ぬぅぉぉぉおおおお!!!atiupdplとa349801

なんだコイツら

知るか!

教えてくれ、何しても消えないこの糞ファイル！

バカはこちらへどうぞ
http://etc3.2ch.net/qa/

そこでは解決しない

jgjfgux

俺のとこにもあった('A`)

頼む教えてｸﾚｰ

誘導　http://tmp5.2ch.net/test/read.cgi/download/1116245251/

どこで知り合ったんだ？

これは山田とは関係無いっぽ

答えられるかどうかは分りませんが・・
http://www.geocities.jp/kiyoandkei/trouble1.htm
を読んで、
http://bbs4.fc2.com/cgi-bin/e.cgi/61318/
で質問してください。

h抜くの忘れました・・済みません。

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;ﾐ.ﾂﾉ i i l'｀｀ﾞﾞ ｀"''⌒｀ヽヾﾐ=ﾂ,ヽ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;'シ// /,! |　　　　 ,.,　　　! !ヾ;_'ノ)||;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;l'//ﾂﾉﾉ,ﾉl l　　　　｛,!ゝ、　! l i ヽ_ヽ|;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;//彡'////..,,,,,_　　 ヽ, ''ヽ, ヾ;ヾ､;;_ヽ|;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;//｀ﾒ///"-=tｯﾐ｀ 　;;;;':, ,.ヾ_"｀i.'､ヾ||;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;///!｀//　 ｀￣　　　;;;;;;':,　 ヽ､ﾉ　/.|||;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;:;;:;;:;;:;;:;;:;;:;;:;;:''| |,//　　　　 　　｛´｀'ヾ　　　 ヽ;'||||;;:;;:;;:;;:;;:;;:;;:;;:;;:;;:;;:
;:;:;:;:;:;:;:;:;:;:;:;:;:;:||| |//　　　 　 ヽ､,> ､　 ヾ　　　 l|||:;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:
;::;::;::;::;::;::;::;::;::| ||||/:':,　 　 .,,＿_'､　　　　　　　 !||::;::;::;::;::;::;::;::;::;::;::;:
:::::::::::::::::::::::::::://|::::::::':,　 　 '─く "　　　　　　 |ヽ::::::::::::::::::::::::::::::::::
::::::::::::::::::::::::::::|||:::::::::::l ' , 　　　 ｀ヽ　　　　　　 !ヽ:::::::::::::::::::::::::::::::::
教えてくれ　完全削除の仕方を…

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;ﾐ.ﾂﾉ i i l'｀｀ﾞﾞ ｀"''⌒｀ヽヾﾐ=ﾂ,ヽ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;'シ// /,! |　　　　 ,.,　　　! !ヾ;_'ノ)||;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;l'//ﾂﾉﾉ,ﾉl l　　　　｛,!ゝ、　! l i ヽ_ヽ|;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;//彡'////..,,,,,_　　 ヽ, ''ヽ, ヾ;ヾ､;;_ヽ|;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;//｀ﾒ///"-=tｯﾐ｀ 　;;;;':, ,.ヾ_"｀i.'､ヾ||;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;;;;;///!｀//　 ｀￣　　　;;;;;;':,　 ヽ､ﾉ　/.|||;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;:;;:;;:;;:;;:;;:;;:;;:;;:''| |,//　　　　 　　｛´｀'ヾ　　　 ヽ;'||||;;:;;:;;:;;:;;:;;:;;:;;:;;:;;:;;:
;:;:;:;:;:;:;:;:;:;:;:;:;:;:||| |//　　　 　 ヽ､,> ､　 ヾ　　　 l|||:;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:
;::;::;::;::;::;::;::;::;::| ||||/:':,　 　 .,,＿_'､　　　　　　　 !||::;::;::;::;::;::;::;::;::;::;::;:
:::::::::::::::::::::::::::://|::::::::':,　 　 '─く "　　　　　　 |ヽ::::::::::::::::::::::::::::::::::
::::::::::::::::::::::::::::|||:::::::::::l ' , 　　　 ｀ヽ　　　　　　 !ヽ:::::::::::::::::::::::::::::::::
これはウィルスではない、スパイウェアだと思われる　それもかなり悪質な！

http://ae.trendmicro-europe.com/consumer/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=2&VName=TROJ_SMALL.AOS

TROJ_SMALL.AOSを消しただけでは根絶は無理っぽ
a349801.exeがTROJ_SMALL.AOSをダウンしてきて
ついでにインターネットオプションのセキュリティ関連の値を変更してるね
この二つを消した後、インターネットオプションを設定しなおして
あとはAgent系のウィルスに掛かってないかチェック汁

そもそもatiupdplってなんだ・・・

【総合】スパイウェア予防駆除 Part7
http://pc8.2ch.net/test/read.cgi/sec/1111917202/459-490

駆除できないけど

>>19
駆除できねええええええええ
消しても何時の間にか涌いて来る(;つД｀)

結局a349801を入り込まないようにすりゃ良いんだろうけど
ノー�d先生もバスターも掛からないんだよね･･･
一度ノー�dでa349801が「Downloader.Trajan」って引っかかって
これで救われたと思ったんだけど、それ以降また掛からなくなった･･･orz
ただ最近NOD32を入れたら「http://66.98.144.29/avir.cn.bin」ってのが
入り込んでるのが分かった。これと同時に一応ルートにa349801が
出来るには出来るけどatiupdplは出来なくなったよ

