RootkitRevealer
1 :名無しさん@お腹いっぱい。:
安置ルートキットソフト
http://www.atmarkit.co.jp/fwin2k/hotfix/hfb20050304/hfb20050304.html
↑レビュー
http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml
DL↑
http://www.atmarkit.co.jp/fwin2k/hotfix/hfb20050304/hfb20050304.html
↑レビュー
http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml
DL↑
|
|
|
2 :名無しさん@お腹いっぱい。:05/03/10 04:38:47
2
3 :名無しさん@お腹いっぱい。:05/03/10 04:39:12
3
4 :名無しさん@お腹いっぱい。:05/03/10 04:40:07
4
5 :名無しさん@お腹いっぱい。:05/03/10 04:40:48
5
6 :名無しさん@お腹いっぱい。:05/03/10 04:41:39
ぁぃ6
7 :名無しさん@お腹いっぱい。:05/03/10 04:42:23
華麗に7
8 :名無しさん@お腹いっぱい。:05/03/10 04:43:37
誰か人柱よろ
9 :名無しさん@お腹いっぱい。:05/03/10 04:49:52
ひといないからアゲ
10 :名無しさん@お腹いっぱい。:05/03/10 05:26:14
通風しますた
11 :名無しさん@お腹いっぱい。:05/03/10 07:49:49
なんか似てる気がする。どっちが元祖なんだろ。 f-secure.com/blacklight
12 :名無しさん@お腹いっぱい。:05/03/10 09:22:33
【ウイルス】F-Secureってどうよ?【対策】
http://pc5.2ch.net/test/read.cgi/sec/1044345732/
http://pc5.2ch.net/test/read.cgi/sec/1044345732/
13 :名無しさん@お腹いっぱい。:05/03/10 11:06:08
逝ってきます^^
14 :名無しさん@お腹いっぱい。:05/03/12 08:50:57
15 :名無しさん@お腹いっぱい。:皇紀2665/04/01(金) 12:34:46
age
16 :名無しさん@お腹いっぱい。:皇紀2665/04/02(土) 01:08:10
このRootkitRevealerについてだが削除機能とか修復機能はなく、検知のみ。
それと検索中に動画等を見ていると誤検出したりするから作業をしてはいけない。っていうか常駐ソフト以外起動していたらだめ。
削除方法についてはレジストリを手動削除するしかない。
一応削除前にバックアップとっておくといい。一応一つでてきたから削除しておいた。
それと検索後、なんとかかんとかnulls(*)ってのがいっぱいでるがそれは全てスルーしていい。
ファイルが存在しないとかいうやつだが日本語のリンク先だとでるらしい。なのでスルーで、削除したらだめよ。
その他以外のを削除するべき。
長文スマソ
それと検索中に動画等を見ていると誤検出したりするから作業をしてはいけない。っていうか常駐ソフト以外起動していたらだめ。
削除方法についてはレジストリを手動削除するしかない。
一応削除前にバックアップとっておくといい。一応一つでてきたから削除しておいた。
それと検索後、なんとかかんとかnulls(*)ってのがいっぱいでるがそれは全てスルーしていい。
ファイルが存在しないとかいうやつだが日本語のリンク先だとでるらしい。なのでスルーで、削除したらだめよ。
その他以外のを削除するべき。
長文スマソ
17 :名無しさん@お腹いっぱい。:2005/07/14(木) 02:25:57
July 12, 2005 v1.55
18 :名無しさん@お腹いっぱい。:2005/11/02(水) 19:52:39
伊藤
19 :名無しさん@お腹いっぱい。:2005/11/02(水) 23:52:21
SONY BMGのコピーコントロールCDに、マルウェアのrootkitに類したソフトが含まれていることが
セキュリティ企業F-Secureのブログで指摘された。
このCDをWindowsマシンに挿入すると、ライセンス同意書が表示され、音楽プレーヤーがインストール
されると書かれているが、実はrootkitがインストールされることになる、とF-Secureは指摘。
直接このrootkitをアンインストールする方法はないとしている。このシステムの実装では、ウイルスなど
の悪質なソフトウェアがこのrootkitを悪用して隠れることが可能だとF-Secureは述べている。このため、
最新のウイルス対抗ソフトを使っても探知できない可能性があるという。
http://www.itmedia.co.jp/news/articles/0511/02/news022.html
セキュリティ企業F-Secureのブログで指摘された。
このCDをWindowsマシンに挿入すると、ライセンス同意書が表示され、音楽プレーヤーがインストール
されると書かれているが、実はrootkitがインストールされることになる、とF-Secureは指摘。
直接このrootkitをアンインストールする方法はないとしている。このシステムの実装では、ウイルスなど
