまでする必要はない気がするが。
Trojan=Backdoorだと思う人がとても多いのかも。
トロイが対策ソフトで全部みつかる、というならそれもわかるけど
そーじゃないとすると・・・何かひとつでも入ってたということは
つまり他にも入れることができたということだから
468名無しさん@お腹いっぱい。:04/02/13 14:33
Symantecのセキュリティーチェックはできるけどウィルスのオンラインチェックやるとこんなのが出てできません

Unable to run Virus Detection
In order to run Virus Detection you must be using Microsoft Internet Explorer 5.0 or higher with ActiveX and Scripting enabled.
To learn more, see our Help.

IEは6だしセキュリティーも低にしてやっても駄目です
他の人はできますか?(´・ω・`)
>>468
スレ違い
セキュリティ初心者質問スレッドpart36
http://pc.2ch.net/test/read.cgi/sec/1075135866/l50

手元の環境ではふつーにできてる。
>>467
私は別にあなたの意見を否定している訳ではないよ。ただ、2chを始めとして
他のセキュリティー関係の掲示板などでも、たとえば、IEのホームページが
アダルトサイトに書き換えられました。とか、デスクトップに怪しいアダルトサイト
に繋がるアイコンが出来ています。なんていう書き込みは本当にたくさん見ることが
出来ます。これは既に悪意のあるコードが実行されているわけだら、他にどんな
悪意のあるコードが実行されていても不思議ではない。でもいきなりOS再インストールを
薦める人は本当に少ない。

せめてHijackThis/StartUpListなどのdiagnostic toolなどで
running processやスタートアップのエントリを調べたり、OpenPortsなどで開いている
ポートを調べてからOS再インストールを考えても遅くは無いと思うので。
KasperskyのアナリストがTrojan.Win32.などと名付けるのは、Browser Hijackerなどと
同等のようなしょぼい悪意のあるプログラムである訳だから。
勿論>>464氏がOS再インストールは何の問題も無い人であるならお奨めです。世の中には
私の父親などのようにOS再インストール絶対しろと言うと泣いてしまいそうな人もいるですよ。

(IEのホームページを書き換えるなどは本当に親切な悪意のあるプログラムだよね。
どんな間抜けな人でも自分のPCの中で良からぬことが起こっていることを知らせて
くれる訳だから、これが静かにスパイするBackdoorなんかだったりしたらもっと
恐ろしいことです。)
んな長文書いてる暇あればOS再インストくらいできそうだが(w
Backdoorは恐ろしいね。
今話題のWindowsのソースコードがHackerに盗まれたのはworm.Qazに
Backdoorを作られたそうだけど。
ttp://news.bbc.co.uk/1/hi/business/993933.stm
なぜMicrosoftのテクニシャンですら3ヶ月もBackdoorが仕掛けられているのが
分からなかったのか本当に不思議。
サンプルが欲しいw
>>470
どこから侵入されたかが明白で、かつアンチウィルス系のソフトで
駆除できるならOS再インストールしないけど、
もしどこから侵入されたか分からないなら即再インストールする。
俺ならね

Partimage[http://www.partimage.org/]
で10分ほどで復元できるし、復元したあとはWindows updateやれば完璧。
データはDドライブに保存しとけば再インストールは全然苦じゃないよ。
ゲイツOSは一年ぐらい使ってると重くなったりするから
定期的に再インストールしてる。
>>473
Not Found
The requested URL /] was not found on this server.
と表示されるんだが・・・。
>>474
] がリンクに含まれてるからです。
なんかさっき Trojancheck 6 から突然、警告が出ました。

| Es wurden Anderungen an den Autostarteintragen von windows festgestellt.
| Prufen Sie diese bitte anhand dieser Liste.
|
| space.exe.lnk c:\program files\space\space.exe

space.exe っていうのはあのスペースエディタで
スタートアップにもともと入れてありました。
これはどういう意味ですか。
スタートアップに追加するけどいいか?という意味ですか。
削除するけどいいか?という意味ですか。いずれにしても
そういう作業は全然してないんですけど。(^^;
とりあえず右側(NOでしょうか?)を押しときましたが。
478名無しさん@お腹いっぱい。:04/02/14 22:53
結局トロイ検知及び防御ソフトはどこが優秀ですか?
使いこなしている上級者の方お願いします。
過去ログ読んで好きなの選んでね。
ノートン
>>477
>スタートアップに追加するけどいいか?という意味ですか。

その通り。space.exe.lnkということはスタートアップフォルダに登録しようと
しているのでしょうか?正しいアプリなら勿論許可すればいいのでは。

すれ違いだけど、ワタスもspace editor愛用してまふ。スタートアップにまで
登録してる477さんには負けたけど。
482477=433:04/02/15 00:07
実は僕は
http://pc.2ch.net/test/read.cgi/sec/1075173212/112
なんですが
http://perso.wanadoo.fr/jugesoftware/firewallleaktester/eng/pageweb/test.html
のpcaudit.exeというのをやってみたんですけどハングしてるときに次々と
「〜というプロセスは応答しません」ていうのが現れたんですけどその中に
Proxy Desktop は応答しません
ていう聞き慣れない、しかも気持ち悪いネーミングのプロセス名が
表示されました。検索すると

http://www.computing.net/windowsnt/wwwboard/forum/20861.html
http://www.emuleforum.net/t33540.html

というのがヒットしましたがなんだかよくわかりません。
結局この人たちも原因はわからずじまいということでしょうか。
とりあえず今夜は寝て明日OS再インストールしようと思います。(;´Д`)
>>481
いや、もうすでに登録してあるしだから当然
そのときにはもちろんそういう登録作業は
してなかったんです。ていうか席外してて
帰ってきてその警告に気づいたんで。。

てわけでもう寝ます
鬱・・・(;´Д`)
484名無しさん@お腹いっぱい。:04/02/15 00:14
Trojancheck 6て独逸語で日本語パッチがないのですね
憂鬱
既出ですが、
Trojancheck 6は英語化パッチもない。
Trojancheck 5は英語化パッチはあるが、
どちらも日本語化パッチはない。
既出だけどTDS-3使ってる香具師いますか?
>>486
現行ログみれば何人かいるのは分かる。
用件はなによ?
>>487
Freeはどんな塩梅なのかと。ご教授お願いします。
489433:04/02/16 00:09
再インストールしますた。
結果わかったこと。

1 Internat.exe は win2k sp1 インストール直後から
>O4 - HKCU\..\Run: [Internat.exe] internat.exe

2 >O1 - Hosts: 64.91.255.87 www.dcsresearch.com
ていうのは TDS3 が犯人

ところで>>409さんはあれからどうしました?
490409:04/02/16 09:30
とりあえず、作者さんではなく

submitアットemsisoft.com

のほうに送ったのですが、何も音沙汰ありません。

シマンテックとかにも送ろうかと思ったんですが、
フロッピーで送ってくれみたいな事が書いてあったんでやめました。
それともオンラインの送り先とかあるんですかね?

何度再インスコしても出るので、ブート感染型も疑いました。
ノートンでもscanしましたが反応なし。
SwatItでも反応なかったです。

試しにWin2kを入れてみたら、a2でも全く反応ないですね。
誤検出なのか、Win9X系にしか感染しないブート感染型なのか?
>>445さんはa2で引っかからないと言ってるし、訳わかりません。
491433:04/02/16 11:38
ついうっかりコピペして肝心なとこで間違えてました。正確には

1 Internat.exe は win2k sp1 インストール直後から
>O4 - HKCU\..\Run: [Internat.exe] Internat.exe

です。両方大文字。ただこれも同じwin2kの方で
小文字の方がいるのでちとそれが謎です。
しかもSSMを入れたのですがそれの新出アプリの
検出のときに internat.exe でどうしてもSSMが固まり
そうなるとタスクマネージャーも出せないとゆー。

あと気になるのは>>482のときに Proxy DeskTop の他にも
DccMan てのが同じように「DccManを終了しています・・・」
て出てきて。いくら検索しても Dcc* なファイルはなくて
それもやな感じです。どっちもタスクマネージャーの
プロセス名には出てませんでしたし、ああいうハングが無いと
そんなのが動いていたなんて絶対気付かなかったと思います。

>>409
気持ち悪いですよね。一番確実なのはbiosをリロードして
HDDを新しいのに換装してみる、て方法なのかな?
素人考えなのでわかりませんが。
internat.exe 自身のハッシュは、そういう警告が出ない
98ユーザの人のそれとはやはり違うんでしょうか。
ていうか a2 って、もしたとえば internat.exe が依存してる
DLLファイルが感染してる場合は、そのDLLファイル名で
警告が出るんでしょーか?それとも internat.exe 名義で?
詳しい人にお聞きしたいす。
492名無しさん@お腹いっぱい。:04/02/16 13:26
過去レス読み色々検索しましたが
Trojancheck 6 独逸語で日本語パッチがない
ペスト イマイチ性能がよくない
GFI 2回試したがなぜかスキャン途中で「問題が発生しましたので終了します」で最後までいけない

・・・困った
普通にウィルスとスパイウェア対策していれば必要以上に心配することじゃないんじゃないの?
ここのスレの人たちはよっぽど怪しいサイトに出入りしてるのかな?
a2でスキャンぐらいはするけど、それこそ心配してたら夜も寝られないようなことになるような気がする。
494名無しさん@お腹いっぱい。:04/02/16 14:44
一応初心者なりに
NIS2004でファイヤーウォールとプライバシー制御を高レベル
スパイボット、Ad-ware、スパイウエアガード、スパイウエアブラスター
という感じですが、
アンチウイルスソフトやスパイウエアソフトではトロイ関係には弱いと書かれていたので…
それに私の場合、怪しいサイトばっかし行きますので…
トロイ対策スレとして残したいので
アンチトロイ関係のソフト
Tauscan ttp://www.agnitum.com/products/tauscan/
TrojanHunter ttp://tucows.tiscali.dk/system/preview/195461.html
TDS-3 ttp://tds.diamondcs.com.au/
PestPatrol ttp://www.pestpatrol.jp/
ttp://www.wilders.org/free_tools.htm
単純なトロイのテスト
ttp://www.hackfix.org/miscfix/icons-av-A_M.shtml
実際にトロイが使われる場面を想定したテスト
ttp://www.rokop-security.de/main/article.php?sid=494
RokopSecurityのテストはサンプルに
2 backdoors (Bionet 3.18 as well as Optix lite)
4 Worms (Goner, Badtrans, Yahaa and Bugbear)
を使っていて。
ノートン3/100個、バスター7/100個、マカフィー66/100個検出
確かにアンチウイルスソフトはトロイの検出率が悪いなぁ。
どっちにしても、感染増殖しない奴はウイルスの範疇に入らないから
アンチウイルスではヒットしないのはしょうがない。
トロイはウイルスのように必ずしもpayloadがある訳じゃないから非常に
分かりにくい、感染した人の9割以上が気づかないし。
69ではないですけどToRoI Buster 力不足ですよ。

anti-trojanソフトを紹介してるサイトっていうとこのあたりかな。
http://www.wilders.org/anti_trojans.htm
一応採点もついてる(私はこのサイトの採点基準はあまり同意できないけど)
TDS-3もTAUSCANも世代交代直前というところですね
とりあえず>>60>>74で評価がいいTrojanHunterを入れてみた。
でも日本語が駄目なのが残念。
次にTauscan。こっちは日本語が表示されるし
わかりやすいんでしばらくこれ使ってみます。
http://pc.2ch.net/sec/kako/1015/10155/1015584020.html
の73、92、901と
http://pc.2ch.net/test/read.cgi/sec/1027400238/253
にフリーのanti-trojanの情報発見
ANTS3.0Liteってどうなったんだろ
Anti-Trojan Software Reviews
ttp://www.anti-trojan-software-reviews.com/
海外フリーソフト紹介スレにフリーのトロイ専用検出ツールとして
Swat It(http://swatit.org/index.html)が紹介されていたんですが
どなたか使われた方いますか?

Free online Trojan Scanner
ttp://www.trojanscan.com/

PC Flank
The "Real world" anti-trojan tools comparison(tested on July 3, 2002)
ttp://www.pcflank.com/art26d.htm

Anti-Trojan Guide
ttp://www.firewallguide.com/anti-trojan.htm

Trojan Checker (Freeware, でもドイツ語)
ttp://www.trojancheck.de/index.html

Swat It(Free)
www.softnews.ro/public/cat/1/1-24.shtml
試してみましたが、使い方はすごく簡単。英語でもこの程度なら中学生でも使えそう。
アップデート機能もちゃんと使えました。

「フリーのアンチウイルスソフト 」のレスを見たので、チョイトここに書き込み。
厳密に言えばフリーではなく体験版なのだが、よくある30日制限の奴と違って
30回フリーで起動できるという奇妙な制限の付いたソフト Iparmor free trial

ttp://www.luosoft.com/

フリーで古くから知られているものなら この Ants2 かな。

ttp://www.freenet.de/freenet/computer/internet/antivirus/ants_2/

私もフリーのアンチウイルスソフトのレスを見て、ここに来ました。
Trojancheck 6は常駐しないようですが(ドイツ語オンリーなので確証はありませんが)
Trojancheck 5は常駐してレジストリの変更を監視してくれます。
ドイツ語ソフトですが、英語化パッチがあります。
Trojancheck 5とSwat It 2.1を併用すれば充分ではないでしょうか。
今私はTrojancheck 5,6、Swat It 2.1、ANTS 2.1と4つ使っていますが、
こんなにたくさんいりません。TDS3も使っていましたが、
さすがに多すぎると思ったので、アンインストールしました。
追加
これも古くから知られてるよ。Trojans First Aid Kit 5.01
This program is no longer updated.てのが欠点だけど。

ttp://www.wilders.org/downloads.htm

常駐監視するソフト。Proport2.2
requirements:Windows 95/98/Me/NT/2000/XP,Microsoft Visual Basic 6.0 Runtime Files

ttp://www.webattack.com/get/proport.html

ants 2.1
SwatIt 2.1
Trojans First Aid Kit 5.01
TrojanChecker 6

この辺が私の常用になりそうです。

トロイの木馬に関する情報サイト
ttp://www.astalavista.com/trojans/library/trojans/misc/

「Where are Trojans Hiding?」「Guide to Trojan Horses」「Basic Trojan In Visual Basic」など


Trojancheck 5ってフリーですよね。www.trojancheck.de/download.html
には6しかなく、5と英語化のパッチも見当たらないですが、どこにあるの
でしょうか?

113の上の方のサイトの真ん中辺りにTrojanCheck v5.0.4.1 Final が有る。

113のサイトの TrojanCheck v5.0.4.1 Final の exe のすぐ下に english.lng が有るだろう。
Readme もよく読め。

Make sure the LNG file is placed into the same directory: trojancheck. (this will change the GUI into English language).
LNG ファイルが同じディレクトリの中に置かれることを確認してください: trojancheck 。(これは GUI を英語に変えるでしょう)。

俺も良く判んないんだけどさ。。。
とりあえずフリーで固めたいと思ってるんで>>114に書いたので時々チェックしてる。
あと、TC6については「何でフリーのセキュリティソフト使うの?」http://pc.2ch.net/sec/#3
の378に書いたように「オートスタート + 常駐保護」ができたんで今は常駐させてます。
あと、>>108に紹介した「PC Flank」のサイトが参考になると思う。データは古いけどね。
こんなんで参考になれば良いんだけど。。。。
できれば詳しい人にfreewareを含めて評価して欲しいとは思うんだけど。。。
どなたかお願いできませんか?


Backdoor型のトロイの木馬は、サーバーがターゲットのマシンで
実行されると

@サーバーが実行されるとまずC:\WINDOWS\(%SystemRoot%)ディレクトリ
 もしくはC:\WINDOWS\system32\(%SystemDirectory%)に自身を登録する。

AWindows起動時にサーバー自身も起動するために、StartUpなどを書き換える。
http://www.megasecurity.org/Trojaninfo/auto_start_methods.htm

Bポートを開く。

私の経験上少なくとも80%以上のBackdoorは@〜Bの経過を辿ります。
ログ送信機能のあるKeyLoggerもソフトの仕様上Aは行わないと駄目ですよね。

TrojanCheckのResident GuardはAに変更があるとユーザーに知らせてくれる
機能です。(正しいプログラムか、悪意のあるプログラムかは自分で判断する
しかないけど。)正しいプログラムでもStartUpを書き換えるソフトはたくさん
あるから。

Trojans Variations(トロイの種類)
http://neworder.box.sk/newsread.php?newsid=6298

ここいいですね。私のような初心者には勉強になります。
他のサイトと合わせて、連休中にゆっくりと読もうと思います。
ありがとうございます。

ノートンに限らずPFWのログを見るポイントは二つ。
@Incomingの通信か?Outgoingの通信か?
A特定のアプリケーションへの通信か?(たとえばtrojan.exeなどのように)
 それとも特定のアプリケーションへの通信じゃないのか?(PFWのログには
 普通 N/A とか Not Availableのように表示されると思う)

注意すべきなのはOutgoingの通信の時と、Incomingの通信でかつ特定の
アプリケーションへの通信の時です。

私の経験上ノートンがトロイだと騒ぐときはIncomingの通信で、特定のアプリケーション
へ向けたものではない N/Aと表示される特に危険のない通信であることが多いです。
(この場合ノートンがSubSevenと言おうがNetBusと言おうがまったく気にする必要が
ないです。)

インターネットのノイズなので、私ならノートンのポップアップを切って放っておく。
どうしても嫌ならHardware Firewall(Router)を設置するか。

余談だけどhttp://isc.incidents.org/port_details.html?port=27374
SubSevenのポートスキャンは最近増えているみたいね。

どうしても不安なら以下のサイトからProcess-Port mapperをダウンロードして
(お使いのOSがNT4/2K/XPなら)自分のPCに変なサービスが動いていないか調べて見ると良いよ。
http://www.diamondcs.com.au/openports/


一般的にTrojanはそれ自体が悪意のあるプログラムだから、
駆除ではなく、削除しか出来ないよ。

Trojanがすでに実行中であれば当然削除は出来ない。
取りあえずセーフモードで削除は試みましたか?