あ･･･俺も↑h抜くの忘れたm(_ _)m

今のところ、一度発生してしまったら駆除できないという
結論なんでしょうか？

うわかああああ；；ぁｓ；ｌだああぁぁああああｆｄｓｆｄｆっさ

atiupdplが悪さをするんだよな
いちいちノー�dに引っかかってﾏﾝﾄﾞｸｾ('A`)

もうどうしようもないので、a349801.exeとatiupdpl.exeを削除して、
notepad.exeをa349801.exeとatiupdpl.exeにリネームしてリードオンリーにして
そのぞれのファイルが出来るフォルダに前もっておいているよ。
お陰で本当のa349801とatiupdplは起動しないで、数時間おきに
abyr.txtがありません、作りますか？というよなメッセージ出るよ。（どういうメッセージか確認しわすれ）
「はい」をクリックすると適当などっかのフォルダ内にabry.txtが作られるけど容量は0byte。
どのフォルダ内に作られるかはランダムみたいで、ノートパッドは起動もしないよ。
とりあえずこれでa349801とatiupdplに悪さはされなくなったよ。
ちなみにa349801が動作しなくなったせいかatiupdplは起動もしないね。
タスクマネージャー見る限りはa349801の起動後はアプリじゃなくプロセスの方だけに見えるよ。
システムスタートアップにatiupdplは組み込まれなくなったよ。

とりあえず応急処置としては起動しても問題ないプログラムをa349801とatiupdplの出来るフォルダに
ダミーとしてそれぞれの名前に変えて属性をリードオンリーにしておいておけばいいと思うよ。

>>27
THX。やってみた
経過が変だったら報告する

あまり情報がなく検索したらスレがあったのでびっくり
これって害はあるんですか？

>>29
なんかトロイの一種で「何か」をメール形式で送信しまくるらしい

>>29-30
「TROJ_SMALL.AOS」ってトロイだってさ、新種だわね。
ttp://an.trendmicro-latinamerica.com/enterprise/vinfo/encyclopedia.php?LYstr=VMAINDATA&VName=TROJ_SMALL.AOS
トレンドマイクロは対応したみたい。
ウチはノートンだからまだだめぽ、シマンテックはホント対応遅い。

a349801しね

これが山田ウイルス

俺もやられた。
これって本当にメール送信しまくってるのか？
くそー早く駆除してぇ

メール送信しまくってる様子はないけど

Win98se環境で以下の方法で離脱できました。

１．モデム電源を切る。

２．レジストリエディタ→検索で「a34」で検索。見つかれば削除の繰り返し。

３．レジストリエディタ→検索で「atiup」で検索。見つかれば削除の繰り返し。

４．ファイル検索で「a34」で検索。「a349801.exe」が見つかれば削除の繰り返し。

５．ファイル検索で「atiupdpl.exe」を検索。
　　これはwindows起動時には消せないのでDOSで再起動させて消去することになる。
　　このため、ファイルの場所をメモしておく。

６．DOSで再起動させて、メモを参考にディレクトリ移動し「atiupdpl.exe」を削除する。

７．モデム電源を入れ、をwindowsを再起動させる。

８．ファイル検索で「atiupdpl.exe」、「a349801.exe」が存在しないことを確認し終了。

>>36
時間と共に作成される罠

>>37
36の方法で削除後3時間経過していますが
まだ作成はされていません。
大体どれくらいで新規作成されるのでしょうか？

>>38
気付いたら作成されてました(;つД｀)

>>38
午前午後の2時と9時台にできるなぁ
その前に必ずttp://66.98.144.29/avir.cn.binにアクセスしてる
あぁ>22と同じだな。諸悪の根源は↑か？

シマンテックはいつ対応すんだ・・・
もうOS入れなおすかなぁ・・

>>40
初心者な質問ですみません。
アクセスしてるのを確認するのはどうすればいいんですか？

>>42
etherealでパケットキャプチャ

おれのPC98seなんだがwindows起動したらatiupdplがkarnel32にページ違反したらしくて
自滅するぞｗんでそのまま応答停止状態ｗ
だから被害はでてないかな？？

板違い。
☆　　山田ウィルス対策スレッド　　☆
http://tmp5.2ch.net/test/read.cgi/download/1115621317/
ﾀﾞｳｿ板http://tmp5.2ch.net/download/へ(・∀・)ｶｴﾚ!

山田じゃないですから

あ、今タスクマネージャにa349801.exeが現れた。
>27をやった後だったせいか、
atiupdpl.exeは作られず、レジストリにも何も書き込まれていなかったので、
a349801.exeのプロセスの終了をしておしまい。
なんだかなぁ・・・

パソコン初心者＠2ch掲示板http://pc8.2ch.net/pcqa/
エロサイト見たら…助けて下さい！Part54
http://pc8.2ch.net/test/read.cgi/pcqa/1115237587/

あげ

何やったらこんな目に遭うの？

これはトロイなのか？
いまのところいきなり起動するだけで
悪さはしてない感じなのだが

何回も立ちあがるのがうざい

俺はエロサイトに行ってないのに感染しちまったorz

自分もエロサイトなんぞ行ってないんだけどねぇ・・・

パンダちゃんでスキャンしたら、３匹駆除してくれますた
ttp://www.pandasoftware.com/activescan/jp/activescan_principal.htm

今のところ、大丈夫な様子・・・

だめだった・・・orz

ていうかspybodもblasterも対応してないのか…
a349801.exeはローカルディスク(C:)に出来るんだけど
atiupdpl.exeが見つからない…
参考までに皆何処に出来てるか聞いていい？