の悪質なソフトウェアがこのrootkitを悪用して隠れることが可能だとF-Secureは述べている。このため、
最新のウイルス対抗ソフトを使っても探知できない可能性があるという。
http://www.itmedia.co.jp/news/articles/0511/02/news022.html
20 :名無しさん@お腹いっぱい。:2005/11/09(水) 12:02:34
HKLM\SYSTEM\ControlSet001\Services\d346prt\Cfg\0Jf40
これがHiddenとでました。
英語サイトでは、なんかたくさんひっかかったのですが、読めません!!
教えてください。なんですかこれ。
これがHiddenとでました。
英語サイトでは、なんかたくさんひっかかったのですが、読めません!!
教えてください。なんですかこれ。
21 :名無しさん@お腹いっぱい。:2005/11/09(水) 12:09:24
CD エミュレーター?
Daemonを案インストールしたら消えたか?
Daemonを案インストールしたら消えたか?
22 :名無しさん@お腹いっぱい。:2005/11/09(水) 12:24:28
ファイル名にSymantecの名がついたプログラムが、
ときどき外部に通信を始めるんだが、
これも要注意なのかな。
ときどき外部に通信を始めるんだが、
これも要注意なのかな。
23 :名無しさん@お腹いっぱい。:2005/11/10(木) 17:23:18
>>22 えーと・・・ ノートン入れた覚えがなければ要注意かな
24 :名無しさん@お腹いっぱい。:2005/11/12(土) 22:59:49
【SONY BMG】 レーベルゲートCD に rootkit 仕込む
http://pc8.2ch.net/test/read.cgi/sec/1130939544/
サイボウズのWebサイト、「rootkitの強い疑い」で一時閉鎖
http://news19.2ch.net/test/read.cgi/news/1131775033/
【IT】「rootkit」騒動渦中のSONY BMG、XCP技術採用CDの製造を中止
http://live14.2ch.net/test/read.cgi/wildplus/1131770752/
【IT】サイボウズのWebサイト停止、原因はrootkitによる攻撃
http://news19.2ch.net/test/read.cgi/newsplus/1131727938/
Sony BMGの米国内向けCCCDにrootkit
http://music5.2ch.net/test/read.cgi/mdis/1131015496/
【rootkitも豆もスルー】BCNの提灯記事【第四稿】
http://hobby8.2ch.net/test/read.cgi/sony/1131456633/
【国際】ソニー BMG、rootkit的DRMめぐり訴えられる
http://news19.2ch.net/test/read.cgi/gamenews/1131605066/
http://pc8.2ch.net/test/read.cgi/sec/1130939544/
サイボウズのWebサイト、「rootkitの強い疑い」で一時閉鎖
http://news19.2ch.net/test/read.cgi/news/1131775033/
【IT】「rootkit」騒動渦中のSONY BMG、XCP技術採用CDの製造を中止
http://live14.2ch.net/test/read.cgi/wildplus/1131770752/
【IT】サイボウズのWebサイト停止、原因はrootkitによる攻撃
http://news19.2ch.net/test/read.cgi/newsplus/1131727938/
Sony BMGの米国内向けCCCDにrootkit
http://music5.2ch.net/test/read.cgi/mdis/1131015496/
【rootkitも豆もスルー】BCNの提灯記事【第四稿】
http://hobby8.2ch.net/test/read.cgi/sony/1131456633/
【国際】ソニー BMG、rootkit的DRMめぐり訴えられる
http://news19.2ch.net/test/read.cgi/gamenews/1131605066/
25 :名無しさん@お腹いっぱい。:2005/11/21(月) 21:00:50
あかん。つかえへん。
PSAPI.DLL ファイルがリンクしているエクスポート
NTDLL.DLL:NtAllocateVirtualMemory は見つかりません。
ってエラーが出る
PSAPI.DLL ファイルがリンクしているエクスポート
NTDLL.DLL:NtAllocateVirtualMemory は見つかりません。
ってエラーが出る
26 :名無しさん@お腹いっぱい。:2005/11/30(水) 13:06:54
27 :名無しさん@お腹いっぱい。:2005/12/02(金) 19:20:00
Winxpx64版なんだけど起動できない・・・
まあ、APIがらみのチェックをテンコ盛りでしているんだろうから64ビット対応じゃないとチェック出来ないのかも
しれん。 orz
まあ、APIがらみのチェックをテンコ盛りでしているんだろうから64ビット対応じゃないとチェック出来ないのかも
しれん。 orz
