それでは質問させてもらいます
以下のように2つ出ることってあります?
いままではひとつしか出なかったんだけど
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DF16248-517C-417B-BF16-F434CA339FAF}: NameServer = xxx.13.30.12, xxx.13.29.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{F11629E3-0AE7-4D3F-98C6-DEE5F94DB606}: NameServer = xxx.13.30.12, xxx.13.29.12
どっちか偽物? よろしくお願いします
>>402 ん? なんで? ちゃいまんがな
書き忘れてたけどこのアドレスは間違いなく俺のメインとセカンダリDNSです
NameServer = xxx.13.30.12, xxx.13.29.12(xは伏せ字)
\..\の部分は俺が省略したわけじゃないです
>>403 (・3・) エェー どうして増えたのか理由までは分かりませんが2つ位なら全然普通ですNE,
5〜6ある人もいますので問題ないと思いますYO
406 :
ぼるじょあ ◆yBEncckFOU :04/10/05 23:56:06
(・3・) エェー よいこの質問待ってるYO♪
>>404 >>405 ありがと とりあえず安心しました
2つになった可能性としてネットワークの詳細設定のとこで
NetBIOS over TCP/IPを無効にするに最近チェックいれたのが関係したのかな
408 :
ぼるじょあ ◆yBEncckFOU :04/10/06 18:59:50
(・3・) エェー よいこの質問待ってるYO♪
409 :
ぼるじょあ ◆yBEncckFOU :04/10/07 18:10:01
(・3・) エェー よいこの相談待ってるYO
(・3・) エェー これが本場のぼるじょあだNE
412 :
ぼるじょあ ◆yBEncckFOU :04/10/07 20:12:46
>>411 (・3・) アルェー ちょっとしか糞スレじゃないC〜
ぼるじょあになりきってるヤシきもい
ぼるじょあさん、がんばれ!!
(=^u^=) たぬたんも応援するなりよ。
タイトルだけ立派なスレだ。
417 :
名無しさん@お腹いっぱい。:04/10/08 02:50:17
質問です。HiJackThisを使ってPCを元に戻したいんですが、モデム繋ぐとすぐにアダルトサイトに飛びます。この状態って国際電話に繋がってるのでしょうか?繋がったときの事を考えると恐くてすぐに切ってしまいます。詳しい方いたら教えてください。
419 :
417:04/10/08 03:29:55
>>418 そちらに行ってみます。ありがとうございます。
420 :
名無しさん@お腹いっぱい。:04/10/08 04:32:56
お客さんが横取りされてる、かわいそう・・・・・・・・・・・・・・
HijackThisを今見ている香具師が
テンプレやれとしか言えない元天麩羅屋信者だから
本当に分析する気があるのなら自ら感染実験する
422 :
名無しさん@お腹いっぱい。:04/10/08 08:07:05
>自ら感染実験する
修羅の道ですねw
>>421 既出のエントリに興味はない、だから先にテンプレ
既出のものしか治せない奴ぐらいじゃないの?いきなりHijackThisなんて指示出す奴
ROMっていたが最近の、特に前スレのは
かなり既出でないものもあった
SDBOTの新種らしきものも多数あった
新種も見抜く力もないアホにはどれがそれとかは分からないだろうが
※SDBOTに感染している場合、アンチウイルスソフトの治療だけでは直せない
※Fixした場合かならず一箇所漏れる
あと最近指示出しているやつは特徴があるから分かるが
例のexeやdllの名前だけで検出に掛けてるような香具師とボル兄しかいない
>>422 昔のことだけど
そういえば群青さんは時々感染実験をやっていたよw
>>424 きっとひきこもりだね。ヒマすぎだもの。
(・3・) エェー よいこの相談待ってるYO
>>424 新種に感染してたらテンプレやらなくていーんだ。アホか。
そんなもんはHijackThisやってログ見てから、後から付けた理由だろうに。
テンプレで漏れた箇所だけHijackThisで治した方が楽に決まってんだろ、
全部エントリを手動で消す方がよっぽどかったるいわ
前スレで既出じゃないもんは、こっちのスレに転載ぐらいしたらどうだい?見てるならさ
┌─┐
|も.|
|う |
│来│
│ね│
│え .|
│よ .|
バカ ゴルァ │ !!.│
└─┤ プンプン
ヽ(`Д´)ノ ヽ(`Д´)ノ (`Д´)ノ ( `Д)
| ̄ ̄ ̄|─| ̄ ̄ ̄|─| ̄ ̄ ̄|─□( ヽ┐U
〜 〜  ̄◎ ̄ . ̄◎ ̄  ̄◎ ̄ ◎−>┘◎
(・3・) エェー よいこの相談待ってるYO
(゚Д゚ )
ノヽノヽ=3 プゥ
くく
新種の判断もできない
既出のエントリーも治せない
このスレいらないねw
>>428 あの空気でこっちに書けるわけないだろw
上で苺きんたまを分析したやつも追い出さんという空気だしwww
向こうに書けば書いたで全員糞回答者扱い
向こうから完全独立したいwww