セーフモードがよく分からないのであれば
下記のサイトに行って、Dellaterをダウンロード。
http://www.diamondcs.com.au/index.php?page=dellater

@ダウンロードしたzipを解凍して中のdellater.exeのショートカットをデスクトップに作る。
Adellater.exeへのショートカットを右クリックしてプロパティを表示
Bリンク先となっているところ
  〜〜dellater.exe"の右に半角スペースを空けて消したいファイルのパスを入れる。
 たとえば消したいファイルのパスがC:Windows\System32\strings.batだったら
〜〜dellater.exe" C:Windows\System32\strings.bat
のように入れる。
Cそれからdellater.exeへのショートカットをダブルクリックして再起動。

そうすれば実行中で削除できないファイルも消せます
Ants Anti Trojanの後継ソフトがリリースされてた。(Antsという名前は
各国の著作権に問題に引っかかる可能性があるのでa2という名前にしたそうな。)

今現在もっとも有名なBackdoor(いろんな意味でSubSevenよりもずっと危険)
の一つBeastがアップデートしたね。
ttp://www.nsclean.com/psc-bst.html

NAV2004とTrend Micro Internet SecurityはまだLive Updateではまだ対応出来ていない。
会社でノートンを使っているのでノートンの方はSARCにサンプルを送りましたが。

今夜はP2Pをやる人は特に気をつけた方がいいよ。
NetDevilがアップデートした時ダウンロード板で定義ファイルで対応出来ないうちに
使うように指導していた人がいるのを思い出して。
おやすみ。

ホーム
ttp://www.a-2.org/en/

フリー版のダウンロード
ttp://forum.a-2.org/viewtopic.php?t=224&sid=92fcc5f82b4db89d056345a0b921f853

データベース(フリー版のアップデートは週一ペースらしい)
ttp://forum.a-2.org/viewtopic.php?t=178&sid=65473e06220d3138bfe435f25ba94369

フリー版はOn Demand ScanだけでBackground Guard with IDS、Advanced IDS、
System-Firewall、Analysis-Toolsは使えない。

インストールすると一度必ずアップデートしないと駄目だった。問題なく全ドライブ
スキャンできたよ。トロイが検出されなかったのは喜ぶべきなんだろうけど、何も検出
されないっていうのはちょっと悲しいね。

アンチトロイソフトは
SwatIt,Trojancheck 5,Trojancheck 6,HijackThis
と後a2を使っています。
検出率は、実際にトロイが検出されたり、テストしたりしたことがないのでわかりません。
レジストリの書き換えを監視するソフトを使っていれば、トロイの心配はないでしょう。

Common a2 signature update 12/20/2003

Added:
- detection for I-Worrn.Sober.c

ttp://forum.a-2.org/viewtopic.php?t=392&sid=764d9d10bdba496cdc766e2a2a7eff1c
ttp://forum.a-2.org/viewtopic.php?t=394

Sober.a,b,c Wormは面白い。
いったんSober Wormが実行されてmemoryにロードされると
(Exclusive File Lock) によって自分自身がScanされるのを防ぐ機能がある。
memoryにロードされているSober Wormを検出出来るアンチウイルスソフトがどれだけ
あるか調べてみるのも面白いかもね。

a2はAndreas氏がこれだけ宣伝するだけあってa2はProcess Memory Scanできちんと
disinfect出来るのでしょう。
ttp://forum.gladiator-antivirus.com/index.php?s=3bc421fe0134546200bda51f93826f51&showtopic=265

確かにSwatItはa2にくらべると使いにくい。
・update頻度が少ない(FreeでUpdateするだけで充分ではありますが)。


確かにSwatItはa2にくらべると使いにくい。
・update頻度が少ない(FreeでUpdateするだけで充分ではありますが)。
・スキャン中PCの動作がものすごく重くなる(スキャン中何もしなければいいのですが)。
a2があればSwatItは不要かもしれないが、バッティングするわけでもないので(常駐保護しないから)
併用していくつもりです(結局使う私w)。

アンチトロイソフトは
Trojancheck 5(常駐)
Trojancheck 6
a2
Swat It 2.1
他にhijack thisも使っています。
Trojancheck 6はupdateしたのを見たことがないので
(いつもドイツ語で「最新です」と表示される。使い方を間違っている?)
使う必要はないかも?

PFWが1つ、アンチウィルスが2つ(常駐が1つ、非常駐が1つ)、
アンチスパイウェアが4つ(内常駐が1つ)と、
全てフリーソフト。
無料なのはありがたいですが、ソフトの数は多くなります(w
減らそうと思えば減らせるのですが、今のところ快適に動作していますし、
色々なソフトを試すのが半ば趣味になってきています(w


Trojancheck 6 に同じ(と思われる)機能があります。
ttp://www.trojancheck.de/

Trojancheck 6を起動。
 ↓
右下のTrojancheck Wachterボタンを押す。
 ↓
常駐アイコン(中世の楯と剣)が出る。

これでトロイから常駐保護されます(そのはずです)。
ちなみにTrojancheck 5の英語化パッチは警告文が2回に1回は文字化けする
(ドイツ語+文字化けという厳しい状態)という、もうひとつのものです。
タダなので文句は言えませんが。


258 257の続き sage 03/12/31 03:19
Trojancheck 6 の常駐アイコン(中世の楯と剣)を右クリック。
 ↓
三行出て来る一番上の行の Anzeigen をクリック。
 ↓
左下の mit Windows starten にチェック入れる。
(後の二つもチェック入れた機能が有効になるようです。)

これでPC起動と同時に常駐保護されるようになります
私は>>257-258さんではないけどTrojanCheck6.02について少し。
TrojanCheck6.02は作者のThomas氏自身が公式サイトでおっしゃっているように
これ以上の更新はないです。
Trojancheck 6 ist die letzte Version von Trojancheck (ja, die 5er sollte es auch schon sein ;)).
Eine weitere Version wird es definitiv nicht mehr geben.

TrojanCheck 6はTrojanCheckの最後のバージョンです。(はい、私はTrojanCheck5.xの
バージョンを最後のバージョンにするつもりでした。)しかし今度はこれ以上TrojanCheckを更新する
つもりは明確にないです。

TrojanCheckの作者のTomas氏は今現在はEwido Security Suite(Anti Trojan Software)の
開発に携わっています。
ttp://www.ewido.net/de/
Rokop SecurityにEwido Security Suiteのレビューがあるけど、スクリーンショットを
見ればよく分かります。
ttp://www.rokop-security.de/main/article.php?sid=672

Ewido Security Suite(ESS)はまだ開発はベータ段階だけどFree版を手に入れることが出来ます。
ESSはモジュールで機能を拡張していけるのですが、今現在はFile Scannerしか機能して
いないです。スタートアップを監視するモジュールやプロセスを監視するモジュールなどの
機能がまだ使えないです。

TrojanCheckの重要な機能である、スタートアップを監視する機能ですが
ドイツ語のソフトは使いにくい人もいると思います。
SSM(System Safety Monitor)はそのsandbox機能にばかり注目されていますが、
スタートアップを監視する機能がありますし。

スタートアップを監視するシンプルなソフトのRegistry Protも有名です。
ttp://www.diamondcs.com.au/index.php?page=regprot
Registry Protはメモリ使用率20kbyte以下、リソース消費(win9x系で)1%以下の
小さなソフトなので昔Win98で使っていました。

<悪意のあるプログラムが書き換えやすいスタートアップの参考資料>
TLSecurityのコピーだと思いますが
ttp://userloader.jayseetk.info/_jojo/docs/docs_uk/Autostart_Methoden.htm
さらに勉強したい人は
ttp://www.dslreports.com/forum/remark,6686853~root=security,1~mode=flat
ttp://www.dslreports.com/forum/remark,6721512~root=security,1~mode=flat


コピペうざい。
511スマソ:04/02/16 18:28
Registry Prot,TrojanCheckのTipsでよく言われるのはWindowsUpdateの時には
常駐監視は切っておいて方がいいということくらいかなぁ。
WindowsUpdateではスタートアップの項目を沢山書き換えるから、ポップアップが
たくさん上がって煩わしい。Microsoftを無条件で信用する人は少ないけれど
WindowsUpdateでトロイを仕掛けようとはしないと思うから。それくらいは信じて
あげてもいいんじゃないかと。(勿論煩わしくなければオンにしておいていいと思うけど。)

あとはいざトロイが仕掛けられたときにあわてない為に、TrojanCheckの動作を確認しておくとか。
ttp://sh1204.sajthotellet.com/trojansimulator/
TrojanSimulatorはEicar Test VirusのBackdoor版といいますか、TrojanHunterの
CoderのMagnus Mischel氏が無料で提供してくれています。
もっともベーシックなBackdoorの動作をシミュレートする全く害の無いプログラムです。

悪意のあるプログラムが書き換えやすいスタートアップに関して日本語で詳しく
解説されているページを見つけました。素晴らしい解説だと思います。
ttp://www.geocities.jp/bruce_teller/security/leakytrojan.htm
余談ですが、トロイ隠すのにNTFSのADSを使う手法は古くから知られているけど、
何故か現実のTrojanerで使う人は少ない気がします。(別の手法を用いる人が多いかも。)
以下のサイトでもADSに関して詳しく解説されています。
ttp://www.diamondcs.com.au/index.php?page=archive&id=ntfs-streams

512スマソ:04/02/16 18:32
a2 Freeの方は基本的にFile Scanerしか無いから、アーカイブフィイルをサポートしてくれる
ことには意味がある。アーカイブをサポートしてくれたらa2 Personal買うぞ、ゴラァ。って形で
脅せばサポートしてくれそうだけど。それとも、ドイツ人だから日本のAVでも献上しますか。。。。

a2のサイトを久しぶりに訪れたら随分セキュリティーサイトの
様相が整っていて驚いた。

今日見つけたa2FreeのちょっとしたTips
a2Freeをバックグランドでアップデートさせる方法と、ドライブをスキャンさせる方法。
ttp://forum.emsisoft.com/viewtopic.php?t=496&sid=609ab9dce2d586c8e96defb0fb4ac95e

オンラインのトロイスキャン
www.trojanscan.com/trojanscan/trojanscan.htm

以下のページもブックマークしておくととても便利だよ。
http://www.dozleng.com/updates/index.php?s=44713fbbf6728f97a96c9c601128c23c&act=calendar



513スマソ:04/02/16 18:37
常駐保護できるやつでみんなが使ってるのはTrojanCheckぐらいですか?
TauscanとかTrojanRemoverはスキャン機能だけ?

>>302
Tauscanは常駐保護する機能があります。

TrojanRemoverはスキャン機能だけだけど、トロイが書き換えやすい
レジストリ・エントリーもスキャンしてくれます。

軽い常駐保護だけのAnti TrojanならBO Clean(名前の由来はBack Orifice Clean)も
有名だけど、なんせ米軍も採用しているくらいだから。
残念ながら体験版が使えない。(いきなり購入しなくては駄目だから。)

eTrustというのpromotion版?
eTrustのエンジンVetもInoculateITもRepricable Malware(ウイルスやワーム)の
検出は非常に優秀なんだけど、
Non-Repricable Malware(バックドア、キーロガー、破壊プログラム)といった悪意の
あるプログラムの検出はKasperskyなんかに比べればあまり優秀ではない。
具体的に言えば、Unpacking Engineも優秀ではないし、Process Memory Scanも
装備されていないの。この分野にかけてはInoculateITのエンジンの方が少し優秀だけど。

514スマソ:04/02/16 18:38
Trojan Checkはドイツ語で使い難ければSSM(System Safety Monitor)を
試してみれば?無料で英語だし、常駐機能の重要レジストリを監視する機能は殆ど
同じもんだから。

BO Cleanを使っているのはきっと私くらいのものでしょうね。有料だし、
仕事でセキュリティーに携わっているような人でもなければ存在さえ知らないかも。
BO Cleanの一番いい点はOne Licenseで自分の持っているすべてのPCにインストール
することが出来るのがとてもあり難いです。特に私のように5台も自宅にPCを持っている
ような人には。後は作者のKevin McAleavey氏によるサポートは、大手セキュリティーソフト
しか使ったことが無い人には信じられないくらい素晴らしいです。

TrojanCheck Version 5.0.4.1 Final
ttp://web.archive.org/web/20030201085731/http://www.wilders.org/downloads.htm
インターネットアーカイブで検索したら
TrojanCheck5と英語化パッチを
ダウンロードできた。

今さら遅いとは思いますが、
もし必要でしたら落としてみてください。
515スマソ:04/02/16 18:39
Patchfinder2試してみたので感想を↓
使 え な い で す 、 今のところ。


これだけじゃアレなんで詳しく書くと、
Patchfinder2はRootkitハッケソツール。
RootkitっつーのはOSからファイルやレジストリを隠したりする次世代トロイの総称。
もろに感染すると普通のアンチウィルスじゃ検出不可。
(ちなみにPatchfinder2では原理的にsub7やらbo2kなんていう前世紀の遺物は発見できません。
そのかわり未知のRootkitも発見可能・・・だと思われ。)

前置きはこの辺にして、まずOptix PRO v1.32を自爆インストール。
見事にPatchfinder2で感染を確認。
Antidoteでは検出不可。
Norton先生は体験版のインスコすら不可。(OptixがNorton先生を殺してしまう)

でここまでは良かったんだか、Patchfinder2は未完成部分多杉。
まずCUIなのでめんどくさい。
誤検出が多い。(スタートアップや常駐アプリが多いと駄目ぽ)
誤検出は設定変えればかなり防げそうだけど、
ソース書き換えてコンパイルしなきゃならんのでマンドクサ

以上体験レポートですた。(何度も再起動したりしてすげー時間かかってしまった)
参考にどぞ。
[Patchfinder2]
[1]ttp://rootkit.com/vault/joanna/rootkits_detection_with_patchfinder2.pdf
[2]ttp://www.rootkit.com/vault/joanna/patchfinder_w2k_2.11.zip
[1]は動作原理などのドキュメント
[2]は本体
同一スレ内の過去のレスを再度コピペすることに何の意味があるの?
アンカー付けるだけで充分だと思うが。
まとめサイトを作ってそこにコピペするならいざ知らず・・・。
こんな過疎スレを荒らしても仕方あるまいに・・・。
517スマソ:04/02/16 18:40
>>317
>RootkitっつーのはOSからファイルやレジストリを隠したりする次世代トロイの総称。
>もろに感染すると普通のアンチウィルスじゃ検出不可。
>(ちなみにPatchfinder2では原理的にsub7やらbo2kなんていう前世紀の遺物は発見できません。

317さんこんにちわ。Rootkitはいつから次世代トロイの総称になったの?
いやまぁ、複製品を作らない悪意のあるプログラムという意味ではトロイなのかもしれないけど。
RootkitにはRootkitというジャンルがあるような。。。(いや、私がおかしいのか?)
いや、トロイにはもう興味があまり無いんだけど、WindowsのRootkitはまだまだ勉強中です。

Patchfinder2はトロイなどの悪意のあるプログラムを隠す、rootkitを発見してくれる
プログラムだよね。
317さんはどのRootkitをcompileしたの?私はH・DefenderとFU Rootkitしか使ったことが無いんだけど。
Patchfinder2は数少ないこれらの最新のRootkitも発見してくれる貴重なツールだと思うけど。

>Antidoteでは検出不可。
遠慮せずに今現在この地球上にあるどのAnti Virusソフトを使っても検出出来ないと言えばどうでしょう。
少なくとも私の実験ではOptix Proがそうなりました。これは知り合いのPCにトロイを仕掛けると時などに
特に有効なのかな。
まだコピペしてるの?
謝れば何をやってもいいというものじゃないよ。
いい加減にしなさい。
519スマソ:04/02/16 18:41
これは昨日見つけたexploitだけど、トロイを使う人には実に興味が沸く
逸品なんではないでしょうか。。。

ttp://www.securitytracker.com/alerts/2004/Jan/1008843.html
あな、恐ろしや。

>TrojanCheck5は開発終了してる
このスレで既出。
>入れても意味無い
レジストリの改変を常駐監視させる意味がある。
新しいトロイはa2等で対応。
一度このスレを全部読み直す事をお勧めします。

a2 オンライン・チェック
ttp://onlinecheck.emsisoft.com/en/

関連スレッド
ttp://forum.emsisoft.com/viewtopic.php?t=601&start=0&sid=bd01e92b920c5adb46538652c5444eed

変なサービスがオンになっていないか、ブラウザの脆弱性などを調べてくれるらしい。
ノートン先生の所にあるオンラインチェックに凄く似てる気がする。

すべてのテストにパスしてきますた(`・w・´)

>>スマソ
あなたは何がしたいのでつか?
521スマソ:04/02/16 18:43
>>342
これイイね。
Exploit-Testまでしてくれる

318のサイト見たけど(You are an idiot!)とかいう単なるブラクラじゃないの。
java scriptを切っていたらなんも出来ん。そうでなくてもオンライン・ショッピングなどを
するんだったら、タブ型ブラウザなどを使って、自分が100%信頼できるサイト以外は
java scriptやactive xなどの設定は切っておけばいいじゃない。

アンチウイルスベンダーはnon-repricable malware(複製品を作らない悪意のあるプログラム)
を大きく分けてTrojan Horseに分類しているけど。Trojan Horseの中でも特に危険な
部類なのが、Sub7などに代表されるBackdoor型のトロイの木馬。やJanet KeyLoggerなどの
Trojan KeySpyに分類されるキーロガー型のトロイの木馬。

そんでもってSymantecは困ったことに複製品を作らない悪意のあるプログラムであまり
有名でないものは全部Trojan Horseとかいう一般的な名前で言うので非常に分かりにくい。
だけど逆に言えばSymantecがTrojan Horseと言う様な名前で検出する場合は、しょぼい
悪意のあるプログラムである場合が多いです。対象のファイルを消してしまえばそれでおしまい。

バスターを常駐させていたのなら私はあまり心配しなくてもいいと思うけど。a2はなんて
名前のトロイを検出したの?取りあえずまだBackdoorが仕掛けられているのか心配なら
>>176でStart up listのログを貼り付けて一度見てもらえば。

522スマソ:04/02/16 18:44
>>367
>既存のファイルはバックアップしても
>感染の心配は無いと思って宜しいのでしょうか
ケースバイケース。ウイルスに感染している場合もありえる。
まずはPCを感染していない状態にしてから、
バックアップをアンチウイルス・アンチトロイ・アンチスパイウェア
ソフトでスキャンするしかないでしょう。

トロイくらったら何も信頼できない。
OSも既存ファイルもアンチウィルスも!