28 :名無しさん@お腹いっぱい。:2005/12/08(木) 15:00:02
RootkitRevealer v1.6
29 :名無しさん@お腹いっぱい。:2006/02/11(土) 20:12:13
おいお前ら。FCの名作ソフト「いっき」のオンライン対戦するぞ!
↓
http://game.coden.ntt.com/games/ikki.html
King of Wands
http://game.coden.ntt.com/kingofwands/
↓
http://game.coden.ntt.com/games/ikki.html
King of Wands
http://game.coden.ntt.com/kingofwands/
30 :名無しさん@お腹いっぱい。:2006/03/17(金) 19:50:57
RootkitRevealer v1.7
31 :名無しさん@お腹いっぱい。:2006/06/09(金) 00:43:29
30 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2006/03/17(金) 19:50:57
RootkitRevealer v1.7
RootkitRevealer v1.7
32 :名無しさん@お腹いっぱい。:2006/06/15(木) 10:50:43
スレ暇そうなんでオラの結果さらすから誰か解説してちょ
HKLM\S-1-5-21-1957994488-1647877149-725345543-1000\Software\COWON\JetCast\Plugins\TimeCode2006/06/14 12:354 bytesData mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\ewido\config\nmqdcp\ryjimw2006/06/06 19:344 bytesHidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System*2006/06/02 18:250 bytesKey name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf402006/06/14 8:520 bytesHidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf412006/06/14 8:520 bytesHidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf422006/06/14 8:520 bytesHidden from Windows API.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\PdmHist\H38B932EB101C5659.A56AD31201C68FE9.history\00000000.bak2006/06/14 12:352.67 MBHidden from Windows API.
jetAudio, ewido, Kasperskyは何か判定された理由があっても使いたいからまあいいけど
4−6行は347ポート使ってなんか悪さしてたらやだなあ
HKLM\S-1-5-21-1957994488-1647877149-725345543-1000\Software\COWON\JetCast\Plugins\TimeCode2006/06/14 12:354 bytesData mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\ewido\config\nmqdcp\ryjimw2006/06/06 19:344 bytesHidden from Windows API.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System*2006/06/02 18:250 bytesKey name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf402006/06/14 8:520 bytesHidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf412006/06/14 8:520 bytesHidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf422006/06/14 8:520 bytesHidden from Windows API.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\PdmHist\H38B932EB101C5659.A56AD31201C68FE9.history\00000000.bak2006/06/14 12:352.67 MBHidden from Windows API.
jetAudio, ewido, Kasperskyは何か判定された理由があっても使いたいからまあいいけど
4−6行は347ポート使ってなんか悪さしてたらやだなあ
33 :名無しさん@お腹いっぱい。:2006/06/16(金) 20:48:44
DaemonTools ver347入ってない?