なんだか手探り状態だな。みんなどこで拾ったんだ？

>>55
C:\WINNT\system32

system32がデフォでないの?
というか、検索掛ければすぐに見つかるだろうに

おれ＞＞２７の方法試した。んで、いちいちうざいからレジでatiupdplの
値を全部葬った。結果は快調！！感染前ほぼ同じに使える。

ただあらわれるだけで
被害ないよ

>>59
そうそうレジストリから削除というの書き忘れてた。

>>60
被害ありだよ。
何回もある場所へのアクセスを試み、PCの動作が、遅くなったり、不安定化する。
あと、何か感染したPCの情報を送信しているかもしれん。
不愉快極まりない。

>>27
俺も27の方法で、今のところ問題無くなった。感謝。
簡単な方法だが以外に効果的だ。
これで当面は、atiupを作った奴が、この対処法の対策をとるか、
新作を作らん限り、安泰だ。

当面は27の方法で大丈夫そうだが、
定期的(10:00くらいと13:30くらい)にa349801.exeがタスクに現れるのが気にくわんな

>>61
レジストリからの削除方法も教えて頂けないでしょうか？

シマンテックもパッチきてるね

>>64
regeditを起動させる。（ファイル名を指定して実行にregeditっていれるか、WINDOWSフォルダから探す。
んで、atiupdplとa349801の値を検索->でてきたキーを全消し。
これで　おｋ(´∀`)bそ

今回は教えたが、次からはググってから質問しろ。すぐ見つかる。
遅れたが＞＞２７ＴＨＸ！！

エクスプローラーで　avir.cn[1].bin　を検索して削除。
その後atiupdplとa349801を削除して、レジとスタートアップを掃除して終わり。
で、オレはもう出ないヨ。

スタートアップの掃除ってどうやるんでしょうか？

atiupdplっていつ出てくる？
スタートアップ時から出てくるんだけど
出ないように設定してもまた出てくる…

atiupdplってどう読んでる？
俺は「アティプドゥープル」って読んでる
どうだ かっこいいだろう

>>27の方法+それぞれのレジ消去　で解決したよ
>>27ありがとう。

>>65
ウイルスの呼称は何て出されてる？
それらしいの見当たらないんだけど

>27の方法で駆除+レジ、それとavir.cn.binの発信元
66.98.144.29を「TCP Monitor Plus」のパケットフィルターで
TCP全ポート封鎖したら不正アクセスすら無くなったよ
今までルータで面倒なフィルタやってたから、目からウロコだった
>27感謝です。

トレンドマイクロでチェックしたら、
c:\winnt\system32\ctlopk.dll
TROJ_AGENT.J
こんなんが出てきた。
これを駆除（プログラマさんに駆除してもらったので方法は知らんが）。

現在様子見。

a349801.exe（中身はnotepad.exeに変更済み>>27>>66参照）が定期的に起動して実害は
無いけどジャマなので、a349801のプロパティからセキュリティのタブを開くと、
名前の所にEveryoneとあるはず。
下に「継承可能なアクセス許可を親からこのオブジェクトに継承出来るようにする(H)」
のチェックを外すとウィンドウが出てきて、「コピー」「削除」「キャンセル」の３つの
ボタンが出るので削除をクリックすると、Everyoneが消えるはずです。
Everyoneが消えなかったらEveryoneをクリックしてから右の「削除」ボタンをクリックすると
消せます。
それから下の「ＯＫ」ボタンをクリックすると、「a349801へのすべてのアクセスが禁止
されました、誰もa349801にアクセスできなくなり、所有者だけがアクセス許可を変更出来ます。
続行しますか？」
と出るので、「はい(Y)」をクリックするとa349801は起動も出来なくなります。
とりあえずこれで昨日から一晩付けっぱなしだけど、いつもならとっくに起動しているけど
今の時点では起動しなくなったよ。
まぁ、誰もアクセスが出来なくなっているから起動する訳無いんだけどね。ｗ
ちなみにWindows2000です。

>>74
ちょっと訂正。
プロパティ→セキュリティタブで下の方に

アクセス許可　　　許可　　拒否
フルコントロール　　□　　　□←ここにチェック
変更　　　　　　　　　□　　　□
読み取りと実行 　　□　　　□
読み取り　　　　　 　□　　　□
書き込み　　　　　　 □　　　□

フルコントロールの拒否にチェックを入れるとすべての拒否にチェックが付くので
これだけでもこのファイルにアクセス出来なくなるので、この方法の方が楽です。

下にある「継承可能な〜〜〜」のチェックは外して下さい。

a349801って変更したnotepad.exeですか？

>>76
そうです。
まぁ、>>75の方法なら結局アクセス出来なくなるので
どちらでもかまわないと思います。
ただ、精神衛生上本当のa439801はおいておきたくないので、
ダミーとしてnotepadをa349801にリネームしておいた方がいいと思います。

>>74
xpじゃその項目が無かとです(ﾉ∀`)

ウィルスバスターの体験版をダウンロード＆インストールして、
ウィルススキャンする事をお勧めします。
ttp://www.trendmicro.com/jp/products/desktop/vb/evaluate/trial-dl.htm
ちなみに、オンラインスキャンでは検出できませんでした。

ウイルスバスターひっかからないよ
２〜３日前に体験版やったけど。
重くなるからすぐアンインストールした…

>>74
window2000ですがファイルのプロパティにそのような項目が無いです・・・・。

ノートンが期限切れして新しいのを購入する合間にやられました。

二日前に家族が海外サイトの動画サイトを見て
スパイウェアから感染したみたいなんですが
ＩＥ開いてないのにいきなりポップアップが出てきたりするぐらいで
あまり支障ないので来週ま購入するまで大丈夫だろうと思っていたら
海外のサイトで勝手にダウンロードしようみたいに出てきて
終いにはﾌﾞﾗｸﾗみたいになったり・・・