あんまり裏には詳しくないけど、
+アンチウィルスソフトに引っ掛からない
+ポートを開けない(他のポートを乗っとる)
+Netstat、Regeditの改竄
くらいは余裕でできるから

ま、再インストールするかしないかは個人の自由ですが、
踏台にされたりして社会に迷惑かけないでくださいね。
523スマソ:04/02/16 18:45
OSの再インストール?hmmm.
BackdoorやKeySpyを心配しているなら、OSの再インストールは何の
解決にもならないと思うけど。カード番号などのすべてのパスワードを変えないと。

私は単なるFUDじゃないかと。Backdoor○○という名前で検出されたのなら
ともかく。単なるTrojan Horseで。

私はトロイを使う人がたくさん集まるForumにも時々遊びに行くけど、Symantecの
On Line Scanで検出出来るようなトロイを仕込むのは3流のTrojaner。
優秀な人が仕込んだトロイなら今頃371さんは静かにスパイされていると思うけど。

SymantecのOn Line Scanで引っかかるようなトロイならなんも心配いらんと思うが。
まぁ、370さんが言うようにあなた自身の問題だから。

PS. 今現在最高のrootkitと呼び声の高いH.diffenderなどはWin98では動作しないよ。
   Win98はトロイを使う人からも見捨てられたOSかも。
524スマソ:04/02/16 18:47
Regprot2.0
http://www.diamondcs.com.au/index.php?page=regprot
こいつ入れてみたらめちゃ軽い!Registry監視はこれだけでいいや。

>>404
>Kasperskyはウィルス、トロイ両方とも検知力
>が優れてるらしいが、日本だと情報が全然無い
【Anti Virus】Kaspersky Lab【Firewall】
http://pc.2ch.net/test/read.cgi/sec/1062797137/

>なぜウィルス対策ソフトがトロイ検知にもっと力を
>注がないのかと。
>>396,398の言うように、餅は餅屋という事では。
525スマソ:04/02/16 18:47
>>408
TDS-3の体験版はAutoupdateとExecution Protectionの機能が使えないよ。
radius.td3というのはTDS-3の定義ファイルのこと。
体験版は以下のサイトからマニュアルで定義ファイルをアップデートしなければいけないです。
ttp://tds.diamondcs.com.au/index.php?page=update

TDS-3の基本的な使い方は以下のサイトをどうぞ。
ttp://www.wilderssecurity.com/index.php?board=5;action=display;threadid=12743
ttp://www.wilderssecurity.com/index.php?board=5;action=display;threadid=2871

ADSに関してはAnti-Trojanに関してはScan出来るのはTDS-3だけかもしれないね。
その他にはKaspersky Anti VirusやeTrust Anti VirusもADSをScan出来たと思うよ。

但し、ADSに関して言えば、通常合法的な理由でユーザーがADSを使うことは少ないと
思うので、ADSがハードディスクにあるだけでそれは怪しいわけです。
ハードディスクにあるADSをリストアップしてくれるソフトがあれば十分だと思うけど。
ADSをリストアップしてくれるソフトではSysinternalsのStreamなどは有名です。
ttp://www.sysinternals.com/ntw2k/source/misc.shtml

ついでに言えばトロイを使う人やトロイの開発者にとって、StealthもしくはCloaking methodとして
ADSを使うことは一般的ではないです。他にもっと有効なトリックがたくさんあると思います。

526スマソ:04/02/16 18:49
>>428
最近では合法的なソフトでもADSを使うものがたくさんあるそうです。ごめんなさい。
428さんが言うようにサムネイル表示などは特に。DiamondCSのサイトのペーパーは少し古いです。
Gavin氏にも直接聞いたので間違いないです。教えて貰ったURL
ttp://www.wilderssecurity.com/index.php?board=5;action=display;threadid=20665
128 bytes以下のADSはすべて無視してもいいそうです。

ADSが何故トロイを隠す方法としてあまり一般的ではないかというと、確かにかなりの
アンチウイルスソフト等からは悪意のあるプログラムを隠すことが出来ますが、
その他のDiagnostic toolを使えば簡単に見つけることが出来るからです。
たとえば>>176のリンク先のStart up listなどや。

今現在最も正確にプロセスとポートをマッピング出来ると評価されているOpenPortsなどを使えば。
ttp://www.diamondcs.com.au/openports/
以下のサイトで11個のProcess to Port mapperの比較があります。
ttp://www.winnetmag.com/Article/ArticleID/40313/40313.html
Beastのようなネットに繋がっているいる時にしかポートを開かないとても賢いBackdoorもたくさん
あるので、Process to Port mapperを使うときにはネットに繋がっている時が望ましいけど。

OSを再インストールすればどこに隠れているトロイだろうが普通完全に消去できますよ。
だからトロイを使う人はトロイを仕掛けていることを犠牲者に気が付かせない方法を日々研究
しているんじゃないのでしょうか。
527スマソ:04/02/16 18:51
Windowsは大文字と小文字を区別して解釈しないから、Internat.exeもinternat.exeも同じ意味だよ。

ttp://www.sysinfo.org/startuplist.php?filter=internat&count=&type=
%windir%\systemにある
普通はC:Windows\System\ もしくは C:WinNT\System32\にある
"?"のアイコンのInternat.exe(Language selection icon in system tray)なら合法的なアプリケーションだよ。

よく悪意のある人物がが悪意のあるプログラムにつける名前でWindowsのSystem Fontは
大文字のアイ「I」 と 小文字のエル「l」は 区別が付きにくいから、
合法的なInternat.exe(大文字のアイ)をまねてlntenat.exe(小文字のエル)のような
名前は悪意のある人物は作るかもしれないけど。

Internat.exeのあるpathや他のアンチウイルスソフトでは検出しないのをみると
恐らくa2の誤検出なのでは?

andreas.haakアットemsisoft.com(アットを@に変えて)、
Internat.exeのコピーをa2の作者にメールで送れば、disassemblyして調べてくれるよ。

題名は「a2's false positive?」とでもして
本文はWould you analyze this program?
とでも簡単に書けばいいのでは。

528スマソ:04/02/16 18:52
Kaspersky(antidote)がTrojan Horse(感染活動を行わない悪意のあるプログラム)として
分類している種類。
ttp://www.viruslist.com/eng/viruslist.html?id=13

Trojan.Win32.WingorはKAVの5万種以上のEncyclopediaにも載っていない、しょぼいMalwareだと思われ。
名前から判断すれば対象のファイルを削除してしまえばよい。
削除するのが怖ければ、フロッピーにでも取っておくか、パスワード付きの
Zipの中にでも放り込んでおけばいい。

人それぞれだけど、検出されたのがKAVの命名法でいえばBackdoor,
Trojan.Dropper, Trojan Downloader, PSW.などのようなものでなければ、いきなり
OS再インストールまでする必要はない気がするが。
Trojan=Backdoorだと思う人がとても多いのかも。

529スマソ:04/02/16 18:53
>>467
私は別にあなたの意見を否定している訳ではないよ。ただ、2chを始めとして
他のセキュリティー関係の掲示板などでも、たとえば、IEのホームページが
アダルトサイトに書き換えられました。とか、デスクトップに怪しいアダルトサイト
に繋がるアイコンが出来ています。なんていう書き込みは本当にたくさん見ることが
出来ます。これは既に悪意のあるコードが実行されているわけだら、他にどんな
悪意のあるコードが実行されていても不思議ではない。でもいきなりOS再インストールを
薦める人は本当に少ない。

せめてHijackThis/StartUpListなどのdiagnostic toolなどで
running processやスタートアップのエントリを調べたり、OpenPortsなどで開いている
ポートを調べてからOS再インストールを考えても遅くは無いと思うので。
KasperskyのアナリストがTrojan.Win32.などと名付けるのは、Browser Hijackerなどと
同等のようなしょぼい悪意のあるプログラムである訳だから。
勿論>>464氏がOS再インストールは何の問題も無い人であるならお奨めです。世の中には
私の父親などのようにOS再インストール絶対しろと言うと泣いてしまいそうな人もいるですよ。

(IEのホームページを書き換えるなどは本当に親切な悪意のあるプログラムだよね。
どんな間抜けな人でも自分のPCの中で良からぬことが起こっていることを知らせて
くれる訳だから、これが静かにスパイするBackdoorなんかだったりしたらもっと
恐ろしいことです。)
530スマソ:04/02/16 18:59
本当はトロイ専門スレを別に作成してしっかりとテンプレを作成すべきなのは、百も承知です。
ただそこまでは力量(トロイに対する知識)がないので、後々皆様に参考になりそうなレスを
選ばせてもらいコピペさせてもらいました。
現行スレのコピペを現行スレに貼ったらただの嵐
あふぉですか?
迷惑です。
532名無しさん@お腹いっぱい。:04/02/16 19:16
スマソの方を持つ気はないが、
そこまで粘着していうなら、テンプレくらい作成しる
どうせ暇なんだろ
何もしない貴様より彼の方がマシだぞ
>>531
激しく同意。

>>532=スマソか?

スマソはNGワード推奨。
スマソを名乗る以前の
495-509もこのスレの過去のレスのコピペだな。
荒らしでしかない。
あぼーん推奨。
>>530
それはよけいなお世話というのですよ。
わざわざコピペしなくてもこのスレ最初から
読めば理解出来るよ。

>後々皆様に参考になりそうな〜
人様の事より、貴方自身が掲示板での最低限のルールを
勉強する必要があると思う。
ここに情報を提供された方も、荒らしに利用される為に
書き込みした訳じゃないだろう。
その方達に失礼だとは思わないのでしょうか。
こんな事すれば叩かれるのは当たり前。
>>530
スレを立てる立てないと、力量がないのは別だと思いますが。
>>530
私の過去の投稿を今になって急に同じスレに
コピペするのはやめてください。
迷惑ですし、私自身不愉快です。
コピペを見た人はもっと不愉快だと思います。
二度としないでください。
今回の分は今からでも遅くありませんから、
自分でレス削除依頼をしてください。
538537:04/02/16 21:17
過去の投稿をコピペされてしまった
他の方も私と同じように思うのではないでしょうか。
せっかくの良スレを荒らすのはやめてください。>>530
俺はコピペしてもらって構わないよ
>>533-538
必死ですな
541491:04/02/16 23:13
あららw
同一スレ内なら>>nの方が便利ですよん。

で。 Proxy DeskTop の件なんですが
あれだけ大騒ぎしてた行きがかり上
一応ご報告です。
ニュースグループで Proxy DeskTop を
ぐぐるといっぱい出てきました。
んでそのトップのスレッドの中の kelly さんのが
どうやらビンゴらしくて結論から言うと心配ない、
みたいだす。多分。w
http://groups.google.co.jp/groups?hl=ja&lr=&ie=UTF-8&inlang=ja&frame=right&th=e0313d2ad9478920&seekm=056901c36499%24bf21e7b0%24a401280a%40phx.gbl#link6
>>539=540
コピペ厨必死だな。
あんなに大量に必死にコピペする馬鹿だから当然か(w
妄想が激しい
たのむから950過ぎてからやってくれ。
|д゚) ……。
スマソはずっとスマソを名乗っててくれよ。
あぼーんできないだろうが。
547名無しさん@お腹いっぱい。:04/02/18 21:27
よくトロイの木馬に関してはAVよりも専用のソフトの方が良いと聞くんだけど、
www.virus.gr (ttp://www.virus.gr/english/fullxml/)の10月のデータを見ると
            Malware (8984)  Trojans-Backdoors (11909)
TDS 3.2.02        249 2.77%   6719 56.42%
PC Door Guard 3.0.0.6   384 4.27%   4384 36.81%
Pest Patrol 4.2.0.53   788 8.77%   3031 25.45%
AntiTrojanShield1.0.0.16 370 4.12%   3866 32.46%
AntiTrojan5.5.421     298 3.32%   3423 28.74%
Tauscan1.6.1024      16 0.18%   2789 23.42%
Trojan Remover 6.0.9    73 0.81%   2118 17.78%
The Cleaner 3.5.3527    63 0.70%   2357 19.79%
Trojan Hunter 3.6.741   54 0.60%   2082 17.48%
Hacker Eliminator 1.2   100 1.11%   1695 14.23%
IP Armor 5.42.09220    47 0.52%   1345 11.29%
----------------------------------------------------------
BitDefender 7.1.110   7829 87.14%   9575 80.40%
Avast 4.1.268      7539 83.92%   8965 75.28%
AntiVir 6.21.09.20100  7054 78.52%   5861 49.21%
AVG 7.0.175       6137 68.31%   4189 35.18%
E-Trust 6.1.7.0     5680 63.22%   3394 28.50%
================================================================
となっている。これを見ると、AVだけでも良さそうに感じる。
今の所、私はAVとa2等のATを併用してはいるんだけど、やっぱりAVだけじゃダメなの?
いつの10月か知らんが、データ古すぎ。
アンチウイルスソフトだけでよいのなら、
アンチトロイソフトをワザワザつくらないと思うが。
実際にトロイを発見して防御したって人どれくらいいる?
俺は4年近くウィルス対策ソフト+スパイ対策ソフトだけでほぼPCいじってて
怖いと言われてるバックドア系トロイには一度も遭遇したことないよ?
最近になってa2入れたけど、一ヶ月に一回でもスキャンしとけばいいかなみたいな
感覚なんだけどおかしいかな?どうせなら一度くらってみたい。
ほぼ↓
ほぼ毎日
>>547
Antony Petrakis氏(aka Virus-P)のサイトのテスト。

ttp://www.dslreports.com/forum/remark,8620641~mode=flat~days=9999
ttp://www.wilderssecurity.com/index.php?board=24;action=display;threadid=17092;start=0

上記のForumにはそのテストを行ったVirusP氏と、テストを受けた
有料アンチトロイ(TDS-3,TrojanHunter,BO Clean)のcoderが議論に参加している
とてもフェアな議論。その他にもアンチウイルスソフトの開発者も参加している。

>これを見ると、AVだけでも良さそうに感じる。
>今の所、私はAVとa2等のATを併用してはいるんだけど、やっぱりAVだけじゃダメなの?

Antony氏はVXer(ウイルスアンダーグラウンド)の世界ではとても有名だけど、実際過去5年間で
自身の申告によれば個人で10万種類以上のウイルスを集めているというのは、とてもすごい。
そのダークな情熱はとても普通の人には真似が出来ないけど、
私は彼が行ったテストのログを少し見たのでトロイに関してはあまり詳しくないかと。

アンチトロイソフトが自分にとって必要かどうかなんて、いろんなデータを見て自分で
判断するしかないかと。
>>547
一般的に大手のAVメーカは、トロイでも感染率が高いものはよく対応しているが
怪しいファイルなんかに潜んでいるメジャーじゃないトロイなんかは見落としているケースが多い。
そこで、Kasperskyなんかの大手は別として、小さなトロイ専用ツールのメーカは大手AVと
張り合ってもなんのメリットもないので、AVメーカが見落としているようなトロイなんかを
セコセコと集めているってのが現状だと思うよ。
だから、怪しいファイルなど集めてないようなクリーンな環境なら特にトロイ専用ツールなど
必要ないと思われる。
怪しいファイルの収集癖がある人物なんか、専用ツールをボコボコ持っていても安心できずに
イメージファイルの復元がいつでもOKだよってとこかな。
エロ動画は怪しいファイルに含まれますか
rmとか
別に路利とかじゃなくてフツーの?エロ動画
ただし諸
>>553
制限ユーザーで楽しんでればおk
555547:04/02/19 22:41
>>551, >>552
www.wilderssecurity.com は神学論争をやってるみたいで参考にはなりませんでした。
今までの御札と違う御札が出てきたら業界が困るんだよ、っていうのは感じましたけど。
www.dslreports.com はまだ最初の4ページしか読んでないのでなんともいえません。
頑張って全部読んでみます。

確かに自分で判断するものではあるけれど、判断材料が少なすぎるように思う。
VB にしたって合否判定だけ出されてもねぇ。。。
ユーザー側に立って、もっと細かい結果を出して欲しいですね。

それと、怪しいファイルを集めているわけではないので神経質にはなっていませんが、
『もしも』の時を考えるとやはりトロイ対策はしたいと思うし、対策にかける手間と
費用はできるだけ押さえたいというのが本音です。

もう少し自分なりに調べてみます。 ありがとうございます。
ていうか海外のエロサイトからまとめて動画を
一括DLしてると何十分もかかったりして
その間ちょっとドキドキする
なんか変なことされないかなーとか
ああ今80番ポートから妙なの送られたら
やばいなーとか
送られたらやばいポートってHTTPだけですか?
ていうかこっちが受信せざるをえないような状況全部じゃん?
万年初心者だからよくわかんないけど80番もあれだけど
443番だっけ?httpsって暗号化されてIDSとかも
チェックできないんじゃ?とか密かにびびってる。
大丈夫なの?たまーにエロ動画DLサイトのくせに
https接続要求してくるとこがあって。
>>555
すまん、数ヶ月前のスレッドなのでリンクを改めて読んだら少し張り間違えたよ。
www.wilderssecurity.comを読んだのなら分かると思うけど、
ttp://www.dslreports.com/forum/remark,8685090~mode=flat
上記の方がよりVirusPのテストの詳細が分かると思うので。

私もアンチトロイソフトなんて無くなればいいと思っている人の一人なんですが。
普通のユーザーにとってウイルスとトロイの区別なんてどうでもいいことだから。
それらは全部Malware(malicious+softwareの造語)でしかないし。