>>428 後からつけた理由ではなく、たぶんと思うのはあったぞ
新種が見つかったらテンプレやらなくていいということが
言いたいんじゃなくて、それに対してプロパティを確認して覚えがなければ
Fixという指示を出しているやつがいた
なんでHijackThisに治療の道具としてそんなに信頼寄せているかのは分からないが
SDBOTはHijackThisのFixやアンチウイルスで消しても完全には治らないから書いた
それに後でまとめてログを見たから気が付いたときには一日が経過していた
それと正直SDBOTが見つかったならテンプレやる必要もないかも知れんな
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
ここを確認させてそこに値があればリカバリの指示を出して
リカバリした後はパスの変更と電話でネットバンクやクレジットカードを利用を
停止するように指示すると思う
あと指摘しても何だかんだ後で言われるだけ損だわ(
>>433の言うとうり)
がんばってくれ
訂正
(ひまな趣味)がんばってくれ
>>1に協力する人間は結局は誰もいないのかwww
前スレじゃなく今のスレじゃんw
本気で探しちゃたよwww
SDBOTの新種の可能性って言うのはこれのことか
>>435氏
C:\WINDOWS\System32\winU32L.exe
C:\Program Files\Common Files\System\Ole DB\support\ComServ.exe
C:\Program Files\Common Files\System\Ole DB\support\WinMgmt.exe
C:\Program Files\Common Files\System\Ole DB\support\IEXPLORER.EXE
O4 - HKLM\..\Run: [Win Update 32] winU32L.exe
O4 - HKLM\..\RunServices: [Win Update 32] winU32L.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
これってHijackThisに現れないのか?
治ったと思って帰ったなこの患者
もしそうならパスワードとかすでに盗まれている可能性が高いわけか・・・
http://pc6.2ch.net/test/read.cgi/pcqa/1096953352/64-69
>>439氏
分析するやつの頭はウイルス定義みたいのパターンファイルが
そいつ自体に入っているのかも知れないなwww
本家の方でも推測で答えを導きだすやつがいる時に時々驚かされる
WORM_WOOTBOT.AO(SystemIdle.exe)
http://es.trendmicro-europe.com/consumer/security_info/ve_detail.php?id=65623&VName=WORM_WOOTBOT.AO&VSect=O これだと一応HijackThisのログからも下のように現れる模様
O4 - HKLM\..\Run: [Systemidle] stemIdle.exe
O4 - HKLM\..\RunServices: [Systemidle] stemIdle.exe
O4 - HKCU\..\RunOnce: [Systemidle] stemIdle.exe
O4 - HKLM\..\Run: [Systemidle] stemIdle.exe
O4 - HKCU\..\RunOnce: [Systemidle] stemIdle.exe
とこれHKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>SystemIdle.exe
俺には残念だけど専門の分析屋じゃないからこれ以上は分からんw
正直HijackThis自体も専門家じゃないからミスすると悪いから答えないようにしてるしwww
どちらにしても対処方法は読んでみると駆除するよりも
リカバリした後にryってやつが一番安全なようだ(感染者本人には悪いが)
結果論になっちゃて悪いけど感染者本人にレジストリ内を検索で
winU32L.exe見つけてもらうことをやってもらった方がよかったのかも
訂正
ごめんよく見たらWORM_WOOTBOT.AOの値を間違えたw
O4 - HKLM\..\Run: [Systemidle] stemIdle.exe
O4 - HKLM\..\RunServices: [Systemidle] stemIdle.exe
O4 - HKLM\..\RunOnce: [Systemidle] stemIdle.exe
O4 - HKCU\..\Run: [Systemidle] stemIdle.exe
O4 - HKCU\..\RunOnce: [Systemidle] stemIdle.exe
とこれHKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>SystemIdle.exe
HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>
これは知識不足でログにどう出るか分からんwww
>>440-441 >>424氏が言ってた「SDBotの亜種」ってのは、結局それの事なのかな?