もー駄目だーと思って悩んで試しにセーフモードで起動後、
１週間戻ってシステムの復元を試みたら
なんか急に軽くなって、おかしな所はなくなって
スパイウェアも出なくなったし
これって元に戻ったって事でしょうか････？
まだ心配ですがとりあえず来週までもってくれとか思いますよ・・・・

ちなみにＭＥです。

ここにいる奴等が皆２７の方法に頼って
とりあえず応急処置してるんだから
そんな質問されても、返しようがないだろ

ここ気になって見てるんだが誰か早く感染源とかまとめろよ

漏れの経験だと、
デスクトップを表示しているときに突然ノートンが警告をだしたな。
だから、ＭＡＩＬ添付ソフトや有害サイトのスクリプトでは無いようだ。
考えられるのは、
１．空いているポートから入ってくる。
２．atiupdplでもa349801でもない、何かのウイルスに感染しているプログラムが呼び込んでいる。
この、どちらかなんだろうけど。

>>78
XPいじったことないので分かりません。
でも、探せばありそうだけどなぁ。

>>81
プロパティには何が表示されていますか？

>>84
すまん、残念ながら俺にはそれを特定するだけのスキルはない。

>>85
> １．空いているポートから入ってくる。 
> ２．atiupdplでもa349801でもない、何かのウイルスに感染しているプログラムが呼び込んでいる。 
> この、どちらかなんだろうけど。 
とりあえず今日の夜から一晩a349801を一旦削除して、ネットワークから切り離して
（LANケーブル抜いて）一晩様子見てみます。
これで明日a349801が起動していたら内部にa349801を作成（and起動））するプログラムが
入り込んでいると言うことですね。
a34901が無いままだったら外部から進入ということではないでしょうか？

ttp://higaitaisaku.com/cgi-bin/cbbs.cgi?mode=one&namber=66198&type=66183&space=15&no=0

> これで明日a349801が起動していたら内部にa349801を作成（and起動））するプログラムが
> 入り込んでいると言うことですね。

いや、内部のプログラムが外部のサイトに接続してい引き込んでいるという可能性もある。
漏れのときの警告でも、avir.cn関係の警告があったから。

>>27
「全般」と「バージョン情報」っていうタブしか無いです。
セキュリティータブが無いんですよねぇ・・・

a349801のプロパティというのは
エクスプローラかファイルを右クリックして出すプロパティーの事でいいんですよね？

>>88
指摘通りだと思うよ
空きポートからavir.cn.binが侵入してa349801作成されてる
こいつが起動してatiupdplを呼び込んでるから
>72が書いてるけど66.98.144.29からの不正アクセスは毎回ポート番号違うから
↑のIPを全ポート封鎖で解消されると思う
ちなみにウチはこれやって一週間立つけど入り込んでないよ

>>87のリンク見るとloading.exe spykiller.exe cfoppk.dllなんてファイル名もでてるけど感染した人にもこれらあったの？
話題に出てないからふと疑問に思った

>83 スミマセン、何せ２７の方法が応急処置って事すらわからない
初心者なので･･･つまりわからないので２７は試みずに復元しただけです。

とりあえずどうやら運良く消えて治ったようです。
アレからいきなりポップアップが出ることも
起動した時にatiupdplがなんたらかんたらと警告が出ることもなくなりました！
変な症状になってからやたらとどんな動作も重くなって固まったりしていたのに
前の状態のように戻りました。
一応、とても心配なのでノートンの新しいのを買って
ここもチェックして早く謎が解明されることを祈りたいです！

ルーターで66.98.144.29からのパケットを全て無視する設定にしたら
何も起動されなくなりました。

LANケーブル外しておいたらa349801は現れなっかたので、
外部から入ってきているようですね。

>>90>>93
今ルーター見たけど、パケットフィルタ？とかそういう設定無かった。orz

>>94
「TCP Monitor Plus」ってググってみ
一応ここが作者ページ。DL出来る
ttp://hp.vector.co.jp/authors/VA032928/index.html
詳しい使用法も載ってる。

うちではa349801は出現しません。特定のプロバイダー(IPアドレス)経由で侵入してくるのでしょうか？

これはがいしゅつ？
http://pasokoma.jp/bbs8/lg259486.html

ノートンが無い場合はewidoでもいけるかもよ

---------------------------------------------------------
ewido security suite - スキャンリポート
---------------------------------------------------------

+ 作成場所:1:27:08, 2005/06/01
+ レポートチェックサム:1510143E
+ データベースの日時:2005/05/30
+ スキャンエンジンのバージョン:v3.0
+ 期間:7 s
+ スキャンしたファイル:2
+ スピード:0.25 ファイル/秒
+ 感染ファイル:1
+ 削除したファイル:0
+ 保管庫のファイル:0
+ 開くことのできないファイル:0
+ 削除できないファイル:0
+ 隠れプログラムYes
+ 暗号:Yes
+ 書庫:Yes
+ スキャンしたアイテム:
E:\virus\TrojanProxy.Small.bo
+ スキャン結果:
E:\virus\TrojanProxy.Small.bo\avir.cn.bin.org -> TrojanProxy.Small.bo -> 無視