だけど残念ながら少なくともアンチウイルスソフトのカテゴリーの他に
アンチスパイウェアソフト、アンチトロイソフトの二つのニッチなカテゴリーは存在しているわけで。
ユーザーもバカじゃないから、アンチウイルスソフトがそれらを全部高検出出来れば
自然に消滅するのではないでしょうかね。何故アンチトロイソフトなんてカテゴリーが存在出来るか
という大きな理由の一つにシェアNO,1のアンチウイルスソフトの影響が大きくあると私は思いますが。

>確かに自分で判断するものではあるけれど、判断材料が少なすぎるように思う。
>VB にしたって合否判定だけ出されてもねぇ。。。
>ユーザー側に立って、もっと細かい結果を出して欲しいですね。

どういうテストが知りたいのか?一番いいのはトロイを実際に使っている人が集まっているForumにでも
行って(利用規約があるからリンクは貼れないけど)犠牲者をたくさん持っている人にお薦めの
セキュリティーソフトを聞くのが一番いいと思うが。彼らはアンチウイルスソフトの開発者などを
除けば、セキュリティーソフトの品質に関しては最高の知識を持っている集団だと思う。

私の知る限りwhite hatのサイトでトロイの検出に関する一番素晴らしいサイトはNautilus氏の
サイトだと思います。(英語の方は詳しく読んでないけど8割くらいは英語に翻訳されてると思う。)
ttp://home.arcor.de/scheinsicherheit/einleitung.htm
KAV Liteなどは常駐する機能もあるし値段も安いよ。
>>553
基本的に.rmファイルは安全だと思いますよ。少なくとも.rmに仕込まれたトロイなどは
私は聞いたことがないです。
私が.rmを利用したexploitを知らないだけだけど。
よくトロイを仕込むsocial engineeringの一番単純な方法で、
yahooチャットなどで私の動画ですとか言って。
mymovie.rm________________________________________________________________________.scr(___は空欄)

○○の暴走にまかせて上記のようなとても単純なトリックの動画もどきの
ファイルをダウンロードして実行したりしなければ。
561名無しさん@お腹いっぱい。:04/02/20 08:41
トロイの三角木馬
なんでセキュリティ関係のサイトでレベル高いのはドイツ語が多いですか?
調べ物しててもドイツ語がバンバンヒットするので激しく鬱になります
英語すらぁゃιぃのに
>>560
ひじょーに心強いお言葉ありがとうございます!(・∀・)
>>563
IEやMedia Player、msnメッセンジャー(つまりWindows)の使用はハイリスクなのを
お忘れなく。
どれも危険な穴があったし、これからも見つかるハズ....
トロイと思われるもの攻撃を初めて食らった。
Cドライブ以外のファイル全滅。あー復旧させんの面独裁・・・
>>565
トロイじゃないくてウィルスに一票
ご愁傷様です。
【フリー版】トロイ対策 a scuared 2【あり】
http://pc.2ch.net/test/read.cgi/sec/1077204396/
>>565
具体的な内容きぼーん
>>565
whiterだろ
570565:04/02/22 19:58
>> 565 調べてみたら症状はwhiterっぽい。
あ、ちなみに俺はWindows XPの正規ユーザーだよ。そういえば電源切る前に
「システムファイルの何とかが変更されている。XPのCD使って元のファイルに戻すか?」
みたいなメッセージが表示されていた。そこで「はい」を選んでいれば助かったのかも試練。
571名無しさん@お腹いっぱい。:04/02/23 14:29
トロイなぁ。
>>571
 ハハハ                             イキデキネーヨ
   ∧_∧  / ̄ ̄ ̄ ̄ ̄ ̄ ̄   ハライテ-       ゲラゲラ
   ( ´∀`) < わははは         ∧_∧       〃´⌒ヽ       モウ カンベン
.  ( つ ⊂ )  \_______   (´∀` ,,)、      ( _ ;)        シテクダサイ
   .)  ) )   ○   ∧_∧      ,, へ,, へ⊂),     _(∨ ∨ )_     ∧_∧ ○,
  (__)_)  ⊂ ´⌒つ´∀`)つ    (_(__)_丿      し ̄ ̄し     ⊂(´∀`⊂ ⌒ヽつ
          タッテ ラレネーヨ
           ワハハハ
   ハハハ              ハハハ
  ∧_∧  / ̄ ̄ ̄ ̄\   ∧_∧
 ( ^∀^)<   うまい.  > (^∀^ )
 ( つ ⊂ ) \____/  ( ⊃ ⊂)
  .)  ) )             ( (  (
 (__)_) (^∀^)ゲラゲラ   (_(__)

>>565

それW32.Whiter.Trojanです。
たった今漏れもW32.Whiter.Trojanにやられた・・・
HDDのデータすべてが0バイトに書き換えられ消去された!
先日ANTINNYにやられOSの再インストールするのでデータを
バックアップしておいたHDDが完全に消去された・・・
しかもリストアの前だというのに・・・呆然ですわ・・・
現在FinalDataにて復元を試みているがデータが戻ってこなければ最悪です。
はあ・・・どしよ・・・_| ̄|○

復元する道はなにかないですか?
マジレスお願いしますm(__)m

現在ノートPCにて
対策してないやつはやられて当然。ダウソ板に帰れ。
>>573
システム上の全ファイルを「0バイトに書き換え」、削除する。
http://www.symantec.com/region/jp/sarcj/data/w/w32.whiter.trojan.html
FinalDataでも無理
【復活希望!】実行後、全HDDを消去、削除される
 ↓
http://mxtrojan.at.infoseek.co.jp/kako09.html
やっぱバックアップはこまめにとっとくもんだね。あとnyとかしない。俺の達した結論。
regport入れてるだけでも防げるのにな
↑ protね
579名無しさん@お腹いっぱい。:04/02/24 12:38
FWとregprotとAVGで他はイラネ!!
Registry Protはフリーだし、軽いし、反応早いし、文句なし
577=578=579=580ですか?
ここはトロイスレなんで意地悪しちゃうと、
Hacker DefenderでFWとregprotとAVGをスルーできるわけだが。
(配布されてるバイナリ使うとAVGに引っかかるが)

ツール信者は一度exploitやtrojan(rootkit)試してみることを激しく勧める
>>581
知りたいなら答える。577=578はアタリ。
せっかくいい情報提供してるのに最初の一行で厨丸わかりだ。
無駄レスになるがDiamondCSの遣いのものじゃないんで一応w レス不要
>>581
そんなもの、逆にトロイの可能性があって、怖くて入れられないよ
通常の防御ソフトを入れて、アングラサイトを避けた方が安全性が高いです
下手な防御は、かえって、トロイを呼び込むだけでは?
>>583
実環境で試したら真性の(ry
仮想マシンかテストマシンでやらないと。

>下手な防御は、かえって、トロイを呼び込むだけでは?
これは禿同
責任の所在がはっきりしないソフトは使わないほうががイイ
本当はTripwireみたいので全ファイル検査すればベストなんだけど、
Windowsのファイルはころころ変わるし、ブラックボックスなんで難しい
(一度挫折した)
>>577
HKEY=HKEY_CLASSES_ROOT
PATH=vbsfile\shell\open\command
NAME=
DATA=

何これ? (((( ;゚Д゚))))ガクブル
a2でUserとCode忘れちゃった(´・ω・`)
どうしよ
結局ソフト持ってない人はどうやって削除すれだいいんだよぉぉぉ(つдT
>>586
再インストールでもやってんの?
最初のインストールの時に、『a2 Account Data』って件名でメール来てたはず。
そのメールの本文に載ってるよ。
そのメール削除したんなら、再登録するしかないんじゃない?

>>587
このスレ最初から読めば、一杯フリーソフトが紹介されてるから
それを入れればいいんでない?
>>588
はい、メール削除しまいますた(´・ω・`)
捨てメールでやってみます
なんかa2のフォーラム見ていたら、
最近a2のアップデートが10日以上無いのは作者氏のお父さんが
亡くなったらしいね。
ご冥福をお祈りします。
最近リリースされたアンチウイルスソフトの包括的な検出率の比較サイト。
ttp://www.av-comparatives.org/

上記のTrojan/Backdoorの検出率などをみると、
確かにノートンやバスターユーザーがアンチトロイソフトを併用しても不思議では
ないかも。
>>590
それで最近a2のupdateがなかったのですか・・・。
ご冥福をお祈りいたします。
>>591
Kasperskyの検出率が抜群ですね。
以外なのが、McAfeeの健闘やなあ。
Kasperskyは30日トライアルバージョンか
595593:04/02/28 23:58
>>591にある表をExcelにコピペして、ウインドウ枠の固定したら見やすいよ
596名無しさん@お腹いっぱい。:04/03/01 00:13
BKDR_COREFLOOD.F(別名Backdoor.Apdoor.f)に感染してしまいました。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_COREFLOOD.F

対象のファイルを削除し、レジストリの値を見ようとしましたがそれらしい値が見つかりませんでした。
もう一度スキャンを掛けたら再び同じ種類のウィルスを検知(しかし先ほどのファイルではない)しました。
対処方法がわかりません。こわいよ誰か助けて・・・(ノд`)
597名無しさん@お腹いっぱい。:04/03/01 00:14
BKDR_COREFLOOD.F(別名Backdoor.Apdoor.f)に感染してしまいました。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_COREFLOOD.F

対象のファイルを削除し、レジストリの値を見ようとしましたがそれらしい値が見つかりませんでした。
もう一度スキャンを掛けたら再び同じ種類のウィルスを検知(しかし先ほどのファイルではない)しました。
対処方法がわかりません。こわいよ誰か助けて・・・(ノд`)
あげでしかも連打してしまいました。ごめんなさい
www.symantec.com/region/jp/sarcj/data/b/backdoor.apdoor.html
回線抜いて、バックアップ。
その後ゆっくりOSの再インストールしましょう。


っていうのがこのスレ的な答えだと思われます。
レジストリとかは何にも気にしなくて結構
落ち着いて作業をドゾー
601597-598:04/03/01 00:29
>>599
ありがとう、トレンドマイクロしか見てなかった
シマンテックわかりやすいね
今から作業してきます
602YahooBB220010047120.bbtec.net:04/03/01 14:02
かかってきなさい
工エエェェ(´д`)ェェエエ工
Trojan Defence Suite トロイ専門スキャナ ttp://tds.diamondcs.com.au/

The Cleaner シェアウェア ttp://www.moosoft.com/
605名無しさん@お腹いっぱい。:04/03/04 18:00
Virus
Trojan horse Dialer

is found in file
C\System Volume Information\_restore{C25E1500-C5DD-4558-AE27-861C6E98654D}\RP411\A0135716.exe
To remove this virus,please run AVG for windows

と言う警告が出ますがAVGでスキャンしても見つかりません。。。
どうすればいいのでしょう?誰か教えて下さい!
オンラインスキャン汁
607名無しさん@お腹いっぱい。:04/03/05 00:03
>>3
言う通りにしない方が良いですよ。
初心者は・・・。
608名無しさん@お腹いっぱい。:04/03/05 01:14
http://www.geocities.jp/unko55552000/
を見て>>229で紹介されてるa2使ってみた。
なにもなかったよ!!
先日、Trojan Simulator を見つけたんですが、
これは代表的なシミュレータだと思って良いんでしょうか?
>>609
Trojan Simulatorっていうかシミュレータ自体ポピュラーじゃないと思う
ググん無きゃ意味分かんなかったし
>>1
だけを読むとただのネタ・煽りスレかと思ったら、なかなかの良スレじゃないか。
次スレがあるなら、ここまでの情報をテンプレ化して、スレ立てしてくれると嬉しいな。
個人的には、コテハン「スマソ」さん、あたりが詳しそうなので、お願いしたいところだが・・・
>>611
節穴ですか、それとも611=スマソですか?
良識のあるやつほど>>1から順に読むので、最初の30レスくらいのところまで読んだ後ゴミ箱に捨てることになったりする。
「スマソ」だけは勘弁して欲しい。
615609:04/03/05 23:25
>>610
そうですか。あまり一般的では無いんですね。ありがとうございます。
じゃぁ気にしなくても良いのかなぁ...
とりあえず Trojan Simulator を使ってテストした結果を示しときます。

検出できたもの:
- ウィルスバスター オンラインスキャン
- Gladiator 4 (既に開発が中止されていて現在は入手できません)
検出できなかったもの:
- a2
- Swat It
- GFi Trojan Scanner (オンライン)
- Symantec Security Check (オンライン)

a2 や Swat It で検出できなかったのが気になってるんですけどねぇ...
フリーで検出できるものは無いですか?
(Trojan Simulator は eicar みたいに害のないテスト用のファイルだそうです。)
>>615
ttp://www.misec.net/trojansimulator/

Trojan Simulatorというのは上記のことかい?
何が知りたいのかよく分からんが。アンチウイルス・アンチトロイソフトは
このソフトを検出しないのが正しい動作かと。
検出したとしてもきとんとテストバックドアと明記すべきだし。

サイトのWays Trojan Simulator can be detectedなどの詳細とかは
きちんと読んだのだよね。
617615:04/03/06 11:09
>>616 「何が知りたいのかよく分からんが。」

知りたいのはそこに書いた通りで、仕込まれてしまったバックドアのような
トロイの木馬を検出するフリーウェアがあるのかどうか、です。
また、Trojan Simulator を利用して、そのようなものを検出する能力が
あるかどうかを判断するのは、ある程度有効な手段であると思っていますが、
これは誤りでしょうか?
専門知識に乏しいので、教えていただけると助かります。
>>615
Trojan Simulatorをインスト後にテストを少しやってみたので追加するよ。

・SuperLite + (簡易版) ANTIDOTE for PC Viruses・・・×
・Anti-Trojan Shield・・・・・・・・・・・・・・・・×
・Tauscan 1.65・・・・・・・・・・・・・・・・・・・×
・Trojan Remover・・・・・・・・・・・・・・・・・・○
・ノートン・・・・・・・・・・・・・・・・・・・・・×
上記のように、Trojan Removerだけがメモリ内のテストトロイを検知できたが他は全部駄目だった。

なお、Trojan Simulatorのファイルそのものをスキャンした結果は
やはり、Trojan RemoverのみがTSServ.exeをトロイだと検知した。

もう一つ、ファイルのkasperskyのonline virus scannerの結果は
↓のように認識できなかった。
TrojanSimulator.zip Archive: ZIP
TrojanSimulator.zip/TrojanSimulator.exe Ok
TrojanSimulator.zip/Readme.txt Ok
TrojanSimulator.zip/TSServ.exe Packed: UPX
TrojanSimulator.zip/TSServ.exe Ok
619名無しさん@お腹いっぱい。:04/03/06 17:12
TROJ_ISTBAR.Kに感染して、
トレンドマイクロのウイルスデータベースに
載っていた手動削除を行ったのですが、
いまだにポップアップウインドウが出てきます…。

ウイルスバスターでスキャンしても、
何も引っかからないし。
どうやって、このポップアップを表示させないように
するのですか?

教えて下さい。
お願いします。
>>619
良くわかんないけど、ポップアップってスパイウェアじゃない?
そーゆーのあるし
>>619
ごめん間違えた↓
>>309
見つかったんだけど対処の仕方がわからない
おしえてください
>>624
1.)お使いのOSは?
2.)どのセキュリティーソフトを使い、どういう名前の悪意のあるプログラムが見つかったのか?
3.)見つかった悪意のあるプログラムのフルパスは?