34 :名無しさん@お腹いっぱい。:2006/06/17(土) 10:54:08
Rootkitスレ少ないしRootkitRevealer限定でなく総合でよくないか?
って事で他にも良さそうな物を晒してみるテスツ
Rootkit Hook Analyzer
ttp://www.resplendence.com/hookanalyzer/
RKdetector2
ttp://www.rootkitdetector.com/
って事で他にも良さそうな物を晒してみるテスツ
Rootkit Hook Analyzer
ttp://www.resplendence.com/hookanalyzer/
RKdetector2
ttp://www.rootkitdetector.com/
35 :名無しさん@お腹いっぱい。:2006/06/17(土) 11:35:35
・Key name contains embedded nulls
これは、レジストリのキー名にnull(値が0のコード)のが使われていることを示す。
nullは、文字列の終わりの印として使われるので、キー名にnullを含ませるとレジストリのキー名を隠すことができる。
そのため、ユーザやウィルス検査ソフトからキー名を見えなくして、その存在を隠すためにこの手法が使われている。
ただし、日本語のキー名を使っている場合は日本語コードにnullが含まれるため、
この「Key name contains embedded nulls」がたくさん報告されることがある。
したがって報告されたレジストリが確かに日本語を使っているのであれば、これは無視して差し支えない。
・Data mismatch between Windows API and raw hive data.
これは、スキャン中に、レジストリの値が変化したときに出る。
今回Microsoftの暗号化関連のレジストリで暗号化のシード値として報告されたが、無視しても問題ない。
・Hidden from Windows API.
Windows APIからは見えないファイルがあることを表す。
ルートキットによって隠されたファイルがあるときは、この報告が出る。
そのため、どんなファイルが隠されているのか、チェックする必要がある。
・Visible in Windows API, but not in MFT or directory index.
これは、スキャン中にファイルが変わったときに出る。スキャン中に変わる可能性があるものであれば、問題ない。
その他の検査結果メッセージは、RootkitRevealerのヘルプに説明がある(英文)のでそれを参照。
これは、レジストリのキー名にnull(値が0のコード)のが使われていることを示す。
nullは、文字列の終わりの印として使われるので、キー名にnullを含ませるとレジストリのキー名を隠すことができる。
そのため、ユーザやウィルス検査ソフトからキー名を見えなくして、その存在を隠すためにこの手法が使われている。
ただし、日本語のキー名を使っている場合は日本語コードにnullが含まれるため、
この「Key name contains embedded nulls」がたくさん報告されることがある。
したがって報告されたレジストリが確かに日本語を使っているのであれば、これは無視して差し支えない。
・Data mismatch between Windows API and raw hive data.
これは、スキャン中に、レジストリの値が変化したときに出る。
今回Microsoftの暗号化関連のレジストリで暗号化のシード値として報告されたが、無視しても問題ない。
・Hidden from Windows API.
Windows APIからは見えないファイルがあることを表す。
ルートキットによって隠されたファイルがあるときは、この報告が出る。
そのため、どんなファイルが隠されているのか、チェックする必要がある。
・Visible in Windows API, but not in MFT or directory index.