::リポート終了

ＳｙｍａｎｔｅｃＡｎｔｉＶｉｒｕｓ　(5/13〜24)

検疫　\IEキャッシュ\avir.cn[1].bin ウィルス名　Download.Trojan
検疫　C:\a349801.exe　ウィルス名　Download.Trojan
放置　%system%\atiupdpl.exe　ウィルス名　Download.Trojan

ＳｙｍａｎｔｅｃＡｎｔｉＶｉｒｕｓ　(5/25〜)

検疫　C:\a349801.exe　ウィルス名　Trojan.Horse
放置　%system%\atiupdpl.exe　ウィルス名　Trojan.Horse


仕事で見つけた
定義ファイルの日付でウィルス名が変わってた。
ただ、どちらも汎用名なのでなんともいえん。
あと、なぜかavir.cn[1].bin は25日以降発見されてない。
全部で6個発見

症状としては
・スタートページが書き換えられている
・デフォルトの検索エンジンが変更されている
・お気に入りに何かが追加されている

→変更してもIE再起動で元に戻る

・広告のウィンドウががんがん開く

avir.cn.binがBootVisに弾かれたんで、a349801もatiupdplも
出現しないという中途半端な状態になったんだけど、直後の
HijackThisのログにはIEの設定変更がしっかり記憶されて
いたよ。（O18 - 追加・ハイジャックされたプロトコル）

っつーことはもうダミーは消して復活した所をノーートン先生に
たおしてもらっていいのか？

自分はWin９８使っていて、このatiupdplに感染（？）したのだが、結構変なところに引き込み役かもしれない
ウイルスなどがいた。
（まあ、古いPCだったので重くてウイルス対策ソフト等を入れていなかった（突っ込み不可(^_^;)）

で、blank：search for型のスパイウェアに感染してその対応策としてオンラインのウイルススキャンを
かけてみた。
ゴミ箱フォルダ（Recycledフォルダ）に見えないようにしてトロイの木馬がいたり、
スパイウェア（CoolWebSearchの関連）がいたり・・・。

あとは、起動の際に使われるパスワードファイル（拡張子pwlのやつね）にも感染が
見つかった。こりゃぁ、なかなかいろいろと感染が防げないのも納得だ。

ちなみに、いろいろと感染中はIEを閉じてもタスク上は完全に閉じていなかったりと、
不穏な動作がいろいろとあったりしました。

avir.cn.binを極窓ったらavir.cn.exeだったので、セキュリティソフトを削除し
IEもデフォルトに戻して全てを受け入れてやった。atiupdplはできたけど
a349801ができん、何故だ？ルーターがブロックしてるのか？

またまた中途半端な状態だったけど、atiupdplだけだったらHijackThisだけ
で削除できるよ。「system scan」の

O4 - HKLM\..\Run: [atiupdpl] C:\WINDOWS\system32\atiupdpl.exe
O4 - HKLM\..\RunServices: [atiupdpl] C:\WINDOWS\system32\atiupdpl.exe
O4 - HKCU\..\Run: [atiupdpl] C:\WINDOWS\system32\atiupdpl.exe

の部分をFIXして、あとはatiupdpl本体とレジストリのごみを削除して再起動でok。
まあa349801との辛味でどうなるかは分からんけど、同時にやれば多分いけるん
ではないかと。

あとレジストリの項目を調べながら消していったんだけど、atiupdplはxpのファイアー
ウォールの例外に自分を登録するんだね。

結局、感染源は何だったんだ？（´・ω・`）
よーわからん。

未だに、感染源はわからない。
突然、ノートンがavir.cn[1].binの警告を出すんだけど。
そのときに表示されたフォルダを調べてもavir.cn[1].binは見つからない。
もっとも、これはノートンがブロックしているのかも知れない。

で、そのときにavr.txtを作りますか？というメッセージが出る。
これは多分、notepadにすり替えてあるa349801.exeが呼ばれたからなのだと思うんだが。
ただ、どのウイルスプログラムがa349801.exeを読んだのかが分からない。

俺もさっぱりだわ

レジストリの掃除で下記のキーも削除した方がいいみたいです。
既出だったらスマソ。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
値：ATI_VER = “dword:42abdbe8”

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_SMALL.APH

>>106
おー、あったあった。って、喜んでど〜する！
さんきゅ。

coolwebsearchに感染してからこれが出てきたような。

シマンテックのオンラインウイルススキャンしたときに
ゴミ箱フォルダの中に“見えない姿”でCoolWebSearchのスパイウェアが見つかった。
ttp://www.symantec.com/region/jp/avcenter/venc/data/adware.coolwebsearch.html
なぜゴミ箱フォルダ内に存在していたかは不明。

一応収束したのかな？

シマンテックやトレンドマイクロなどのウイルス対策ソフトで対応されているようですからね。
収束しつつあるような気がします

27の方法やったんだけど１週間ぐらいしてからまたatiupdplとa349801が新しく出来てた。
notepad.exe自体が消えててダミーも作れ無いですorz　
後atiupdplが出るようになってから２０分置きぐらいに「warning」って言うポップアップウィンドウが出るんだけど
これって出てこないようにする方法って無いでしょうか？そのポップアップウィンドウに書いてる内容は英語で
「あなたのPCにスパイウェアがいます。今すぐ駆除するにはOKを押してく下さい」みたいな内容のが出てきます。
どうすればいいでしょうか？