これくらいの情報が無ければどんなエキスパートの人でも誰も答えようが無いと思う。
とりあえず、電源落として再起動してみると面白いかも
TROJ_VOROFER.Aっていうやつに感染した・・・・_| ̄|○

OSはXPでウイルスバスターのオンラインスキャンをしたところ発見
比較的新しいヤシらしいのでほとんど情報があつまらず・・・・
駆除方法知ってる方がいたらおしえてください。
トロイはやばすぎ
630& ◆CUxWXMHqVQ :04/03/10 22:34
手動削除手順:

1. 不正プログラムのファイル名を確認します。最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_VOROFER.A」で検出したファイル名を確認してください。
2. システムのプロセス上に常駐している不正プログラムを強制終了します。手順 1)で検出されたファイル名を以下の手順でタスクマネージャを起動し終了します。
・Windows 95/98/ME の場合 CTRL+ALT+DELETEを押します。
・Windows NT/2000/XP の場合 CTRL+SHIFT+ESCを押します。
3. タスクマネージャを終了します。
4. この不正プログラムの自動起動設定を修正します。
 Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリの値を修正してください。

場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:
System Update = <手順1)で検索された不正プログラムのパスとファイル名>

場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
値:
System Update = <手順1)で検索された不正プログラムのパスとファイル名>
5. コンピュータを再起動し、最新のバージョン(エンジン、パターンファイル)のウイルス対策プログラムを利用してウイルス検索を行い「TROJ_VOROFER.A」で検出したファイルをすべて「削除」してください。

註:WindowsシステムフォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、

 Windows9x/Meの場合、
  システムフォルダ= C:\Windows\System
 WindowsNT/2000の場合、
  システムフォルダ= C:\WinNT\System32
 WindowsXP の場合、
  システムフォルダ= C:\Windows\System32
 です。
631名無しさん@お腹いっぱい。:04/03/11 20:06
age
632名無しさん@お腹いっぱい。:04/03/11 21:49
sub7って何処でダウンロードできる?
sub7があったサイトが潰れたみたいで。アホは承知だがよろしく頼む。(_ _)
>>260
で紹介されているEwido Security Suiteの英語バージョンがダウンロード出来るように
なっている。(インストールの時に英語か独語か選べる。)
ttp://www.ewido.net/de/?section=downloads

フリー版だけならa2よりも多機能な気がしますが、他に使っている人はいますか?
>>633
情報ありがとう。
早速インストールしました。
a2のようなメールアドレスの登録は不要。
インストール時に選べる言語は
ドイツ語、英語、イタリア語の3種類(ホームページでの説明ではドイツ語、英語のままでした)。
スキャンにかかる時間はa2と同じくらいもしくは長いかも(今スキャン中なので%表示からの推測)。
a2同様、TrojanCheck6に較べてXPっぽいインターフェイスになってます。
a2よりも多機能なTrojanCheck6以上に機能は豊富(入れたばかりなので見てみただけですが)。
Free版には常駐保護機能はない様なので、他のソフトと干渉することもないでしょう。
たくさんある機能を使いこなせるかどうかはともかく、
ただupdateしてscanするだけならつかいやすいですね。
なかなかよさそうな感じです。
あとはupdateの頻度がどれくらいあるかですね。

>>633
俺も入れてみたよ。
英語でインストールすると"translation error"という箇所が結構あるんですが、
翻訳失敗っていうことかな。
シグネーチャ数はa2より多いですね。
右クリックではできる?
>>636
Ewido Security Suiteインストールしてみたけど、右クリックからスキャンは出来る。
a2のmain coder Andreas Haak氏のレビューより。
ttp://www.dslreports.com/forum/remark,9636934~mode=flat

Ewido Security Suite Free, a2 Freeのどちらのソフトにも利点と欠点がある。

Ewidoの利点
+エミュレーションを利用したgeneric unpacking機能により、UPX, ASPACK, Morphine,
 SMorph etc.といったPacker/Crypterをきちんとunpacking出来る。
+binaryベースのstrong signatureを採用しているので、ファイルスキャンが悪意のある
 ユーザーによって容易には騙されない。

Ewidoの欠点
−エミュレーション機能はまだとても弱くて、TELock や PEXのような解凍がより難しい
 Packer/Crypterはきちんとunpacking出来ない。
−memory scan機能がないので、ファイルスキャンのunpacking engineで検出出来なかった
 悪意のあるプログラムは検出することは出来ない。
−unpacking engineにエミュレーションを採用しているのでファイルスキャンがとても遅い。

a2の利点
+ファイルスキャンのパターンマッチングにfingerprintsを採用しているのでファイルスキャンの速度が速い。
+ファイルスキャンでPackedされて検出出来なかった悪意のあるプログラムでもmemory scanで検出
 することができる。

a2の欠点
−unpacking engineが無い。
−memory scanの定義ファイルが現在のところとても少ない。
−ファイルスキャンのパターンマッチングにfingerprintsを採用しているので、
 a2のファイルスキャンは簡単に誤魔化せる。

だけど、a2 FreeもESS FreeもせっかくFreeソフトなんだからなんで両方とも使わないんだい。
余談だけどa2の定義ファイルは約2万種、ESSの定義ファイルは約3万種と書かれているけど、
定義ファイルの量自体はほとんど同じくらいだと思われ。
a2のDeveloperとESSのDeveloperはとても親しいので,Rokop Securityのメンバーなどは
よく知っていると思うけど、トロイのサンプルの多くをお互いに共有しているので。

ESSの定義ファイルの更新はプログラムのアップデートを含めると今のところ週に2回くらいの
ペースでこの3ヶ月くらいは更新していると思う。

個人的にESSはbinaryベースのstrong signatureを採用している点やRebasingされた悪意のあるプログラムを
きちんと検出できる唯一のアンチウイルス・アンチトロイソフトなのでとても素晴らしいです。
ttp://home.arcor.de/scheinsicherheit/rebasing.htm
Andreas Haak氏もengineの改良と定義ファイルを一から作り直しているそうなので、a2ももうすぐアップデートするでしょう。
640634:04/03/14 04:14
Ewido Security Suiteのスキャンが終わりました。
途中から%表示の進み具合が遅くなったので、
PCをほったらかしにしていました。
スキャン時間はa2の2倍位かかるようです。
>>638
>だけど、a2 FreeもESS FreeもせっかくFreeソフトなんだからなんで両方とも使わないんだい。
そうですよね。ソフトが干渉する事もないでしょうし、私は両方使っていくつもりです。
>>639
>ESSの定義ファイルの更新はプログラムのアップデートを含めると今のところ週に2回くらいの
>ペースでこの3ヶ月くらいは更新していると思う。
アンチトロイソフトにしては更新頻度は多いですね。ありがたいことです。
>>633
9x系はむりぽ。・゚・(ノД`)・゚・。
また良いソフトが
サンクス(`・ω・´)

日本語化して欲しいなぁ
643名無しさん@お腹いっぱい。:04/03/14 20:00
結局なんだろう、アンチウィルス同様、決定打はないのかなあ。
644名無しさん@お腹いっぱい。:04/03/14 20:12
去年の暮れ、ADSLにするってことでソースネクスト社のVirus Securityを買いました。
それまで不覚にもFWすら入れてませんでした(恥)。
早速ウィルス検査をしてみたら、いとも簡単にトロイの木馬が発見されました。
W32.Swizzor.Trojanという名前です。ググってみたのですが引っかかりません。
こいつはどんな事をしでかすタイプなのか、ご存知の方がいらっしゃったら、
教えていただけるとありがたいです。

因みにADSLにする前はAOLブラウザでダイヤルアップ接続をしていました。
ADSLにするにあたってIE6のSP1を使うことにしたのですが、
IEが全く機能しなくなっていて(pingだと通るのにページがエラーで表示されない)
修復をしたり、再インストールしても無駄でした。
OEもエラー(忘れてしまったのですが、OEが不正ですとかいうものだったと思います。)
が出て起動すらしませんでした(それまではAOLのメールソフトを使用していました。)
仕方なくリカバリしたら直りました。このトロイと関係があるのかどうか不明ですが・・・。
一体何をするタイプのものだったのか知りたかったので・・・
スレ違いでしたらすみません。
645名無しさん@お腹いっぱい。:04/03/14 21:20
646名無しさん@お腹いっぱい。:04/03/14 21:28
>>645 さん

教えてくださってどうもありがとうございます!m(__)m
>>641
おおっ、同志よ! おれもWin9xなので悔しい思いをしている。
そんなもまいに、Win9xでしか動かないstingrayとWin9xでも動くInstallSpy v2.0を
紹介しておくからこれで気を紛らわせてくれ。

stingray:
ttp://www.sofotex.com/Stingray-download_L15741.html

InstallSpy v2.0:
ttp://www.mjleaver.com/Software/software.htm
いきなりノートン先生がBackdoor.Trojanというのを見つけてくれまして、
確認のためにレジストリを覗こうとしたらメモ帳が開くようになってしまいました。
ご丁寧にレジストリエディタをメモ帳に書き換えてくれやがったようです。
通常起動はできるのにセーフモードを立ち上げると青画面表示して止めてくれますし。
OS再インストですよねぇ、はあ・・・
649名無しさん@お腹いっぱい。:04/03/15 01:58
すごく不安になっていることがあるので質問させてください。
サブで使ってる98に入れているFWの遮断履歴を見ていたら、
トロイの木馬に使われるポートから、自分が逆に送信しようとして
遮断された履歴が何度もありました。
送信先の欄を見ると空白だったり、外部からアクセスしてきたIPに対して
だったり(ひとつのIPを対象にではなく、複数のIPに対してです)。
一体何なのでしょうか?
トロイの木馬に使われるポートから一体何を送信しようとしたのでしょうか?
あるいは、何者かに何かを送信されようとしたのでしょうか?
ウィルススキャンもしましたが、何も発見されませんでした。
メインで使っているMeでは、そのようなことはありませんでした。
IPは両マシンとも同じです。
気味が悪くて仕方ありません。
どなたか教えてください、よろしくお願いいたします。
650649:04/03/15 02:02
>>648
http://www.symantec.com/region/jp/sarcj/data/b/backdoor.bla.trojan.html
ここに同じ症状がありました。対処方法も書いてありました。
ご覧になってみてくださいね。
入ってくる方の遮断ログは大体気にする必要がないのが殆どだが、
出ていく方の遮断ログは十分に調べる必要があるよ。
なお、トロイポートじゃないので安心だなっんてことはナンセンス。最近のトロイ
はトロイポートなんて使用しないものがほとんど。
要は、納得がいかない勝手に出ていくようなプロセスの動きがあるかどうかが問題。
あれば当然トロイなんかの疑いがあるので要注意。

いずれにしろ、ことトロイに関しては自分自身のスキルアップしか確かな手だてが
ないので猛然と勉強するしかないのが現状だと思う。
>>651
それは最近の〜じゃないだろ。
最近のはdll乗っとったりするからスキルうんぬんじゃ無理だろ

よーは信用できるバイナリ以外は実行するなってことだ
Tauscan検索遅すぎ、win2000、CPU2G、メモリ1Gで
10GのCドライブ検索に4時間かかってまだ終わらず

ついでにTrojanChecker 6って検索はできないのかな?
>>653
以前にTauscan使ってみたことあるけど
C、D両方合わせて40Gで1時間弱だったよ。
よく4時間も待ってられるなw
656647:04/03/16 14:17
サンクス!
ところで、こうしたサブツールは下のサイト辺りから探してるんだけど、
他におすすめのサイトとか有りますか?

ttp://www.dslreports.com/seetree/security,1

ttp://www.wilderssecurity.com/index.php
658ゲームでもしろよ:04/03/17 16:20
( ゚Д゚)⊃ホレ 
スーファミエミュ http://cgi.2chan.net/up2/src/f50973.zip
659名無しさん@お腹いっぱい。:04/03/18 00:53
ESSって導入して3日くらいで、もう5,6回はアップデートがあったんだけど、
なかなかいいね。

とこで話題のキンタマ・トロイってESSで検出できるの?サンプル持っている人
誰か試してくれないかなぁ?
//ip3e83566f.speed.planet.nl/hacked-by-chinese/5a.htm

↑でTroj/PSWBarok-Cに感染したようですぐに AVG Anti-Virus Version14 
を使ってスキャン、発見したものを隔離したんですけどここからどうしたらいいでしょうか

全然どうしたらいいか分からないです・・・ご指導お願いしますm(_ _;)m
>>639
nyやってなきゃデスクトップを晒される事はない。
関係ないね。
nyやってる香具師はセキュリティも糞もないだろ。
トロイを心配する前にnyをやらない事。
662661:04/03/18 03:37
×>>639
>>659
>>660
削除
664653:04/03/18 16:22
Tauscan結局、18時間かかった。問題なし。

ノートンインターネットセキュリティでSockets de Troieの活動を防いだ
ってゆーよーなログが毎日、数十回

ad-ware、spybot、ノートンアンチウィルスで異常なし
HijackThis問題なし
ewido、The cleaner、Tauscan、a2、SwatItをインストールしてチェック異常なし
system.ini、win.ini問題なし
レジストリのRunLoad、Run問題なし
HKEY_CLASSES_ROOT\DirectSockets DirectSocketsCtrl存在せず問題なし
csmctrl32.exe、mgadeskdll.exe、MSchv32.exe、Rsrcload.exe発見されず

結局、アホが単なるポートスキャンしてただけなんでしょうか?
オーストラリアの220.XXX.XXX.XXX(XXXは毎回可変)

ちなみにTDS-3ってWIN2000でエラーになりますね
>>663
レスありがとうございます!

削除してしまっていいんでしょうか?
もともとあったファイルが書き換えられてるのなら
削除したらシステムが変わってしまうことはないんですか?

初心者ですみません、指導おねがいします!
>>665
大丈夫。解らないことは聞くんじゃなくて調べることが
一番自分のためになると思うよ。
>AVG Anti-Virus Version14
て何なんだろう・・・。
AVGスレのスレタイをコピペしたのなら
いらない所は消さなきゃ。
というかAVGスレで聞けば良さそうなものだが。
>>665
隔離してからPCの動作に支障がないのなら削除。
支障がないから隔離されていると思われるが。

初心者は何の免罪符にもならないので連呼しないように。
>>665
隔離というのは悪意のあるプログラムを暗号化して無力化して、
将来修復出来る定義ファイルを待ったり、万が一システムに重要なファイルを
いきなり削除して、OS自体が不安定になってしまうのを防ぐための機能だから、
隔離した後でしばらく様子を見て何も問題が無ければ削除してよい。
シマンテックの30日体験版ってレジスト汚すのかな?
>>666-678
レスありがとうございます!!

>>666
う〜ん一応検索したんですがトロイについては書いてあっても今回みたいに細かいことは見つけられなかったんです
お世話になってすみません。

>>667
すみません消し忘れてました・・。
迷ったんですけどトロイと普通のウイルスでは削除出来る出来ないが違うのかなぁっと思って
迷ったあげくこちらに書き込ませていただいたのですがあっちで聞いたほうが良かったですかね・・。

すみません初心者はもう言うのやめます。

>>667-668
なるほど、隔離とはそのための機能なんですね
様子をもうちょっと見て削除しようと思います。


みなさんほんとにありがとうございました!今度から自分でもっと検索をするようにします。
その前にウイルス感染しても自分で対処出来る位パソコンに詳しくなればいいことなんですけど・・。  長文すみませんでした。。
トロイ感染したけど何の不都合も無いしどうせ弟のPCだからほっとこうと思うんだけどほっといたら何かヤバイの?
セキュリティーホール付かれてPC除き放題
あるいは置き台にされてハッキングされる
>>671
カードの番号とかなにもかも探られて弟借金まみれで破算w
誤字るヤシはわざとか?
セキュリティチェックっと・・・
>>674
ありえない
678名無しさん@お腹いっぱい。:04/03/20 19:59
SVGでこんなのが出たのですが

Virus
Trojan horse TRC/BackDoor.SdBot.17.G

is found in file

To remove this virus,please run AVG for windows

翻訳などもしてみたのですが、まったくわかりません。
どなたかおわかりになりませんか。
>>678
SdBot.17.Gっていうウィルス(トロイ?)発見しますた。
AVG使って削除汁!


自動翻訳はあふぉだから、オンライン辞書使うイイ!
>>659
ESSってキンタマ・トロイ検出出来るねぇ。
ちょっとびっくりしたあるよ。
Trojan.Winnyな。しかしこの類はスキャンしなくても防げるだろ。
亜種には全く通用しないし
まぁ、いいじゃん。キンタマ・トロイを定義ファイルに加えたところで、
ファイルスキャンの速度に0.1秒も影響を与えることもないだろうし。
亜種も定義ファイルに加えて欲しいときには是非こちらに。
submitアットewido.net(アットを@に変えて)

キンタマは
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
上記のセキュリティーソフトのもっともマークの厳しい部分も書き換えるから、
TrojanCheck,SSM,RegistryProtなんかを使っている人にはたとえダブルクリックしても
大丈夫でしょう。

キンタマは結構悪意のあるプログラムの中でも技術的に面白いと思われ。
>>560のトリックや。
>>327の.folderのトリックを利用してるし。
htmlでexeを実行するのは
ttp://www.securityfocus.com/archive/1/354447/2004-02-19/2004-02-25/0
私が恐れていた上記が利用されているのではないかと思うし。
キンタマの作者は少なくともよく勉強していると思う。ちょっと関心しました。

言うまでもなく>>661さんの意見が一番正しいけど。



>>677
まぬけな上に運の無い人なら充分ありえる。
>>686
確かに
ネトカフェに仕込まれたキーロガーでネットバンクの・・・
なんて「まぬけな上に運の無い人」も実際いた訳だし

ところでESSって、Calendar of UpdatesにはUp情報載らないのかな?
688名無しさん@お腹いっぱい。:04/03/22 23:22
トロイ
トロイ(troj)を見つけたんだけどウイルス名ちゃんと確認しないで感染してる不正ファイルをさっさと削除しちまった…
とりあえずレジストリエディタやwin.iniやsystem.iniを見ても特に改竄されてる場所も見つからなかった。

Eドライブで起動したからかな?ドライブとか関係ないのだろうか
ハッキング型ならファイヤーウォールが多分外部に出ようとするファイルを見つけてくれるだろうけど
まだ特に変わった事もないし。

まだとりあえず見とけって場所があったら教えて下さい
LANケーブルに異状はないかハサミで切って覗いてください
>>689
TROJ_APHER.Hだったらどうでもいいんじゃない?
だったらの話よ
あんたがもし他のファイルに手を付けてなけりゃトロイ増やしたってだけだから
>>689
FWはdllとかもチェックしてくれるたいぷ?
>>692
zone alarm使ってるけど調べてくれるんだろうか

とりあえずウイルススキャンをいろんな大手サイトで試したけどどこもかしこもOK牧場状態だった
つまりウイルス無いですよって言ってた
知らない間にルートフォルダ内に

ServUDaemon.exe

なるものがあるのを発見したのですが、
これは誰かに不正侵入されたのでしょうか。
695名無しさん@お腹いっぱい。:04/03/24 08:35
俺なんて1年半くらい前からトロイ感染してそのまんまだしね。
スパイウェアなんて無視しときゃいいんだよ。
>>694
ぐぐったらFTPバックドアって出てきたぞ。
>>693
そこまでやってりゃ普通平気だと思うが
>>695
俺もネット専用のノートのほうはトロイとかウイルスまみれでそのまんまだw
アンチトロイだとどれが一番良いのだろうか…
a2かな?(´・ω・`)
>>699
a2と>>633紹介のEwido Security Suite(>>638,639に詳しいことが書いてある)を
併用してみるのはどうでしょうか。
ただ、フリー版ですと常駐保護機能がないので

TrojanCheck Version 5.0.4.1 Final
ttp://web.archive.org/web/20030201085731/http://www.wilders.org/downloads.htm

Regprot2.0
ttp://www.diamondcs.com.au/index.php?page=regprot

この二つのうちのどちらかでレジストリの改変を監視させれば良いと思います。
701名無しさん@お腹いっぱい。:04/03/24 21:43
>>698
それって大丈夫なの?いくらネット専用とはいえ・・
いくら自分は気にしなくても、
ウイルス撒き散らされるのは迷惑なのだが。
a2 Personal レジしてインスコしたんだけどコード入力要求してこない・・
Free版でアクチしてあると、Free版をアンインスコ後にPersonal入れないと
アクチ画面でない・・・