これは、スキャン中にファイルが変わったときに出る。スキャン中に変わる可能性があるものであれば、問題ない。
その他の検査結果メッセージは、RootkitRevealerのヘルプに説明がある(英文)のでそれを参照。
ルートキットに侵入されたレジストリ、ファイルなどの削除はたいへん手間がかかる。
ゴミ箱にポイというわけにはいかない。何しろファイルは見えないのだから。
一般的、原則的に言って、ルートキットに侵入されたと判断すれば、
ハードディスクの全フォーマットから始めて、OSをクリーンインストールするのが望ましい。
(インストール中にLANケーブルを接続していたりすると、またやられる)
最後に、RootkitRevealerでOKだったからといって、システムが100%安全であるわけではない。
RootkitRevealerは、ルートキットに侵入されたシステムを発見する限定的なツールの一つに過ぎない。
ルートキットは、OSの深部に潜り込み、OSの動作を変えてしまう。
ルートキットの発見は、原理的に、犯人が監督指揮して犯人探しをするようなものである。
それで本当に犯人が発見できるの?という哲学的な問題にぶち当たる。
ゴミ箱にポイというわけにはいかない。何しろファイルは見えないのだから。
一般的、原則的に言って、ルートキットに侵入されたと判断すれば、
ハードディスクの全フォーマットから始めて、OSをクリーンインストールするのが望ましい。
(インストール中にLANケーブルを接続していたりすると、またやられる)
最後に、RootkitRevealerでOKだったからといって、システムが100%安全であるわけではない。
RootkitRevealerは、ルートキットに侵入されたシステムを発見する限定的なツールの一つに過ぎない。
ルートキットは、OSの深部に潜り込み、OSの動作を変えてしまう。
ルートキットの発見は、原理的に、犯人が監督指揮して犯人探しをするようなものである。
それで本当に犯人が発見できるの?という哲学的な問題にぶち当たる。
38 :名無しさん@お腹いっぱい。:2006/06/18(日) 13:34:33
>>34
両方試したんで感想
・HookAnalyzer
RkRで未検出だったPFWのフィルタドライバを検出、
アクティブなモジュールをリスト化してくれるのは便利
。RKDetector
パスやレジストリを指定したりファイルの詳細を調べられる
但し、Betaな為か時々エラーを吐いたりと若干不安定なので
一応リカバリはあるけど上級者向け
両方試したんで感想
・HookAnalyzer
RkRで未検出だったPFWのフィルタドライバを検出、
アクティブなモジュールをリスト化してくれるのは便利
。RKDetector
パスやレジストリを指定したりファイルの詳細を調べられる
但し、Betaな為か時々エラーを吐いたりと若干不安定なので
一応リカバリはあるけど上級者向け
39 :名無しさん@お腹いっぱい。:2006/06/30(金) 07:37:54
HookAnalyzerは軽いな
40 :名無しさん@お腹いっぱい。:2006/07/08(土) 03:13:46
41 :名無しさん@お腹いっぱい。:2006/07/19(水) 14:25:17
rootkit問題指摘の研究者がMS入り―Winternals Software買収で
http://www.itmedia.co.jp/news/articles/0607/19/news013.html
う〜む http://www.sysinternals.com/ にアクセスできなくなっている
http://www.itmedia.co.jp/news/articles/0607/19/news013.html
う〜む http://www.sysinternals.com/ にアクセスできなくなっている
42 :名無しさん@お腹いっぱい。:2006/07/19(水) 19:01:52
落ちてはいないと思うよ
43 :名無しさん@お腹いっぱい。:2006/08/24(木) 19:22:59
Sophos Anti-Rootkit
ttp://www.sophos.com/products/free-tools/sophos-anti-rootkit.html
MD5 Checksum: e2862633e5a04336ce35b52413f55182
ttp://www.sophos.co.jp/products/free-tools/sophos-anti-rootkit.html
MD5 チェックサム: 81f789e7293217e38dce0b9eb0acf470
どちらも中身は同じもので日本の方に書いてあるMD5があってるようです。
ttp://www.sophos.com/products/free-tools/sophos-anti-rootkit.html
MD5 Checksum: e2862633e5a04336ce35b52413f55182
ttp://www.sophos.co.jp/products/free-tools/sophos-anti-rootkit.html
MD5 チェックサム: 81f789e7293217e38dce0b9eb0acf470
どちらも中身は同じもので日本の方に書いてあるMD5があってるようです。
44 :名無しさん@お腹いっぱい。:2006/08/25(金) 12:53:19
良スレage
45 :名無しさん@お腹いっぱい。:2006/08/27(日) 02:32:25
AVGもAVG Beta Reporting SystemでAVG_AntiRootkit_1.0.0.13.exeありますね。
46 :名無しさん@お腹いっぱい。:2006/11/23(木) 17:18:11
・HKLM\SECURITY\Policy\Secrets\SAC*2002/12/04 14:540 bytesKey name contains embedded nulls (*)
・HKLM\SECURITY\Policy\Secrets\SAI*2002/12/04 14:540 bytesKey name contains embedded nulls (*)
・C:\WINDOWS\Prefetch\SSMYPICS.SCR-01C62024.pf2006/11/23 16:4462.58 KBHidden from Windows API.