>>112
ウイルスバスターやなんかのウイルス対策ソフトは入っている？

もちろんポップアップウインドウのOKは押すのは危険！

すまん上げちまった

対策ソフトは今は入れてないです。

まずは体験版でかまわないので対策ソフト入れてみて。ある程度は駆除できる可能性大

アダルトサイト被害対策の部屋というHP
ttp://www.higaitaisaku.com/index.html
なども参考にしてみて。

使っているのがXPなら、システムの復元（だっけ？）で感染前まで巻き戻して正常化するのもありでは？

毎日、ノートンが警告を出します。
ａｖｉｒ．ｃｎ［１］.binを探しても見つからない。
ノートンもブロックするだけで発生源のファイルは知らないのではないかと思う。
外部からの進入ではなくて内部から呼んでいる証拠は、同じＬＡＮのパソコンには何も出ない事。
もちろん同じＯＳで同じバージョンのノートン。

もちろんウイルス対策ソフトをウイルスパターン最新にしてチェックしてあるんだろうね？

>>118
ウイルスパターンは自動更新。頻繁にシマンテックから送られてくる。
もちろんウイルスチェックの総スキャンは毎週の定期的自動実行。

>>117
104のような症状ってことなんだろうか？
で、（既出応急処置のnotepad.exeに置き換えではない）atiupdplやa349801は存在している？
もしこのファイルがあってウイルス警告がされていないとすると、ウイルスチェックが
完全になされているかどうかは怪しいかも。

もちろん既出ログにあることをHijackThisを使うなどして把握・対処することもすすめます。
より詳しいことは既出のHPで見ると参考になると思われ。

いや、atiupdplもa349801も、notepadに置き換えてある。
確認で置き換えてあるexeを起動させるとnotepadが起動するし。

て、毎回、突然ノートンがavir.cn[1].binを出す。
問題のファイルの場所はインターネット一次ファイルの所のようだな。
その指示された所にウイルスのファイルが無いのは、ノートンがブロックしたんだろう。
avir.txtを作りますか？の窓が開くけど、偽装してあるnotepadが呼ばれたのだと思う。

そういうわけで、警告が出るだけでそれ以外には被害は無い。
問題は、警告の元になるプログラムを呼び出しているプログラムが分からないという事。

>>121
ん〜〜。この原因の根元はいまだにはっきりしていないのが（おそらく）現状。

１．この２ファイルが入り込んだのはおそらくはCoolWebSearch等のスパイウェア
もしくはそれと同時に混入の可能性が大
２．２ファイルを消してもいつの間にか入り込んでいる。
（内部のなにかが引き込んでいると思われる）

（既出のわたしのログにも書いたことも含んでいるが）
私の場合、Win９８で感染。
諸般の事情（？）でウイルス対策ソフトを使用していない状況で感染混入。
CoolWebSearchのスパイウェア（＝私の場合blank:for型）はどうにか
レジストリ・ファイル上から表面上は消すことができた。
２ファイルは消しても復活してくる。
※atiupdplを消すだけだとIEを終了したあとでもIEのタスクが残っていた。

試しにシマンテックのオンラインスキャン。
トロイの木馬（当時個体名未設定）が何ヶ所かから出てきた。
ゴミ箱（Recycledフォルダ）の中から“見えない”状態でトロイの木馬と
CoolWebSearchのスパイウェアが存在していたことだ。
（無いことになっているものは消せないと言うことらしい）
また、その時点で見つからなかったファイルがウイルスバスター体験版により
Win９８のパスワードファイル（拡張子pwl）に感染していたことが判明。

これらの感染ファイルを全て削除。
その後２ファイルの復活やnotepad偽装したnotepadから「avir.txtを作りますか？」
の窓も出ていない。

そのPCにはセキュリティソフトは現在入っていないので、
引き込みソフトの発動の有無はわからず、
実際の所完全解決したかどうか不明である。
ただ、atiupdpl・a349801の復活は認められない。
（notepad偽装のこのファイルも既に削除済）

>>121
ダメ元ではあるが、オンラインスキャンサービスの方で
チェックさせてみるのも良いのではないか。どうだろう。

とりあえず体験版のウイルスバスターを入れときました。ところでatiupdplとa349801
は何をするスパイウェアなんですか？

スパイウェアを入れるためのトロイの木馬だと推測する。
>>106にあるリンク（トレンドマイクロのサイト）にウイルス情報
として載っています。

オレの場合はその2つのファイルの他に、「nft.msg」っていうのがいたぜ。
オレはアンチウイルスソフトを入れていなかったので、急遽AVGをダウンロードして
消去してそれからは問題が起きなくなったよ。

〜.binが出てウゼー

>>128
こっちもノートン先生が告知してくよ

まだ消えねえ

結局、感染源はなんだったの？
AntiVir Guard が頻繁に検出するのですが。

解決した人と解決しない人がいるんだ代ねぇ・・・・

未だに悩まされてます　ノ

私も atiupdpl に困りんこ(..、もー　プンプン(*'へ'*)
atiupdpl に困っている人たくさんいるのですね

私のPC(WinMe)も立ち上げると「atiupdplが原因で…エラーが発生しました。
atiupdplは終了します。」の表示が出て毎度困ってました(・_*)
スタートアップの設定でatiupdplが入っていたのでチェックをはずして
再起動してもまた同じ状態でスタートアップの設定を見たらまた
チェックがついていての繰り返しプン。
閉じるをクリッして終了してくれるならいいんだけど、
この物体が起動と一緒に立ち上がる用になってから191MBあるPCのメモリが
すでに3MBしか空きがなくなっててメモリちゃんがいつも半べそ状態。
動作がおもおもプン。特にIEエクスプローラーは立ち上げて起動するまで
15秒以上もかかるの！おかしくないっ？　で、３ページくらい見ると
「Iexplore が原因で….DLL にエラーが発生しました。
Iexplore は終了します。」の表示が出て Iexplore は固まって何もできなくな
るの。
しょうがないのでその表示の[閉じる]をクリッしたらIexplore が強制終了され
ちゃって
また起動しなおし。それを何回か繰り返していたらメモリ不足で固まってPC強制
再起動プン。
いつもそんな状況でインターネットまともに見れません。
さらにお気に入りにいつのまにかアダルトサイトのリンクがたくさんあるの。
なにこれーこわーい！削除しても削除しても削除しても現れるの。