クレカで決済したんだけどお知らせメール来るの半日位掛かった。
最悪24時間って書いてあったから早い方なのかな・・・・
a2 freeを入れて、a2 UpdaterにUserIDとCode入れても
固まったまんまなんですが、もしかしてサーバー落ちてる?
>>704
再インスコしてみる
>>705
レスサンクス 

やってみましたが、やっぱり同じところで止まってしまいます。
UserIDとCode入れて、Activate a2を押すんですよね?
>>706
入力は間違いないよね?
FWが邪魔してるとか

関係ないけど
最新うp
20040325

Worm.Win32.Darby.g
Worm.Win32.NetSky.l
Worm.Win32.NetSky.q
>>707
確認しましたがダメポです… orz
とりあえずはSwat Itの方も試してみます。

ありがとうございました。
>>704
私もこれ入れた時そうなったけど、相手方には
送信はされていました。
メール見てみましたか?
710名無しさん@お腹いっぱい。:04/03/26 19:59
ewido security suiteで検索したら、Worm Gaybarに感染してますと出た。
感染ファイルは、Notepad。取りあえず、Removeした。

C:\WINNT\NOTEPAD.EXE -> Worm.Gaybar -> Removed
C:\WINNT\system32\dllcache\notepad.exe -> Worm.Gaybar -> Removed
C:\WINNT\system32\notepad.exe -> Worm.Gaybar -> Removed

で、どんなwormなのかググったが、どこにも詳細がない。で、別名を探したら
W32-Bar1236らしい。対処法は・・・「当社の製品で消せ」

この会社にしか詳細情報がない。誤検出か?
http://www.sophos.com/virusinfo/analyses/w32bar1236.html
>>709
レスありがとう。

IDとCodeはすでにメールで送られてきています。

ただ、一度目のデータのアップデートの際にそのIDとCode
をCopy&Pasteしてもそのまま固まってしまっている状態です。

とりあえずSwat Itの方は問題なくインストールできたので
当分はこちらを使用していきます。
BKDR_IRCFLOOD.X
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_IRCFLOOD.X
こんなん検出しました。
・mIRC起動するたびに感染、再インストールや他のフォルダに
作ってもやっぱり起動すると感染
・上のページにある様なレジストリの変更はなかった
・IEExec.exeはあったけど消しても変わらず
・a2 swatit ノートンで検出せず

ん〜どうしよう
713721:04/03/26 23:09
一年くらい使ってなかったパソコンでも検出した。
トロイの発見日時とかから考えてもこりゃ誤検出だわ。
びっくりさすなよトレンドマイクロ
>>710
C:\WINNT\system32\dllcache\notepad.exe -> Worm.Gaybar -> Removed
C:\WINNT\system32\notepad.exe -> Worm.Gaybar -> Removed

notepad.exeのある場所からして誤検出はありえない。
何かしらの悪意のあるプログラム。
Worm.Gaybarはgoogleを探しても情報が少ないね。
一番いいのは
ttp://www.wilderssecurity.com/index.php?board=25
上記に書き込んで聞いてみるのがいいのだろうが。
Ewidoの開発者の一人Peter Klapprodt氏もいつも掲示板をチェックしてくれているので。

英語・独語が苦手なEwidoユーザーで、Ewidoが検出しない悪意のあるプログラムを
提出したい人は下記のページがとても便利。

Trojan Submission Engine
ttp://anti-trojan-security.com/main.php?type=main&page=trojansubmission
英語が苦手でもEwidoのところのボタンを押して提出したいサンプルを選んでsubmitを
押すだけ。

上記のサイトのホーム
ttp://anti-trojan-security.com/index2.php
716710:04/03/27 01:53
>>714
そうですね。感染ファイルを取っておけば良かったのですが、
セーフモードで検出してRemoveしたので、抹殺されました。
何の目的で作られたのか、どんな影響があるのか全く不明なので、かなり不安です。
>>711
a2いれてみたけど漏れは大丈夫だったぞ
入力はメールアドレス全部入れてるかもう一回確かめてみるかa2サイトいってログインして見てみれば?
718名無しさん@お腹いっぱい。:04/03/27 20:57
今、GateCrasher の警告をノートン先生が大量に出しているのだが、
わしのところだけか?
719名無しさん@お腹いっぱい。:04/03/28 14:47
trojanCheck6で

Zugriffsverletzung bei adress 8B4052C4.
Lesen von adresse 8B4052C4.

ていう警告が出ましたがこれはどういう意味ですか。
参照できないアドレスのメモリを参照しました・・・みたいなやつですか。
ふつうそういうのが出るとアプリは死ぬと思うのですが
trojanCheck6はその後も普通に動いてるのですけど。
>>711
オミトロン使ってない?
俺の場合はFWはOKだったんだが、オミトロンがNGだったよ
>>720
それでした… _| ̄|○

オミトロンをバイパスしたらあっさりと…。
教えて君&スレ汚しすみませんでした。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Kerio4 http://www.kerio.com/kpf_appintegrity.html なら

・キンタマウイルス http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.antinny.g.html
 による被害を防げる
 (玄人向けで有料だがTiny5でも防げる。
  Sygate・Zone Alarmには似たような機能があるが防げない。
  Outpost・Kerio2・ノートン・バスター・マカフィー・ウイルスセキュリティに至っては類似機能もない)
http://pc3.2ch.net/test/read.cgi/sec/1079605894/481

・現時点では日本語化できない
・Kerio2よりはわかりやすく、Zone AlarmのようにYES/NOだけでもいけるし
 kerio2のように詳細ルールも作れる
・SPIとIDS、トロイ対策のDLL監視機能もある(広告ブロックは有償版のみ)
・ルールに無い通信のログを出すためには、
 ルールの最後にunknownはブロックしてかつログに載せるようなのを書けばいい
・Outpostなみに軽い
http://pc3.2ch.net/test/read.cgi/sec/1074563750/156

●「Firewallと森で遊ぼう」Kerio Personal Firewall 4解説サイト
http://eazyfox.homelinux.org/Firewall/Kerio/Kerio41.htm

●Kerio Personal Firewall 4のログビューア
http://www.geocities.jp/masagooooool/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Downloading Signature database 03/28/2004
Detection for Worm.Win32.Sober.E
トロイやウィルスなんて絶対ひっかからん!!
おくれるならやってみろ!!

>>724
タイ━━━━||Φ|(|´|Д|`|)|Φ||━━━━ホ !!
age
727age:04/03/31 20:50
A2でTrojanSpy.Win32.Srdl.14とDialerを発見しますた。
いつの間に入ったんだろ?
>>728
この前割れやったとき
toroi
731tdcy:04/04/01 04:57
toroi
732tdcy:04/04/01 04:58
test
>>728
なんのファイルをそれだと検出したわけ?
>>729
まぁね・・・ 否定はしないよ…

>>733
セカンダリに繋いであり、普段は起動させないWindows98のHDDのWINDOWS\SYSTEMの中
internat.win → TrojanSpy.Win32.Srdl.14

こっちは拾い物w
cdcopy_setup.exe → Dialer
ちなみに実行させた事はありません
ESS、UP来てるね
このスレッド見てESSの英語バージョンを導入してみたんだけど、
ところどころ自分の環境WinXPではtranslation errorになっちゃう。(´・ω・`)
これは日本語OSに導入した場合の仕様でしょうか?
>>736
無問題・・・らしい

今日もewido うpかよ マメだな
TROJ_MUSS.A と TROJ_MUSS.C に感染してしまいました・・・。
IE立ち上げると勝手に file:///C:/WINNT/secure.html という場所に
飛ばされてしまいます。
すぐにオンラインスキャンして、感染されていた2つのファイルと
secure.html を消し、再度スキャンして感染ファイル0になったのですが、
まだIE立ち上げようとすると「secure.htmlが見つかりません」などの文章が
出てきます。
まだ直ってないのでしょうか・・・やはりHD全部綺麗に消さないと、
いけないのでしょうか・・・?

また、対応の仕方を調べていて
 不正プログラムによるシステムの改変を修復します。
 Windowsのレジストリエディタ(regedit.exe)などを使用してレジストリ
 キーを削除してください。
という文章を目にしたのですが、これも絶対にやる必要があるのでしょうか?
やり方が分からなくて、出来ずにいます・・・。

良い対応法をご存知の方居ましたら、ご指導お願いします・・・。
>>738
ttp://higaitaisaku.web.infoseek.co.jp/index.html
ここへ行ってHijackThisというツールを使って
掲示板にLogを貼り付ければ誰かが教えてくれるので多分解決します。
740738:04/04/04 09:03
>>739
早いご返答、ありがとうございます!
スパイボットというソフトを落として使ってみても直らなかったので、
HijackThisを使って、ログを掲示板に貼らせてもらいました。

一部、上に自分で書いた文章を使ってしまっています・・・マルチポスト
みたいになってしまって、すみません・・・。
教えてくださって、本当にありがとうございました〜。
↓が参考になるかも・・・

【アダルトサイト被害対策の部屋】
http://higaitaisaku.web.infoseek.co.jp/
あれ、だぶたな(^_^)
743738:04/04/04 16:48
>>739
>>741

教えてくださって、ありがとうございました。
早速行ってみて、早い対応と指示、今後の対策など教えていただき、
解決する事が出来たみたいです!
お騒がせしました〜&ありがとうございました!
>>734
遅レスですが、>>409あたりからinternat.exeの話がされているが。誤検出では?
20040404

a2 うP
Worm.Win32.Sober.F
>>745
あげ
748名無しさん@お腹いっぱい。:04/04/07 11:19
a2ってスキャン開始までが異常に時間かかるな
>>748 メモリスキャンしてるんでは?
Loading Signatures…でしょ
漏れも長い
751名無しさん@お腹いっぱい。:04/04/08 00:14
>>750
別に長いのはいいんだけど、最前面に居座られるのが鬱陶しいよな
確かに長いし、最前面表示を解除できないのは正直ウザイ。
753名無しさん@お腹いっぱい。:04/04/10 02:49
Trojan horse Downloader.VB.ECってどうやったら削除できるのですか?
メディアプレーヤーを開こうとするとAVG6.0が警告します。
削除しても復活するので困っています。
アドバイスお願いします。
OSはw2kです。
解決しました。
ご迷惑おかけいたしました。
なんでこう自己解決した香具師は
その方法を書かないんだろ・・・。
書けば誰かの参考になるかもしれないから無駄レスにならずにすむのに。

ちなみに私自身はどうなったか全く興味もないし
知りたくもないが。
マルチの可能性大
757名無しさん@お腹いっぱい。:04/04/10 04:53
>>754
といわれてますがどう思います?
久しぶりのカキコがあったかと期待したのに・・・とか言ってみる

a2、ESS以降進展が無いなぁ
759753:04/04/10 15:25
メディアプレーヤーをアンインストールして、pup.exeを削除して
再起動して、メディアプレーヤーを再インストールしたら直りました。
自己中ですみませんでした。何かの参考にしてください。
オンラインスキャンしたらTrojan.Win32.Harnig.bっていうのがでてきました。
でもそのページでは駆除も削除できませんでした。
ということでアドバイスお願いします。
やーだよ
762名無しさん@お腹いっぱい。:04/04/12 18:42
>>760
a2とかをインストールして削除
ネタにきま8ryくぁwsdtyふじこl
downloader.winshow.V というのに感染したんですけど、何度消してもまた感染するのですが
対処法を教えてください。お願いします。
>>764
Kasperskyが今日対応したみたい。
http://www.avp.ch/E/daily.stm
【Anti Virus】Kaspersky Lab【Firewall】
http://pc3.2ch.net/test/read.cgi/sec/1062797137/
>>765
ありがとうございます。さっそく導入してみます
>>766
とりあえず、トライアル版を使えばいい
やられた…ネット暦6年目にして初感染
OS起動時に変なダイアログ出たんで調べてみたらTROJ_DAEMOZ.Aとかいうのが居た。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DAEMOZ.A
で調べてみたんですけど
レジストリの
Xpsystem ="%System%\SERVICES\SERVICES.EXE"
の項目がウチの環境には無いんです
件のダイアログでは「scchostの初期化に失敗」とか出てるんで
これは感染自体が中途半端で終わってるってことなんでしょうか。
769768:04/04/17 02:43
レジストリ修正と該当ファイル削除でとりあえず解決した模様。
ただ若干トレンドマイクロの情報との違いがあって
・R3.EXEではなくてR4.EXE
・SERVICES\SERVICES.EXE が生成されてない(scchost初期化に失敗が関係?)
もしかすると出来の悪い変種かも知れない。

いい加減ウィルス対策ソフト買っとかないとダメかなー
フリーのアンチウイルスソフト使えばいいじゃん。
いかにセキュリティを気にしない方がいるという指針ですな。
サポート業務もうんざりするわけよ。
772名無しさん@お腹いっぱい。:04/04/19 13:55
e-accessADSLから、マンション内VDSLのUSEN光にして半年、外部からの攻撃がひどく、こまっています。
ひどい時は終日30秒おきにトロイの木馬のアタックがあり、発信源はカナダだったりドイツだったり。
最新型のウイルスもいち早くやってきます。
e-accessも併用してますが、24h繋ぎっぱなしでも外部からの攻撃は年に1〜2回程度です。

これって、同じマンション内にウイルスかかりまくりの、エロサイト巡り大好きな住人がいるってことでしょうか?
>>772
スレ違い。
ごく普通な環境
774名無しさん@お腹いっぱい。:04/04/20 16:01
a2でTrojan.Win32.KillFilesとTrojanSpy.Win32.Srdl.14を発見しました。
まずTrojan.Win32.KillFilesをa2で消去した後に元のファイルを消去したんですが
マシンを立ち上げる時に変な文字が出て止まるようになってしまいました。
10行ぐらいのバグのような文字の羅列が続いた後にvsdata.95で終っています。
Enterを押せば一応は使えるんですが、レジストリがおかしくなっているみたいです。
このトロイは2年前にDLした、rmを繋ぎ合わせるソフトに付いていました。
でも何でこのファイルに付いていたのかがわかりません。
XPのノートから98seのデスクトップに移したファイルだったと思います。
当時は普通に使えてたし、そのソフトは今でも配布されてるようなので
DLした後に別の経路から植え付けられたみたいです。
別の経路として考えられるのはINTERNAT.EXEから発見されたTrojanSpy.Win32.Srdl.14です。

しかし、誤検出だという意見もあるので、こちらのトロイは今のところ放置しています。

まずはTrojan.Win32.KillFilesを消去しておかしくなったレジストリを治そうと思います。
これはレジストリの最適化をすれば元に戻るのでしょうか?
それともレジストリエディタを使って自分で治した方がいいのでしょうか?
アドバイスを下さい。
よろしくお願いします。
>>774

emsoft.comのMaleware-Database

a2 Malware-Info: TrojanSpy.Win32.Srdl.14
We are sorry, but we don't have a description available now for the Malware item you are
searching for.

直訳
私たちは残念です。しかし、私たちは今記述を利用可能にしておきません。 悪製品のために探索しているアイテム。

これを見ると、a2によるこのトロイの検出はあまりあてにならないかと思うのですが、どうでしょうか?
Trojan.Win32.KillFilesは、いっぱい種類があってわかりません。

こちらも削除する前に他のアンチトロイソフトを使ってみればよかったのでは?
776名無しさん@お腹いっぱい。:04/04/20 16:51
>>775
怖くなってすぐに削除してしまった事を後悔しています。
データを消すトロイだからexeをクリックしなければそんなに危険では無かったんですね。
削除した後にウイルスバスターの体験版を入れたんですが
TrojanSpy.Win32.Srdl.14は検出されませんでした。
>>776
バスターとかではアラートなしというのは>>419>>431で既出でしたね。

Trojan.Win32.KillFilesはアンチウィルスソフトやPestPatrolでも検出するみたいだけど、
トレンドマイクロの「TROJ_KILLFILES.X」では検出されたファイルを削除しろとしか書いてないですね。

責任はもちませんが、トロイがそのソフトについてたのかどうかわかりませんが、
同じソフトをもう一回インスコしてから、いろんなソフトでスキャンかけて検出されるか試してから
普通にアンインスコしてみれば?

レジストリが元に戻るかわかりませんがね。a2の誤検出だったかもしれんし。
もうやったかもしれませんが、レジストリ最適化しても元には戻らないと思いますよ。

あくまで自己責任でおながいしますよ。
778名無しさん@お腹いっぱい。:04/04/20 18:13
Ad-aware6.0、Spybot1.2で調べてみたんですが
TrojanSpy.Win32.Srdl.14は発見されませんでした。
こちらは誤検出の可能性が高いみたいです。

もう一度、ソフトをDLしてa2で調べてみたんですが
Trojan.Win32.KillFilesが見つかりました。
でも、このソフトは解凍するだけで使えてレジストリも使ってないです。
それなのに消去してレジストリが壊れるのはおかしいですね。
他の検索ソフトでも発見されるかどうか試してみます
インスコーラーを使わなくても、レジストリを使用するソフトはあるのでは?