具体例出してないから何とも言いがたいね(´・ω・`)
どっちにしろ、
>>435で言ってる内容はHijackThisを見なきゃわからないでしょ
だってプロセスに何が走ってるのか、他の人には全くわからない訳だし
あとはプロセス何走ってるかわかってる奴が自作自演してたぐらいしかありえないな
そもそもHijackThisの前にテンプレを一通りやる「はず」なんだから、何でテンプレの話になるのが意味不明
>>441 >HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>
たぶん、これもHijackThisには出てこないところなんじゃないかな
今の1.98.2になる前にHijackThisに出てこないこれが流行したのと似てるのかも
http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html ※今の1.98.2ではHijackThisできちんとエントリとして出てくる
当事者でもないのに外から眺めて
楽しそうにしている書き込みって相当にキモイね
445 :
ぼるじょあ ◆yBEncckFOU :04/10/09 22:34:32
∧∧∧∧∧∧ ∧
( (・( ・(・ ( ・3( ・3) よい子の
(つ(つ/つ// 二つ
ハァ─) .| /( ヽノ ノヽっ ─・・・
∪∪とノ(/ ̄ ∪
∧
(( (\_ ∧ ∧ ∧ ∧ 3)っ
⊂`ヽ ( ・3・) _)3・) ) ノノ 質問
ヽ ⊂\ ⊂ ) _つ
スゥ──(/( /∪∪ヽ)ヽ) ノ ──
∪ ̄(/ ̄\)
(\ ∧ ∧ カッ
< `( ・3・) 待ってるYO
\ y⊂ )
/ \
∪ ̄ ̄ ̄\)
ぼるちゃん教えて
環境は
Windows version: Windows 98 4.10.2222
MSIE version: 6.0.2800.1106
HijackThis version: 1.98.2
HighjackThisでスキャン開始するとこんなメッセージがでます
どうすりゃいーの????よろちくNE
An unexpected error has occurred at procedure: modBackup_ListBackups()
Error #55 - ファイルは既に開かれています。
An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=win.ini, sSection=windows, sValue=load)
Error #55 - ファイルは既に開かれています。
An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=win.ini, sSection=windows, sValue=run)
Error #55 - ファイルは既に開かれています。
An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=C:\WINDOWS\control.ini, sSection=don't load, sValue=inetcpl.cpl)
Error #62 - ファイルにこれ以上データがありません。
An unexpected error has occurred at procedure: modMain_CheckOther14Item()
Error #55 - ファイルは既に開かれています。
An unexpected error has occurred at procedure: modMain_CheckOther14Item()
Error #55 - ファイルは既に開かれています。
452 :
訳あり名無しさん:04/10/11 03:42:42
>>421 |∧
| .∧
| ∧
| ヽ
| .\ ・・・・・・・・・・・・・・・・・・・・・・・・
|=・=- ∧/ ∧
| / ヽ / ヽ
| / ヽ_____/ ヽ
|/ \
| ヽ
|"´) ● \─/ ● |'´)
|‐´ ヽ/ /´
|\ /
>>449 こんな奴にHijackThisのFix指示を出すのがそもそもの間違いだ・・・
これってテンポラリファイルの削除した後にアンチウィルスソフト+Ad-awareSE+
Spybotかけるんじゃダメなのかなぁ?
>>454 レジストリの実行用エントリが残るから
いきなりテンポラリ削除はまずいのでは?
>>449 何をしたらこんなんなるんだろう、そっちが知りたい
詰め合わせぶちこんだのか?
>>449ので興味あるのは
NortonAntiVirus2003と、Spybotが入ってるって事なんだよなー・・・
たぶん全然アップデートなんてしてないんだろうけど
こういうのを見ると、ちゃんとアップデートして最新の定義にするのが重要であって
ソフトを入れるだけじゃ無意味だよってつくづく思うよな
>>456 ほんと、どうやったのか。
バンドルソフトとかしっかり入ってるとことか見ると???