さらにお気に入りにいつのまにかアダルトサイトのリンクがたくさんあるの。
なにこれーこわーい！削除しても削除しても削除しても現れるの。
Iexplore の立ち上げのときのページも変えられなくなってます。
そして最近デスクトップのアイコンがM字開脚の女の子になってるの。
ほんとこわーい。なおらないのこれー？
PCのフォーマット初期化はリカバリCDを部屋移動の時になくしてしっまって
できない状態になってるんですよ。フォーマット初期化は無理んこ。

そんな弱体しきったPCのなか調べてスパイ星人だって事がわかったわ。
削除しても無駄ってこともわかったわ。
ウィルス対策ソフトもきかなくて駆除できないこともわかったわ。
a349801 も悪者だってこともわかったわ。
atiupdplって「アティプドゥープル」読んでるってこともわかったわ。
で、アプリを２コピダミー＋レジで除去＋スタートアップチェックしました。
atiupdpl 5月6日に製作されてましたよ。2ヶ月間っ？
スタートアップに４っつもatiupdplありました。
これ消したいね。消したいねー。

で、起動時の atiupdpl 表示なくなりました。やったー。
メモリも少し復活したかな〜。
でも肝心な Iexplore は上記の状態のまま(´〜`)
ネットでショッピングも通販もできません。
e-バンクのサイトはトップページからエラー表示がでて強制終了。
助けて〜　よろしくお願い致しマイケルっ☆彡

上記の対策を色々試したのですが一旦収束してもIEを立ち上げると
復活？するようで

最終手段で98をリカバリしてみて、試しに何も接続設定しないまま
IEを起動させてみる　＞レジストリにatiupdplの文字を発見orz
a349801 は見つからず。atiupdpl.exeは無し。IEはエラーでまくり
IE終了させてもIEのタスクは残る。

同じLANのPC(winXP)は全く無事
どこから感染してるんですか？（´・ω・`）

うー　私のノウハウとスキルではもうどこいじっていいのかお手上げです(*~ρ~)
アイコンなんか直しても直しても起動したらM字開脚ってるの。

|´(･)｀)

atiupdplとa349801以外にこれらのファイルを生成するファイルが
ハードディスク内にあるんだよ。
外からこの2つのファイルを読み込んでいるわけじゃないぞ。
すなおに無料のアンチウイルスソフトのAVGを使えばいいのさ。

もちろん、とりあえずオンラインスキャン（但しスキャンのみだが）でウイルスの有無を確認
するのも良し、体験版をとりあえず入れるのも良し。
既ログのアダルトサイト被害対策の部屋で対策や相談をするのはお勧めだと思われ

ati…とかa34…はスレ内の通りに削除。
coolとか付くリンクっぽいものほぼ全部レジストリから徹底的に排除して
ｔｅｎｐフォルダの中に出来てたse.dllとかいう変なのをそれ専用のツール落として排除したら
今んとこ怪しい動きはなくなったけど…。（検索してみると、これもスパイウェアらしい）
漏れの予想、他のよりサイズもでかいようだしコイツが生成の種だったんじゃないか…？と。

これでまた復活したら泣き言言いにきます。

規制解除ー
でもまだ検出される〜

今んとこ異常まったくないです。レジストリにも出なくなったようだし。
自動で開く変な広告も出なくなったみたい。ウチんとこは治った…と思うのですが…。

>>144
CoolSwitchってレジストリ値？

ぬおぉぉぉぉ消えん

まあ、ＸＰなら無事なときまで戻って復元かけるのが手間かからないんちゃう？
現状からなら丹念にレジストリから、何から根気よく探す必要な場合も出てくると思うが・・・

>>142
se.dllが出たなら
Hijackthisつかって怪しげなレジストリのエントリを
片っ端から検索してFixした方がよさげ。

04-HKL\..\Run: [sp] rundll32 c:\DOUME~1\ユーザ名\LOCALS~1\
Temp\se.dll DllInstall

てのがあったらFixして
後は様子見。

se.dllが無いのに警告が出てくる…
ノートン先生の役立たずめ

あちアップドゥプルとa左翼やおい

もういやや

ウイルスバスターならおｋ？

試せる範囲で試してみよう。
ウイルスバスターも体験版でとりあえず試せるし・・・。

トレンドのオンラインスキャン始まる前にブラウザが落ちるのは仕様ですか？

●..●...●●...●●●●...●●.....●.●●.●..●.●●●....●●●...●.●.●●

ウイルス対策ソフトの検出力結果
http://www.geocities.jp/stealrush/security.html

●●..●..●●.●●....●.●●.●.●●●●●..●.●●●...●..●●.●....●●

ノートンやっと対応したかな？
ttp://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.jupillites.html