他のソフトっていうと、フリーではSwatiIt、Ewidoくらい?
Win98だと、Ewido使えないんだよね?
後はPestPatrolのオンラインスキャンくらいかな?
誤検出の確認するだけだったら別にフリーのものにこだわらなくても
Tauscan,Trojan Remover,The Cleaner,TrojanHunter辺りの体験版を
落として使えばいいだろう。
781名無しさん@お腹いっぱい。:04/04/20 22:48
>>779>>780
テキストにレジストリは使用していないと書いてあるので大丈夫だと思います。
これって確実に誤検出ですよね。
a2で削除したんですが肝心のexeは消去されずに残ってました。
その時にトロイではなくて何か別の大事な部分が消えてしまったみたいです。
慌てて消去せずに、先にここで質問するべきだった・・・・
782774:04/04/21 02:13
Trojan.Win32.KillFilesを削除した後にウイルスバスターを入れたんですが
重いので、その時にアンインストールしたzone alarmを入れ直したら不調が直りました。
ウイルスバスターを入れたのが原因かzone alarmを外した事が原因か、
どちらかはわかりませんが解決しました。
ありがとうございました。
それはたぶんゾネが原因だな。
漏れも昔、NTにゾネ入れててアンインスコしたらなんかメッセージが出てきた記憶がある。
ゾネ関係のレジストリ消したら直ったような・・・気がする。あまりに昔なんで忘れたが。
784名無しさん@お腹いっぱい。:04/04/21 18:48
いまやスッカリ忘れ去られた感のあるESSですが

久しぶりに、うp来てるぞ

だからCalendar Of Updates Calendarにも取り上げてくれよ・・・
>>784
乙。
>だからCalendar Of Updates Calendarにも取り上げてくれよ・・・
激しく同意。
/////////////////////////////////////////////////////////////////

System Safety Monitor(SSM)

・リアルタイムでシステムの活動をモニターし、常駐させればKerio4のように
 HTMLからのexe起動を含め、キンタマウイルス http://internet.watch.impress.co.jp/static/index/2004/04/09/antinny.htm
 などの(ルールが)未決定のアクションを防げる(PFWではない)

・無料
・日本語化できる
・レジストリキーの変更も監視できる

●SSMヘルプ翻訳テキスト+HTML配布サイト
http://www.geocities.co.jp/Outdoors-Mountain/9671/ssm/
http://www.geocities.co.jp/Outdoors-Mountain/9671/ssm/aarules.html

/////////////////////////////////////////////////////////////////
ここにもきんたま被害者の会が、、、
788名無しさん@お腹いっぱい。:04/04/24 06:17
EwidoもCalendar Of Updates に載るようになったね
さっそくUPきてるし
789名無しさん@お腹いっぱい。:04/04/24 20:55
CodeRed.Dに感染していて駆除できないってどゆこと?削除したけど・・・
ダイジョブ?
>>789
今更CodeRedに感染するなんてダメダメですな。
続きはくだ質か日記スレあたりでどぞ
>>790
情報系の大学行ってる身として恥ずかしいわ・・・
情報系の大学とComputer Securityってあんまり関係ないような。
code redなら素直にアンチ・ウイルスソフトをセーフモードを使ってスキャン
してみればどうだろう。たいがいはきちんとdisinfect(駆除)出来るはず。
793名無しさん@お腹いっぱい。:04/04/25 11:58
restoreに染み込んでいたウイルスをやっと殲滅できました(;´Д`)
794名無しさん@お腹いっぱい。:04/04/27 03:33
>>793
どうやったの?
795名無しさん@お腹いっぱい。:04/04/27 13:14
>>794

システムの復元ポイントを全て消しました(^-^;
最初はドキドキしたけどやってみたら、
restoreに染み込んだウイルスを殲滅できたばかりでなく
ハードの容量を9Gから6Gに減らせて良かったです グッ!!( ^―゜)b
↓のような要領でやるとできます。

http://www.ahnlab.co.jp/faq/faq_virus.asp#q1
1
797名無しさん@お腹いっぱい。:04/04/28 22:34
失礼します。
今日、コマンドプロンプトからnetstat -a
をかけてportを調べたら。
TCP mypc:5000 mypc:0 LISTENING
というportが見つかりました。
ネットで調べてみた所。
port 5000 Back Door Setup, Blazer5, Bubbel, ICKiller, Sockets des Troie
という物に該当しているのが判明しまして、今大変困っています。
削除方法、このTROYに関する情報、何でもいいので
どなたかご教示願えれば幸いに存じます。
よろしくおながいしますm(--)m
>>797
トロイの種類は下記参照して下さい。
http://www.simovits.com/trojans/trojans.html
それと、>>229で紹介されてるa2っていうアンチトロイソフト(フリー版)をインストールして
チェックしてみて。
799797:04/04/28 23:06
>>798
返信ありがとう!!
まじでありがたいです。
インストールしてやってみます!
>>797
OSは何を使っているの?
WinXPやWinMEならTCP 5000はUPnP関係でデフォルトではサービスが動作して
いるからLISTENINGしているのは普通。トロイとは何も関係ない。
ttp://homepage3.nifty.com/tef-room/trouble/upnp1.html

>>202
クリーンインストールした直後のWinXPのnetstat -anoをしたのも見てごらん。

自分のシステムにトロイが仕込まれているのかを確認するのにWindows付属のnetstat.exeを
使うのはあまり賢明ではないと思うよ。

Process to Port mapperで一番いいのはCLI (command line interface)が苦にならないなら
DiamondCS のOpenPorts v1.0が一番いい。
ttp://www.diamondcs.com.au/openports/

GUIでなければどうしても嫌だという人はCurrPorts v1.00 がとても使いやすいと思う。
日本語化パッチもあるので。
ttp://nirsoft.mirrorz.com/

ちなみにトロイのデフォルトポートは現実にトロイが使われる場面ではほとんど役に立たないよ。
実際のトロイのMain screen of the "Beast 2.05 Edit server:"を見れば分かるけど。
ttp://www.nsclean.com/psc-bst.html
悪意のある人物は自分の好きなポートを使うようにトロイのサーバーをカスタマイズ出来るので。

もちろんせっかくa2をダウンロードしたのならそのまま使えばいいと思うけど。^^




801名無しさん@お腹いっぱい。:04/04/29 11:33
トロイ駆除できなかったから検疫に出して隔離すれば悪さしない?
すみませんが教えて下さい。
一度トロイに入り込まれてしまったら、
ウィルススキャンしても無駄なのでしょうか?
仕掛けた側がこちらのスキャンが無効になるように
何か細工を仕掛ける事などあるのでしょうか?
>>802
トロイというか、メジャーなウイルスの多くは感染するとメジャーな
アンチウイルスソフトやファイヤーウォールソフトのプロセスを勝手に
停止したりプログラムを消去したりします。
また、hostを書き換えてシマンテックやトレンドなどメジャーなサイトのDNS参照を
失敗させてWebページが見れない&最新の定義ファイルがダウンロード
できない状態を作ります。

というわけで細工されまくりな可能性もあります。
a2で隔離したファイルってどうやって元に戻すんでしょうか?
a2のフォルダにも隔離ファイルはみあたりませんが…
いざという時の為に知っておきたいのです
>>803
教えて下さって有難うございます。
アンチウイルスソフト等は問題なく動いているようです。
オンラインスキャンで調べても被害は受けていなかったようで安心しました。
a2は4/4からうpしないな
と言ってもほかに良いソフトもないし…(´・ω・`)ショボーン
なんか調子悪い気がしたんでウイルスチェックしたら
Backdoor.Powerspiderと、PWSteal.Lemir.E の2つがある、って出たんだけど
これ、どうやって処理すればいいの?
なんか、解説よんでも難しくてよくわからんのやけども…
>>800
あの自分は797氏ではないのですが、素朴な疑問として
紹介されているProcess to Port mapperを使えばDLL Injection機能のある
トロイなどもきちんと表示することが出来るのでしょうか?
リンク先のBeastとかいうトロイのレビューを読んでいたら気になったもので。
もしよろしければご教示ください。
809797:04/04/30 10:01
>>800 丁寧かつ貴重なご意見ありがとうございます!お察しの通り私のosはxpです。a2使ってもno hit だったのでおかしいなと思ったのですがそういう事でしたか。ところで800氏はネットワーク関連のお仕事をされてる方ですか?
>>804
a2って隔離なんてできるんだっけ?削除するだけだと思ってたけど。
>>806
Ewidoとかはどうなんですかね?使ったときないけど。
>>806
折角だからEwidoも併用してみれば。
まだ一ヶ月くらいしか使っていないけど、Ewidoは毎日のようにアップデートがあるぞ。
今日もアップデートがあった。
SecuritySuiteのtranslation errorの表示はリソースいじったりして直せますか?
813名無しさん@お腹いっぱい。:04/05/01 06:13
a2久しぶりにうpキター!! 嬉しいw

>>806-811
というか、ココでの紹介時は
a2とewidoの併用を勧めてたよね
真っ正直に併用してるけど実際問題うp作業してるだけでトロイ感染した事無い

ところでa2のbackground-gurdって機能使ってる人いる?
814名無しさん@お腹いっぱい。:04/05/01 10:22
Trojan horse Downloader.VB.ECってどうやったら削除できるのですか?
前にも同じような症状の人がいたみたいだけど、対処法が書いてなかったんで、教えてください。
ほんとだ4/30
対応ウィルス

TrojanDownloader.Win32.Small.gy
Worm.Win32.Bagle.p
Worm.Win32.Bagle.q
Worm.Win32.Bagle.r
Worm.Win32.Bagle.s
Worm.Win32.Bagle.z
Worm.Win32.Lentin.n
Worm.Win32.Mimail.q
Worm.Win32.NetSky.aa
Worm.Win32.NetSky.j
Worm.Win32.NetSky.k
Worm.Win32.NetSky.m
Worm.Win32.NetSky.o
Worm.Win32.NetSky.p
Worm.Win32.NetSky.r
Worm.Win32.NetSky.s
Worm.Win32.NetSky.t
Worm.Win32.NetSky.v
Worm.Win32.NetSky.w
Worm.Win32.NetSky.x
Worm.Win32.NetSky.y
Worm.Win32.NetSky.z
Norton Internet Security 2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
スクリプト遮断機能がある
広告ブロックがアメリカ仕様で、お絵かき掲示板などの画像も消してしまう
スレに貼り付けてあるだけのウイルスコードに反応する
2chの過去ログ取得する時はFWを無効にしないといけない
Antispamが勝手にメーラーと統合する上に不安定(OEと相性が悪い?)
ポップアップ通知が鬱陶しい
LiveUpdateが遅い
webごとにスプリクト遮断やActiveX遮断やプライバシー制御の設定ができる
WEB閲覧するときHTMLファイルにスクリプトを埋め込む処理が重い
 (XPSP2ではデフォルトでポップアップ広告遮断機能があるので無駄になる)
回線速度が遅くなるという報告
ルールが適切ではないとの声もあるがPFWルールの自動作成が進んでいる
不正コピー・不正期限延長ユーザーが多い
個人情報を送ってるかについては疑惑は晴れず。
http://www.symantec.com/region/jp/products/nis/features.html
http://www.symantec.com/region/jp/products/nav/features.html

ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm

FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。

http://pc3.2ch.net/test/read.cgi/sec/1067918099/321
a2 up
24385Signaturesでおk?
819名無しさん@お腹いっぱい。:04/05/03 06:34
ESS アップデート マメだな
フリーで日本語化できるのでお勧めは何ですか?
>フリーで日本語化できる
のは無いんじゃないか。
トロイの詳細
http://www2.troy.jp/
823名無しさん@お腹いっぱい。:04/05/05 23:52
ブラピage

ESSはかなりの部分がtranslation errになっちゃうな。
日本語化パッチホシィ(´・ω・`)
824名無しさん@お腹いっぱい。:04/05/06 05:04
IDSがsubsevenというトロイの侵入を検知したのですが
これはもう感染したという事なんでしょうか?実行した覚えはないのですが
a2 物凄い勢いだ
1度に1500以上ってすごいな
今回のうpで vp3 vp6 aaw が掛かったぞ(;´Д`)
http://www.a-2.org/en/

つながらない
あ、繋がった
すげぇ更新
うpしたらa2の起動がスゲー重くなった・・・
a2がNortonAntiVirusのLusetup.exeからBackdoor.Botcmdを誤検出するみたいだ。
a2をいれて,user,codeもちゃんと入力したのに、

 Can not connect to the account sarver. Please check your internet connection setting.

と出て一向に先にすすみません。
インターネットには繋がってるのですが…
一体何が悪いのでしょうか。
FWじゃないの
Trojan.Adclicker に感染したのでSystem Volume Informationを
開こうと思ったらアクセス禁止になってます。じぶんのPCなのに…
835834:04/05/07 00:35
ああ、そういえば検疫してたんだった_| ̄|○ 
ドイツ語文字化けさせないためにはドイツ語フォント入れればいいの?
MSドイツゴシックとかないかな?
猿の惑星の監督か
誤爆スマン
BITDEFENDERでスキャソしたらMPXやSYSTEM VOLUME INFOMATION\_RESTOREのA0039273.exeがTrojan.killAV.Cに...
OTZ
a2また1500だ。
これで25915になった。
いまやってみたら前回誤検出したのがしなくなったから、それの修正だけだったのかもだな。
ssm1.9.4 b1.zipを解凍するとformat.helpってファイルがあるんだけど
これって何かに使うの?
誤爆したw
a2シグネーチャー読み込みが速くなればなぁ
もう何回もOSの再インストールしてるのに何度もチェックに引っかかる・・・
再インストールしてもPC内に残ってるファイルとかあるんですか?
>>845
HDDをフォーマットしてからインストールしてるの?
それとも上書き??
847845:04/05/08 20:20
>>846
フォーマットしようとしてもできないので、システムフォルダ以外のファイルは
手動で消して、一回セーフモードで起動してからOSをいれてます。
フォーマットできないわけがない
>847
それは上書きインストールしてるだけだ。
CDから起動して、HDDをフォーマットするんだよ。
850名無しさん@お腹いっぱい。:04/05/10 10:53
たぶんbabyronという英和和英英英の無料辞書をインストールした際、
TEXTWAREというフォルダができ、なかにILLVEIWER.EXE
というのとQFSERVER.EXEというソフトがインストールされました。
両方とも表立って動いているようには見えないのですが、
消すことができず、手作業で消しました。ですが、IEHelp.DLL
というファイルだけがWINDOWSが利用しているようで消せませんでした。
そのため、SPCpyというフリーソフトをDLして消去しました。
以上の操作で問題ないでしょうか。お教えください。
ちなみにこれです。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_BLKSTONE.A
危険度などもあわせて教えていただけるとありがたいのですが。

誘導されてきたのですが前スレでは新しいソフトを購入するように言われました。
できればフリーのソフトがよいのですが。
当方、ZA,spybot,ad-aware、AVGの4本だてで毎日アップロードをやってきていたのですが、
これでは不足でしょうか。
>>850
SPCpyでググッてもよくわからないんけど、取りあえずリンク先のトレンドマイクロの
指示通りやって何もなければ問題ないと思う。
識者の見解を待ってね。
あと、このスレはセキュリティ板1の良スレだと思うので最初から読むことを勧めるよ。

↓全部フリーだよ。
・IEコンポーネント以外のブラウザ(Opera、Firefox等)を通常は使う
・レジストリ改変を監視するソフト(SystemSafetyMonitor、RegistryProt等)の導入
・アンチトロイソフト(a2、ewido等)の導入
・スパイウェア予防にSpywareBlasterとIE-SPYADの導入
>>851
丁寧なレス、ありがとうございます。
トレンドマイクロの指示通りやったのですが、レジストリに書き込まれていないみたいでした。
この点もよくわかりません。
このスレに関しては今日じっくり最初から読ませていただきます。
SPCpyはSRCpyの間違いでした。

DDI16とIlluminator 2とQFServerというのがその中身みたいです。
検索しても1,2件しかヒットしません。
このソフトからリンクが張られているのですがうまくつながりません。
http://www.google.co.jp/search?hl=ja&ie=UTF-8&oe=UTF-8&q=%22%2Bwww.textware.dk%2F&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=

フリーのソフトは、早速導入させていただきたいと思います。
ありがとうございました。
853851:04/05/10 17:38
>>852
Babylon Translator2.2か4.xならSpybotで検出されるみたいね。
spywareみたいなんでそのプログラム自体削除したほうがいいのでは?
あとは、先ほど紹介したa2とewidoでスキャンするとか。
レジストリに残骸がないか心配ならレジクリーナーで掃除するとか。
>>853
どうもです。
バビロンはすでに削除しました。http://www.faireal.net/articles/6/13/
ここで紹介されていたものなのですが。SpywareBlasterとIE-SPYADは導入しました。
http://www.textware.dk/この会社は何なんでしょうか
IEHelp.DLLは、SRCpyでIEHelp.OLDに書き換えられたのですがゴミ箱に捨ててもいいでしょうか。
このDLLはなにと連携していたのでしょうか。
これからa2とewidoとレジクリーナーはやってみようと思います。
被害対策の部屋でIEHelperについて
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=20096&type=0&space=0&no=0
のツリーの中の21544で
>PC のお掃除
>http://higaitaisaku.web.infoseek.co.jp/menu1.html
>
>[プログラムの追加と削除]に
>・TEXTware\QUICKF~1\PlugIns
>・Movietrading?
>と云ったものがあったら、ネットに繋いだ状態でそこから削除してください。
>
>
>で、ネットから切断します。
>HijackThis 以外のウィンドウをすべて閉じて下記エントリにチェックを入れて削除し、その後 PC を再起動して下さい。
>
>R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)
>O2 - BHO: (no name) - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
>
>再起動後、
>・C:\PROGRA~1\TEXTware
>と云うフォルダがあれば削除して下さい。

と指示されてるから、多分普通はいらないんでしょうね。

http://www.textware.dk/については、『ネットワークに問題があります。』とでるんで、アンチスパイウェアの免疫がきいてるのかな。
856851=855:04/05/10 18:15
×被害対策の部屋でIEHelperについて
○被害対策の部屋でIEHelp.dllについて
新しいFree の Anti Trojan 「Troyan Explore」

ttp://www.troyan.tk/
ttp://gratis.unohost.com/troyan/Install.htm

わずか290kbのダウンロードサイズ、しかし spanish。
これについてコメントされているサイトは以下の処。

ttp://www.wilderssecurity.com/showthread.php?t=31509
>>855
すべて削除しました。
つながらないのは、ウィルスが利いているからだったのですね。納得しました。
いろいろ導入したのはいいのですがテレビの予約録画ができなくなりました。
いろいろ調整してみようと思っています。ありがとうございました。
テスト用の無害なウィルスは持ってるんだけど、無害なトロイってないですか。
リークテストがやりたいならそれ用のがたくさんある
Ewidoでスキャンするとjpgまで調べてしまいます
jpgやtxtスキャンしないようにするのはどうしたら
いいですか?
>>861
どうしようも出来ない。
私もほとんど同じ質問をしたことがあるけど、Ewidoは拡張子に関係無く
全てのファイルを検査の対象にしている。

テキストにウイルスのソースファイルが書いてあるような安全なファイルも
検出してしまいます。これは仕様ですか?