初めてScanしてみました。
3項目のファイルはプリフェッチフォルダのマイピクチャースライドショーのようなので、
問題ないでしょうか?詳しい方教えてください。
・HKLM\SECURITY\Policy\Secrets\SAI*2002/12/04 14:540 bytesKey name contains embedded nulls (*)
・C:\WINDOWS\Prefetch\SSMYPICS.SCR-01C62024.pf2006/11/23 16:4462.58 KBHidden from Windows API.
初めてScanしてみました。
3項目のファイルはプリフェッチフォルダのマイピクチャースライドショーのようなので、
問題ないでしょうか?詳しい方教えてください。
47 :名無しさん@お腹いっぱい。:2007/02/16(金) 23:40:58
あげ
48 :名無しさん@お腹いっぱい。:2007/04/25(水) 23:29:32
RootkitRevealer v1.71
http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx
http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx
49 :名無しさん@お腹いっぱい。:2007/04/26(木) 00:33:12
>>656
「変なURLを踏まない事」AVサンプル収集家の俺には一生掛かっても止められないww
簡単な対策は、アド、スパイ対策&駆除ツールを導入する事
それと、インターネット一時ファイルの保存容量を最小にするか
こまめに削除する
導入しているツール
a-squared Free
Spybot - Search & Destroy
SpywareBlaste ←お守りw
Ad-Aware SE Personal
Windows Defender ←役に立っているのか解らない スペックが低いと邪魔になる
Rootkit ←今後の為に知っておくと良いかも
「変なURLを踏まない事」AVサンプル収集家の俺には一生掛かっても止められないww
簡単な対策は、アド、スパイ対策&駆除ツールを導入する事
それと、インターネット一時ファイルの保存容量を最小にするか
こまめに削除する
導入しているツール
a-squared Free
Spybot - Search & Destroy
SpywareBlaste ←お守りw
Ad-Aware SE Personal
Windows Defender ←役に立っているのか解らない スペックが低いと邪魔になる
Rootkit ←今後の為に知っておくと良いかも
50 :名無しさん@お腹いっぱい。:2007/04/26(木) 00:49:30
誤爆ですね
51 :名無しさん@お腹いっぱい。:2007/04/26(木) 01:00:03
>>50
御免なさいm(_ _)m
御免なさいm(_ _)m
52 :名無しさん@お腹いっぱい。:2007/04/26(木) 16:57:04
いつもATOKのパレット管理ツールが検出されるなあ
53 :名無しさん@お腹いっぱい。:2007/04/26(木) 19:51:12
Rootkitなんか普通の技術やがな・・
54 :名無しさん@お腹いっぱい。:2007/04/27(金) 18:47:33
WindowsAPIすべて理解してればな
55 :名無しさん@お腹いっぱい。:2007/05/03(木) 16:48:09
♪しゃぼん玉飛んだ、屋根まで飛んだ。屋根まで飛んで、壊れて消えた。風、風吹くな、しゃぼん玉消えた♪
今までの解釈:しゃぼん玉を飛ばしたよ。屋根のあたりまで飛んでいったら、壊れて消えちゃった。風よ、やんでおくれ。しゃぼん玉が消えてしまうよ。