まだ対応していなかったことに驚き

現在集団訪問中です

【友好交流】ハ´;）BAKKER　VS　VIPPER(´･ω【+盆祭+】112
http://ex11.2ch.net/test/read.cgi/news4vip/1122907493/
2chan専用プラウザをお勧めいたします。

民間の反日系中国ウエッブサイトへの抗議をしてくださる、お持ちの知識・技術を活用してくださる　等

・　・　・　・
日　中　友　好　　目的　での、ご参加をお待ちしております。



　　　　　　　　　「友　好」は「謝罪と賠償」じゃないです（´･ω･｀）

やっと対応か

まだ出るよorz

ヽ(・∀・)人(・∀・)ﾉﾅｶｰﾏ

いいかげん警告がウザくなってきた

消えたぁぁぁ
ﾃﾗｳﾚｼｽ

ほしゅ

未だに警告が出る俺はいったい・・・

おれも、消したのにノートン先生が「削除しました」って出る。

保守age

まだまだ出るぞ〜

こいつと付き合い続けてかれこれ何ヶ月だろう

まだ出るぜ。しかもシステムに常駐しやがる

俺たち・・・もうダメなんかな・・・orz

atiupdpl.exeもa349801.exeもない
レジストリにもatiupdもa349801の名前はでてない

でもノートンの警告は毎日出るんだよー
しかも毎日ほぼ定時にでやがる

削除できた？っぽい
経過↓

知り合いのPC預かる（ウイルス感染したとかなんとか…）
ノートンで検索削除。
終わったな…　再起動。
でた！　atiupdpl　a349801　なぜだ？
シマンテックの言うとおり〜　やってみたがだめ…
ノートンの警告、警告うざい。
このｽﾚ見つける、がどうもいけないっぽい…
仕方がないので、自分のPCで使っているAVG導入。
検索…　今度はbackdoor.Agent.BAなるモノ発見。
シマンテックより削除ツールダウン。
セーフモードにて実行。　再起動そして、も一回実行。
「もうないよ」の表示ででから、パッタリノートンの警告無し。

之が勝利なのか…

173はネ申
backdoor.Agent.Bバンバンでてきたぞ…
戦闘開始だ…

戦果はファイル1つにレジストリ１
C:\WINDOWS\System32\sqllbab.dll
レジストリはログ上書きで不明（スンマソ）

ちなみにAVG導入-検索せずにあてずっぽうで
シマンテックのbackdoor.Agent.B削除ツールなるものを実行してみました。

以前の状況は、Trojan.Jupillitesのシマンテックの対処法を全て実行し
ファイルもレジストリもatiupdとa349801がない状態で
atiupd.exeとa349801.exeの削除報告が不定期に出る状況でした。

どうやら収まったような…
様子見中

>>175
そういえば私が解決できたときにも、backdoor.Agentが「なにか」を
使って出てきてたなぁ。
やはり試せるものは試せってことなのかな。

どうやら解決したみたい。
その後一度もでません。

う〜ん、このバックドアのDLLって名前が可変なので
私の書いた「sqllbab.dll」は任意のファイル名になるらしい。
なのでdll名は参考になりません。
Windowsの起動時にロードされるって書かれてるけど
私は「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」に
一度も見かけなかったのでもっとマイナーなキーに書いてそう。

加えて動作を読むと、どうもatiupd.exeとa349801.exeを
単純じゃない方法でダウンロードしているんじゃないのかなぁと。
ファイルの操作や、exeの実行はスキャンにひっかかるけど
ダウンロードのリクエストするだけとかだと、
普通の方法じゃ検知できそうもないし。

まぁ、コンピュータの管理でロードされてるDLLを見れば表示されてそうだなぁ。

とか推測してみました。
ご参考になれば幸いです。でわでわ…

>>177　（174氏）
ＣＯＮＧＲＡＴＵＬＡＴＩＯＮ！

ちなみに（以前に書いたが）、私の場合はゴミ箱フォルダの中に見えない存在として
存在していた。（と、おぼろげな記憶）

>174
おめでと
自分とこも再発無し。どうやらコレが解決法みたいですな…

自分のとこは　SQL.DLL　だったんだけど色々調べたら任意のファイル名みたいですね。
自分もログ上書きしてしまって、レジストリまで覚えておりませんでした。

参考になれば、と書き込んだ甲斐がありました。

http://www.symantec.com/region/jp/avcenter/venc/data/jp-backdoor.agent.b.html
ここの実行とFxAgentB.exeで削除でOK？

我々はついに克服した！

もう2週間ほど出てない

最終的な解決法は>>180ですか？

a349801は削除できたようだが、
atiupdplがまだ残ってる・・・なぜ・・・。

保守

完全に根絶したお

解決しないのは私だけ？

>>187
セーフモードでFxAgentB.exeを走らせてみたらどうかしら？

みんなもう消えたの？

まだいるって

まだ落ちてなかったのか・・・

クリスマスにも警告〜

運勢

もう終わりだ

落ちねぇぇぇ

すごいな、ここまだ落ちてないのナ。まだ困ってるひとがいるので…
>175 をやる前に、以下が前提となります。
・ファイルとしてatiupd.exeとa349801.exeがないこと。
・シマンテックのTrojan.Jupillites削除手順を全て実行していること。
・ワクチンソフトのフルスキャンでウィルスがないこと。

以上が満たされない場合、おそらくダメだと思います。
また、セーフモードでのフルスキャンでないと
削除できないウィルスがいるため、
通常＋セーフモードでスキャンするのが無難です。

いい加減落ちろよ

まだ落ちない

がんばるな〜

落ちても困るからな

しかたなくあげ