それに対するEwidoの開発者チームの一人 Peter Klapprodt氏の答え。

This is a little problem because we scan EVERY file and don't rely on
it's extension, so there's almost no secure way to determine what file
type it really is. I don't think this will change/improve soon.

近い将来、特定のファイルの除外(exclude)機能が付くことに期待しましょう。
失礼します。
当方普段はAVGというアンチウイルスソフトを使用しています。
最近自分のPCの調子が少しおかしいと思ってトレンドマイクロの
オンラインスキャンも試してみたら、
C:\Windows\system32\winsvc.exeというファイルから
BKDR_SDBOT.GENというファイルが見つかりました。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_SDBOT.GEN

「SDBOT」はハッキングツールシリーズということで、これはまずいと思って
上記のサイトの通り削除しようと思ったのですが、winsvc.exeというレジストリ項目が
見つかりません。ファイルを削除して再起動してオンラインスキャンするとまた
見つかってしまいます。

OSはWinXPを使っています。
どなたか解決法をご存知ないでしょうか?よろしくお願いします。m(_ _)m
>>863
このスレッドは人がとても少ないね。w
sdbotは今現在agobotなどと並んでとても人気のあるbackdoorだけど。
接尾辞のGENというのはgeneric detectionという意味。
以下はSymantecの命名規則だけど、命名規則は基本的な部分では同じものだから。
ttp://www.symantec.co.jp/region/jp/sarcj/vnameinfo.html

もっと分かりやすい言葉でいうとgenというのはヒューリスティックの部分でsdbotを
見つけたということ。つまりトレンドのオンラインスキャンは定義ファイルには
完全にマッチしなかったけれど、sdbotの亜種ではないかと判断した訳だから、
リンク先のインストラクションに完全にマッチするとは限らない。

sdbotが悪意のあるプログラムの中で大きな特徴としてあるのは、
オープンソースの優秀なbackdoorであるということ。私も随分以前いろいろ弄ってみたけど、
だからオートマチックにdisinfectするのはとても難しい。

一番安全に処理するのなら、OSをリカバリーして、ハードディスクにあるパスワードと
名前の付くものはすべて変更すること。

もしどうしてもdisinfectしたいのなら、件名を「トロイスレの863です。」として
以下にメールください。色々ログを見なければどうにもなりませぬ。
submitmalwareアットhotmail.com(アットを@に変えて)
なんで人気のある、とか優秀なbackdoorとかの言い回し使うの?
人気のある=たくさんの人のdisinfectするのを手伝っているから。

優秀な=ソースコードを見て。作者氏とも何度も議論させてもらっているし。

おやすみなさい。^^
867名無しさん@お腹いっぱい。:04/05/17 18:42
先日JS/Lamedon.Aと言うウィルスに感染しました
トロイと判定され、幾つかのファイルは駆除、
削除出来たのですが、system32内に[MSLib.dll]と言うファイルだけが
駆除できません、使用中とかで・・・
何とか駆除削除出来ないでしょうか?

使用環境は XP ソフトはMcAfeeです
セーフモードで起動すれば削除できるかもしれない
869名無しさん@お腹いっぱい。:04/05/17 20:12
全然関係ないかもしれませんが悔しかったので書き込まさせてください。
『ノートン インターネットセキュリティー2004』を購入しインストールしましたが
何かパソコンの待機時間(マウスポインターが砂時計状態)が長くなってしまい
全然仕事にならなくなってしまいました。
そこで『シマンテック』のサポートセンターに問い合わせましたが直らなかったため
アドバイス通り仕方なくアンインストールし またインストールし直しました。
ところが この作業をしましたら当方のパソコンのOSの一部が破損されてしまい
結局初期化せざるを得ない状況となってしまいました。
大変な時間と手間の浪費に腹が立って仕方がありません。
今では『ウイルスセキュリティ2004』という違う会社のソフトを
インストールしていますがこちらは非常に快適です。
『シマンテック インターネットセキュリティー2004』によって
私のパソコンは破壊されてしまい商品を返品したく返金を要求しましても返事すら来ませんでした。
シマンテックサポートセンターに対して何度も同じ請求の問い合わせをしましたが全くの無視です。
私は今も怒りと悔しさで いっぱいです。
皆さんも同じような経験はありませんか?
>>869
マルチ( ・Д・)いってよち
(´ε`*)
>皆さんも同じような経験はありませんか?
スレ違いなカキコをマルチポストした経験はありませんし、今後もそのつもりはありません。
873名無しさん@お腹いっぱい。:04/05/17 22:13
>>869
ソースネクスト様、お仕事お疲れ様です。
ところで、御社の「ウイルスセキュリティ2004」を購入しインストールしたことによって、
私のPCが再インストールせざるを終えなくなってしまったことへの、
賠償の件はどうなりましたでしょうか。
874名無しさん@お腹いっぱい。:04/05/17 22:17
JS.Downloader.Trojanというのに感染したようです
治し方教えてください
ファイル消せばなおせるよ
最大の問題は窓のパッチ…>>869
>>875
それはどのようにやればいいのでしょうか?
すいません、初心者なもので
>>877
感染してるよ〜 って言われたファイルを削除。
できなきゃ、「セーフモート」゙でログインしてから削除。
パソコン起動したらF8連打でセーフモードになるらしい。
どのファイルが感染してるのかわからないけど。
JS.Downloader.Trojan を検索すると対処方法が書かれたサイトが
一つや二つは検索されるから、それらを参考にするとよいぞ。
881874:04/05/18 13:22
>>879
JS.Downloader.Trojan でググったらそれらしいサイトは出てきたんですが
英語表記なのでよく分からないんですよ
この手のウィルスを自力で治した経験のある方がいたら方法を教えてほしいです
ウィルスの症状としてはIEのスタートページと検索ページが強制的に書き換えられるのと
タスクバーに妙なアイコンが出るといった具合です
>>881
www.sex-true.com/mau/new.html
 【ウィルス名:JAVA_BYTVERIFY.A-1 or JS.Downloader.Trojan
  IPアドレスが表示され、ActiveXをDLさせようとする

そもそもウィルスソフト入れてないんだろ?話にならない。
>>882のサイトすごく参考になると思うからよく読んで
メモでも取って再インストールしようよ。
真っ新から始めた方が気持ちもスッキリする。
訂正 アンチウィルスソフト
886名無しさん@お腹いっぱい。:04/05/18 22:18
loadnew.exeというファイルを削除したら攻撃がなくなった
giko navi にいくつか感染したファイルがあった
887874:04/05/19 00:47
>>883
ノートンを入れてます
けどウィルススキャンしてもウィルスが発見されないのです
何かいい方法はないでしょうか?
>>887
ほかのソフトでウィルスだって言われたファイル手動で消せば良い
>>887
だから>>882のサイトを見ろよ
ttp://www.kaspersky.com/news.html?id=148515536

Kaspersky Labsは、マスメーリング機能(@mm)を持つAgentという名前のトロイの木馬を
定義ファイルに加えました。このAgentトロイは、ユーザーが画像フォーマットの一種、
BMPファイルを開くことで感染します。

Agentトロイは、MS Internet Explorer 5.0と5.5のバージョンに存在する脆弱性を利用して、
犠牲者が悪意を持って加工されたBMPファイルを開くことで、犠牲者のPC上で悪意のある
コードを実行することが出来ます。このIEの脆弱性は2004年2月16日に最初に発覚した
Windows2000のソースコードが漏洩したことに直接起因しています。

Agentトロイはロシア語バージョンのWin2000をターゲットにしており、他の言語のWindows2000
では動作しない。ただ近い将来この脆弱性を利用する多くのMalwareが登場するのは容易に
想像することができます。(全言語・バージョンのWindows,IEをターゲットにして)

今現在、Microsoftはこの脆弱性に対応するパッチをリリース出来ていない。
今現在、この問題からシステムを守る方法は、この悪意を持って加工されたBMPファイルを
検出することが出来るアンチウイルスソフトを常駐させておくことがとても重要である。
(Symantec,Kaspersky,McAfee,etc...)

・・・いろんなSecurity Forumで話合われていますね。
なるほど
それSSMで防げそうだな。
a2 up

Downloading Signature database 05/20/2004 ...
Several thousand new signatures

Downloading Signature database 05/21/2004 ...
4 new signatures

28755signatures
a2 up

Downloading Signature database 05/22/2004 ...
Few internal changes of the base database and some urgent updates
a2入れてみた。

Userのところって、もしかしてアドレス入れるのですか?

あと文字化けでaイって表示される・・・。
>>895
languageファイル開いてaイをa2に置換
>>896
私は>>895じゃないけどありがとう。
それにしてもaイがいっぱいあるのにはびっくりした。
>>895
>Userのところって、もしかしてアドレス入れるのですか?
はい。
ちなみにレジストリ内のaイを含むキー名を変更することはNGです。
プログラムが起動しなくなります(やってみた俺は馬鹿?w
>>898
GJ!!!
900
>>890
情報ありがと。
しかし、Windows2000のソースコードが盗まれたのが脆弱性が発見された原因て、
相変わらずマイクロソフトはひどい話やなぁ。
これでJPGウイルスなんて出てきたら本当に
(((( ;゚Д゚)))ガクガクブルブルやね。
>>901
jpgでトロイ仕込まれるなんてIE使用者には既出じゃん
某セキュリティソフト再インストしてたら急にトロイ警告が増えた。

気になったんでラットラッカーで調べるとWingate、HttpProxyのところでログが出た。
でも最近エラーがくるのはShockRaveとNetBusなんだけど・・・。

とにかく引っかかった以上、Norton先生のスキャンかけたけどトロイは発見できず。
一応昔使ってた「ToRoI Baster」いま常駐させてるけど。


こういうのってやっぱ専用ツール入れないと駆除できないですよね?
>>902
>jpgでトロイ仕込まれるなんてIE使用者には既出じゃん

私は901氏ではないけど、これはIEは拡張子が*.jpgであっても、中身がhtmlファイルで
あれば、htmlとして解釈する奇妙な癖があるということでしょうか?
(この場合*.jpgに限らず*.rmであろうと*.txtであろうと関係ないけど。)
私は今までに*.jpgで感染するトロイというのは見たことがないので。

最近でもIEの脆弱性を利用した、通称jpgトロイというのが話題になっていたけど。
ttp://addict3d.org/index.php?page=viewarticle&type=security&ID=885

このスレッドでも>>710さんがかなり早い段階で犠牲者になっているようですが。
この脆弱性の方が2chなどではずっと現実的に使えるのでしょうか。対策として考えるなら

1.そもそもIEを使わない。
2.IEを使うなら最低でもjava scriptやactive xの設定は切る。
3.「訪れただけで悪意のあるコードを実行するホームページの作り方。」なんてチュートリアルを
 いろいろ読めば、IEの脆弱性を利用するにせよ、Windowsの脆弱性を利用するにせよ、最後の
 悪意のあるコードを実行する段階でVBSスクリプトを使う場合がとても多いです。
 フリーでも沢山の優秀なAnti Malicious Script系のソフトがあるから導入すると、安全性は
 高まるのではないでしょうか。

>>903
それはきっとあなたのPCにトロイが仕込まれているとは関係ないと思う。

>>892
沢山のSSMユーザーが指摘してたけど
ttp://www.securitytracker.com/alerts/2004/Jan/1008843.html

上記からdemo exploitをダウンロードして
SSMでIEとWindows Explorerをブロックするルールを作って実験してみるときっと面白い。
世の中絶対大丈夫だということは無いかのかな。
>>904
ええと、それはつまりあくまで外からの攻撃ってことですか?

時々ToRoI Basterが反応するんで心配です。
>>904
特定の実行ファイルがjpgを読み込みってことなので単独で動作する先のBMPのとは異なる。
ttp://www.sophos.co.jp/virusinfo/articles/perrun.html
908904:04/05/25 01:39
>>906
>ええと、それはつまりあくまで外からの攻撃ってことですか?
普通に考えればそういうことではないですか。

>某セキュリティソフト再インストしてたら急にトロイ警告が増えた。
某セキュリティソフトが割れ物でもなければ通常それによってトロイが仕込まれる
ことはないでしょう?

それでも心配なら>>882さんなどが素晴らしいサイトを紹介してくれていますよ。

>>907
話がまったく噛み合わないけど、2002年6月14日 の話とはまったく別のものです。
>>904

<フリーでも沢山の優秀なAnti Malicious Script系のソフトがあるから導入すると、安全性は
<高まるのではないでしょうか。

たとえばどういうソフトがあるのですか?

>>909
Anti Malicious Script系のソフトはフリーで優秀なソフトはたくさんあるけど、私が使って
いるソフトなら。

【  ソフト名 ..】Script Sentry
【  機能   】Anti Malicious Script
【   リンク  ..】http://www.jasons-toolbox.com/scriptsentry.asp
【インストーラー 】あり
【 レジストリ ..】ソフトの仕様上使う

Norton Anti VirusでいうところのScript Blockの機能に相当するソフト。
AVG Anti VirusやKaspersky Anti Virus LiteなどのようにScript Blockの
機能の搭載されていないAnti Virus Softを使っている人にはAdd onと
して使うのはいいかも。標準で以下の拡張子を持つファイルで
(VBS, VBE, JS, JSE, WSH, WSF ,HTA, SHS, SHB, REG, DOC, XLS)
registryにアクセスしたりファイルを消去したりするような、悪意のある
プログラムに特徴的な動作を見せると、いったん動作を止めてユーザーに知らせてくれるソフト。

Script Sentryは常駐するといってもregistryにフックするという形をとるので、
リソース消費量がほとんど0%なので、Win9xの人も安心して導入することができる。
マクロウイルス対策にもなるし。評価の定まった素晴らしいソフトだと思うけど。
おやすみ。
http://e-words.jp/p/s-ranking.html
映画効果?で1位です
912名無しさん@お腹いっぱい。:04/05/25 23:07
Ewido今日もアップデートがあってついに定義ファイルが4万(40158)を
超えたね。
Trojan.Win32.StartPage.ho
ってのに感染したんだけど、他にも感染した人居る?

Antidoteで
C:\WINDOWS\system.exe
C:\WINDOWS\System32\system32.dll
に感染、検出。Spybot 1.3 とAd-aware 6.0では
検出されず。
オンライントロイスキャンのサイト、最近やってないの?
フリーソフトを公開しているんだが
中国の人からwin32.troj.natali.a.214333発見という指摘をされました。
ノートンでは無反応ですし、検索しても中国サイトしかヒットしないのだが
詳細わかる方いらっしゃいますか?
ドウモ〜〜〜ッ!!お〜o(⌒0⌒)oは〜♪ハジメマシテ〜〜〜ッ☆☆(*⌒ヮ⌒*)
私は27歳のOLしてるのぉ〜〜〜っ♪(#⌒〇⌒#)キャハ
うーんとー、私メル友がすっごくすっごく欲しくってー、\(⌒∇⌒)/
探してたら(◎_◎)なんσ(^_^)とっ!☆彡(ノ^^)ノ☆彡ヘ(^^ヘ)☆彡(ノ^^)ノ☆彡
素敵(゚□゚;ハウッ!な掲示板♪を発見!!!!(^o^)//""" パチパチパチ
あやしい所(゚□゚;ハウッ!とか…{{ (>_<;) }} ブルブルすごい数の掲示板がありますけど、
これ全部1人の方が管理して \(^o^)/ いるんですか?(@@;)すごすぎ …
てなわけで、ついついσ(^_^)書いちゃったC= C= C= C=┌(^ .^)┘ のらー(o^v^o) エヘヘφ(`∇´)φカキコカキコ♪
メル友に、なってσ(^_^)くれるよねっ。(*^-^*) お・ね・が・い♪(* ̄・ ̄)ちゅ♪ッ
え?くれないのぉ〜?(;¬_¬)そんなのいやい♪(#⌒〇⌒#)キャハ や〜〜、ガ━━━(゚ロ゚)━━━ン
なってくれなかったら、( `_)乂(_´ ) 勝負! \(^o^)/
☆○(゜ο゜)o ぱ〜んち、☆(゜o(○=(゜ο゜)o バコ〜ン!!♪(#⌒〇⌒#)キャハ ( ゚▽゚)=◯)`ν゚)・;'パーンチ
(>_<) いてっ!ダメ!! ゛o(≧◇≦*)oo(*≧◇≦)o″ダメ!!
素敵(゚□゚;ハウッ!な掲示板♪ガ━━━(゚ロ゚)━━━ン を発見!!!!(^o^)//""" パチパチパチ
(☆o☆)きゃ〜〜(@_@;)やられた〜〜(o_ _)o ドテッ ガ━━(゚Д゚;)━━ン!
(+_+) 気絶中。。。。・゚゚・o(iДi)o・゚゚・。うぇぇん <(゜ロ゜;)>ノォオオオオオ!! (゚□゚;ハウッ!
なあんて(#⌒▽⌒#)こんな♪(#⌒〇⌒#)キャハ 私っ!σ(^_^)だけど、(///▽///)
お友達σ(^_^)になってm(_ _)mくださいませませ♪('-'*)フフ ドガ━━━Σ(ll◎д◎ll)━━━━━ン
ということで。(^-^)vじゃあね〜〜〜♪(⌒0⌒)/~~ ほんじゃo(゜▽゜ヽ)(/゜▽゜)o レッツゴー♪
それでは、今から他の掲示(゚□゚;ハウッ!板も色々見てきまーすC= C= C= C=┌(^ .^)┘
(*^-^*)ノ~~マタネー☆'.・*.・:★'.・*.・:☆'.・*.・:★
メルトモになってやるからアドレスさらしなさい。


以降、ネタにマジレスコピペはうざいので錦糸玉子
>>915
どのセキュリティーソフトを使ってwin32.troj.natali.a.214333が検出されたのか
分からないと答えようがないっしょ。

どのセキュリティーソフトを使っても誤検出は付き物だから、その中国の人が
使っているセキュリティーソフトに、誤検出だと言ってファイルを提出して貰えばいいじゃない。