?
あぼーん
461 :
名無しさん@お腹いっぱい。:04/10/12 04:46:49
462 :
名無しさん@お腹いっぱい。:04/10/12 05:21:12
なるほど。
463 :
名無しさん@お腹いっぱい。:04/10/13 22:13:45
え?
464 :
名無しさん@お腹いっぱい。:04/10/13 22:15:41
466 :
名無しさん@お腹いっぱい。:04/10/13 23:25:08
質問すみません。
spybotとadaware,AV使用しました。
次にCWShredder使いました。(これは意味なかった)
最後にHijackを使って
http://www.higaitaisaku.com/hjtdatabase.html にのってるあやスィ(・д・)やつ全部削除したつもりです。
おかげで調子は少し良くなったのです(勝手にシャットダウンとかしてたのがなくなった)が、ホームページの設定だけは直りません…
213.159.117.134です…流布した奴殺してやりたい…
どうすればよいのか教えてください。怖くてネットにはつないでません…
>>466 ページはウィルスに感染しています!だそうだ
アンチウィルスソフトを入れて、全部のファイルをスキャンしてみろ
たぶん、CWS系のスパイウェアを入れるダウンローダーがあるはず
213.159.117.134を、そのままアドレスとして入力したらって話ね
開いたとたんにCoolWebSearchのページが開いて、変なファイルを自動的にダウンロードしようとしてた
テンポラリファイルに入ったから、テンポラリファイルも一旦綺麗にした方がよさげ
469 :
名無しさん@お腹いっぱい。:04/10/13 23:49:41
>>467 アンチウイルスソフトはもう使ったのですが…どうにも('A`)出てきません。
>>468 具体的になにをすればいいのでしょうか…教えてください。すみませぬ('A`)
471 :
名無しさん@お腹いっぱい。:04/10/14 00:52:14
スパイウエアにしっかりデジタルサインされているわけだが
スパイウエアを作る連中にデジタル証明書を発行するベリサイン社って
どうよ?
ベリーグーだな。
?
475 :
ぼるじょあ ◆yBEncckFOU :04/10/15 02:09:04
∧∧∧∧∧∧ ∧
( (・( ・(・ ( ・3( ・3) よい子の
(つ(つ/つ// 二つ
ハァ─) .| /( ヽノ ノヽっ ─・・・
∪∪とノ(/ ̄ ∪
∧
(( (\_ ∧ ∧ ∧ ∧ 3)っ
⊂`ヽ ( ・3・) _)3・) ) ノノ 質問
ヽ ⊂\ ⊂ ) _つ
スゥ──(/( /∪∪ヽ)ヽ) ノ ──
∪ ̄(/ ̄\)
(\ ∧ ∧ カッ
< `( ・3・) 待ってるYO
\ y⊂ )
/ \
∪ ̄ ̄ ̄\)
476 :
ぼるじょあ ◆yBEncckFOU :04/10/16 01:23:47
(・3・) エェー よいこの質問待ってるYO♪
sage
478 :
ぼるじょあ ◆yBEncckFOU :04/10/16 19:19:38
\\ ビ \\ \ \\\ \\ \ \
\\ \\ ュ ウ \\ \ \\
\\ \\ \\ \ ウ \\\ \\
\\\ \\ \∧_∧ ウ \\ \
\\ \\ ( ・3・ ∧∧ ゥ\ \\
\ \ ( (・3・ ) \\ \\ゥ\\
\ \\ \| | | ヽ \\ ゥ
\\ \ \\ (_(_UU( )〜′ \\ \\
\ \\ \ | ̄ ̄|  ̄ ̄\ \\ \\
\ \ \ / Y \ ∨ |  ̄ ̄ ̄ ̄ヽヽ
\\ \\ | | | \ ヽ
たとえ人が来なくても、今はただ耐えるのだ!
479 :
名無しさん@お腹いっぱい。:04/10/17 01:25:57
なんでここウイルスに感染してるの?
スレがウィルスに感染する事はないよ
貼られているウィルスコードに反応しているだけ。
481 :
名無しさん@お腹いっぱい。:04/10/17 02:10:47
スパイウェアは、システム復元、バックアップで、
パソコンをその前の状態にまで戻す、それで戻らない?