新しい解釈:しゃぼん玉を飛ばしたよ。そしたら、なんと、屋根までもが吹っ飛んだよ。風よ、頼むからやんでくれ。俺が何をしたっていうんだ。ちくしょう、明日から屋根無しだ。
今までの解釈:しゃぼん玉を飛ばしたよ。屋根のあたりまで飛んでいったら、壊れて消えちゃった。風よ、やんでおくれ。しゃぼん玉が消えてしまうよ。
新しい解釈:しゃぼん玉を飛ばしたよ。そしたら、なんと、屋根までもが吹っ飛んだよ。風よ、頼むからやんでくれ。俺が何をしたっていうんだ。ちくしょう、明日から屋根無しだ。
56 :名無しさん@お腹いっぱい。:2007/05/22(火) 07:38:48
sophos使ったらbartpe用にコピってたautofmt.exeが検出された(´・ω・`)
57 :名無しさん@お腹いっぱい。:2007/10/29(月) 19:10:13
AVG-AntiRootkitだけど、system32\Driversの下に
ランダム英数字.sysという2個ファイルが消しても消しても出てくる。
ウィルススキャナでは
AntiVir F-secure Kaspersky Norton2008 AVGの5種類のエンジンで完全スキャン(ヒューステリックレベル最高)しても当然反応なし。
アンチスパイでは
a-squared Ad-aware WIndows defender
他ルートキット検出ソフトでは
RKdetector s-なんとか Antivir内臓、F-secure内臓
これで試しても検出されないんだよなぁ。
怪しいパッチファイル開いてトロイに感染したが、それと同時に入ってきたとおもわれ。トロイはすべて駆除済のはず。
Comodo Firewallで通信はがちがちにしているが、危険なプログラムは検知していない。
デュアルブートでVistaも入れているけど、こちらにトロイは入ってきてはいない、がランダム.sysが1つ見つかるという。
ただ、気になることにWindowsの効果音(Media\Notify)がたまに鳴るんだよね。だから何かまだ潜伏しているはずなんだけど…
いったいどうしろと(´・ω・)
ランダム英数字.sysという2個ファイルが消しても消しても出てくる。
ウィルススキャナでは
AntiVir F-secure Kaspersky Norton2008 AVGの5種類のエンジンで完全スキャン(ヒューステリックレベル最高)しても当然反応なし。
アンチスパイでは
a-squared Ad-aware WIndows defender
他ルートキット検出ソフトでは
RKdetector s-なんとか Antivir内臓、F-secure内臓
これで試しても検出されないんだよなぁ。
怪しいパッチファイル開いてトロイに感染したが、それと同時に入ってきたとおもわれ。トロイはすべて駆除済のはず。
Comodo Firewallで通信はがちがちにしているが、危険なプログラムは検知していない。
デュアルブートでVistaも入れているけど、こちらにトロイは入ってきてはいない、がランダム.sysが1つ見つかるという。
ただ、気になることにWindowsの効果音(Media\Notify)がたまに鳴るんだよね。だから何かまだ潜伏しているはずなんだけど…
いったいどうしろと(´・ω・)
58 :名無しさん@お腹いっぱい。:2007/10/30(火) 00:10:16
>>57
アルコール52%を入れている?
だったらそれが検出されているみたいだぞ。
ランダムな名前をメモっておくなりして、アルコール52%のヘルプなりを見るとよろし。
起動のたびに変わる名前が列挙されているから、それに該当するものがあれば
それはアルコール52%が起動時に仮想ドライブを認識させるために仕込んでいる
ドライバだ。
もしかしたら、何かしらのルートキットかもしれないけどね。
アルコール52%を入れている?
だったらそれが検出されているみたいだぞ。
ランダムな名前をメモっておくなりして、アルコール52%のヘルプなりを見るとよろし。
起動のたびに変わる名前が列挙されているから、それに該当するものがあれば
それはアルコール52%が起動時に仮想ドライブを認識させるために仕込んでいる
ドライバだ。
もしかしたら、何かしらのルートキットかもしれないけどね。
59 :名無しさん@お腹いっぱい。:2007/10/30(火) 00:14:43
59です。どうやら2つあるうち、1つはDaemon Tools、もうひとつはAlcohol 52%であることがわかりました。
本当にありがとうございました。
本当にありがとうございました。
61 :名無しさん@お腹いっぱい。:2008/08/17(日) 03:05:10
起動する時にカーネルにコード組み込む。
PFWは大抵カーネルモードでドライバを組み込む。
アンチウィルス対策と相性が悪いのはPFWが原因だから
そうなったら起動時スタートアップとサービスから外すしかないべ。
Daemon Toolsのd347bus.sys
Online ArmorのOADriver.sys
PFWは大抵カーネルモードでドライバを組み込む。
アンチウィルス対策と相性が悪いのはPFWが原因だから
そうなったら起動時スタートアップとサービスから外すしかないべ。
Daemon Toolsのd347bus.sys
Online ArmorのOADriver.sys
62 :名無しさん@お腹いっぱい。:2011/01/06(木) 23:27:08
4 :z:2010/08/28(土) 10:25:02 ID:NtVfNVmU0
452 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:53:49.30 ID:7Cr427LS0
>>440
・プロバイダの新しい有料メールアドレス
・ジャパンネットバンク銀行の使い捨て番号のVISAデビット
ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。
認証できたら、メアドプラスは登録解除してOK。
普通のクレジットカードでは漢字の住所が登録できたが、
ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。
ローマ字の書き方はこれ
ヘボン式ローマ字綴方表
http://www.seikatubunka.metro.tokyo.jp/hebon/
漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、
メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。
453 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:55:00.00 ID:t966sYmN0
ローマ字変換
eip=eip+unescape("%u7030%u4300")
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-
http://www2u.biglobe.ne.jp/~yuichi/rest/kanarome.html
454 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0
●買うなんて荒らしと一緒だぞ
455 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:58:50.21 ID:d455Pgrw0
荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう…
荒らしたもん勝ち
456 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:58:54.30 ID:sPPrGi160
荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか?
それで同一名義のアカウント全部停止するとか、
新たに買おうとしてきても拒否するというのはできないんだろうか?
452 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:53:49.30 ID:7Cr427LS0
>>440
・プロバイダの新しい有料メールアドレス
・ジャパンネットバンク銀行の使い捨て番号のVISAデビット
ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。
認証できたら、メアドプラスは登録解除してOK。
普通のクレジットカードでは漢字の住所が登録できたが、
ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。
ローマ字の書き方はこれ
ヘボン式ローマ字綴方表
http://www.seikatubunka.metro.tokyo.jp/hebon/
漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、
メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。
453 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:55:00.00 ID:t966sYmN0
ローマ字変換
eip=eip+unescape("%u7030%u4300")
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-
http://www2u.biglobe.ne.jp/~yuichi/rest/kanarome.html
454 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0
●買うなんて荒らしと一緒だぞ
455 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:58:50.21 ID:d455Pgrw0
荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう…
荒らしたもん勝ち
456 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:58:54.30 ID:sPPrGi160
荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか?
それで同一名義のアカウント全部停止するとか、
新たに買おうとしてきても拒否するというのはできないんだろうか?
63 : 忍法帖【Lv=40,xxxPT】(7+0:8) 【30.2m】 電脳プリオン ◆3YKmpu7JR7Ic :2013/01/06(日) 18:52:49.84 BE:243245164-PLT(12079)
何それ?
64 :名無しさん@お腹いっぱい。:
知らん