>>481 システムの復元で元に戻すのも一つの解決方法です。
483 :
ぼるじょあ ◆yBEncckFOU :04/10/17 13:31:41
(・3・) エェー よいこの質問待ってるYO♪
某スレで、こちらでHijackThisのLOGを貼って、診断してもらえば?
と助言を頂いたので、ご助力願いたいのですが、
HijackThisの全LOG(70行程度)が必要なのでしょうか?
>>485 ありがとーです。
レスはちゃんと読まなきゃダメですな(;´д`)
ウィルス情報のスレでも書いたのですが、ご助言の参考になれば。
▼発現する症状
@1時間ごと(18時00分とか19時00分)のタイミングでproxybiketrust.exeが起動する
Aproxybiketrust.exeが起動するとCPUを占有され、使用率が100%キープされる。
Bproxybiketrust.exeはプロセス終了させればCPUが開放され、動作が軽くなる。
Cファイル検索を行ってもproxybiketrust.exe自身が見つからない。
Dノートン先生、Ad-awareでの走査ではウィルスとして検知されない。
▼HijackThisによるLOG
Logfile of HijackThis v1.98.2
Scan saved at 18:00:32, on 2004/10/17
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
▽続く
▽続き
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
c:\docume~1\sino-m\applic~1\stoppo~1\proxybiketrust.exe
C:\Documents and Settings\sino-m\デスクトップ\新しいフォルダ\HijackThis.exe
486も私です。
かなり長レスで申し訳ないです。ご助言よろしくお願いします
>>486-487 いや、待て待て。貼ってあるログだけじゃ全然わからんつーの。
Proxybiketrust.exeってのはググっても出てこないんだけど、
コントロールパネルのアプリケーションの追加と削除に何か見覚えのないものがない?
ノートン先生はちゃんと最新の定義にアップデートしているかい?
SpybotやAd-awareSEは最新の定義にして試してみたかい?
それでも治らなければ、HijackThisの04エントリに、proxybiketrust.exeの含まれている
エントリがないかい?
>c:\docume~1\sino-m\applic~1\stoppo~1\proxybiketrust.exe
問題のproxybiketrust.exeはApplication Data\Stoppo何とか\いかにあるんじゃね?
馬鹿共また釣られてんのか?
O4 - HKLM\..\Run: [internat.exe] internat.exe
Nasty The entered application internat.exe was identified: ControlPanel. Hit rate: 22 % (result) Must be fixed!
O4-HKLM¥- ¥実行:汚い[国際競技会exe]国際競技会exe、入力された適用国際競技会exeが識別されました:ControlPanel。ヒット率:22%(結果)固定するに違いありません!
ほんと、嫌になるわ…
絶対に最初のレスで間違えて2連投する回答者さん
消えちゃったね。
回答した後、自論を語り始める回答者もいたなw
496 :
ぼるじょあ ◆yBEncckFOU :04/10/18 04:55:56
(・3・) エェー よいこの質問待ってるYO♪
お願いします。
>497
>>488とか
>>490とかの書いたことの意味が読み取れてる?
なんだかとっても心配なのでまとめてみると
「
>>486-487だけじゃ情報が足りないからわからない。お願いされてもどうしようもない。
>>144-148のように、複数に分けてログ全部貼れ」
とまあ、こんな感じ。
ただ、この程度のニュアンスが通じないとなると、いくら有効なアドバイスがあっても
484は理解しきれなしんじゃないかと心配ではあるが。
助言ありがとうございました。とうやら解決できたようです。
500 :
ぼるじょあ ◆yBEncckFOU :04/10/18 18:23:49
>>499 (・3・) エェー 肝心な部分を貼り忘れたみたいですNE
∧∧∧∧∧∧ ∧
( (・( ・(・ ( ・3( ・3) よい子の
(つ(つ/つ// 二つ
ハァ─) .| /( ヽノ ノヽっ ─・・・
∪∪とノ(/ ̄ ∪
∧
(( (\_ ∧ ∧ ∧ ∧ 3)っ
⊂`ヽ ( ・3・) _)3・) ) ノノ 質問
ヽ ⊂\ ⊂ ) _つ
スゥ──(/( /∪∪ヽ)ヽ) ノ ──
∪ ̄(/ ̄\)
(\ ∧ ∧ カッ
< `( ・3・) 待ってるYO
\ y⊂ )
/ \
∪ ̄ ̄ ̄\)